[Super Mario]

@ Enrico Sartori
Caro Enrico, ciao ti scrivo per chiederti se i consigli di questo articolo https://www.raspberryitaly.com/proteggi-...li-hacker/
sono ancora validi o se ci sono degli aggiornamenti da considerare o un articolo più recente.Grazie mille Buon anno a tutta la comunita

[Super Mario]

Carissimi buonasera,
mi sono cimentato nel seguire i passi dell'articolo come proteggere il Raspberry dagli hacker, ho cambiato l'utente PI fino ad arrivare al comando di impostazione della password di root "sudo passwd root" ho riavviato il Raspi mi sono collegato al mio raspberry via ssh pero al momento di inserire la password, che ho provveduto precedentemente a cambiare, non me la riconosce ed in sostanza non mi fa piu collegare al Raspberry, posso fare qualcosa per entrare nuovamente nel raspberry? Non ho capito una cosa la password impostata alla fine di questi step
Entriamo nell’interfaccia di configurazione di Raspbian
raspi-config
1

raspi-config

selezioniamo hostname e cambiamo il nome con quello che preferiamo, non serve che sia complicato, solo diverso.
Successivamente entriamo in Boot Option, Desktop / Cli e selezioniamo una voce senza l’autologin.
Finiamo eliminando l’utente pi e creandone uno nuovo, che sia compreso nel gruppo sudo
useradd -m enrico -G sudo
1

useradd -m enrico -G sudo

successivamente assegnamogli una password complessa
passwd enrico
deve essere diversa dalla password di root? Hanno una funzione diversa? per cui sono due password diverse? ma
la password di root ,cambiata con il comando sudo passwd root, deve essere diversa dalla password che mi viene chiesta in occasione del collegamento via SSH al Raspberry?



Grazie mille
Buona serata

[ippogrifo]

Normalmente la password di root e di un qualsiasi utente, compreso quello di default "pi" dovrebbero essere differenti. Personalmente per semplificazione, anche se non corretto, utilizzo per il nome utente e root la stessa password; ma non ho dispositivi aperti all'esterno, e quando ci sono stati ho utilizzato ufw + fail2ban+ .....
La procedura avrebbe dovuto farti creare un nuovo utente a cui assegnare una specifica password. Solo dopo avresti dovuto cancellare l'utente pi. Per quanto riguarda la password per root, serviva per evitare che con il comando "sudo su" da riga di comando, qualcuno potesse diventare l'utente root facilmente ed assumere il completo controllo del Pi. Se la procedura di assegnazione delle nuove password non è stata completata o vi sono errori, sarà difficile effettuare il login.
Vi è una possibilità, da verificare, se ricordi correttamente la password di root. Ti servirà un altro Pi, o quantomeno un'altra SD con installato il SO (anche un PC con un SW che legge ext4 tipo Linux file system for windows). Con il Pi avviato (con la nuova SD), inserisci tramite un adattatore USB, la SD non raggiungibile. Monta, da riga di comando la SD (sicuramente sda1 se non altre memorie) su una cartella, es. "mnt"; sempre da terminale: "sudo su", dovresti acquisire i privilegi di root. Dopo "nano /etc/ssh/sshd.config"; l'editor aprirà il file sshd. Individua la sezione "# Authentication:", decommenta la riga "PermitRootLogin ......." e modificala in "PermitRootLogin yes". Salva la modifica (ctrl o, dopo ctrl x per uscire). Scollega la SD e rimontala sul Pi. Accendi il Pi. Alla richiesta del login inserisci utente root e successiva password quella che hai impostato inizialmente per root. Se la password è corretta entrerai come root, con la possibilità di operare tutte le correzioni del caso.

[Zzed]

quando ti connetti in SSH, probabilmente ti connetti come "pi" non come "root".
devi inserire la password di "pi"
pi e root sono due utenti differenti

[Super Mario]

Cari Ippogrifo e Zzed innanzitutto vi ringrazio per la vostra disponibilità in buona sostanza come dice ippografo seguendo l'articolo di Enrico se non ho capito male avrei dovuto ottenere solo un nuovo account ( il nuovo account che ho creato è tommyx) e avrei dovuto cancellare il vecchio account PI. Non so dirvi dove ho sbagliato ma in buona sostanza adesso mi ritrovo due account PI al quale riesco ad accedere e tommyx ( il nuovo account che ho creato al quale n on riesco ad accedere. Per accedere al Raspberry uso MobaXterm in quanto mi permette di esploare i file nella colonna di sinistra come se usassi Esplora File di Windows e dai due screenshot si puo notare che prima  delle modifiche accedendo all'utente PI nella colonna di sinistra( elenco delle cartelle) c'erano  cartelle e software che ho installato che adesso non trovo piu accedendo all'utente PI dopo le modifiche dell'articolo   

Questo lo screenshot prima "dell'articolo"




Questo lo screenshot dopo aver tentato di apportare le modifiche dell'articolo




Vi ringrazio per l'aiuto che potete darmi per aiutarmi a capire dove ho sbagliato e se si puo rimediare agli errori che ho fatto ahime non ho molta dimestichezza con i comandi da shell di Linux.

Poi come dicevo, con l'intento di aggiornare l'account PI (in quanto PI è un account standard che va modificato perchè essendo conosciuto da tutti  potrebbe comportare qualche problema di sicurezza), ho creato l'account tommyx, ma ahimè quando tento di collegarmi al Raspberry con l'account tommyx, non mi fa collegare al Raspberry questo lo screenshot

Considerando che riesco a collegarmi al Raspberry con l'utente PI, potrei accedere all'utente PI e cercare di cancellare l'utente tommyx con la relativa password per rifare di nuovo tutta la procedura  in modo corretto?
                                                                                                                                                                                                                                                                                                                                                                                                                                                               
Grazie mille per il vostro aiuto
Auguri di una Santa Epifania del Signore
Grazie
Notte
S.M.

[ippogrifo]

Si, puoi accedere come pi e cancellare l'utente tommyx. A questo punto prima di cancellare, però, converrebbe creare un nuovo utente e relativa password. Eseguire un reboot e fare il login come nuovo utente (precedentemente creato). Solo dopo cancellare l'utente tommyx e pi (hai la garanzia di poter accedere al Pi).
Prima della cancellazione dell'utente Pi, per vedere se il nuovo utente creato ha le stesse caratteristiche di pi, dal terminale dai il comando " id pi", successivamente "id nuovo_utente". Verranno mostrate la appartenenze dell'utente ai vari gruppi, tra cui "sudo".
Nella procedura al comando "sudo passwd root", dovrai inserire la password per l'utente root (differente dall'utente pi/nuovo_utente) che andrà riconfermata.

[Super Mario]

Si, puoi accedere come pi e cancellare l'utente tommyx. A questo punto prima di cancellare, però, converrebbe creare un nuovo utente e relativa password. Eseguire un reboot e fare il login come nuovo utente (precedentemente creato). Solo dopo cancellare l'utente tommyx e pi (hai la garanzia di poter accedere al Pi).
Prima della cancellazione dell'utente Pi, per vedere se il nuovo utente creato ha le stesse caratteristiche di pi, dal terminale dai il comando " id pi", successivamente "id nuovo_utente". Verranno mostrate la appartenenze dell'utente ai vari gruppi, tra cui "sudo".
Nella procedura al comando "sudo passwd root", dovrai inserire la password per l'utente root (differente dall'utente pi/nuovo_utente) che andrà riconfermata.

Grazie Ippogrifo per la tua disponibilita

Devo dare il comando

Codice:

id pi

e successivamente

Codice:

id_nuovo utente

quando dici

“per vedere se il nuovo utente creato ha le stesse caratteristiche di pi”

significa che con questi comandi che mi hai indicato dovrei verificare,prima di cancellare l’utente PI, che il nuovo utente creato abbia le stesse cartelle dell’utente PI con tutto il software che ho installato sul Raspberry precedentemente come mostrato nella colonna di sinistra di questo screenshot?


E cioè che vi siano queste cartelle e questi file?
Videos
Templates
Public
Pictures
ovpns
noip
Music
Download
Documents
Desktop
Bookshelf
.npm
.node-gyp
.local
.gnupg
.config
.cache
ports.sh
libwebsockets3_1.2.2-1_armh
libssl 1.0
.xsession-errors.old
.xsession-errors
.Xauthority
.wget-hsts


Che significa quando dici

“Verranno mostrate la appartenenze dell'utente ai vari gruppi, tra cui "sudo".

Scusa la mia newbaggine e che non sono pratico del mondo Linux ma sto imparando Grazie mille


Per cui la prima cosa da fare è creare un nuovo utente e relativa password
nella guida di Enrico  [/url]https://www.raspberryitaly.com/proteggi-...li-hacker/
[url= https://www.raspberryitaly.com/proteggi-...li-hacker/][/url]devo seguire, per creare un nuovo utente, dal punto dove c’e scritto

creandone uno nuovo, che sia compreso nel gruppo sudo

cioè devo creare un utente che sia compreso nel gruppo sudo? ( significa che il nuovo utente da creare deve essere un utente amministratore che abbia i massimi privilegi?)


per cui devo dare questo comando?

