Разработчики проекта Raspberry Pi опубликовали (https://www.raspberrypi.org/blog/a-security-update-for-raspb.../) обновление дистрибутива Raspbian (https://www.raspberrypi.org/downloads/raspbian/). Для загрузки подготовлены две сборки - сокращённая (293 Мб (https://downloads.raspberrypi.org/raspbian_lite_latest)) для серверных систем и полная (1.4 Гб (https://downloads.raspberrypi.org/raspbian_latest)), поставляемая с пользовательским окружением PIXEL (https://www.opennet.ru/opennews/art.shtml?num=45238) (ответвление от LXDE). Обновление примечательно реализацией ряда мер для повышения безопасности.
До сих пор Raspbian поставлялся с включенным SSH и аккаунтом по умолчанию (логин pi, пароль raspberry), допускающем выполнение привелигированных операций через sudo. В случае беспечности пользователя, не сменившего пароль, при подключении устройств к глобальной сети настройки по умолчанию приводили к существенным проблемам с безопасностью и высокой вероятности захвата контроля над устройством злоумышленниками. В свете участившихся автоматизированных атак на потребительские устройства стало невозможным продолжать предлагать подобные настройки. Но и отказаться от учётной записи по умолчанию разработчики оказались не готовы, так как такой шаг существенно бы усложнил работу для начинающих, которым предоставлена возможность просто загрузить устройство и сразу начать работу с ним.В новом выпуске Raspbian разработчики попытались найти разумный компромисс и отключили по умолчанию сервис SSH. Для тех кто не имеет возможность провести первичную настройку, подключив к устройству клавиатуру и монитор, реализована опция для быстрого и простого включения SSH. Для активации SSH достаточно открыть загрузочную SD-карту в любой операционной системе и создать в директории /boot файл "SSH". Содержимое файла не имеет значение, на этапе загрузки Raspbian проверяет наличие данного файла и если он есть активирует сервер SSH.
Отказаться от учётной записи по умолчанию разработчики не решились, но для привлечения внимания к проблеме реализовали назойливые предупреждения, выводимые при каждом входе, если пользователем не был установлен новый пароль. В случае включения SSG при запуске графического сеанса выводится специальный диалог с предложением сменить пароль, а при первом входе через консоль пользователю выводится приглашение для установки нового пароля. Кроме того, не сменив пароль по умолчанию теперь невозможно запустить графический конфигуратор.
Из других изменений (http://downloads.raspberrypi.org/raspbian/release_notes.txt) в новом выпуске Raspbian можно отметить:
- Обновлено ядро Linux и файлы прошивок;
- В сборку с графическим окружением добавлен Adobe Flash Player;
- В браузере Chrome, задействованы средств для аппаратного ускорения воспроизведения видео;
- В настройки добавлена возможность отключения графической заставки;
- Диалог с настройками разбит на вкладки и адаптирован для экранов с небольшим разрешением;
- Обновлена версия среды Scratch;
- Из настроек удалена опция Rastrack.URL: https://www.raspberrypi.org/blog/a-security-update-for-raspb.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45598
>В случае беспечности пользователя, не сменившего пароль, при подключении устройств к глобальной сети настройки по умолчанию
>отключили по умолчанию сервис SSHНу вот опять, борются не с причиной, а со следствием. ССЗБ сами заслижили, что их устройства "выставленные голой жопой в интернет" ломанули по дефолтному логину/паролю.
>>В случае беспечности пользователя, не сменившего пароль, при подключении устройств к глобальной сети настройки по умолчанию
>>отключили по умолчанию сервис SSH
> Ну вот опять, борются не с причиной, а со следствием. ССЗБ сами
> заслижили, что их устройства "выставленные голой жопой в интернет" ломанули по
> дефолтному логину/паролю.вы не правы, а у парней теперь правильный подход
А всего-то надо было не пустой файл SSH в корень попросить кидать, а с ssh-ключом.
> заслижили, что их устройства "выставленные голой жопой в интернет" ломанули по
> дефолтному логину/паролю.А те кому терабитные ддосы с этого летят чем это заслужили? В общем поставлять девайс с стандартным логином/паролем если девайс могут выставить в WAN - безответственно со стороны разработчика. И создание подляны юзерям.
Пример: в openwrt если ты вообще захочешь что-то в WAN высунуть - ты таки сначала пойдешь и сменишь пароль. Иначе там нет ни ssh ни телнета и работает только LAN вообще.
Плавное превращение в винду
Знаешь, интерфейс Pixel ест меньше ста Мб ОЗУ. И это несмотря на systemd. Так что ты не прав.
смог поставить на малинку 25 федорку и очень доволен.
Расбипан постоянно ввергал меня в депенденси хелл.
так там ни звука нет по хдми, ни вай фай
Зато шляпа!
> Зато шляпа!Так потому и шляпа...
Мне это под мои задачи оказалось не нужно. Я даже и не знал что это не работает.
Заливал образ server.
1. ...c изменениями, направленными на усиление безопасности
2. ...добавлен Adobe Flash Player;
3 !!! :-)
> 2. ...добавлен Adobe Flash Player;КАГ??? Неужели одобэ соизволила?
Похоже что соизволила для ChromeOS. А разработчики Raspbian взяли оттуда
Опередил.
В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видео;
Openmax что ли? То есть теперь можно YouTube в 720 p смотреть без тормозов?
> В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видео;
> Openmax что ли? То есть теперь можно YouTube в 720 p смотреть
> без тормозов?Да, но может возникнуть проблема с флешками Class 4. Лаги раз в 20 секунд. С Class 10 такой проблемы нет. Наверное кэшируется.
А зачем ютуб на диск писать?
Возможно что система тормозит сама по себе. Просто пока не смотришь видео, это не заметно. У меня просто RPi как роутер, поэтому я не стал ставить Class 10
> Openmax что ли?MMAL
>В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видеоогиринал
>Updates to hardware video acceleration in Chromium browserНе, следят конечно оба, это да.
>>В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видео
> огиринал
>>Updates to hardware video acceleration in Chromium browser
> Не, следят конечно оба, это да.Просто про само добавление такой поддержки новости ещё не было. Кстати, выкрутите количество видеопамяти с 64 до 192, если хотите чтобы ускорялось.
Где можно заказать себе Малину по дешевле?
https://ru.aliexpress.com/item/2016-NEW-Original-Raspberry-P...
на али можно и апельсинку и тот же распбиан поставить
обязательно оригинальную малинку ?
Для дексктопа обязательно. И куча проектов есть, которые только PPi поддерживают.Kodi: OpenElec, OSMC, XBean. Moonlight. RetroPie. OpenJDK: OpenJFX Project ...
> Где можно заказать себе Малину по дешевле?В магазине Электронщик на 1000 рублей дешевле, чем в DNS-е. В Новосибирске этот магазин есть. Я заказал оттуда с доставкой в Кемерово
Про Flash Player можно отдельную новость. А поддерживает OpenMAX? А OpenGL ES? Супер просто. На один шаг в сторону полноценного компа стало больше! Не хватает только скайпа. Вот бы ещё я своей RPi ещё бы пользовался как десктопом :-)Вопрос знатокам - как сделать переключение раскладок? Я сделал костыль: sh-файл на рабочий стол с setxkbmap. А значок в трее - xneur.
Скупой же вроде в вебе нормально работает. Я проверял только аудио и текст.
>как сделать переключение раскладоккрутим raspi-config
Гхм, а почему бы в этот файл /boot/SSH сразу не класть login=password например?