Raspberry Pi OS Bullseye: Standardnutzer pi fällt weg – und weitere Neuerungen

Es gibt Neuerungen beim Raspberry Pi OS Bullseye.  Das ist das Betriebssystem, welches offiziell für den Mini-Computer Raspberry Pi gedacht ist. Einige Anleitungen zum Thema findet ihr bei uns. Das System soll etwas sicherer werden – und das ist ganz gut so, denn es gibt ganz viele Nutzer, die beispielsweise noch den bei der Installation vorgegebenen Nutzer „pi“ nutzen.

Das ist laut der Entwickler keine große Schwachstelle. Nur einen gültigen Benutzernamen zu kennen, hilft nicht viel, wenn sich jemand in euer System einhacken will. Der Angreifer müsste auch das Passwort kennen und Nutzer müssten überhaupt eine Form des Fernzugriffs aktiviert haben. Nichtsdestotrotz könnte dies einen Brute-Force-Angriff etwas erleichtern, und als Reaktion darauf führen einige Länder jetzt Gesetze ein, die es allen mit dem Internet verbundenen Geräten verbieten, Standard-Anmeldedaten zu haben.

Mit der neuesten Version wird also der Standardbenutzer „pi“ entfernt und stattdessen wird beim ersten Booten eines neu geflashten Raspberry Pi OS-Images ein Benutzer angelegt. Dies entspricht der Art und Weise, wie die meisten Betriebssysteme heutzutage funktionieren, und obwohl es zu einigen Problemen führen kann, wenn Software (und Dokumentation) die Existenz des „pi“-Benutzers voraussetzt, scheint es an dieser Stelle eine sinnvolle Änderung zu sein.

Der Assistent zur Installation eines Raspberry Pi selbst ist weitgehend unverändert. Der Hauptunterschied besteht darin, dass Nutzer jetzt nach einem Benutzernamen und einem Passwort gefragt werden, während sie zuvor nur nach einem neuen Passwort gefragt wurden. Wer, wie ich, gerne mit dem Imager arbeitet, der kann da den Nutzer und das Passwort vergeben.

Nutzer können bei bestehenden Images auch den „pi“-Nutzer umbenennen. Wer die neue Version des Systems einsetzt, der kann im Terminal über sudo rename-user einen anderen Nutzer nebst Passwort vergeben. Anmerkung dazu: die meiste Raspberry-Pi-Software sollte laut der Entwickler damit umgehen können, dass das Home-Verzeichnis umbenannt wurde und wie zuvor weiterarbeiten, aber es ist möglich, dass einige Codes mit einem fest kodierten Pfad zum /home/pi-Verzeichnis geschrieben wurden, und dieser muss geändert werden, um mit dem umbenannten Benutzer korrekt zu arbeiten.

Nutzer eines Raspberry Pi sollten in den Beitrag der Entwickler schauen. Und danach „ganz einfach“:

sudo apt update
sudo apt full-upgrade

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

18 Kommentare

  1. Danke! Ohne dich hätte ich es wahrscheinlich nicht mitbekommen 😉

  2. Aufpassen bei octopi/octoprint da wird noch ein pi user gefordert!! Steht auch bevor man es runterladet.

  3. WIr auch bei bestehenden Installationen beim Update der Pi-user entfernt, oder gilt das nur füe Neuinstallationen?

  4. Wer Ärger sucht und frickeln will, änder nachträglich den Benutzernamen in einem laufenden System. Wer keine Probleme braucht, arbeitet nach dem Motto:
    Never touch a running system.

    • Der Benutzername ist vollig egal. Die ID wird sich nach Umbenennen nicht ändern, daher wird es keine Probleme geben.

      • RegularReader says:

        Das kann man so generell nicht sagen. Wenn irgendwo der Name „pi“ und nicht die ID fest eingesetzt wurde, funktioniert es eben nicht mehr.

    • Systeme im Heimnetz sind ja auch erstmal nicht gefährdet.

  5. Ich lassen den pi-User sowieso immer löschen, aber wie soll das alles im Headless-Modus funktionieren?

    Die meisten Raspberry Pis die ich aufgesetzt habe waren nie mit einer Tastatur oder einem Monitor verbunden. Wenn der Bootvorgang stoppt, weil der Benutzername abgefragt wird und kein SSH möglich ist, wäre das ein Problem. Hoffe man hat hierfür eine Lösung. Der Pi Imager kann das zwar, aber den verwendet nicht jeder.

