Imprimante 3D

Sécurisez Octoprint

La sécurité c’est important !!!
Et bien sûr comme tout système connecté, il vous est nécessaire de mettre à jour votre Octoprint et de le sécuriser.

Pour nos amis anglophones je vous met le lien vers un article de l’ Internet Storm Center
https://isc.sans.edu/forums/diary/3D+Printers+in+The+Wild+What+Can+Go+Wrong/24044/
et pour ceux que l’anglais rebute une version française.
https://news.sophos.com/fr-fr/2018/09/07/octoprint-milliers-imprimantes-3d-non-securisees-en-ligne/

Comme vous pouvez le constater, il est important de sécuriser et de mettre à jour votre Octoprint.Voyons cela ensemble.

Sécuriser et Mettre à jour Octoprint

La mise à jour du logiciel Octoprint est une étape relativement simple et se fait depuis votre interface.

Sauvegarde de votre configuration

Avant toute mise à jour il est important de sauvegarder votre configuration, cela vous permettra de pouvoir restaurer le tout en cas de crash suite à la mise à jour.

Pour cela cliquez sur l icône paramètre (1) en haut a gauche de votre interface.puis cliquez sur sauvegarde et restauration (2)Il suffit ensuite de cliquer sur le bouton Créez une sauvegarde maintenant (1)

Votre sauvegarde est disponible pour plus de sécurité télécharger la en cliquant sur le bouton (1)


et enfin ok (1)


Voilà, comme vous voyez c est très simple.

Mettre à jour Octoprint

Maintenant nous pouvons effectuer la mise à jour, les captures d’écran sont en anglais, car j’ai fait la mise à jour avant de mettre la traduction française mais vous devriez vous y retrouver.

Toujours dans les paramètres, cliquez sur Software Upate (1) ou en français Mise à jour logiciel, si une mise à jour est disponible cliquez sur Update (2)

On vous demandera de confirmer le lancement de la mise à jour , cliquez tout simplement sur Proceed (1)

La mise à jour se lance, elle peut prendre beaucoup de temps, voici l’écran que vous verrez :

Lorsque la mise à jour est finie, on vous invitera à recharger la page, cliquez sur Reload Now (1)

Voila la mise à jour d ‘Octoprint est maintenant finie.

Mettre à jour votre le système d’exploitation de votre Raspberry

Et oui Octoprint n’est pas votre système d’exploitation, ce n’est qu’un logiciel. Le système d’exploitation se nommet Raspbian un dérivé d’une distribution linux appelé Debian.

Pour le mettre à jour nous allons devoir lancer des commandes dans un terminal via une connexion SSH.

ATTENTION : vous allez entrer dans le saint des saints de l’informatique, prenez votre temps et évoluez avec prudence.

Pour cela il vous faudra connaitre l’adresse ip de votre Octoprint et avoir le logiciel putty , vous pouvez lire le tutoriel sur l installation d’octoprint pour retrouver ces informations.

Entrez l’adresse ip de votre raspberry (1) puis cliquez sur Open (2)

Lors de la première connexion, vous aurez un avertissement de sécurité, il vous suffit de répondre Oui (1)


Par défaut le login et le mot de passe sont :
Login : pi
Mot de passe : raspberry

Vous êtes maintenant connecté en terminal à votre Raspberry

Pour lancer les commandes de mise à jour du système, nous allons passer en super-utilisateur.
Tapez la commande ci-dessous :

 sudo su - 

tapez ensuite de nouveau le mot de passe : raspberry
Nous allons lancer deux commandes :

 

 apt update 

cette commande permet de mettre à jour le référentiel des librairies pour faire simple.

 apt upgrade

Pour validez il vous suffit d’appuyer sur la touche y de votre clavier

La mise à jour se lance, si un écran de ce type s’affiche , appuyer juste sur la touche q de votre clavier :

La mise à jour va se dérouler maintenant toute seule, cela peut prendre du temps, ne fermez pas putty.

Lorsque la mise à jour est finie vous pouvez fermer Putty.

Sécurisez votre Raspberry

Nous allons maintenant faire du paramétrage sur votre Raspberry afin de le rendre plus sûr.

Protéger vos connexions SSH.

Lorsque l’on scan votre Raspberry , on peut découvrir les façons de se connecter dessus. Nous allons pour brouiller les pistes faire quelques modifications.
Ce qu’il faut savoir c’est que les principales attaques sont faites par des robots. En modifiant le port de connexion et la réponse par défaut nous allons déjà réduire les risques.

Voila ce que l’on voit lors d’un scan pré-attaque :

On voit que nous avons affaire à un raspbian sur le port SSH classique le 22.

Connectez vous au terminal de votre Raspberry comme précédemment pour les mises à jour et tapez la ligne ci dessous :

 echo "Debianbanner no" >> /etc/ssh/sshd_config && /etc/init.d/ssh restart

Et voilà le résultat :

Comme vous pouvez le constater on ne sait plus que l’on a affaire à un Raspberry.
Maintenant lancez cette commande pour changer le port de connexion SSH et ainsi bloquer les attaques faites par des robots qui tentent bétement de se connecter au port 22.

 sed -i "s/#Port 22/Port 2222/" /etc/ssh/sshd_config && /etc/init.d/ssh restart

On vient de passer d’une connexion sur le port 22 au port 2222.

Cela veut dire que maintenant, pour vous connecter avec Putty, vous devrez stipuler le port 2222.

Modifier le mot de passe de connexion SSH

Lorsque vous installez une distribution pour votre Raspberry, tout le monde dispose du même couple login et mot de passe. Ce qui est bien sur une grave faute de sécurité.

Connectez vous via putty à votre Raspberry et passez en mode super utilisateur :

sudo su -

tapez le mot de passe par défaut encore pour le moment : raspberry
puis nous allons changer le mot de passe de l’utilisateur pi

passwd pi

Entrez le mot de passe, validez et retapez le mot de passe.

Voilà vous venez de modifier le mot de passe de connexion à votre Raspberry.
Bien sur nous pourrions allez encore plus loin en faisant par exemple ce genre de chose :

  • Installer un fail2ban afin de bannir les adresses ip tentant de se connecter après de trop nombreuses connexions erronées
  • Désactiver l’utilisateur pi et en créer un nouveau, rendant l’attaque par bruteforce encore plus difficile
  • Permettre la connexion SSH uniquement avec une clé SSH.
  • Mettre en place une double authentification.

Mais vous n’êtes pas une grande société et n’utilisez surement pas votre imprimante 3D pour des recherches ultra confidentielle.  On peut donc se dire qu’avec ce que nous avons déjà mis en place, votre Raspberry est bien protégé.

Conclusion

Autant la mise à jour du logiciel Octoprint se fait facilement via l’interface et tout le monde y pense facilement grâce aux alertes visibles dès que vous vous connectez. Mais les mises à jour systèmes sont bien souvent oubliées et pourtant bien utiles. Pensez y de temps en temps, votre Raspberry vous remerciera.

1 commentaire
  • Pat
    Répondre

    Merci. Clair, net et rapide à mettre en place

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *