Raspberry Pi verwijdert standaardgebruiker uit besturingssysteem
Raspberry Pi heeft besloten om de standaardgebruiker die in Raspberry Pi OS aanwezig is te verwijderen. Dit moet bruteforce-aanvallen lastiger maken en is tevens een reactie op wetgeving in verschillende landen. Tot nu toe beschikte elke installatie van Raspberry Pi OS over een standaardgebruiker genaamd "pi". Volgens de ontwikkelaars is dit eigenlijk geen probleem, aangezien een aanvaller ook over een wachtwoord moet beschikken om in te kunnen loggen.
Daarnaast zou de Raspberry Pi-computer vanaf het internet voor de aanvaller toegankelijk moeten zijn. Toch kan de aanwezigheid van de standaardgebruiker bruteforce-aanvallen iets eenvoudiger maken, zegt Simon Long van Raspberry Pi. Vanwege de kwetsbaarheid van Internet of Things-apparaten zijn verschillende landen bezig met wetgeving die de aanwezigheid van standaard inloggegevens verbiedt.
Daarop heeft Raspberry Pi besloten om in de nieuwste versie van Raspberry Pi OS de standaardgebruiker te verwijderen. Wanneer gebruikers voor de eerste keer Raspberry Pi OS starten moeten ze een gebruiker aanmaken. Pas na het aanmaken van deze gebruiker is het mogelijk om applicaties te starten. Voor gebruikers die Raspberry Pi OS "headless" gebruiken, waarbij er geen wizard wordt getoond, is het mogelijk om via de Raspberry Pi Imager-tool van tevoren een gebruiker aan te maken.
Reacties (17)
Dat was natuurlijk niet zo slim van ze om een standaard gebruikersnaam en wachtwoord in te stellen. Dat is gewoon vragen om problemen. Gelukkig hebben ze erover nagedacht en met een oplossing gekomen. Het grote probleem wat ze nu hebben dat is de leverantie van die hardware. Ik wacht al meer dan een half jaar op één. En misschien een grote update die de desktop pc zou kunnen verslaan, dat zou ook heel leuk zijn. Denk bv aan de Apple M1.
Wat een bagatellisering weer. Ik heb hier de grootste oorlog over gemaakt met het team van rPi. Maar het interesseert ze allemaal geen ene reet! "Security is not our problem. This is an experimental board" zeiden ze. "Not a server". En daar mocht ik het mee doen.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Door Rexodus: Wat een bagatellisering weer. Ik heb hier de grootste oorlog over gemaakt met het team van rPi. Maar het interesseert ze allemaal geen ene reet! "Security is not our problem. This is an experimental board" zeiden ze. "Not a server". En daar mocht ik het mee doen.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Nou nou, wat een frustratie!
Maar realiseer je wel dat de rPi nooit bedoelt is om als server te gebruiken. Zoals ze zelf aangeven, het is een dingetje om mee te “klooien”.
Wil je een server draaien, koop dan een… juist: server.
Door Rexodus: Wat een bagatellisering weer. Ik heb hier de grootste oorlog over gemaakt met het team van rPi. Maar het interesseert ze allemaal geen ene reet! "Security is not our problem. This is an experimental board" zeiden ze. "Not a server". En daar mocht ik het mee doen.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Over welke Raspbian heb je het? Heb je het over de versie van raspbian.org of over de versie die de Raspberry Pi Foundation levert? Het artikel gaat over de laatste, en die heet al een poos geen Raspbian meer maar Raspberry Pi OS.Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet.
Over welk lek heb je het? Raspbian en Raspberry Pi OS zijn versies van Debian met aanpassingen die het geschikt maken voor de rPi. Debian werkt gedurende de levensduur van een major release met dezelfde versie van de software, maar beveiligingslekken worden wel overgenomen van de nieuwere upstream-versies. Voor zover ik weet komen die dus ook op de rPi terecht. Kan het zijn dat je naar versienummers keek zonder dat in de gaten te hebben gehad? Zo niet, dan ben ik best benieuwd naar het bugreport of het CVE-nummer waar het om gaat. Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Dreigementen? Voor een OS dat je gratis krijgt? Dan mogen we blij zijn dat de makers niet helemaal afhaken.Door gradje71: Dat was natuurlijk niet zo slim van ze om een standaard gebruikersnaam en wachtwoord in te stellen. Dat is gewoon vragen om problemen. Gelukkig hebben ze erover nagedacht en met een oplossing gekomen. Het grote probleem wat ze nu hebben dat is de leverantie van die hardware. Ik wacht al meer dan een half jaar op één. En misschien een grote update die de desktop pc zou kunnen verslaan, dat zou ook heel leuk zijn. Denk bv aan de Apple M1.
