Raspi-NAS absichern
Um meine Daten zu schützen, habe ich die DynDNS-Funktion an meiner Fritzbox deaktiviert und verzichte beim Raspi auf einen Webzugang. Sind meine Daten sicher?
In meinem Heimnetz nutze ich einen Raspberry Pi 3 als NAS. Darauf läuft Raspbian und ich habe einige CIFS/SAMBA-Freigaben, auf die ich von meinen Geräten zugreife. Außerdem ist ein SSH-Zugang eingerichtet. Um die Daten zu schützen, habe ich die DynDNS-Funktion an meiner Fritzbox deaktiviert und verzichte auf dem Raspi auf einen Webzugang. Sind meine Daten sicher, oder können Hacker aus dem Internet via SSH auf den Raspi zugreifen?
Ferndiagnosen ohne detaillierte Kenntnisse Ihres Netzwerks sind schwierig, aber auf den ersten Blick erscheint die Absicherung Ihres Raspi zumindest zufriedenstellend. Stellen Sie sicher, dass Sie in Ihrem Router keine Port-Freigabe und auch keine Port-Weiterleitung auf den Raspi eingerichtet haben. Kurz gesagt: Die Firewall Ihrer Fritzbox muss ungebetene Anfragen an Ihren Raspi abweisen. Das ist bei den Werkseinstellungen der Fritzbox der Fall.
Falls der Raspi doch aus dem Internet erreichbar ist: SSH-Zugänge gehören zwar zu den am häufigsten attackierten, lassen sich aber absichern. Aktivieren Sie dafür die Public-Key-Authentication. Wenn diese funktioniert, schalten Sie die passwortgestützte Authentifizierung ab. Damit sind Sie auf der sicheren Seite. Wie man auf schlüsselbasierende Authentifizierung umstellt, haben wir schon vielfach beschrieben.
Zusätzlich kann es nützlich sein, in der Fritzbox den Port von der üblichen Nummer 22 auf einen weniger frequentierten Port jenseits von 10000 umzustellen. Da können Sie jeden beliebigen nehmen, sofern er frei ist. In dem Fall spielt es auch keine große Rolle, ob Sie für Ihren Internetanschluss DynDNS aktiviert haben oder nicht. Denn allein anhand Ihres Domainnamens lässt sich nicht rückschließen, über welchen Port der Raspi angesprochen wird. Das wissen nur Sie allein.
(dz)