Codice:

useradd -m nome_utente -G sudo

cioè supponiamo che il nome dell'utente nuovo da creare   sia Pluto
il comando sarà:

Codice:

useradd -m Pluto -G sudo

e poi

Codice:

passwd Pluto

(per impostare una nuova Password) Esatto?


Dopo aver creato il nuovo utente cioè Pluto aver fatto il reboot ed essermi loggato al Raspberry via SSH con il nuovo utente( Pluto) prima di cancellare l’utente tommyx e PI devo verificare con i comandi

Codice:

id pi

e successivamente

Codice:

id_nuovo utente

che il nuovo utente creato abbia le stesse caratteristiche di pi e successivamente procedere alla cancellazione dell’utente PI e tommyx Esatto?
I comandi per cancellare l’utente PI e tommyx sono questi riportati nella guida di Enrico https://www.raspberryitaly.com/proteggi-il-raspberry-pi-dagli-hacker/
[url=https://www.raspberryitaly.com/proteggi-...li-hacker/] al punto in cui si dice:

Ed ora eliminiamo la falla più grossa, l’utente e password di default con il prossimo comando, ma attenzione valutate se cancellarne anche la home col parametro -remove-home

Caro Ippogrifo si dice di prestare atttenzione a questo aspetto

“ attenzione valutate se cancellarne anche la home col parametro -remove-home”

cosa che io non so valutare in quanto non so che effetti ha questo parametro remove-home in buona sostanza a cosa dovrei prestare attenzione?

Per cui per rimuovere l’utente PI e tommyx qual’è il comando da lanciare?

Per rimuovere l’utente PI devo lanciare

Codice:

deluser -remove-home pi

o

Codice:

deluser pi

( senza il parametro -remove-home) e qual’è la conseguenza dell’una o dell’altra scelta? Cosa che non so valutare, ahimè
successivamente devo fare gli stessi passaggi per rimuovere l’utente tommyx Esatto?( cioè il ragionamento fatto per l’utente PI lo posso applicare anche all’utente tommyx Esatto?)


come ultimo step quando dici

Nella procedura al comando "sudo passwd root", dovrai inserire la password per l'utente root (differente dall'utente pi/nuovo_utente) che andrà riconfermata.

Devo lanciare il comando

Codice:

sudo passwd root

e inserire una nuova password che sarà diversa dalla password dell’utente PI, che comunque avrò gia cancellato, e diversa dalla password del nuovo utente con cui mi sarò loggato dopo il reboot, nell’esempio Pluto,) e cosi?


Nella guida di Enrico viene citato anche questo comando

Codice:

mv /etc/sudoers.d/010_pi-nopasswd /tmp

e questa è la spiegazione:

Attualmente se scrivete sudo [comando] non vi viene richiesta la password di root, ed è un male, dal punto di vista della sicurezza. Noi vogliamo che ci venga richiesta spostiamo o cancelliamo il file

questo comando, che se non capito male serve per evitare che qualcuno o anche software malevoli, possano portare modifiche al file system, lo posso lanciare alla fine quando ho fatto tutti gli altri step? ( cancellazione dell’utente PI/tommyx, creazione del nuovo utente( Pluto), creazione della password dell’utente root)?


Sempre alla fine di tutti questi step ( cancellazione dell’utente PI/tommyx, creazione del nuovo utente( Pluto), creazione della password dell’utente root) entro nella configurazione del Raspberry
con il comando

Codice:

raspi-config

per eseguire questo punto della guida di Enrico:

selezioniamo hostname e cambiamo il nome con quello che preferiamo, non serve che sia complicato, solo diverso.

Successivamente entriamo in Boot Option, Desktop / Cli e selezioniamo una voce senza l’autologin

Cli sta per?
Cioè in buona sostanza uso il Raspberry come server VPN, per cui senza interfaccia grafica ( GUI),
questa opzione a cosa serve? Per cui quale voce dovrei spuntare?
Immagino questa voce si trovi nelle impostazioni di sistema del Raspberry?

