Idioten in der IT Community - Einen habe ich gefunden, man staune: (Stichwort: libreelec)



  • Heute habe ich mal libreelec, eine KODI Distribution für den Raspberry Pi ausprobiert.
    Dazu habe ich gleich mal sshd gestartet um dann gleich mein root Passwort zu ändern.

    Aber seht selbst:

    xxx@comp:~$  # ssh root@libreelec
    root@libreelec's password: 
    ##############################################
    #                  LibreELEC                 #
    #            https://libreelec.tv            #
    ##############################################
    
    LibreELEC (official): 8.2.2 (RPi2.arm)
    libreelec:~ # passwd
    
     There is no working 'passwd'.
    
     The 'passwd' command changes passwords for user accounts.
    
     With LibreELEC it is not possible to change the system password
    
     SSH is included only as a last support resort. SSH is off by default.
     Most users never need SSH and need help using it so we need a default
     password. If you need to keep SSH always on then this is unsupported
     but can be secured with certificates.
    
     TIP: disable password authentication in ssh and use public key authentication.
    libreelec:~ #
    

    WTF? 😡

    Alle Welt versucht die Rechnersysteme sicherer zu machen und dann sieht man so etwas und fragt sich, was für Idioten es doch auf dieser Welt gibt.
    Da wird doch tatsächlich explizit versucht zu verhindern, dass der Benutzer sein root Passwort ändern kann.

    So etwas völlig bescheuertes habe ich noch nie gesehen.
    Ich meine, man kann ja ein default Passwort festlegen, bis die Computer Laien das brauchen, werden sie es eh nie geändert haben
    und diejenigen, die es verändert und vergessen haben, sind selber schuld.
    Aber das man verhindert, dass es diejenigen ändern können, die sich das merken können, das bescheinigt den dafür Verantwortlichen doch wirklich die Deppeneigenschaft.

    Zumal es den Laien auch nichts nützt wenn Botnetze und Hacker deren Libreelec Installation übernehmen und dann das root Passwort einfach selber, über Umwege, ändern, dann kommen die Laien auch nicht mehr rein.



  • Falls jemand das gleiche Problem hat und eine Lösung sucht, hier ist ne einfache Anleitung:

    http://blog.helmutkarger.de/raspberry-media-center-teil-28-ssh-zugang-absichern/

    Das Grundproblem bleibt aber.
    Das root passwd kann nicht gesetzt werden.


  • Global Moderator

    TIP: disable password authentication in ssh and use public key authentication.



  • SeppJ schrieb:

    TIP: disable password authentication in ssh and use public key authentication.

    Steht ja oben, ändert aber nichts daran, dass kein root PW gesetzt wird.
    Es gibt schließlich noch andere Angriffszenarien.


  • Global Moderator

    computertrolls schrieb:

    SeppJ schrieb:

    TIP: disable password authentication in ssh and use public key authentication.

    Steht ja oben,

    Ich habe es nur zitiert, weil dein ganzer Rant diese Empfehlung ignoriert, bowohl es die perfekte Lösung ist und von der Software selber vorgeschlagen wird, in genau dem Text, über den du dich so künstlich aufregst. Du ignorierst es bloß.

    ändert aber nichts daran, dass kein root PW gesetzt wird.
    Es gibt schließlich noch andere Angriffszenarien.

    Welche denn? Wenn das PW abgeschaltet ist, dann ist es dicht und das ist sowieso eine gute Empfehlung ganz allgemein, denn Key ist viel sicherer als Passwort. Fast schon gut, den Nutzer dazu zu zwingen.



  • Passwörter in ssh zu nutzen ist schon fast sträflich. Mache ich schon seit > 15 Jahren nicht mehr. Ganz offensichtlich muss man in der heutigen Zeit einigen Leuten noch erklären dass es mit Keys nicht nur möglich, sondern auch wesentlich sicherer ist. Von der einmaligen Einrichtung abgesehen ist es sogar noch bequemer.



  • Reg mich über alles auf schrieb:

    Passwörter in ssh zu nutzen ist schon fast sträflich. Mache ich schon seit > 15 Jahren nicht mehr. Ganz offensichtlich muss man in der heutigen Zeit einigen Leuten noch erklären dass es mit Keys nicht nur möglich, sondern auch wesentlich sicherer ist. Von der einmaligen Einrichtung abgesehen ist es sogar noch bequemer.

    Dann log dich mal von verschiedenen Rechnern ein.
    Darauf habe ich echt keine Lust, für jeden Rechner den Key auszutauschen, so dass man von jedem Rechner jeden erreichen kann.

    PW sind bei ausreichender Keylänge immer noch gut genug im Heimbereich und wer seinen Rechner gegen BruteForce Angriffe absichern muss, der kann und sollte die IPs nach dem n-ten Loginversuch sperren.



  • [quote="SeppJ"]

    computertrolls schrieb:

    SeppJ schrieb:

    TIP: disable password authentication in ssh and use public key authentication.

    Steht ja oben,

    Ich habe es nur zitiert, weil dein ganzer Rant diese Empfehlung ignoriert, bowohl es die perfekte Lösung ist und von der Software selber vorgeschlagen wird, in genau dem Text, über den du dich so künstlich aufregst. Du ignorierst es bloß.

    ändert aber nichts daran, dass kein root PW gesetzt wird.

    Nein, es geht um zwei verschiedene Dinge.

    Das eine ist ein Umweg, das andere das Problem das es überhaupt verhindert wird, dass man ein root PW setzen kann.

    Welche denn? Wenn das PW abgeschaltet ist, dann ist es dicht und das ist sowieso eine gute Empfehlung ganz allgemein, denn Key ist viel sicherer als Passwort. Fast schon gut, den Nutzer dazu zu zwingen.

    Z.B. Mehrbenutzeraccounts.
    Admin sollte nur einer sein.


  • Global Moderator

    Du machst dir Probleme wo keine sind, weil du Probleme haben möchtest. Dann hab' halt Probleme, wenn du unbedingt willst! Aber erwarte keine Hilfe.



  • Mal ne blöde Frage: können KODI Plugins nicht beliebigen Code ausführen? Falls das stimmt, und das root passwort bekannt ist, heisst das nicht dass Plugins dann auch root Zugriff auf das Gerät haben?



  • hustbaer schrieb:

    Mal ne blöde Frage: können KODI Plugins nicht beliebigen Code ausführen? Falls das stimmt, und das root passwort bekannt ist, heisst das nicht dass Plugins dann auch root Zugriff auf das Gerät haben?

    Das ist korrekt.
    Jede installierte Software kann auf dem Device machen was sie will.
    Man muss sich den root Access erst gar nicht beschaffen, der ist ja schon da, weil das PW bekannt, nicht veränderbar und somit immer gleich ist.

    Die perfekte Plattform um aus vielen Einheiten ein Botnetz zu erstellen.
    Im Prinzip geht das sogar ganz einfach durch Social Engineering.
    Man müsste nur ein attraktives Plugin anbieten, das möglichst viele haben wollen und schon würde einem das Device gehören.

    Aber auch mit einem manipulierten Video, das eine Lücke ausnutzt, könnte man Nutzerrechte erlangen und die Rootrechte kriegt man ohne Aufwand gleich gratis dazu.

    Zum Bitcoinmining ist ein Raspi zwar nicht ganz so schnell, aber wenn man viele Geräte übernimmt, dann gleicht sich das auch wieder aus.
    Ansonsten kann man mit vielen übernommenen Geräten immer noch ein großes Botnetz basteln.