Итак, интернет у вас работает, теперь самое время подумать… Нет, не о играх, хотя и до них очередь дойдет. Нам надо обеспечить защиту вашего Raspberry от вирусов и от несанкционированного доступа посторонних людей (хакеров). Вопреки распространенному (ошибочному) мнению будто для ОС Линукс вирусов не бывает, на самом деле эта пакость есть даже для Raspberry 4B, несмотря на то что у этого компьютера используется микропроцессор с RISC-архитектурой, несовместимый с х86 процессорами. Да, конечно, вредоносные программы для системы Windows для нашего миникомпьютера безопасны, но специально написанные вирусы именно для «малинки» имеются.
Например в 2017г компания Dr. Web объявила, что появился вирус (троян) который сканировал сеть интернет на наличие устройств Raspberry Pi с открытым по SSH портом 22. При нахождении такого устройства, вирус пытался залогиниться на нём, используя стандартный логин и пароль. После проникновения вирус менял пароль на заражённом устройстве, и приступал к майнингу криптовалюты. При этом вирус задейстовывал зараженную «малинку» для поиска других ПК с открытым портом 22.
Кроме различных вирусов, вашим компьютером могут заинтересоваться так называемые хакеры, то есть люди, которые по чьему-то заказу или по собственной дури занимаются проникновением в чужие компьютеры через сеть интернет. Цель – скачать личные данные, пароли, секретную информацию, или даже нарушить работоспособность вашего ПК, с целью вымогательства денег.
Для этого злоумышленникам необходимо взломать пароль, который обычно производится методом «брут-форса», что в переводе с английского означает «грубая сила». Подбор осуществляется с помощью специальных программ, как простым перебором символов, так и подстановкой наиболее часто используемых слов, менее чем за 0.05 сек. Проще говоря, если вы выбрали в виде пароля слово «Ivan» и очень гордитесь собою, то вынужден вас разочаровать – это равнозначно отсутствию пароля.
Итак, если вы не хотите, чтобы неизвестный дядя пользовался вашим компьютером, да еще при этом распространял вредоносные программы, необходимо предпринять хотябы минимальные меры зашиты.
Давайте для ясности разберем сообщение о вирусе более подробно.
1. Что такое «открытый по SSH порт 22»?
Вы помните, что мы с вами будем рассматривать малинку только как декстоп, то есть персональный компьютер которым управляем непосредственно мышкой и клавиатурой. И сразу видим полученный результат на экране монитора. Но область применения этого миникомпьютера очень обширна. Например его можно использовать как сервер или охранную систему с удаленным (от слова даль) доступом. То есть пользователь может управлять компьютером (через интернет) находясь в другом доме или даже городе. Для этого используется SSH - безопасный протокол удаленного управления сервером. А стандартный порт для этого именно 22.
Так как мы не собираемся управлять нашим компьютером издалека, то в нашем случае лучше вообще отключить данную возможность.
Для этого:
Малинка –> Параметры –> Raspberry Pi Configuration
В открывшемся окошке открываем вкладку Interface. Находим сверху SSH Enable, Disable. Выбираем Disable (отключить).
2. Стандартный логин и пароль. Стандартный логин вашего ПК (по умолчанию) pi, а пароль Raspberrypi (какая неожиданность!). То есть злоумышленнику для получения доступа к вашему компьютеру достаточно ввести эти всем известные данные. Первым делом сменим пароль.
Надеюсь, вы знаете принципы, необходимые для создания безопасного пароля. Если нет, то рекомендую для пароля применять не менее 12 символов, используя латинские буквы, как прописные («заглавные») так и строчные, не забывая добавлять и цифры.
Далее, в Raspberry Pi Configuration выбираем вкладку System и в первой же строчке видим опцию Change Password (выбрать пароль)
Введите вместо слова «Raspberrypi» новое значение (используя обязательно латинский шрифт и цифры). При этом вместо вводимых букв вы увидите только точки. Не пугайтесь, так и должно быть. Во втором окошечке повторите новый пароль и нажмите «окей».
3. Пароль вы изменили, теперь изменим имя хоста (hostname – это имя, которое присваивается компьютеру, подключенному к сети). Переходим ко второй строчке, и заменяем слово raspberrypi на любое понравившееся имя (например TomSawyer). При смене имени носта при запуске браузера, у вас появится окошечко с сообщением о том, что браузер Chromium используется хостом raspberrypi. Ничего страшного, просто разрешите разблокировать и браузер запуститься как обычно.
