Fraglich: (UN ?) Sicherheit mit RasPi im Netz

Hallo Raspberry-Freunde und -Kenner.

Nun läuft mein Raspberry-Volumio-Musikcenter gut und eher regelmässig (täglich).

Da stellt sich die Frage nach der Sicherheit des GESAMTEN Heimnetzwerks. Im Internet gibs massive Warnungen vor dieser Hintertür im Heimnetz (zum Beispiel hier).

Volumio ist das einzige Programm, das auf meinem RasPi läuft. Da ein Eingriff ins Programm (läuft bei mir sozusagen out of the box) durch mich nicht möglich ist und meine RasPi- bzw. Linuxkenntnisse nicht mal mikroskopische Größe haben, fürchte ich erst mal. Immerhin ist Volumio ja im Netz unterwegs - spätestens wenn Radiosender per www laufen. Das ist eine gängige Funktion. Aber Volumio-intern gibt es offenbar/nachweislich zum Beispiel die Funktion, dass beim Abspielen von Titeln von CDs z.B. vom Volumio auch nach dem zugehörigen Cover gesucht wird - und wenns nen Treffer gibt wird es installiert . . . Was da sonst geht weiß ich nicht mal!

Im oben genannten Link sind einige Sicherheitsmaßnahmen gelistet. Aber ich weiß nicht wirklich wie ich das anstellen soll.

Frage 1 : Ist die Bange vor einem (Hacker-) Zugriff aufs Heimnetzwerk über den RasPi begründet ?
Frage 2 : Wie kann ich den RasPi gegen externe Zugriffe oder Zugriffsmöglichkeiten schützen ?
Frage 3 : Gibt es für Raspberry´s Firewalls ? Welche ?

Danke für Eure Erfahrungen.

Hallo,

1) jein, es kommt auf die Technik an die man verwendet, die Frage ist ist dein RPi von aussen erreichbar, Portweiterleitung auf dem Router von aussen zum RPi?
2) Passwort ändern, Du glaubst garnicht wieviele RPi in Netz erreichbar sind mit dem Passwort raspberry
3) ufw, ist einfach, aber ist Konsole.

Danke Stephan!

Zitat:

---

1) jein .. die Technik an die man verwendet .. Portweiterleitung auf dem Router von aussen zum RPi?
2) Passwort ändern, Du glaubst garnicht wieviele RPi in Netz erreichbar sind mit dem Passwort raspberry
3) ufw, ist einfach, aber ist Konsole.

---

ad 1) Muss ich mich sachkundig machen.
ad 2) na ja, raspberry hab ich schon mal nicht genommen, aber login: meinerlei, PW: meinerlei is auch nicht der Hoppen.
Ich habs inzwischen geändert - aber login will ich auch ändern . . .
ad 3) sudo ufw status . . . ergibt die Antwort : unable to resolve host xxxxxx. Siehe 1) :-/

Also danke, ich bin auf dem Weg das zu machen.Das neue Passwort kennt er schon (nur die Tastatur hab ich noch nicht auf boarisch - - ääähh - auf Deutsch eingestellt).

'sudo raspi-config' :)

Zitat:

---

Zitat von morob

'sudo raspi-config' ..

---

Leider nein. Auch Varianten dazu gehen nicht, eine Änderung des Keyboard-Layouts ist nicht vorgesehen. Hatte das auf der System-Speicherkarte schon gesucht.

Weder config.txt

Code:

---

initramfs volumio.initrd
gpu_mem=32
max_usb_current=1
dtparam=audio=on
audio_pwm_mode=2
dtparam=i2c_arm=on
disable_splash=1
hdmi_force_hotplug=1

---

noch userconfig.txt

Code:

---

# Add your custom config.txt options to this file, which will be preserved during updates

---

auch nicht cmdline.txt

Code:

---

splash quiet plymouth.ignore-serial-consoles dwc_otg.fiq_enable=1 dwc_otg.fiq_fsm_enable=1 dwc_otg.fiq_fsm_mask=0xF dwc_otg.nak_holdoff=1 console=serial0,115200 kgdboc=serial0,115200 console=tty1 imgpart=/dev/mmcblk0p2 imgfile=/volumio_current.sqsh elevator=noop rootwait bootdelay=5 logo.nologo vt.global_cursor_default=0 loglevel=0 snd-bcm2835.enable_compat_alsa=1 snd_bcm2835.enable_headphones=1

---

oder andere, soweit die mir nur annähernd als relevant erscheinen, lassen das zu. Die www-Kommentare geben dazu auch keine Lösung ab. Egal - ich bin ja aus prähistorischen Zeiten (CP/M) ne englische Tastatur gewöhnt. Hatte ich früher teils auch auf nem "deutsch" beschrifteten Keyboard - english way of 10-Finger-blind - im Tagesgeschäft gehabt.

ich habe mir das mal angesehen, das ist ein minimal system was als betriebssystem verwendet wird :(
da helfen meine sachen nicht :D

Zitat:

---

.. das ist ein minimal system was als betriebssystem verwendet wird .. da helfen meine sachen nicht ..

