Raspberry Pi OS Bullseye: Standardnutzer pi fällt weg – und weitere Neuerungen
von caschy | 18 Kommentare
Es gibt Neuerungen beim Raspberry Pi OS Bullseye. Das ist das Betriebssystem, welches offiziell für den Mini-Computer Raspberry Pi gedacht ist. Einige Anleitungen zum Thema findet ihr bei uns. Das System soll etwas sicherer werden – und das ist ganz gut so, denn es gibt ganz viele Nutzer, die beispielsweise noch den bei der Installation vorgegebenen Nutzer „pi“ nutzen.
Das ist laut der Entwickler keine große Schwachstelle. Nur einen gültigen Benutzernamen zu kennen, hilft nicht viel, wenn sich jemand in euer System einhacken will. Der Angreifer müsste auch das Passwort kennen und Nutzer müssten überhaupt eine Form des Fernzugriffs aktiviert haben. Nichtsdestotrotz könnte dies einen Brute-Force-Angriff etwas erleichtern, und als Reaktion darauf führen einige Länder jetzt Gesetze ein, die es allen mit dem Internet verbundenen Geräten verbieten, Standard-Anmeldedaten zu haben.
Mit der neuesten Version wird also der Standardbenutzer „pi“ entfernt und stattdessen wird beim ersten Booten eines neu geflashten Raspberry Pi OS-Images ein Benutzer angelegt. Dies entspricht der Art und Weise, wie die meisten Betriebssysteme heutzutage funktionieren, und obwohl es zu einigen Problemen führen kann, wenn Software (und Dokumentation) die Existenz des „pi“-Benutzers voraussetzt, scheint es an dieser Stelle eine sinnvolle Änderung zu sein.
Der Assistent zur Installation eines Raspberry Pi selbst ist weitgehend unverändert. Der Hauptunterschied besteht darin, dass Nutzer jetzt nach einem Benutzernamen und einem Passwort gefragt werden, während sie zuvor nur nach einem neuen Passwort gefragt wurden. Wer, wie ich, gerne mit dem Imager arbeitet, der kann da den Nutzer und das Passwort vergeben.
Nutzer können bei bestehenden Images auch den „pi“-Nutzer umbenennen. Wer die neue Version des Systems einsetzt, der kann im Terminal über sudo rename-user einen anderen Nutzer nebst Passwort vergeben. Anmerkung dazu: die meiste Raspberry-Pi-Software sollte laut der Entwickler damit umgehen können, dass das Home-Verzeichnis umbenannt wurde und wie zuvor weiterarbeiten, aber es ist möglich, dass einige Codes mit einem fest kodierten Pfad zum /home/pi-Verzeichnis geschrieben wurden, und dieser muss geändert werden, um mit dem umbenannten Benutzer korrekt zu arbeiten.
Nutzer eines Raspberry Pi sollten in den Beitrag der Entwickler schauen. Und danach „ganz einfach“:
sudo apt update sudo apt full-upgrade
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Danke! Ohne dich hätte ich es wahrscheinlich nicht mitbekommen 😉
Aufpassen bei octopi/octoprint da wird noch ein pi user gefordert!! Steht auch bevor man es runterladet.
WIr auch bei bestehenden Installationen beim Update der Pi-user entfernt, oder gilt das nur füe Neuinstallationen?
nein
Wer Ärger sucht und frickeln will, änder nachträglich den Benutzernamen in einem laufenden System. Wer keine Probleme braucht, arbeitet nach dem Motto:
Never touch a running system.
Der Benutzername ist vollig egal. Die ID wird sich nach Umbenennen nicht ändern, daher wird es keine Probleme geben.
Das kann man so generell nicht sagen. Wenn irgendwo der Name „pi“ und nicht die ID fest eingesetzt wurde, funktioniert es eben nicht mehr.
Systeme im Heimnetz sind ja auch erstmal nicht gefährdet.
Ich lassen den pi-User sowieso immer löschen, aber wie soll das alles im Headless-Modus funktionieren?
Die meisten Raspberry Pis die ich aufgesetzt habe waren nie mit einer Tastatur oder einem Monitor verbunden. Wenn der Bootvorgang stoppt, weil der Benutzername abgefragt wird und kein SSH möglich ist, wäre das ein Problem. Hoffe man hat hierfür eine Lösung. Der Pi Imager kann das zwar, aber den verwendet nicht jeder.
