Hardening Raspberian OS

vrijdag 4 april 2025 13:09

Acties:

0 Henk 'm!

Topicstarter

Redelijk nieuw in de wereld van Linux & RPi.. Ik wil een Pi5 met Raspberian OS gaan hardenen voor 1 enkele normale gebruiker. Deze gebruiker heeft eigenlijk alleen maar toegang nodig tot de (standaard) browser en moet het systeem kunnen rebooten in het geval van nood.

Hebben er mensen tips om de volgende zaken te kunnen realiseren?

- Uitschakelen BT en WiFi
- Gebruiker toegang ontzeggen tot het aanpassen van de Ethernet port
- Gebruiker toegang ontzeggen tot de CLI en/of deze zwaar beperken in functionaliteit
- Menustructuur/Desktop vergrendelen zodat geen aanpassingen gemaakt kunnen worden

"sudo adduser gast" heeft er weliswaar voor gezorgd dat ik een nieuwe gebruiker heb kunnen aanmaken zonder sudo rechten, maar dat is natuurlijk verre van afdoende

Ik ben benieuwd naar jullie tips en ervaringen! Dank!

vrijdag 4 april 2025 13:21

Acties:

0 Henk 'm!

silverball

De wagen voor moderne mensen

kwibus schreef op vrijdag 4 april 2025 @ 13:09:

Hebben er mensen tips om de volgende zaken te kunnen realiseren?

- Uitschakelen BT en WiFi
- Gebruiker toegang ontzeggen tot het aanpassen van de Ethernet port
- Gebruiker toegang ontzeggen tot de CLI en/of deze zwaar beperken in functionaliteit
- Menustructuur/Desktop vergrendelen zodat geen aanpassingen gemaakt kunnen worden

Ja, de Raspberry PI OS documentatie even doorspieken

Volgens mij kan je networkmanager verbieden door iemand niet toe te voegen aan de `netdev` groep, de terminal onbruikbaar maken heeft niet zo veel zin; je kan daar niet meer mee dan met andere tooltjes in principe.

Je zou ook in

code:

1	/etc/xdg/lxsession/LXDE-pi/autostart

code:

@xset s off
@xset -dpms
@xset s noblank
@chromium-browser http://google.com/  mode

Chromium gewoon fullscreen kunnen starten.

3640 Wp ZO pvoutput | FOSS | Gasloos sinds dec. 2024 | Vaillant AroTHERM 55/6

vrijdag 4 april 2025 13:36

Acties:

+1 Henk 'm!

kwibus

Topicstarter

Als automatiseerder prefereer ik luiheid boven documentatie doornemen

Ik heb natuurlijk al wat zitten grasduinen maar kwam niet direct iets bruikbaars tegen. Maar dank voor je input, ik ga dat zeker uitproberen!

vrijdag 4 april 2025 19:26

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Standaard zou iedereen die grafisch in kan/mag loggen, ook het systeem uitschakelen. Echter heb ik in het verleden gehad dat er bij shutdown/reboot om een wachtwoord werd gevraagd door m'n DE. Afmelden was geen probleem en dan op het inlogscherm was het probleemloos uitschakelen en herstarten. Dit kwam omdat ik Polkit (Policykit) nog miste. En dat is wat je zou kunnen gebruiken om zaken die verhoogde rechten nodig zouden kunnen hebben beperken. Ga maar na, via de CLI een 'systemctl reboot' of 'systemctl shutdown' uitvoeren gaat ook vragen voor een wachtwoord. En gek genoeg is ctrl+alt+del altijd mogelijk.

Maar als je zaken dus wilt beperken voor een gebruiker, zorg dan dat dit een andere gebruiker is dan het account dat je gebruikt voor beheer. Root inschakelen of een wachtwoord geven en de enige niet-root gebruiker dan maar helemaal afknijpen is een slecht idee.

Wat je eigenlijk wilt, is een kiosk. Een gebruiker logt dan (eventueel) automatisch in en krijgt een browser voor z'n snufferd. Deze sluiten beëindigd de sessie en stuurt je terug naar het inlogscherm. Die dan na een timeout weer inlogt, zodat als een herstart nodig is, je dit daar kan doen. Anders is er nog wisselen naar een TTY via ctrl+alt+F2-6 en dan ctrl+alt+del indrukken of gewoon kort de power knop indrukken voor uitschakelen.

Commandline FTW | Tweakt met mate

zaterdag 5 april 2025 08:32

Acties:

+1 Henk 'm!

arvidbeheerder

Ik denk dat zoeken op "raspberian is kiosk mode" je gaat helpen. Er staan veel tutorials online hoe je dit in kan richten.

maandag 14 april 2025 13:26

Acties:

0 Henk 'm!

kwibus

Topicstarter

Allen bedankt voor de input! Er is al één en ander gelukt, tot nu toe tevreden met de resultaten.

Vraag

Alle reacties