Ich habe einen Rapsberry Pi 3 mit dem aktuellen Raspbian. Da ich auch von außerhalb per SSH und xrdp zugreifen möchte, wollte ich einen anderen Benutzernamen als den Standardnamen pi. Grund ist, dass eventuelle Angreifer zusätzlich noch den Benutzernamen suchen müssen und somit das ganze etwas erschweren. Dabei hat sich mir die Frage gestellt, ob ich den Benutzer pi nun umbenennen soll oder einen neuen Benutzer erstellen und den Benutzer pi dann lösche bzw Sperre/Deaktivere. Was wäre die bessere bzw sauberste Lösung? Habe halt sorge, dass es vielleicht zu Problemen kommen könnte mit irgendwelchen Abhängigkeiten/Einstellungen und frage deshalb lieber einmal nach.
Raspbian Benutzer pi umbenennen oder löschen?
-
Flauschi -
3. Februar 2017 um 21:27 -
Erledigt
-
-
Raspbian Benutzer pi umbenennen oder löschen?? Schau mal ob du hier fündig wirst!
-
Erstelle einen neuen User, richte ihm benötigte sudo-Rechte ein und teste das ausgiebig (local/remote). Dann lösche den User "pi".
-
Bevor du irgend was dergleichen machst solltest du sicherstellen das du weiterhin die Möglichkeit hast als root Benutzer etwas zu machen - standardmäßig ist für root nämlich kein Password gesetzt.
Man kann Benutzer umbenennen, allerdings wird dabei nicht ggf andere Konfigurationen mit geändert... Beispiel /etc/sudoers , in der aber mittlerweile nur noch ein Eintrag für die Systemgruppe "sudo" vorhanden ist, in der "pi" Mitglied ist.
Alle Modifikationen bzgl. Benutzer betreffend führt man über den Befehl usermod durch.
Zum umbenennen nutzt man:wobei NEW der neue Benutzername wäre...
Die zweite Möglichkeit wäre einen neuen Benutzer anzulegen und auch gleich ein Benutzerverzeichnis anzulegen. Dafür bevorzuge ich den Befehl useradd
NEW wäre erneut der Benutzername. -m erzeugt ein Benutzerverzeichnis und -s legt die Shell fest.
Man kann beim anlegen eines Benutzers auch direkt ein Password setzen, allerdings muss dies bereits encrypted sein, wobei es 2 Möglichkeiten gibt - Siehe dazu auch Keine Zugriffsrechet per root
1) erfordert openssl:
2) erfordert chpasswd (was normalerweise bereits vorhanden sein sollte:Wenn du dann noch die selben sudo Rechte wie "pi" haben möchtest musst du den neuen Benutzer der Gruppe "sudo" hinzufügen:
-a steht für "append" und -G den GruppenName....
Einen Benutzer löschen solltest du über den Befehl userdel abwickeln und dabei nicht vergessen das Benutzerverzeichnis auch mit löschen zu lassen:
Natürlich darf der Benutzer aber nicht mehr angemeldet seinBevor du weitere Fragen hast guck dir die Manual-Pages zu den Befehlen an - die gibt es zu 99,999% der Befehle:
Manchmal zeigen die Befehle auch wie folgt eine Hilfe an:The Magic is: --help
-
-
llutz
Alles klar, werde ich machen!meigrafd
Wow, sehr ausführliche Antwort. Danke für die unterschiedlichen Möglichkeiten und zusätzlichen InformationenPhaurevu
Ich habe bereits gegoogled, aber keine entsprechenden Antworten gefunden. Meine Hauptfrage war, ob Benutzer umbenennen oder löschen besser ist. Deiner Antwort entnehme ich das du entweder empfiehlst umzubenennen oder das du nicht richtig gelesen hast und dachtest das ich selber nicht gesucht habe.Habe mich entschieden den Benutzer pi zu löschen und einen anderen Benutzer mit Root Rechten zu erstellen.
-
Habe mich entschieden den Benutzer pi zu löschen und einen anderen Benutzer mit Root Rechten zu erstellen.Hoffentlich hast du dich da nur verschrieben?
-
wenn du einen Zugriff per WAN zulässt, setze dich mal mit fail2ban auseinander.