Steht alles im verlinkten Text.
Grafische User werden bei der Einrichtung gefragt.
Headless-User können das Image vor-präparieren. Über eine Config-Datei kann auch das gesetzt werden.
Laufende Systeme sind nicht betroffen.
Man kann sich einen Symlink /home/pi setzen, der wird die meisten Tools wieder zum Laufen bringen.
Wer will, verwendet als „neuen“ Nutzernamen bei der Einrichtung einfach wieder „pi/raspberry“.
Ich persönlich finde die Idee doof, denn die Entropie soll aus dem Kennwort kommen, nicht aus dem Usernamen. Security by obscurity. Aber wenn es Länder gibt, die das gesetzlich einfordern, was willste machen. Krawatte overrult Techie.
Die Sache ist eben dass der Pi auch in kritischeren Umgebungen eingesetzt wird und wenn da immer die Standardangaben übernommen werden, braucht man sich nicht wieder wundern über neue „Hacks“. Da man die User vor sich selbst schützen muss, finde ich das schon gut so.
Deswegen ist ja auch SSH nicht mehr standardmäßig aktiv.
Man könnte die User auch einfach nicht wie kleine Kinder behandeln und in die Eigenverantwortung entlassen. Das sind schließlich erwachsene Menschen und denen darf man auch ruhig etwas zutrauen.
Wer einen Raspberry Pi mit Sicherheitslücken im professionellen Bereich einsetzt, hat ohnehin andere Probleme.
Was kommt als nächstes? SSH Zugriff nur noch via Key? SSH Zugriff nicht mehr über Port 22, denn der ist ja „bekannt“?
„Sie können das Image ja vorpräparieren.“
Mal ehrlich, für die Profis ist es ne Kleinigkeit den Namen in nem vorbereiteten Image oder per Config anzugeben und das juckt den auch nicht weiter….
Gerade beim Pi, der entwickelt wurde um ein einfachen Einstieg in Programmierung/ Hardware-Kenntnisse zu haben, ist es mehr als sinnvoll solche Sicherheitsmaßnahmen vorzunehmen.
> Mal ehrlich, für die Profis ist es ne Kleinigkeit den Namen
> in nem vorbereiteten Image oder per Config anzugeben
Ich verwende Sachen wie Debian, RasPis etc., um ein starkes Werkzeug für Fachleute zu haben, und nicht so’ne Apple-Denke „wir nehmen das Feature mal lieber weg, damit liesse sich ja auch was kaputt machen…“
> Gerade beim Pi, der entwickelt wurde um ein einfachen
> Einstieg in Programmierung/ Hardware-Kenntnisse zu haben
Nein. Wer Server ins Netz hängt, lernt bitte schwimmen im Haifischbecken, damit Versager schnellstmöglich ausgesiebt werden.
Die Versager copypaste’n sich sowieso wieder die offene Config aus irgendeinem Forum, ohne sie zu verstehen.
Wer in „kritischen“ Umgebungen irgendwas selbst bastelt, dem ist nicht mehr zu helfen.
Wer einen Server aufsetzt (nichts anderes ist ein Pi) und so wenig Ahnung hat, dass man ihm sicherheitshalber ssh wegnehmen muss, dem ist ebenfalls nicht mehr zu helfen.
Ich verstehe die Techies heutzutage nicht mehr. Jedes sicherheitsrelevante Feature wird daran orientiert, was meine Oma da falsch machen könnte. Aber andererseits wird dann Software wie geistesgestört aus völlig unkontrolliertem NodeJS zusammengesaugt, oder „Ich habe da ein Docker Image im Netz gefunden“, weil stabile Pakete ja uncool sind.
Naja shh Anmeldung erfolgt via pi. Du musst aber einen Benutzernamen vergeben, sonst läuft das System nicht und kann die Einrichtung nicht abschließen
„führen einige Länder jetzt Gesetze ein, die es allen mit dem Internet verbundenen Geräten verbieten, Standard-Anmeldedaten zu haben“ Also wird jetzt root und Administrator verboten? 5 Watt weiche Blitzbirnen…
Natürlich nicht. Verboten wird „root/root“, und dann im Beipackzettel schreiben „Bitte ändern sie das Standardpasswort“ (was dann keiner macht).