    • Steht alles im verlinkten Text.
      Grafische User werden bei der Einrichtung gefragt.
      Headless-User können das Image vor-präparieren. Über eine Config-Datei kann auch das gesetzt werden.
      Laufende Systeme sind nicht betroffen.
      Man kann sich einen Symlink /home/pi setzen, der wird die meisten Tools wieder zum Laufen bringen.
      Wer will, verwendet als „neuen“ Nutzernamen bei der Einrichtung einfach wieder „pi/raspberry“.

      Ich persönlich finde die Idee doof, denn die Entropie soll aus dem Kennwort kommen, nicht aus dem Usernamen. Security by obscurity. Aber wenn es Länder gibt, die das gesetzlich einfordern, was willste machen. Krawatte overrult Techie.

      • Die Sache ist eben dass der Pi auch in kritischeren Umgebungen eingesetzt wird und wenn da immer die Standardangaben übernommen werden, braucht man sich nicht wieder wundern über neue „Hacks“. Da man die User vor sich selbst schützen muss, finde ich das schon gut so.
        Deswegen ist ja auch SSH nicht mehr standardmäßig aktiv.

        • Man könnte die User auch einfach nicht wie kleine Kinder behandeln und in die Eigenverantwortung entlassen. Das sind schließlich erwachsene Menschen und denen darf man auch ruhig etwas zutrauen.

          Wer einen Raspberry Pi mit Sicherheitslücken im professionellen Bereich einsetzt, hat ohnehin andere Probleme.

          Was kommt als nächstes? SSH Zugriff nur noch via Key? SSH Zugriff nicht mehr über Port 22, denn der ist ja „bekannt“?

          „Sie können das Image ja vorpräparieren.“

          • Mal ehrlich, für die Profis ist es ne Kleinigkeit den Namen in nem vorbereiteten Image oder per Config anzugeben und das juckt den auch nicht weiter….

            Gerade beim Pi, der entwickelt wurde um ein einfachen Einstieg in Programmierung/ Hardware-Kenntnisse zu haben, ist es mehr als sinnvoll solche Sicherheitsmaßnahmen vorzunehmen.

            • > Mal ehrlich, für die Profis ist es ne Kleinigkeit den Namen
              > in nem vorbereiteten Image oder per Config anzugeben

              Ich verwende Sachen wie Debian, RasPis etc., um ein starkes Werkzeug für Fachleute zu haben, und nicht so’ne Apple-Denke „wir nehmen das Feature mal lieber weg, damit liesse sich ja auch was kaputt machen…“

              > Gerade beim Pi, der entwickelt wurde um ein einfachen
              > Einstieg in Programmierung/ Hardware-Kenntnisse zu haben

              Nein. Wer Server ins Netz hängt, lernt bitte schwimmen im Haifischbecken, damit Versager schnellstmöglich ausgesiebt werden.

              Die Versager copypaste’n sich sowieso wieder die offene Config aus irgendeinem Forum, ohne sie zu verstehen.

        • Wer in „kritischen“ Umgebungen irgendwas selbst bastelt, dem ist nicht mehr zu helfen.

          Wer einen Server aufsetzt (nichts anderes ist ein Pi) und so wenig Ahnung hat, dass man ihm sicherheitshalber ssh wegnehmen muss, dem ist ebenfalls nicht mehr zu helfen.

          Ich verstehe die Techies heutzutage nicht mehr. Jedes sicherheitsrelevante Feature wird daran orientiert, was meine Oma da falsch machen könnte. Aber andererseits wird dann Software wie geistesgestört aus völlig unkontrolliertem NodeJS zusammengesaugt, oder „Ich habe da ein Docker Image im Netz gefunden“, weil stabile Pakete ja uncool sind.

    • Naja shh Anmeldung erfolgt via pi. Du musst aber einen Benutzernamen vergeben, sonst läuft das System nicht und kann die Einrichtung nicht abschließen

  6. Flaky Lime Sawfish says:

    „führen einige Länder jetzt Gesetze ein, die es allen mit dem Internet verbundenen Geräten verbieten, Standard-Anmeldedaten zu haben“ Also wird jetzt root und Administrator verboten? 5 Watt weiche Blitzbirnen…

    • Natürlich nicht. Verboten wird „root/root“, und dann im Beipackzettel schreiben „Bitte ändern sie das Standardpasswort“ (was dann keiner macht).

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.