Zudem sollte der ssh-Port vom Standardport weg auf einen, welchen nicht jeder kennt. -
FAQ => Nützliche Links / Linksammlung => SSH sicher am Internet und den #2 Link ebenfalls
Trotzdem hoffe ich das Er keinen weiteren Benutzer mit Root Rechten erstellen möchte
-
meigrafd
Liegt wohl daran das ich Windows gewöhnt bin und erst seit kurzem mit Linux hantiere^^ Wenn ich mich nicht irre, ist der Standardbenutzer kein "Root". Muss jedenfalls immer sudo vor dem Befehl dann schreiben. Was ich meinte, war ein Benutzer mit den gleichen Rechten wie Benutzer Pi Beschäftige mich gerade mit der sudoers und suche gerade nach einer Erklärung was genau der Eintragbedeutet und warum er nicht enthalten ist (habe da noch nie was verändert). Laut Anleitungen die ich gefunden habe, soll ich schließlich diesen Eintrag ändern...
fOV
fail2ban kommt danach dran, SSH-Keys fallen wohl weg da ich mich von unterschiedlichen Geräten anmelden möchte und ich nicht immer den SSH-Key parat hätte.
Bezüglich des Ports, dachte ich an eine Portweiterleitung. Also lokal Port 22, von außen dann aber Port z.B. 10022 und der Router leitet das weiter an Port 22. So jedenfalls die Idee, dann müsste ich am Raspberry nichts weiter machen.Edit: Funktion(?) Code nun verwendet.
-
Ich sehe keinen Grund warum sich SSH Keys mit mehreren Geräten nicht vertragen. Erstellt einfach auf jedem PC/Handy nen keypair und trag alle öffentlichen Schlüssel in die authorized_keys ein
-
Wenn ich von einem fremden/neuen Gerät zugreifen möchte, geht das aber nicht oder irre mich? Genau so wenn ich einem Freund (temporär) Zugang geben möchte, sehe ich das als umständlich.
-
-
und warum er nicht enthalten istIst bei einem der letzten Updates in eine Datei /etc/http://sudoers.de/99-irgendwas gewandert.
-
Ist bei einem der letzten Updates in eine Datei /etc/http://sudoers.de/99-irgendwas gewandert.
Danke für den Hinweis, habe es nun gefunden. War bei mir /etc/sudoers.d/010_pi-nopasswd
fred0815
Werde ich jetzt auch so machen. Lösche ich den Benutzer pi funktioniert nicht mehr die Option Autologin in Textkonsole (da scheine ich irgendwas zu übersehen, Autologin in grafische Umgebung geht mit anderem Benutzer). Nutze das zwar nicht, stört mich aber und wenn ich das später nutzen möchte, habe ich ein Problem. Mit Backup wieder rückgängig gemacht.Wollte SSH nun über eine Gruppe beschränken, die Gruppe ssh gab es bereits. Habe mit
nachgeschaut wer da vielleicht bereits drin ist. Ausgabe war
was ist dieses x:112: ? Habe bei Google nichts gefunden, nur was mit X forwarding, aber ob das richtige ist? Nicht das dass dann irgendein zusätzlicher Zugang oder Sicherheitslücke dann ist. Weiß einer mehr darüber?
-
Das ist die GID (Gruppen-ID) der Gruppe "ssh" (siehe auch "man group").
Wenn du das ssh-Login eines Users verbeiten willst, gucke dir /etc/ssh/sshd_config und die Option "DenyUsers, DenyGroups" an (auch hier: "man sshd_config").
-
Wollte SSH nun über eine Gruppe beschränken, ...Dann kannst Du (... wie bereits schon öfter hier im Forum gezeigt worden ist) eine neue Gruppe anlegen (z. B. sshusers) und deine ssh-User in dieser Gruppe, Mitglied machen.
Danach kannst Du in der sshd_config:
oder(/und)
eintragen. Siehe dazu auch die manpage für sshd_config bzw. für ssh_config. -
Ich habe einen neuen User erstellt auf meinem PI und kann prinzipiell als root alles machen. Anscheinend will Raspbian für einige Vorgänge aber den User Pi haben. Wenn ich die /usr/share/applications# rc_gui öffne, kommt eine Fehlermeldung:
id: pi: Einen solchen Benutzer gibt es nicht
Ich komme also nicht mehr in die Einstellungen. Was kann ich tun? Muss ich nun doch wieder einen user PI anlegen?
-
/usr/share/applications/rc_gui existiert bei mir nicht aber da sich in dem Verzeichnis *.desktop Dateien befinden gehe ich mal davon aus dass es sich um Verknüpfungen für die Desktop-Umgebung handelt... Das sind im Prinzip Dateien mit gewissen Einstellungen, ua. was ausgeführt werden soll wenn man ein Doppelklick darauf macht.
Darin wiederum wird bei Dir höchst wahrscheinlich ein Eintrag mit "pi" drin sein, den du dann halt anpassen musst. -
Es handelt sich dabei um die Einstellungen, die du auch über Einstellungen -> Raspberry-Pi-Konfiguration erreichst. Bedeutet ich kann die Einstellungen in der grafischen Oberfläche nicht mehr ändern. Hat dieses Problem denn sonst niemand, der keinen User Pi mehr hat?
-
-
Jetzt mitmachen!
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!