Instalace a konfigurace Raspberry Pi pro hacking: průvodce 2026
Instalace a konfigurace Raspberry Pi pro hacking je proces, který na první pohled vypadá jednoduše, ale dokáže překvapit i zkušené uživatele. Měnící se verze nástrojů, nová nastavení SSH, problémy s VNC a otázky ohledně správného modelu desky jsou každodenní výzvy pro každého, kdo chce postavit mobilní laboratoř pro penetrační testování. Tento průvodce tě provede celým procesem krok za krokem, od výběru hardwaru po pokročilou konfiguraci sítě, se zohledněním změn zavedených v roce 2026.
Obsah
Nejdůležitější informace
| Bod | Podrobnosti |
|---|---|
| Výběr modelu Pi | Raspberry Pi 5 s 8 GB RAM je doporučená volba pro práci s Metasploitem a dalšími náročnými nástroji. Pi 4 se 4 GB RAM je přijatelné minimum pro lehčí úlohy. |
| Konfigurace SSH | SSH zapni v Raspberry Pi Imageru v pokročilém nastavení (ikona ozubeného kola nebo Ctrl+Shift+X) před zápisem obrazu - vytvoří to soubor firstrun.sh na boot oddílu. |
| Režim VNC | Raspberry Pi OS obsahuje server WayVNC běžící na Waylandu (použij klienta jako TigerVNC). Na X11 přepínej jen tehdy, když potřebuješ RealVNC nebo starší nástroje. |
| Oddělení rozhraní | Samostatné wlan0 pro správu a wlan1 pro ofenzivní práci zabraňuje ztrátě SSH spojení. |
| Záloha laboratoře | Pravidelné kopie SD karty pomocí rsync nebo rpi-clone chrání tvou konfiguraci před ztrátou dat. |
Příprava hardwaru pro instalaci a konfiguraci Raspberry Pi pro hacking
Než spustíš svůj první Nmap sken, musíš mít správný hardware. Výběr modelu má zde klíčový význam.
Raspberry Pi 5 s 8 GB RAM je současný standard pro práci s nástroji jako Metasploit, Burp Suite nebo Aircrack-ng. Starší modely (Pi 3, Pi Zero) prostě nemají dostatek prostředků pro paralelní spouštění složitých sad nástrojů. Pi 4 se 4 GB RAM je přijatelný kompromis, pokud neplánuješ intenzivní práci s exploitation frameworky.
Seznam nezbytných komponent
-
Raspberry Pi 5 (8 GB RAM) nebo Pi 4 (4 GB RAM minimum)
-
microSD karta 32 GB nebo více (třída A2, např. SanDisk Extreme)
-
Oficiální napájecí zdroj Raspberry Pi (27W USB-C pro Pi 5, 15W pro Pi 4)
-
USB Wi-Fi adaptér s podporou monitor módu a packet injection - např. Alfa AWUS036ACH-C (čipset Realtek RTL8812AU, konektor USB-C). Na moderním Kali Linuxu funguje bez instalace ovladače.
-
Volitelně: pouzdro s aktivním chlazením pro dlouhé operace
-
Počítač s Raspberry Pi Imagerem pro přípravu SD karty
Stáhni Raspberry Pi Imager z oficiální stránky. Jako systémový obraz zvol Kali Linux for Raspberry Pi (dostupný na stránce kali.org) nebo Raspberry Pi OS s pozdější instalací hackerských nástrojů. Kali Linux je rychlejší start, Raspberry Pi OS dává více kontroly nad tím, co instaluješ.
Tip od profíka: V Raspberry Pi Imageru rozhodně nakonfiguruj pokročilé nastavení před zápisem obrazu. Nastav hostname, uživatelské jméno, heslo, Wi-Fi síť a časové pásmo. Ušetříš 20 minut konfigurace po prvním startu.
V Imageru klikni na ikonu ozubeného kola nebo použij zkratku Ctrl+Shift+X pro otevření nastavení. Tam aktivuješ SSH, zadáš údaje Wi-Fi sítě a nastavíš vlastního uživatele místo výchozího „pi“. To je základ bezpečné headless konfigurace, tedy bez monitoru a klávesnice.