Grazie mille per la tua pazienza con me
Auguro a te e alla tua famiglia e a tutto lo staff auguri di buona Epifania del Signore

[ippogrifo]

Il comando "id pi" non fa altro che mostrare l'appartenenza dell'utente pi ai diversi gruppi, tra cui, importantissimo, "sudo"; non ha nulla a che vedere con cartelle e/o sottocartelle. Quando crei un nuovo utente, con lo stesso comando potrai verificare a quali gruppi è stato associato. Comparando potrai vedere che rispetto a pi sono molti di meno.
In sintesi ( se nuovo_utenete = pluto):
1) Crea il nuovo utente con appartenza al gruppo "sudo" ("useradd -m pluto - G sudo");
2) Crea password per nuovo_utente ("sudo password pluto"; ti verraà richiesto dal SO di ripeterla);
3) Reboot; alla richiesta di login inserisci "pluto" e relativa password;
4) Verifica che con pluto (nuovo utente) tu possa operare come se fossi pi;
5) Qualora volessi far appartenere il nuovo utente (pluto) agli stessi gruppi di pi, il comando da utilizzare è "useradd -m pluto - G gruppo_da_aggiungere", gruppo individuato dalla comparazione dei comandi "id pi" e "id pluto";
6) Al fine di evitare che qualcuno dall'esterno riesca ad entrare e che con il comando "sudo su" diventi root, è opportuno che venga richiesta la password di root:
- a) creare la password di root che dovrà essere differente da pluto come nuovo utente (sudo passd root, inserirla e a richiesta confermarla)
- b) far si che il SO richieda sempre la passwordo di root quando un qualsisi utente desideri le credenziali di root (sudo su, ..), quindi il comando "mv /etc/sudoers.d/010_pi-nopasswd /tmp" sposterà il file "010_pi-nopasswd" nella cartella "/tmp"; questo farà si che il SO chiederà la password ogni volta che si debba operare come root;
7) Reboot e verificare che tutto funzioni regolarmente.
8 ) Cancellare l'utente pi, e nel caso anche la sottocartella associata in "/home" (/home/pi"); avendo operato come utente pi, è molto probabile che la sottocartella pi in home abbia parecchi files che si desidera conservare, Se dopo attento controllo che nella sotto cartella pi non vi sia nulla di interesse e/o da salvare il comando da impartire è: "sudo deluser -remove-home pi". In caso contrario il comando sarà: "sudo deluser pi". La sottocartella pi potrà essere eliminata successivamente a "mano". Quando verrà creato il nuovo utente (es.: pluto), il SO creerà automaticamente nella cartella home la sottocartella pluto.
La necessità di evitare che il SO cerchi di fare il boot automaticamente (come utente pi) all' accensione, sia come desktop che come CLI (ovvero da riga di comando) fa si che questa opzione venga disabilitata in entrambe le configurazioni.
Sperando di aver chiarito i tuoi dubbi, contaccambio gli auguri.

[Enrico Sartori]

Ciao, sarò sintetico perché non ho un PC sotto mano.
Se i tuoi file sono nella home dell'utente Pi, cancellandolo li perderai.
La home(casa) è un posto privato per ogni utente.
Salvali prima altrove.

Per la password, tramite l'utente Pi esegui
sudo pwd tommyx

[Super Mario]

Grazie assai Ippogrifo per i tuoi chiarimenti
Notte

---

Grazie mille Enrico per le dritte
Notte

---

@ Ippogrifo
Caro Ippogrifo ti volevo dire che poi non c' e stato piu bisogno di creare un nuovo utente( Pluto) in quanto sono entrato come utente PI e da qui ho impostato una nuova password per l'utente tommyx e adesso mi posso loggare come utente tommyx.
Ho provveduto a lanciare il comando id nome_utente, come mi hai consigliato, prima per l'account pi e poi per l'account tommyx come si puo evincere dai due screenshot
Screenshot che mostra i gruppi dell'utente PI



Screenshot che mostra i gruppi dell'utente tommyx


e come dicevi tu l'accont PI appartiene a molti piu gruppi, potrei chiederti a cosa serve che l'account PI sia iscritto a tutti questi gruppi? Inoltre come potrai notare dallo screeshot dell'utente PI io erroneamente ho gia cancellato la sottocartella PI di home ( spero di non aver cancellato file vitali alla funzionalità del mio server VPN e al Bridge/Gateway ZigBee2MQTT) a questo punto potrei cancellare l'utente PI con il comando sudo deluser pi ( ma per cancellare l'utente pi mi devo loggare dal nuovo utente creato cioè tommyx?) o prima di cancellare PI devo far appartenere il nuovo utente (tommyx) agli stessi gruppi di pi? Questo fatto non lo so valutare in quanto non capisco a cosa potrebbe servirmi che anche il nuvo utente(tommyx) appartenga agli stessi gruppi di PI?

Questo 4 ) punto che significa?

Verifica che con pluto (nuovo utente) tu possa operare come se fossi pi;

Adesso accedo a  tommyx, per cui non creerò piu l'utente Pluto, ma ad ogni modo non ho capito che tipo di verifica dovrei fare con l'account tommyx?
Grazie moltissimo per la tua disponibilità
Ti auguro una buona notte