<< | #434 ; Pli da sekureco por la tre nesekura mondo |
>> |
Antaŭe oni povis pensi ke la karta mikrokomputilo "Raspberry Pi" estas relative sekura por uzi en Interreto, ĉar estis tiel malofta en la mondo de komputiloj. Tamen fakte RPi kaj la operaciumo "Linux" ne plu estas tre malofta. Jam valoras bone protekti RPi kontraŭ la modernaj danĝeroj de Interreto.
"Windows" -sistemoj certe estas pli oftaj en la komputila mondo kaj la komputilaj virusoj & aliaj malicaj programoj tre amas ilin, sed ekzistas komputilretaj danĝeroj ankaŭ por aliaj sistemoj.
Unu bona rimedo por protekti la komputilon estas la libera fajroŝirmilo nomita ufw
, angle "Uncomplicated FireWall", kion oni povas munti por RPi simple dum Interreta kontakto skribante por la komanda fenestro: sudo apt install ufw
Se oni uzas ekzemple la retservilon "Apache" en la RPi por la eksterna mondo, oni eble volas akcepti por ĝi eksternan kontakton el Interreto por kelkaj pordoj:
sudo ufw allow 80 sudo ufw allow 443
Sekve oni en komanda fenestro akceptos por uzi la fajroŝirmilon: sudo ufw enable
Oni povas kontroli la funkciadon de fajroŝirmilon same kiel en la unua bildo supre: sudo ufw status verbose
La angla artikolo "Network Configuration" donos por vi utilan informon se vi volas uzi la FTP-programon "FileZilla" kun fajroŝirmilo. FTP nome bezonas kelkaj propraj pordoj por komunikado kaj por la transigo de datumoj. Mi pensas nun nur FTP-klienton.
Helpo estas havebla ekzemple por la fajroŝirmilo ufw
en la komanda fenestro:
Kaj ekzistas iom da helpo havebla en komanda fenestro ankaŭ por la kontraŭvirusilo clamscan
:
pi@raspberrypi:~ $ clamscan --help Clam AntiVirus: Scanner 0.103.8 By The ClamAV Team: https://www.clamav.net/about.html#credits (C) 2022 Cisco Systems, Inc. clamscan [options] [file/directory/-] --help -h Show this help --version -V Print version number --verbose -v Be verbose --archive-verbose -a Show filenames inside scanned archives --debug Enable libclamav's debug messages --quiet Only output error messages --stdout Write to stdout instead of stderr. Does not affect 'debug' messages. --no-summary Disable summary at end of scanning --infected -i Only print infected files --suppress-ok-results -o Skip printing OK files --bell Sound bell on virus detection ( ... kaj tiel plu ... )
Nature oni povas ankaŭ uzi la norman man
-komandon de Linux -sistemo en la komanda fenestro por legi la anglan "manuskripton" pri la programo, ekzemple man ufw
aŭ man clamscan
se oni bezonas pli da informo.
Mia propra fajroŝirmilo tute ne akceptas kontaktojn el Interreto, kiel la supra bildo indikas ( deny (incoming)
). Tamen eblas libere uzi la retfoliumilon por legi la paĝojn en Interreto. Mia komputilo akceptas la "invitojn" pri la eksternaj paĝoj de Interreto, sed la komputilo tute ne permesas "invitojn" kioj originas en la danĝera eksterna mondo.
Se mi uzos la FTP-programon "FileZilla" kun ĉi tiu RPi-komputilo, mi tamen certe bezonas unue malfermi kelkaj pordoj el fajroŝirmilo al la eksterna Interreta mondo, almenaŭ provizore. Kaj certe mi fermos la pordojn kiam mi ilin ne plu bezonas.
Ekzistas multaj bonaj konsiloj en la angla artikolo: "17 Security Tips To Protect Your Raspberry Pi Like A Pro"
Mi tute ne akceptas eksternan SSH -kontakton por miaj plej multe uzitaj komputiloj. Miaopinie la RPi -komputilo estas relative bone protektita jam kun bona sekreta vorto, la jam nomita fajroŝirmilo kaj kontraŭvirusilo sed por specialaj uzoj oni certe povas uzi pli da protektaj rimedoj.
La angla artikolo "Does Raspberry Pi Need Antivirus? (Definitive Solution)" rakontas pri kontraŭvirusilo.
La liberan kontraŭvirusilon "ClamAV Antivirus" oni muntas por RPi en komanda fenestro simple:
sudo apt install clamav
Sekve oni povas kontroli la sistemon kun la kontraŭvirusilo ekzemple ĉi tiel:
clamscan sudo clamscan /
Nature oni ĉiam bone aktualigu kaj renovigu la sistemon. La plej moderna sistemo estas la plej sekura. La nova vario de operaciumo "Bullseye" aŭtomate informas pri renovigoj en komenco.
Unu alia eble utila programo estas fail2ban
kio kaŭzas problemoj por malica atakanto, ioman malakceliĝon. La programon oni muntas facile en komanda fenestro: sudo apt install fail2ban
Oni povas uzi la komandon sudo service --status-all
por vidi ĉiujn la gravajn procezojn.
En la apuda bildo ni vidas parton de komanda fenestro de RPi kaj tie mi desegnis tri ruĝaj sagoj por indiki la tri novaj programoj. Ni povas vidi ke ili vere funkcias.
Certe la novaj programoj bezonas iom pli da memoro, sed tio apenaŭ estas granda problemo. Malamika atako el Interreto tamen povus esti ioma problemo.
Certe "Windows" komputiloj estas pli oftaj, eble 90% da ili en la mondo? Tamen certe ekzistas danĝeroj ankaŭ por nia plej kara sistemo "Linux".
Miaopinie la plej granda danĝero estas malbona sekreta vorto kaj tute neprotektita eksterna SSH -konekto akceptita. Mi uzas SSH nur en la interna komputila reto de nia nacio "Mueleja Insulo" kaj tute ne dum Interreta kontakto. Mia unua aktiveco kun nova nekonata RPi, antaŭ ol uzi Interreton, estas por kontroli ĉu eble estas akceptita SSH en la aparato?
Se oni nepre bezonas por rekte uzi la al Interreto konektitan RPi el la eksterna mondo (por alia uzo ol la retservilo "Apache"), do estas SSH nepra, sed oni estu singarda.
Nuntempe oni opinias ke ne plu estas kiel eble plej sekure por uzi la tradician nomon de uzanto pi
sed miaopinie bona sekreta vorto estas pli grava. La tradicia raspberry
certe neniam estis bona sekreta vorto. Miaopinie tre bona sekreta vorto estus tia, kio vere tute ne estas ia ordinara vorto, sed nur iom longa sporada grupo da hazardaj signoj, kiel ekzemple g4ow7i1_Il0Oj*G
Grave estas ke en SSH-kontakto kun distanca aparato la loka komputilo ĉiam unue postulu la korektan sekretan vorton.
Nature oni povas lerni pli pri fajroŝirmilo en la komputila reto el artikoloj de angla lingvo, ekzemple: "Using the UFW Firewall on the Raspberry Pi" kaj "Raspberry Pi Firewall: How to Install and Manage it by Using UFW"
Ni speciale forte batalu kontraŭ la danĝeroj de Interreto en la granda ĝenerale malbona mondo.
Kaj certe fine ..........
NI VENKOS!
La Ambasadoro en Finnlando de sendependa nacio Mueleja Insulo |