Raspbian Benutzer pi umbenennen oder löschen?

  • Ich habe einen Rapsberry Pi 3 mit dem aktuellen Raspbian. Da ich auch von außerhalb per SSH und xrdp zugreifen möchte, wollte ich einen anderen Benutzernamen als den Standardnamen pi. Grund ist, dass eventuelle Angreifer zusätzlich noch den Benutzernamen suchen müssen und somit das ganze etwas erschweren. Dabei hat sich mir die Frage gestellt, ob ich den Benutzer pi nun umbenennen soll oder einen neuen Benutzer erstellen und den Benutzer pi dann lösche bzw Sperre/Deaktivere. Was wäre die bessere bzw sauberste Lösung? Habe halt sorge, dass es vielleicht zu Problemen kommen könnte mit irgendwelchen Abhängigkeiten/Einstellungen und frage deshalb lieber einmal nach.

  • Bevor du irgend was dergleichen machst solltest du sicherstellen das du weiterhin die Möglichkeit hast als root Benutzer etwas zu machen - standardmäßig ist für root nämlich kein Password gesetzt.

    Man kann Benutzer umbenennen, allerdings wird dabei nicht ggf andere Konfigurationen mit geändert... Beispiel /etc/sudoers , in der aber mittlerweile nur noch ein Eintrag für die Systemgruppe "sudo" vorhanden ist, in der "pi" Mitglied ist.

    Alle Modifikationen bzgl. Benutzer betreffend führt man über den Befehl usermod durch.
    Zum umbenennen nutzt man:

    Code
    usermod -l pi NEW

    wobei NEW der neue Benutzername wäre...

    Die zweite Möglichkeit wäre einen neuen Benutzer anzulegen und auch gleich ein Benutzerverzeichnis anzulegen. Dafür bevorzuge ich den Befehl useradd

    Code
    useradd -m -s/bin/bash NEW
    passwd NEW

    NEW wäre erneut der Benutzername. -m erzeugt ein Benutzerverzeichnis und -s legt die Shell fest.


    Man kann beim anlegen eines Benutzers auch direkt ein Password setzen, allerdings muss dies bereits encrypted sein, wobei es 2 Möglichkeiten gibt - Siehe dazu auch Keine Zugriffsrechet per root
    1) erfordert openssl:

    Code
    useradd -m -s/bin/bash NEW -p $(echo "passw0rd" | openssl passwd -1 -stdin)


    2) erfordert chpasswd (was normalerweise bereits vorhanden sein sollte:

    Code
    useradd -m -s/bin/bash NEW
    echo "NEW:passw0rd" | chpasswd --md5 NEW


    Wenn du dann noch die selben sudo Rechte wie "pi" haben möchtest musst du den neuen Benutzer der Gruppe "sudo" hinzufügen:

    Code
    usermod -a -G sudo NEW

    -a steht für "append" und -G den GruppenName....

    Einen Benutzer löschen solltest du über den Befehl userdel abwickeln und dabei nicht vergessen das Benutzerverzeichnis auch mit löschen zu lassen:

    Code
    userdel -r pi


    Natürlich darf der Benutzer aber nicht mehr angemeldet sein


    Bevor du weitere Fragen hast guck dir die Manual-Pages zu den Befehlen an - die gibt es zu 99,999% der Befehle:

    Code
    man BEFEHL


    Manchmal zeigen die Befehle auch wie folgt eine Hilfe an:

    Code
    userdel --help
    usermod --help
    useradd --help

    The Magic is: --help

  • llutz
    Alles klar, werde ich machen!

    meigrafd
    Wow, sehr ausführliche Antwort. Danke für die unterschiedlichen Möglichkeiten und zusätzlichen Informationen :)

    Phaurevu
    Ich habe bereits gegoogled, aber keine entsprechenden Antworten gefunden. Meine Hauptfrage war, ob Benutzer umbenennen oder löschen besser ist. Deiner Antwort entnehme ich das du entweder empfiehlst umzubenennen oder das du nicht richtig gelesen hast und dachtest das ich selber nicht gesucht habe.


    Habe mich entschieden den Benutzer pi zu löschen und einen anderen Benutzer mit Root Rechten zu erstellen.

  • wenn du einen Zugriff per WAN zulässt, setze dich mal mit fail2ban auseinander.
    Zudem sollte der ssh-Port vom Standardport weg auf einen, welchen nicht jeder kennt.