---

Ja Stephan, nach allem was ich bisher gelernt (überflogen) hatte, ist das sehr minimalistisch. Geholfen hattest Du mir mit dem Hinweis auf das Login/Passwort, danke. Das ist jetzt phantasievoller. In die andere Keyboardbelegung hab ich mich schnell eingewöhnt. Fazit: das System ist sicherer.

'iptables -L -n' zeigt die firewall einstellungen, wenn iptables vorhanden ist :)

Wieder mal Probleme beim Raspberry Pi. Eigentliches Ziel ist z.B. ein Webserver - und dort ne eigene Site präsentieren; später auch Messdaten.
Raspberry Pi Model B Rev 2, Raspian GNU/Linux 11 (bullseye) auf 32 GBµSD.

Erstmal ein Test - der aber schon nicht funktioniert:

Ich hatte apache2 installiert. Test mit apache-Testseite index.html ist ok. Editieren dieser DAtei "index.html" ist nicht erlaubt :-/

Nun möchte ich die (test)Datei auf dem Raspi: /var/www/ ändern mit ner eigenen. Da bekomme ich eine Fehlermeldung (egal ob GUI oder Terminal bzw. PuTTY) etwa so am Bildschirm des Raspberrys (GUI): The file operation was completed with errors. Error opening file "/var/www/mist001.html": Permission denied.

Auch nach der Installation von apache2 und php-mysql komme ich nicht weiter. Allerding steht seit dieser letzten Installationen im /var/www/html ein neuer File: phpinfo.php. Dorthin kann ich aber meinen File mist001.html auch nicht kopieren.

Fragen:
Wie bekomme ich wenigstens ne Test-html-Datei wie z.B. die mist001.html erlaubter Weise ins RasPi so, dass ich die auch über die IP des Raspi lesen kann?
Wie bekommt man dann Daten "rein" und wieder "raus".

Danke im Voraus.

Hallo,

das ist ein Rechte Problem, Du kannst es wie folgt lösen, entweder Du änderst die Rechte für /var/www auf user pi mit "chown pi.pi /var/www/" oder du arbeitest mit "sudo EDITOR /var/www/index.html"

Gruß
Stephan

Zitat:

---

.. das ist ein Rechte Problem .. wie folgt lösen
/var/www auf user pi mit "chown pi.pi /var/www/"
oder du arbeitest mit "sudo EDITOR /var/www/index.html" ...

---

Danke Stephan für den schnellen Rat. Hab ich heut gleich gemacht (im PuTTY-Fenster). War leider recht ernüchtern :-/ Trotzdem danke. Ich bin halt totaler RPi+Linux-noncompos.

Code:

---

pi@raspberrypi:~ $ sudo EDITOR /var/www/index.html
sudo: EDITOR: command not found
pi@raspberrypi:~ $ chown pi.pi /var/www/
chown: changing ownership of '/var/www/': Operation not permitted

---

Natürlich hatte ich es danach am RPi-Bildschirm im Terminalfenster nochmal versucht. Siehe da - der index.html steht im >Verzeichnis< /html/.
Also erst die Rechte ändern: "sudo chown pi.pi /var/www/", danach "sudo nano /var/www/index/index.html". Und, siehe da, der File lässt sich ändern und nu steht tatsächlich mittem in der Apache-Testseite unter anderem: "...Guiseppe was here..." . FETT geschrieben *ggg*.

Vermutlich/möglicherweise lag mein Fehler (im PuTTY-Fenster) am fehlenden "sudo" vor dem "chown".

......Anhang 35776

Danke Stephan für Deine Hilfe.

hallo,

alles kein problem, ich habe auch nicht komplett mitgedacht :)

ja es fehlte das sudo vor dem chown, habe ich vergessen :)

also richtig musste das heisen "sudo chown pi.pi /var/www -R" :D

gruß
stephan

Zitat:

---

. . ja es fehlte das sudo vor dem chown . . . also richtig musste das heisen "sudo chown pi.pi /var/www -R" . .