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Door Rexodus: Wat een bagatellisering weer. Ik heb hier de grootste oorlog over gemaakt met het team van rPi. Maar het interesseert ze allemaal geen ene reet! "Security is not our problem. This is an experimental board" zeiden ze. "Not a server". En daar mocht ik het mee doen.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Kletskoek, er staan geen services aan waarme je in kunt loggen. Ja je kan zelf alles slopen maar dan moet je de maker geen verwijten maken.
Als ik als leek de motorkap van mijn auto opentrek en ik haal daar een zwik kabels los of zekeringen eruit dan moet ik niet de fabrikant de schuld geven.
Wat wel problematisch is bij PIOS dat de default gebruiker geen wacht woord hoeft in te voeren bij sudo.
Door Anoniem: [
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Inderdaad. Als je inlogt als "pi" krijg je ook meteen de melding dat je het wachtwoord moet veranderen als dat nog
niet gebeurd is, maar ja waarom zou je dat opvolgen he? Gewoon ssh server enablen en alle warnings negeren en
dan maar klagen klagen klagen...
Net zoals die mensen die nu nog steeds een Pi draaien met Raspbian Wheezy erop, nooit geupdate. En maar klagen.
Door Anoniem: Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Niet remote, bedoel je. Met een toetsenbord en beeldscherm kan het natuurlijk wel. Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Hoewel ik die laksheid niet heb heb ik me van begin af aan elke keer dat ik Raspbian of Raspberry Pi OS installeerde even afgevraagd waarom ze niet bij de eerste boot om een usernaam en wachtwoord vragen en een nieuwe user aanmaken, dus precies wat ze nu introduceren. Laten we niet gaan doen alsof dat moeilijk is om te bouwen.Door Anoniem:
Door Anoniem: Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Niet remote, bedoel je. Met een toetsenbord en beeldscherm kan het natuurlijk wel.Ja duh, als ik het SD kaartje eruit haal kan ik alles aanpassen zonder 1 enkel wachtwoord. Erg gevaarlijk hoor een rpi met een niet versleuteld OS als default ......
Door Anoniem:
Wat wel problematisch is bij PIOS dat de default gebruiker geen wacht woord hoeft in te voeren bij sudo.
Ja dat hele "root heeft geen wachtwoord en de gewone gebruiker mag sudo doen" dat vind ik zo'n DOM idee, maarWat wel problematisch is bij PIOS dat de default gebruiker geen wacht woord hoeft in te voeren bij sudo.
dat is niet alleen bij Pi OS maar ook bij Ubuntu de "normale manier van werken".
Daarom zie je ook overal die handleidingen voor Linux waar voor ieder commando het woordje sudo staat.
Dit is denk ik gedaan om de Windows gebruiker die gewend is workstation admin te zijn te bedienen, maar ik zie zelf
liever een apart wachtwoord voor root hoor... dan kun je "su" gebruiken en moet je dat wachtwoord weten.
Wat een bagatellisering weer. Ik heb hier de grootste oorlog over gemaakt met het team van rPi. Maar het interesseert ze allemaal geen ene reet!
Aantoonbaar onjuist. Want als dat juist was, dan hadden ze alles bij het oude gelaten.Door Anoniem:
dat is niet alleen bij Pi OS maar ook bij Ubuntu de "normale manier van werken".
Maar wel met het wachtwoord van een gebruiker.Door Anoniem:
Wat wel problematisch is bij PIOS dat de default gebruiker geen wacht woord hoeft in te voeren bij sudo.
Ja dat hele "root heeft geen wachtwoord en de gewone gebruiker mag sudo doen" dat vind ik zo'n DOM idee, maarWat wel problematisch is bij PIOS dat de default gebruiker geen wacht woord hoeft in te voeren bij sudo.
dat is niet alleen bij Pi OS maar ook bij Ubuntu de "normale manier van werken".
Daarom zie je ook overal die handleidingen voor Linux waar voor ieder commando het woordje sudo staat.
M.i. de enige juiste manier om iemand root te maken of slechts de beschikking geven over een aantal commando's die per se verhoogde rechten vereisen.
Door Rexodus: Wat een bagatellisering weer. Ik heb hier de grootste oorlog over gemaakt met het team van rPi. Maar het interesseert ze allemaal geen ene reet! "Security is not our problem. This is an experimental board" zeiden ze. "Not a server". En daar mocht ik het mee doen.
Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Ik de ontwikkelaars van de Raspberry wel, de Raspberry Pi is ooit ontwikkelt met de gedachte van een goedkoop computertje voor ontwikkeldoeleinden. Allerlei creatievelingen zijn deze Pi's gaan inzetten voor (semi)productiewerk. Op zich kan dat, maar dan moet je gewoon zelf organiseren dat je de beveiliging (en eventueel andere aspecten) zelf goed organiseert.Dus, wil je je rPi als server gebruiken, zorg dat je wat anders doet dan Raspbian want het boeit ze geen ene meter.
Specifieker: Apache is daar jaren lang lek geweest (en wellicht nog). Ik heb ze daarop gewezen, maar het boeide dus niet. Sindsdien draai ik dat ding niet meer in mijn LAN met een portforward naar buiten. Onverantwoord gewoon. Raspberry Pi is gewoon een gateway van buiten naar binnen.
Dus dat ze nu de standaard user weghalen heeft eerder te maken met dreigementen van boze gebruikers dat ze het nu eindelijk eens anders moet dan met voorzichtigheid van hun kant.
Door Anoniem:
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Heb je wel eens een toetsenbord en monitor aangesloten? Kan je zo inloggen met pi en het default wachtwoord (tenzij dat wel handmatig is aangepast)Door gradje71: Dat was natuurlijk niet zo slim van ze om een standaard gebruikersnaam en wachtwoord in te stellen. Dat is gewoon vragen om problemen. Gelukkig hebben ze erover nagedacht en met een oplossing gekomen. Het grote probleem wat ze nu hebben dat is de leverantie van die hardware. Ik wacht al meer dan een half jaar op één. En misschien een grote update die de desktop pc zou kunnen verslaan, dat zou ook heel leuk zijn. Denk bv aan de Apple M1.
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Door Anoniem:
Door Anoniem:
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Heb je wel eens een toetsenbord en monitor aangesloten? Kan je zo inloggen met pi en het default wachtwoord (tenzij dat wel handmatig is aangepast)Door gradje71: Dat was natuurlijk niet zo slim van ze om een standaard gebruikersnaam en wachtwoord in te stellen. Dat is gewoon vragen om problemen. Gelukkig hebben ze erover nagedacht en met een oplossing gekomen. Het grote probleem wat ze nu hebben dat is de leverantie van die hardware. Ik wacht al meer dan een half jaar op één. En misschien een grote update die de desktop pc zou kunnen verslaan, dat zou ook heel leuk zijn. Denk bv aan de Apple M1.
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Doe niet zo neerbuigend met je vraag of ik wel eens een toetsenbord aangesloten heb.
Als je fysiek bij het apparaat kan kan je alles aanpassen zonder naam of wachtwoord, wat vindt je daarvan?
Door Anoniem:
Door Anoniem:
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Heb je wel eens een toetsenbord en monitor aangesloten? Kan je zo inloggen met pi en het default wachtwoord (tenzij dat wel handmatig is aangepast)Door gradje71: Dat was natuurlijk niet zo slim van ze om een standaard gebruikersnaam en wachtwoord in te stellen. Dat is gewoon vragen om problemen. Gelukkig hebben ze erover nagedacht en met een oplossing gekomen. Het grote probleem wat ze nu hebben dat is de leverantie van die hardware. Ik wacht al meer dan een half jaar op één. En misschien een grote update die de desktop pc zou kunnen verslaan, dat zou ook heel leuk zijn. Denk bv aan de Apple M1.
Lulkoek, een standaard gebruiker is geen enkel probleem aangezien er default geen enkele login service (ssh/vnc o.i.d.) aan staat. Je kan dus helemaal niet inloggen als user 'pi'.
Het probleem zit hem in de laksigheid van mensen om de instructies niet te volgen.
Default PIOS Lite installatie vraagt om een nieuwe gebruiker aan te maken en logt automatisch in met dat account, vervolgens kan je met 'sudo -i ' root worden zonder password. Mij ontgaat de logica om een andere gebruiker dan PI aan te maken hiermee volledig.
12-04-2022, 14:49 door
linuxpro
Vergeet niet dat als je als root commando's uitvoert en niets gelogd wordt, als als gebruiker commando's via sudo aftrapt is dit echter uitstekend te loggen en dus terug te halen wie wat gedaan heeft. En dat is in de grote mensenwereld tegenwoordig een standaard audit/security eis.
En als fysiek toegang hebt tot een pi of server is niets meer veilig, dat is jaren een non-discussie.
En als fysiek toegang hebt tot een pi of server is niets meer veilig, dat is jaren een non-discussie.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
