![Umbrel上でThunderHubを使っていて心配だと感じ削除した話 [追記・修正あり]](https://s3-ap-northeast-1.amazonaws.com/spotlight-s3-001/article/20210720_205012_1626781810806thunderhub.png)
Umbrel上でThunderHubを使っていて心配だと感じ削除した話 [追記・修正あり]
[追記]
この記事を投稿した後にコメントをいただき、ThunderHubのパスワードを変更する方法があるとのことだったので記事の最後に追加させていただきました。bitkotaroさんありがとうございました。ThunderHubを初期パスワードのまま使用している方がいましたら是非この記事を参考にしてください。
みなさんどうもこんにちは。私は7月にDiamondHandsプロジェクトに興味を持ってUmbrel + Raspberry Pi 4でビットコインフルノードを建てたのですが、UmbrelのCommunityではどういうやりとりをしているのかと思って何気なく見ていたところ気になるスレッドを見つけました。
1. ThunderHubを削除した訳
簡単に概要を説明するとRTLでは初期パスワードから別のパスワードに変更できるのですが、ThunderHubやLightning Terminalでは初期パスワードから変更ができず、umbrel.local:[ポート番号]をブラウザに入力することでUmbrelのログイン画面を回避して直接初期パスワードを入力してThunderHubにログインできてしまうらしいです。
みなさんはご自宅のインターネットを利用されていると思うので特に問題はないかもしれませんが、私は諸事情があり、複数人と同じネットワークを一緒に使っています。
仮に友人がumbrel.local:[ポート番号]とブラウザで入力して初期パスワードでThunderHubにログインしてしまうと、完全にフルアクセスで入出金やピア接続、チャネルの開設や閉鎖ができてしまうことになります。
スレッドを読んでいただいた方はお分かりかと思いますが、現段階で一番安全な対策方法はアンインストールするとのことだったので、パスワードを変更しないとセキュリティ上問題があるので、私は昨日ThunderHubを削除しました。
Umbrelを共有のネットワークに繋いでいる、または赤の他人が使用する可能性があるネットワークに繋いでいる場合、moneyprintergobrrのパスワードさえ知っていれば誰でもLND上のビットコインにアクセスできてしまうというのは非常にセキュリティ上問題があると思います。
みなさんもUmbrelが接続されているネットワークを赤の他人に使わせると言ったことは絶対にしない方がいいと思います。
一応証拠映像ではないですが、iPad + Chromeでumbrel.localのログイン画面を無視してポート番号をアドレスバーに追加して、moneyprintergobrrのパスワードで突破できてしまう画面を録画してYouTubeに限定公開したので興味ある方は記事を購入していただけるとその動画をご覧になれます。
2. ThunderHubのパスワードを変更する方法
記事を読んでいただいた方にコメントをいただき、パスワードの変更方法が分かりましたので、追記させていただきます。
まずsshでUmbrelにログインしていただいて~/umbrel/apps/thunderhub/dataのディレクトリに移動します。
$ cd umbrel/apps/thunderhub/data
nanoエディターでthubConfig.yamlファイルを開きます。
$ nano thubConfig.yaml
初期では以下のような設定になっていると思います。
この中の最初にあるmasterPasswordのシングルクウォートの中を変更するとパスワードが変更できるそうです。例として以下のような感じに設定変更します。
最後に保存していただいて、再度ThunderHubをインストールし直すと自分で先ほど変更したパスワードでログインができるようになるようです。
3. 最後に
コメントで言及されている方もいましたが、RTLでは二段階認証設定をすることができ、パスワード以外の認証情報がないとログインできるように設定することもできるので、みなさんも正しい設定をして、変なことでBTCを失わないようにご留意ください。
最後まで記事を読んでいただきありがとうございました!再見!👋