---

Ist ja offenbar nicht so einfach den ganzen Befehlssatz zusammen zu finden (ohne Fachbuch etc). Ich hab jedenfalls beim www-Streifzug gefunden ".. 35 .. Befehle ..", ".. 50 .. Befehle .." also nicht wirklich komplett. ABER auch eine ziemlich umfangreiche Liste mit achtundachtzig Befehlen, die teils auch zu ausführlichen Einzelbeschreibungen verlinkt sind. UND Stephan - Deine Hilfe war mir dazu ein Anstoss *ggg*

Ich schreibe deshalb immer etwas fehlerhaft :D man muss die Leute auch animieren, kommt noch vom Dozent.

Hallo Stephan,
fröhliche Ostern - i

Zitat:

---

Ich schreibe deshalb immer etwas fehlerhaft .. kommt noch vom ..

---

Bei mir kommts von zu wenig - von allem (Konzentration, Denken etc etc).

Na ja, nu läuft meine erste HTML-"Seite" die ich im Homenetz auf dem Windows-Desktop mit dem Firefox mir vom RasPi geholt hatte. Im Prinzip ein URaltes Projektchen - das immerhin schon zwei Knöpfchen hat. Die müssen nu halt zum "Leben" erweckt werden - sprich: GPIOs auslesen oder schalten. Ein kleiner Schritt für Freaks eine Unzahl Schritte für mich.

......
.......Bild hier  

Sozusagen: Osterei (geschenkt) im Selbstbau.

Grins, HTML Umschreibung fehlt noch für die Umlaute :D

War ein altes Bild; hab ich grad aktualisiert. ABER - beim Screenshot ist die "Pick-"Hand-mit-Zeigefinger nicht zu sehen :-/.

BTW: Diese Testinstallation ist auch nur möglich, weil ich über "WinSCP" gestolpert bin *gg*.

Überraschend ist ja auch wie schnell dieser HTML-Test (war mal ne ausführliche Einführungsseite in ein Test-/Mess-/Versuchsverfahren) auf dem Browser des Desktop abläuft, während dieselbe Präsentation den RasPi ziemlich müde aussehen lässt. Na ja, ein i5 im Gigahertzbereich und 8 GB DDR3 im Vergleich zu 700 MHz und 512 MB . . .

Problem - nicht wirklich?

Stand: der RasPi ist immer noch - nur - im homenetz.

Recht irritierend waren die Caches der Browser auf Desktop und Handy. Beim Aufruf der (internen/Heimnetz) Internetadresse des Raspberry kamen, trotz geändertem Webbrowser-Inhalts, immer die "alten" Ergebnisse. Änderungen im Code, Inhalt und Umfang der Raspberry-Webserver-Präsentation, konnten so nicht festgestellt bzw. getestet werden. Aber - nach Löschen der (Browser-) Caches auf beiden Geräten war dann die Welt wieder in Ordnung.

Stückweise voran, dann kurz vorm Ziel, ein Stop!

Die (Test-)LED von GPIO-17 nach GND (mit Vorschaltwiderstand 4k7) lässt sich mit Pigpio schön aus- und einschalten: mit "pigs w 17 1" ein- und mit "pigs w 17 0" aus. (WENN Pigpio installiert ist - siehe zB hier).
Die neu aufgebaute, minimalistische Website ist im homenet störungsfrei erreichbar, das "blättern" vor und zurück in verschiedenen Seitenabschnitten ist problemlos.

ABER
das eigentliche Ziel, nen GPIO-Ausgang - eine LED, von einer Website aus zu schalten wird nicht erreicht.
Nach mehreren verschiedenen Tutorials zu wiringPi konnte ich wiringPi nicht installieren. Zum Beispiel (Liste eines von mehreren Versuchen):

Code:

---

  1  Mit Raspberry Pi Imager v1.7.2 das Raspberry PI OS (32-bit) ..Debian Bullseye..2022-04-04
    installiert auf einer µSD 8GB/class10
  2  Desktop (GUI) einrichten: DE Sprache,Keyboard,Zeit etc
  In/aus PuTTY: 
  3  Apache neu installiert: $ sudo apt-get install apache2 -y
  4  Rechte am Raspi "xx" ändern :  sudo chown xx.xx -R /var/www/
  5  sudo apt-get install php -y
  6  sudo apt-get update && sudo apt-get upgrade
  7  sudo apt-get install git-core
    Kommentar: git ist schon die neueste Version (1:2.30.2-1)
  8  sudo git clone git://git.drogon.net/wiringPi    NIX NIX NIX: fatal: Konnte nicht..verbinden..
  .. (git clone git://git.drogon.net/wiringPi    ==>>    NIX NIX NIX: fatal: Konnte nicht..verbinden..
  8a Oder der komplette Schriftverkehr am PuTTY :
    git clone git://git.drogon.net/wiringPi
    Klone nach 'wiringPi' ...
    fatal: Konnte nicht nach git.drogon.net verbinden:
    git.drogon.net[0: 2a03:9800:10:7b::2]: errno=Verbindungsaufbau abgelehnt
    git.drogon.net[1: 188.246.205.22]: errno=Verbindungsaufbau abgelehnt

---

Die im Prinzip ziemlich gleichen Anweisungen zur Installation von wiringPi ergeben stets nen Misserfolg.

Hätte da jemand bitte nen Hinweis was falsch ist - oder wie ich das nach anderen Methoden machen kann?
Danke im Voraus

Hallo,

git.drogon.net/wiringPi gibt es nicht mehr.

https://www.kampis-elektroecke.de/ra...berry-pi-gpio/
http://www.netzmafia.de/skripten/har...Pi_GPIO_C.html php kommt ganz unten

guck Dir das mal an

Gruß
Stephan

Zitat:

---

.. git.drogon.net/wiringPi gibt es nicht mehr. ..

---

Ja, stimmt, sieht so aus. Aber auf ner ziemlich privat aussehenden site gibts wohl noch alte Archive. Noch ne unbefriedigende Nachricht: eine GUI-Lösung habe ich nicht ans Laufen gebracht. Ich hätte es so gern so klicki-bunti gehabt.

Die gute Nachricht: in alter Kommandozeilenform läufts ziemlich zufriedenstellend.
Testablauf (nicht über www, nur im homenet) :
Raspberry Pi wurde abgeschaltet und vom Netz getrennt. Danach erneut einschalten.
Smartphone: nach Aufruf ConnectBot und Einloggen im Raspi mit Benutzer@Host wird mittels Texteingaben geschaltet :
........GPIO 17 (rtLED) wird durch pigs w 17 1 ein- und durch pigs w 17 0 ausgeschaltet.
........GPIO 18 mit 4k7<->3,3V und Taster wird mittels pigs r 18 auf 1 bzw. 0 getestet.

Dies wird als ausreichender Test für die Funktion angesehen.

Danke für die Hilfe/n.

Screenshot (teilweise) vom Desktop mit PuTTY

......Bild hier  

Screenshot (teilweise) vom Smartphone mit ConnectBot

......Bild hier  
.
.....Originaler Screenshot vom Mobile.

Liebe Leute,

nun dachte ich es geht etwas voran. Aber ich find den Fehler nicht. In (m)einem Skript kann ich die LED am GPIO 17 nicht anknipsen. Mit demselben Befehl ist die LED im PuTTY-Fenster oder sonst nem Terminal schaltbar .

Aktionen:

Ich habe in der Directory /var/www/html/ nen neuen File "index.html" eingetragen :

......Bild hier  

Der File "index.html"

Code:

---

<html>
<head>
<meta name=viewport" content="width=device-width"/>
<title>GPIO per PHP schalten</title>
</head>

<body>
GPIO 17 schalten:
<form method="get" aktion="gpio.php">
<input type="submit" value="Licht ein" name="Lichtein">
<input type="submit" value="Licht aus" name="Lichtaus">
</form>

<?php
$modeon17 = trim(@shell_exec("/home/pi3/pigs modes 17 w"))
if(isset($_GET['Lichtein'])){
$modeon17 = trim(@shell_exec("/home/pi3/pigs w 17 1"))
echo "Licht17 ist an";
}
else if(isset($_GET['Lichtaus'])){
$modeon17 = trim(@shell_exec("/home/pi3/pigs w 17 0"))
echo "Licht17 ist aus";
}
?>
</body>
</html>

---

. . . und das kommt dabei raus - je nach Knopfdruck auf "../?..=Licht+ein" oder "../?..=Licht+aus" , eben mit unterschiedlichem Text in der Kopfzeile :

......Bild hier  

ABER - die LED bleibt wie sie war - hell oder dunkel. WENN ich alternativ über PuTTY (oder Smartphone-Terminal) den entsprechenden Befehl eingebe - aber ohne "/home/pi3/" - dann läufts . . . Auch ohne "/home/pi3/" - siehe Bilder oben - läufts nur im Terminal.

Kann bitte jemand helfen ? Wo steckt der Fehler ? Wie solls richtig heissen ?

hallo,

geh mal mit putty ins system und gebe mal "which pigs" ein, da müsste dir dann angzeigt werden wo pigs steht :D

gruß
stephan