Krok za krokem: instalace systému na Raspberry Pi
Proces je opakovatelný a zabere celkem asi 15 minut. Zápis obrazu na SD kartu trvá 5 až 10 minut, poté systém při prvním startu spustí průvodce konfigurací.
Pořadí kroků po instalaci
-
Zapiš obraz zvoleného systému na microSD kartu pomocí Raspberry Pi Imageru s vyplněným pokročilým nastavením.
-
Vlož kartu do Pi a připoj napájení. Při headless konfiguraci připoj Pi k síti přes Ethernet kabel po dobu prvního startu.
-
Najdi IP adresu desky přes panel routeru nebo příkazem
nmap -sn 192.168.1.0/24. -
Připoj se přes SSH:
ssh tvojejmeno@ip_adresa. Pokud SSH nefunguje, zkontroluj bod níže ohledně změn v Imageru. -
Změň výchozí heslo příkazem
passwda nastav hostname přessudo raspi-config. -
Aktualizuj systém:
sudo apt update && sudo apt full-upgrade -y. -
Nakonfiguruj statickou IP adresu úpravou
/etc/dhcpcd.confnebo přes NetworkManager. -
Zapni VNC v
sudo raspi-config(Interface Options). Výchozí WayVNC běží na Waylandu; režim X11 nastavuj jen pro RealVNC nebo starší nástroje. -
Nainstaluj hackerské nástroje: Metasploit, Nmap, Wireshark, Aircrack-ng, Hydra.
-
Udělej první zálohu SD karty před experimenty.
Konfigurace SSH v novějších verzích Imageru
Tady mnoho lidí ztrácí čas, protože se drží starých návodů. Nejjednodušší a nejspolehlivější je zapnout SSH přímo v Raspberry Pi Imageru před zápisem obrazu: klikni na ikonu ozubeného kola (nebo Ctrl+Shift+X), přejdi do pokročilého nastavení a zaškrtni „Enable SSH“ (s heslem nebo veřejným klíčem). Imager pak zapíše na boot oddíl karty soubor firstrun.sh, který při prvním startu sám zapne službu SSH. Stará metoda - ruční vytvoření prázdného souboru ssh v boot oddílu - na Raspberry Pi OS stále funguje, ale konfigurace v Imageru je spolehlivější a eliminuje chyby při headless práci.
Tip od profíka: SSH vždy konfiguruj přímo v Imageru před zápisem, ne ručně potom. Konfigurace přes Imager (soubor firstrun.sh) je spolehlivější než hrabání se v kartě po zápisu a eliminuje chyby při headless práci.
| Parametr | Doporučená hodnota | Důvod |
|---|---|---|
| SSH protokol | SSHv2, vypni root login | Základní bezpečnost |
| Grafický režim | Wayland (výchozí) nebo X11 | X11 jen pro RealVNC / starší nástroje |
| IP adresa | Statická | Spolehlivý SSH přístup |
| Heslo | Min. 16 znaků | Ochrana proti brute force |
Po prvním přihlášení okamžitě změň heslo uživatele a vypni root login přes SSH. Přidej pravidlo firewallu UFW: sudo ufw allow ssh && sudo ufw enable. To je minimální hardening před připojením Pi k jakékoli testovací síti.
Pro vzdálenou plochu nemusíš utíkat od Waylandu. Raspberry Pi OS (Bookworm) má vestavěný server WayVNC, který běží nativně na Waylandu - stačí zapnout VNC v sudo raspi-config (Interface Options) a připojit se klientem, např. TigerVNC. Také Raspberry Pi Connect podporuje sdílení obrazovky na modelech s Waylandem. Přepnutí na X11 (sudo raspi-config, Advanced Options, položka Wayland - zvol X11, pak sudo reboot) je potřeba jen v jednom případě: když chceš používat RealVNC nebo starší nástroje a návody nekompatibilní s Waylandem. Není to obecné pravidlo.
Pokročilá konfigurace sítě pro hacking lab
To je sekce, která odlišuje funkční laboratoř od skutečného pentestingového nástroje.
