Разработчики проекта Raspberry Pi опубликовали (https://www.raspberrypi.org/blog/a-security-update-for-raspb.../) обновление дистрибутива Raspbian (https://www.raspberrypi.org/downloads/raspbian/). Для загрузки подготовлены две сборки - сокращённая (293 Мб (https://downloads.raspberrypi.org/raspbian_lite_latest)) для серверных систем и полная (1.4 Гб (https://downloads.raspberrypi.org/raspbian_latest)), поставляемая с пользовательским окружением PIXEL (https://www.opennet.ru/opennews/art.shtml?num=45238) (ответвление от LXDE). Обновление примечательно реализацией ряда мер для повышения безопасности.
До сих пор Raspbian поставлялся с включенным SSH и аккаунтом по умолчанию (логин pi, пароль raspberry), допускающем выполнение привелигированных операций через sudo. В случае беспечности пользователя, не сменившего пароль, при подключении устройств к глобальной сети настройки по умолчанию приводили к существенным проблемам с безопасностью и высокой вероятности захвата контроля над устройством злоумышленниками. В свете участившихся автоматизированных атак на потребительские устройства стало невозможным продолжать предлагать подобные настройки. Но и отказаться от учётной записи по умолчанию разработчики оказались не готовы, так как такой шаг существенно бы усложнил работу для начинающих, которым предоставлена возможность просто загрузить устройство и сразу начать работу с ним.
В новом выпуске Raspbian разработчики попытались найти разумный компромисс и отключили по умолчанию сервис SSH. Для тех кто не имеет возможность провести первичную настройку, подключив к устройству клавиатуру и монитор, реализована опция для быстрого и простого включения SSH. Для активации SSH достаточно открыть загрузочную SD-карту в любой операционной системе и создать в директории /boot файл "SSH". Содержимое файла не имеет значение, на этапе загрузки Raspbian проверяет наличие данного файла и если он есть активирует сервер SSH.
Отказаться от учётной записи по умолчанию разработчики не решились, но для привлечения внимания к проблеме реализовали назойливые предупреждения, выводимые при каждом входе, если пользователем не был установлен новый пароль. В случае включения SSG при запуске графического сеанса выводится специальный диалог с предложением сменить пароль, а при первом входе через консоль пользователю выводится приглашение для установки нового пароля. Кроме того, не сменив пароль по умолчанию теперь невозможно запустить графический конфигуратор.
Из других изменений (http://downloads.raspberrypi.org/raspbian/release_notes.txt) в новом выпуске Raspbian можно отметить:
- Обновлено ядро Linux и файлы прошивок;
- В сборку с графическим окружением добавлен Adobe Flash Player;
- В браузере Chrome, задействованы средств для аппаратного ускорения воспроизведения видео;
- В настройки добавлена возможность отключения графической заставки;
- Диалог с настройками разбит на вкладки и адаптирован для экранов с небольшим разрешением;
- Обновлена версия среды Scratch;
- Из настроек удалена опция Rastrack.
URL: https://www.raspberrypi.org/blog/a-security-update-for-raspb.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=45598
