Ich predige es immer wieder…

Niemals, wirklich niemals Standard Benutzernamen und Passwörter verwenden! Für ein pillepalle System was niemals in's Internet geht, ok, die Faulheit siegt manchmal. Aber sobald etwas mit der Öffentlichkeit kommunizieren kann, sei es nun PC, Laptop, Tablet, Router, AccessPoint, sämtliche IoT Geräte wie Raspberry Pi, Banana Pi, WiFi Überwachungskameras (ok, hier ist es eh egal, so unsicher wie die Scheißteile sind), … dann ist das Erste was gemacht werden muss das Passwort ändern, im Idealfall auch der Benutzername gleich mit. Letzteres ist manchmal nicht so leicht möglich, sollte aber angestrebt werden.

Warum?

Schönes Beispiel. Neuer Raspberry Pi, alles eingerichtet und es funktioniert endlich auch, dass er von außen per ssh ferngesteuert werden kann. Stolz wie Oscar weil ja alles geht wird es so belassen. Also Benutzername "pi" und Passwort "raspberry". Frage: Was für Benutzer- und Passwortkombinationen würde ein Angreifer der in euer Netzwerk eindringen will wohl als erstes versuchen?

Ist diese lächerliche Hürde erst genommen dient die Hardware als Türöffner in das gesamte interne Netzwerk. Sie ist also zum Zombie-Computer geworden, teilweise ohne dass man es merkt. Außer irgendwann flattern Abmahnungen rein oder die KriPo kommt mitsamt Tür in's Haus rein, weil noch ganz andere Sachen gemacht wurden.

Was mögliche Gefahren und Konsequenzen angeht kratze ich hier nur an der Oberfläche, darum soll es an dieser Stelle auch nicht gehen. Glaubt mir einfach, es ist wichtig.

Passwort ändern

Das ist beim Raspberry Pi noch relativ einfach. Entweder über raspi-config, gleich der erste Menüpunkt. Alternativ über die Konsole:

sudo passwd Benutzername

Benutzername ist im Standard halt pi. Das wäre zumindest schon mal das aller Nötigste.

Benutzernamen ändern

Jetzt wird es (un-)lustig, es sind nämlich mehrere Schritte notwendig. Im Idealfall macht ihr vorher ein Backup, sollte was schief gehen.

Linux erlaubt es nicht den aktuell angemeldeten Benutzer umzubenennen. Also brauchen wir einen Zweiten, den wir nachher wieder löschen. Nennen wir ihn bob. Möglicherweise kann man dies auch als root ausführen, dies geht scheinbar aber nicht über ssh, muss also direkt am System gemacht werden.

Kurz vorweg: In Linux dürfen Benutzernamen keine Leerzeichen beinhalten und werden immer lowercase, also klein geschrieben!

Temporären Benutzer erstellen

Also erstellen wir den Benutzer bob und geben ihm ein Passwort.

sudo useradd -m bob
sudo passwd bob

Der Benutzer hat jetzt aber noch keine Rechte. Da wir ihn eh nur ein paar Minuten brauchen machen wir ihn der Einfachheit halber zum root.

sudo usermod -g root bob
sudo usermod -g ssh bob

Der neue Benutzer ist jetzt erstellt, zumindest soweit wie wir ihn brauchen. Jetzt eine neue Session öffnen und als bob anmelden. Wenn das funktioniert prüfen wir auch noch die Rechte, beispielsweise mit:

sudo ls

Kommt keine Fehlermeldung ist alles perfekt.

Alten Benutzer abmelden

Erinnert ihr euch noch an Windows 95, wo man selbst beim Ändern der Bildschirmauflösung neu starten musste? Es gibt gleich Flashbacks.

Natürlich kann man jetzt den alten Benutzer abmelden, es laufen aber trotzdem noch Prozesse darunter. Es gibt 2 Wege: Die Prozesse einfach killen, beispielsweise mit:

sudo htop

oder: Neustart.

Benutzer umbenennen

Meldet euch wieder als bob an. Jetzt können wir den Benutzer und dessen home Verzeichnis umbenennen:

sudo usermod -l NeuerName AlterName
sudo usermod -m -d /home/NeuerName NeuerName

Benutzer testen

Jetzt, sofern alles geklappt hat, könnt ihr euch mit eurem neuen Benutzernamen anmelden. Testet hier aus ob auch noch alles funktioniert. In meinem Fall war dem so, also ist bob jetzt nicht mehr benötigt.

Temporären Benutzer löschen

Tja, bob muss abgemeldet werden, selbe Prozedur wie oben. Komischerweise konnte ich die Prozesse nicht killen, also: Windows 95 Neustart.

Mit dem umbenannten Benutzer angemeldet kann man ihn jetzt löschen:

sudo userdel bob
sudo delgroup bob

Jetzt ist nur noch bob's home Verzeichnis da, was auch gelöscht werden kann:

cd /home
sudo rm -r bob

Das wars, bye bob.

Somit ist der Benutzer umbenannt und ihr ein Stück weit sicherer. Wer sich jetzt noch versucht als Benutzer pi anzumelden, lass ihn doch, den gibt es nicht mehr ;)


Kommentar schreiben