Oddělení síťových rozhraní
Oddělení rozhraní wlan0 a wlan1 je absolutní základ stabilní práce. Wlan0 (vestavěný Wi-Fi modul) plní roli řídicího kanálu, přes který máš SSH přístup. Wlan1 (externí USB adaptér s čipsetem Realtek) slouží k ofenzivní práci: monitor módu, packet injection, vytváření rogue AP. Díky tomu zapnutí monitor módu na wlan1 nepřeruší tvé SSH spojení přes wlan0.
-
wlan0: připojení k domácí síti nebo VPN, trvalý SSH a VNC přístup
-
wlan1: Alfa adaptér s RTL8812AU, monitor mód, aircrack-ng, hostapd
-
eth0: Ethernet kabel jako záložní řídicí kanál při problémech s Wi-Fi
Instalace ovladačů Realtek
Karta Alfa AWUS036ACH-C má čipset Realtek RTL8812AU. Dobrá zpráva: na moderním Kali Linuxu (jádro 6.14 nebo novější) je ovladač už zabudovaný v jádře jako modul rtw88_8812au - karta funguje okamžitě, monitor mód a packet injection bez jakékoli instalace. Nejprve jen zkontroluj, zda je monitor mód dostupný:
sudo apt install -y dkms git
iw list | grep -A8 "Supported interface modes"
Pokud v seznamu vidíš položku * monitor, máš vše připravené - nic neinstaluješ.
Pokud používáš starší jádro nebo karta nepřejde do monitor módu, doinstaluj ovladač. Nejrychleji z repozitáře Kali:
sudo apt install -y realtek-rtl88xxau-dkms
Pokud by to nepomohlo, sestav nejnovější verzi ovladače ze zdroje (repozitář lwfinger/rtw88) - na Raspberry Pi je kompilace přes make nejspolehlivější:
sudo apt update && sudo apt install -y git build-essential bc dkms
git clone https://github.com/lwfinger/rtw88
cd rtw88
make
sudo make install
Po restartu znovu zkontroluj monitor mód: iw list | grep monitor.
Tip od profíka: Před instalací ovladačů se ujisti, že je systém plně aktualizovaný. Nesoulad verze jádra a DKMS ovladače je nejčastější příčinou problémů s Wi-Fi adaptérem.
Automatizace útoků na Wi-Fi sítě (Evil Twin, rogue AP)
Ruční sestavení rogue AP z hostapd, dnsmasq a pravidel iptables funguje, ale v praxi je rychlejší a spolehlivější použít hotový, automatizovaný nástroj. Nejlepší volbou v roce 2026 je airgeddon - rozsáhlý skript, který sám postaví přístupový bod, spustí DHCP a DNS server, captive portal i přesměrování provozu (NAT), a celé to ovládáš z přehledného menu. Běží na Kali Linuxu, i v ARM verzi na Raspberry Pi:
git clone https://github.com/v1s1t0r1sh3r3/airgeddon
cd airgeddon
sudo bash airgeddon.sh
Na Kali Linuxu je airgeddon také v repozitáři: sudo apt install -y airgeddon, a pak ho spustíš příkazem sudo airgeddon.
Airgeddon pod kapotou používá stejné stavební kameny (hostapd, dnsmasq, iptables), ale zbavuje tě ručního konfigurování každého zvlášť. Jednodušší alternativou zaměřenou výhradně na Evil Twin se zachycením hesla je fluxion. Hardwarová poznámka: Evil Twin na jedné kartě vyžaduje podporu virtuálních rozhraní (VIF), která nejlépe funguje na čipsetech MediaTek - s RTL8812AU použij dvě karty (jednu jako AP, druhou pro deauth).