  • FAQ => Nützliche Links / Linksammlung => SSH sicher am Internet und den #2 Link ebenfalls


    Trotzdem hoffe ich das Er keinen weiteren Benutzer mit Root Rechten erstellen möchte :fies:

  • meigrafd
    Liegt wohl daran das ich Windows gewöhnt bin und erst seit kurzem mit Linux hantiere^^ Wenn ich mich nicht irre, ist der Standardbenutzer kein "Root". Muss jedenfalls immer sudo vor dem Befehl dann schreiben. Was ich meinte, war ein Benutzer mit den gleichen Rechten wie Benutzer Pi :D Beschäftige mich gerade mit der sudoers und suche gerade nach einer Erklärung was genau der Eintrag

    Code
    pi ALL=(ALL) NOPASSWD: ALL

    bedeutet und warum er nicht enthalten ist (habe da noch nie was verändert). Laut Anleitungen die ich gefunden habe, soll ich schließlich diesen Eintrag ändern...

    fOV
    fail2ban kommt danach dran, SSH-Keys fallen wohl weg da ich mich von unterschiedlichen Geräten anmelden möchte und ich nicht immer den SSH-Key parat hätte.
    Bezüglich des Ports, dachte ich an eine Portweiterleitung. Also lokal Port 22, von außen dann aber Port z.B. 10022 und der Router leitet das weiter an Port 22. So jedenfalls die Idee, dann müsste ich am Raspberry nichts weiter machen.

    Edit: Funktion(?) Code nun verwendet.

    Einmal editiert, zuletzt von Flauschi (3. Februar 2017 um 23:48)

  • Wenn ich von einem fremden/neuen Gerät zugreifen möchte, geht das aber nicht oder irre mich? Genau so wenn ich einem Freund (temporär) Zugang geben möchte, sehe ich das als umständlich.

  • Ist bei einem der letzten Updates in eine Datei /etc/http://sudoers.de/99-irgendwas gewandert.

    Danke für den Hinweis, habe es nun gefunden. War bei mir /etc/sudoers.d/010_pi-nopasswd

    fred0815
    Werde ich jetzt auch so machen. Lösche ich den Benutzer pi funktioniert nicht mehr die Option Autologin in Textkonsole (da scheine ich irgendwas zu übersehen, Autologin in grafische Umgebung geht mit anderem Benutzer). Nutze das zwar nicht, stört mich aber und wenn ich das später nutzen möchte, habe ich ein Problem. Mit Backup wieder rückgängig gemacht.

    Wollte SSH nun über eine Gruppe beschränken, die Gruppe ssh gab es bereits. Habe mit

    Code
    grep ssh /etc/group

    nachgeschaut wer da vielleicht bereits drin ist. Ausgabe war

    Code
    ssh:x:112:

    was ist dieses x:112: ? Habe bei Google nichts gefunden, nur was mit X forwarding, aber ob das richtige ist? Nicht das dass dann irgendein zusätzlicher Zugang oder Sicherheitslücke dann ist. Weiß einer mehr darüber?

  • Das ist die GID (Gruppen-ID) der Gruppe "ssh" (siehe auch "man group").

    Wenn du das ssh-Login eines Users verbeiten willst, gucke dir /etc/ssh/sshd_config und die Option "DenyUsers, DenyGroups" an (auch hier: "man sshd_config").

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Einmal editiert, zuletzt von llutz (5. Februar 2017 um 10:57)


  • Wollte SSH nun über eine Gruppe beschränken, ...

    Dann kannst Du (... wie bereits schon öfter hier im Forum gezeigt worden ist) eine neue Gruppe anlegen (z. B. sshusers) und deine ssh-User in dieser Gruppe, Mitglied machen.

    Danach kannst Du in der sshd_config:

    Code
    AllowGroups sshusers


    oder(/und)

    Code
    DenyGroups !sshusers


    eintragen. Siehe dazu auch die manpage für sshd_config bzw. für ssh_config.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich habe einen neuen User erstellt auf meinem PI und kann prinzipiell als root alles machen. Anscheinend will Raspbian für einige Vorgänge aber den User Pi haben. Wenn ich die /usr/share/applications# rc_gui öffne, kommt eine Fehlermeldung:

    id: pi: Einen solchen Benutzer gibt es nicht

    Ich komme also nicht mehr in die Einstellungen. Was kann ich tun? Muss ich nun doch wieder einen user PI anlegen?

  • /usr/share/applications/rc_gui existiert bei mir nicht aber da sich in dem Verzeichnis *.desktop Dateien befinden gehe ich mal davon aus dass es sich um Verknüpfungen für die Desktop-Umgebung handelt... Das sind im Prinzip Dateien mit gewissen Einstellungen, ua. was ausgeführt werden soll wenn man ein Doppelklick darauf macht.
    Darin wiederum wird bei Dir höchst wahrscheinlich ein Eintrag mit "pi" drin sein, den du dann halt anpassen musst.

  • Es handelt sich dabei um die Einstellungen, die du auch über Einstellungen -> Raspberry-Pi-Konfiguration erreichst. Bedeutet ich kann die Einstellungen in der grafischen Oberfläche nicht mehr ändern. Hat dieses Problem denn sonst niemand, der keinen User Pi mehr hat?

  • Kann mir irgend jemand bei meinem Problem helfen? Wie kann ich ohne den User Pi, den ich bereits gelöscht habe, die Einstellungen öffnen?

    meigrafd:
    Wie öffnest Du den Dialog zu den Einstellungen in Raspbian, wenn Du keine rc_gui hast?

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!