Итак, минимальные меры предосторожности мы приняли. Теперь можно относительно безопасно выходить в интернет. Но для полного счастья, необходимо установить антивирус и брандмауэр.
4. Установка антивируса. Запустите LXTerminal.
После выхода интернет, сначала произведите обновление вашей операционной системы:
1. обновите список пакетов репозитория: sudo apt update
2. запустите команду обновления: sudo apt dist-upgrade
3. удалите устаревшие файлы: sudo apt clean
4. Теперь можете загрузить антивирус: sudo apt install clamav
5. Теперь можете перезагрузить ваш ПК: sudo reboot
После перезагрузки вы можете вызвать антивирус, набрав в командной строке терминала:
pi@TomSawyer:~ $ clamscan
Компьютер задумается примерно на минуту, а потом начнет сканирование. После окончания сканирования антивирус выведет отчет в консоль. Но будет просканирован только верхний уровень каталога. Мы можем указать антивирусу проверить определенный каталог:
pi@TomSawyer:~ $ clamscan -r /home
Если вы хотите проверить только подкаталог mount размещенный в корневом каталоге home, команда примет следующий вид:
clamscan -r --remove /home /mount
Этот антивирус так же будет вам полезен, если вы обмениваетесь файлами между Linux в Windows и обратно, чтобы не заразить Windows.
Кроме того, существует еще один антивирус Rootkit Hunter, предназначенный для поиска руткитов, бекдоров, локальных эксплойтов и уязвимостей операционной системы. Для Bullseye имеется оптимизированный под новую ОС Rootkit Hunter version 1.4.6.
Антивирус мы установили, теперь нам необходим брандмауэр. Воспользуемся самым простым, который так и называется UFW (Uncomplicated Firewall – несложный брандмауэр). Он является самым простым и популярным инструментом для настройки и управления брандмауэром в дистрибутивах Ubuntu и Debian.
pi@TomSawyer:~ $ sudo apt install ufw
(для загрузки самого брандмауэра)
pi@TomSawyer:~ $ sudo apt install gufw
(для загрузки графической оболочки)
После перезагрузки копьютера мы увидим malinka→Параметры→ Настройка межсетевого экрана (изображение треугольного щита). Щелкнув по нему, мы откроем брандмауэр, который запросит у нас пароль (именно тот который мы изменили).
После ввода пароля запустится графическая оболочка и мы увидим, что все входящие сигналы запрещены, то есть UFW отклоняет все входящие соединения (никто из интернета не сумеет получить доступ к нашему компьютеру). И наоборот, все исходящие сигналы разрешены (все запущенные службы или приложения на вашем миникомпьютере могут иметь доступ к внешней сети) и вы сможете выходить в интернет с помощью браузера. Это наиболее простой вариант установки, для начала пока достаточно и этого.
Можно проверить, активен ли наш брандмауэр, набрав
pi@TomSawyer:~ $ sudo ufw status verbose.
Если в полученном ответе есть строчка
Status: active
Значит брандмауэр включен и выпоняет свою работу. Если это не так, произведите включение:
pi@TomSawyer:~ $ sudo ufw enable
Если вам понадобиться отключить программу (не советую этого делать), в командной строке введите:
sudo ufw disable
Если вы хотите более подробно познакомиться с этой программой и ее командами, прочитайте статью «Использование утилиты UFW на Linux» расположенную на сайте:
https://1cloud.ru/help/security/ispolzovanie-utility-ufw-na-inux
Или
Эти статьи подготовлены на компьютере Raspberry 4B, с использованием ОС Raspberry Pi OS (Buster и Bullseye), текстового редактора LibreOffice 6.1, графического редактора KolourPaint 18.04.
Все вышеперечисленные программы бесплатны, но если вы ими пользуетесь и они приносят вам пользу, не забывайте отблагодарить авторов соответствующими перечислениями.
На этом, думаю, первое знакомство можно и закончить. Если вам понравились мои статьи, ставьте лайки, я увижу вашу заинтересованность и продолжу знакомить вас с миникомпьютером Raspberry и его особенностями. До новых встреч.