SSH přístup přes vlastní hotspot Raspberry Pi
V terénu, bez přístupu k routeru, můžeš nechat Raspberry Pi vysílat vlastní hotspot a připojit se k němu přes SSH z notebooku nebo telefonu. Na Raspberry Pi OS Bookworm a Kali je výchozím správcem sítě NetworkManager, takže stačí jediný příkaz:
sudo nmcli device wifi hotspot ifname wlan0 ssid PiAP password "TvojeSilneHeslo"
Pi se stane bránou na pevné adrese 10.42.0.1 a samo rozdává adresy (DHCP) připojeným klientům. Po připojení k síti PiAP se připojíš obvyklým způsobem:
ssh [email protected]
Seznam připojených klientů zobrazíš na Pi příkazem ip neigh show dev wlan0 nebo v zápůjčkách DHCP: cat /var/lib/NetworkManager/dnsmasq-*.leases. Pro samotný hotspot s SSH přístupem stačí jediné rozhraní - druhý adaptér potřebuješ teprve tehdy, když chceš zároveň provozovat hotspot a být připojený k jiné Wi-Fi síti.
Srovnání konfigurace: Kali Linux vs Raspberry Pi OS
| Vlastnost | Kali Linux for Pi | Raspberry Pi OS + nástroje |
|---|---|---|
| Předinstalované nástroje | Ano, přes 600 | Ne, ruční instalace |
| Stabilita systému | Nižší (rolling release) | Vyšší (stable) |
| Spotřeba RAM | Vyšší | Nižší |
| Čas konfigurace | Kratší | Delší |
| Kontrola nad prostředím | Menší | Plná |
Řešení problémů a optimalizace
Několik problémů se objevuje pravidelně při každé nové instalaci. Takto je diagnostikuješ.
Typické problémy a řešení
-
SSH po restartu nefunguje: Zapni SSH v Raspberry Pi Imageru před zápisem (pokročilé nastavení, Enable SSH) - vytvoří to soubor firstrun.sh na boot oddílu. Ruční přidání prázdného souboru ssh do boot oddílu také funguje, ale konfigurace v Imageru je spolehlivější.
-
VNC ukazuje černou obrazovku nebo chybu připojení: Obvykle je to známka toho, že používáš klienta vyžadujícího X11 (např. RealVNC) na Waylandu. Připoj se klientem kompatibilním s WayVNC (např. TigerVNC) nebo přepni Pi na X11 přes
sudo raspi-config(Advanced Options) a restartuj. -
Wi-Fi adaptér nepřejde do monitor módu: Zkontroluj verzi DKMS ovladače a zda je modul načtený příkazem
lsmod | grep 8812au. -
SSH spojení se přerušuje během Wi-Fi útoků: Používáš jeden adaptér pro správu i útoky. Přidej externí USB adaptér a odděl rozhraní.
-
Pi se přehřívá a omezuje CPU: Nainstaluj aktivní chlazení nebo sniž frekvenci přes
sudo raspi-configv sekci Performance.
Tip od profíka: Na Raspberry Pi Zero a Pi 1 výrazně sníží zátěž CPU vypnutí šifrování VNC. Dělej to výhradně v izolované, soukromé testovací síti, nikdy v produkčním prostředí.
Záloha a obnova laboratoře
Záloha systému přes rsync nebo rpi-clone je návyk, který po nepovedeném experimentu ušetří hodiny práce. Udělej kopii SD karty před každou větší změnou konfigurace.
| Metoda zálohy | Nástroj | Čas | Použití |
|---|---|---|---|
| Kopie 1:1 SD karty |
dd nebo rpi-clone |
15-30 min | Plná záloha systému |
| Synchronizace souborů | rsync | 5-15 min | Záloha dat a konfigurace |
| Komprimovaný obraz | pishrink + dd | 20-40 min | Přenosný obraz pro flashování |
Zkontroluj také, zda je bezpečné testování vlastního routeru součástí tvého laboratorního plánu. Pi nakonfigurovaný podle tohoto průvodce se skvěle hodí pro audity domácí sítě.
Moje zkušenosti s konfigurací Pi pro hacking
S Raspberry Pi v kontextu bezpečnosti pracuji už několik let a mám jedno silné přesvědčení: většina problémů, se kterými se lidé potýkají, pramení z používání zastaralých návodů.
Viděl jsem to desítkykrát. Někdo se řídí návodem starým pár let a stráví dvě hodiny laděním SSH, které po restartu prostě nenastartuje. Důvod? Drží se starých tutoriálů, které velí ručně vytvářet soubory na kartě, místo aby prostě zapnul SSH v nastavení Raspberry Pi Imageru před zápisem obrazu. Internet je stále plný zastaralých návodů, zatímco nejjednodušší a nejspolehlivější cesta je dnes zabudovaná přímo do Imageru.
Druhá chyba, kterou vidím neustále, je provozovat všechno na jednom Wi-Fi adaptéru. Zapneš monitor mód na wlan0, ztratíš SSH a sedíš s Pi, ke kterému se nedostaneš. Oddělení rozhraní není možnost pro pokročilé, je to základ každé rozumné konfigurace.
K výběru modelu: nesnaž se šetřit na Pi 3 u seriózních hackerských projektů. Pi 5 s 8 GB RAM je rozdíl ne v rychlosti, ale v tom, zda jde Metasploit vůbec ovládat bez frustrace. Pi 3 se hodí k učení základů, ale u složitých sad nástrojů začne po pár minutách omezovat výkon.
Kali Linux for Pi je pohodlný výchozí bod, ale osobně preferuji Raspberry Pi OS s ručně nainstalovanými nástroji. Vím pak přesně, co je v systému, a mám plnou kontrolu nad závislostmi. Při penetračním testování není znalost prostředí komfort, je to požadavek.
Ber každou konfiguraci jako něco, co budeš muset postavit od nuly. Dokumentuj každý krok, dělej pravidelně zálohy a vždy změň výchozí hesla, než Pi připojíš k jakékoli síti. Jednoduchá pravidla, v praxi ale často zanedbávaná.
— Krystian
Hackerský hardware pro Raspberry Pi v Sapsan-sklep
Dobře nakonfigurovaný Raspberry Pi je teprve začátek. Jeho možnosti závisí přímo na kvalitě připojeného hardwaru.
A pokud se ti nechce skládat a konfigurovat Raspberry Pi od nuly - v SAPSAN máš hotové all-in-one řešení. uConsole je přenosný terminál postavený na Raspberry Pi (modul CM4), s klávesnicí, displejem, baterií a místem pro modem v jednom pouzdře - rozbalíš a jedeš. K němu si vybereš kompletní sadu příslušenství a gadgetů pro pentestera a Wi-Fi karet pro monitor mód. Doprava po celé EU a USA.
FAQ
Který model Raspberry Pi zvolit pro hacking?
Raspberry Pi 5 s 8 GB RAM je optimální volba pro práci s Metasploitem a dalšími náročnými nástroji. Pi 4 se 4 GB RAM je minimum pro lehčí použití.
Proč SSH nefunguje po restartu Pi?
Pravděpodobně používáš starou metodu. Nejspolehlivěji zapneš SSH v Raspberry Pi Imageru před zápisem obrazu - v pokročilém nastavení (Ctrl+Shift+X) zaškrtni Enable SSH. Imager zapíše soubor firstrun.sh, který zapne SSH při prvním startu. Ruční vytvoření souboru ssh v boot oddílu také funguje, ale konfigurace v Imageru je spolehlivější.
Jak vyřešit problém s VNC na novém Raspberry Pi OS?
Raspberry Pi OS má vestavěné WayVNC, které běží na Waylandu - zapni VNC v sudo raspi-config a připoj se klientem, např. TigerVNC. Přepnutí na X11 (Advanced Options, pak restart) je potřeba jen tehdy, když používáš RealVNC nebo starší nástroje nekompatibilní s Waylandem.
Je Kali Linux nebo Raspberry Pi OS lepší pro hacking?
Kali Linux for Pi má přes 600 předinstalovaných nástrojů a je rychlejší start. Raspberry Pi OS s ručně nainstalovanými nástroji dává více kontroly a stability. Volba závisí na úrovni zkušeností a preferencích.
Jak zabezpečit Raspberry Pi používané pro penetrační testování?
Změň heslo výchozího uživatele ihned po instalaci, vypni root login přes SSH a aktivuj firewall UFW. Používej statickou IP a omez SSH přístup jen na důvěryhodné adresy.