Wie erstelle ich einen neuen Benutzer?

28

Gibt es Sicherheitsrisiken beim Erstellen (oder Nichterstellen) eines neuen Benutzers?

Wie erstelle ich gegebenenfalls einen neuen Benutzer oder ändere den Standardbenutzer?

operating-systems setup security Andrew Fogg
quelle
Ganz wie du willst. Beim Erstellen eines neuen Benutzers treten keine Sicherheitsprobleme auf. Persönlich würde ich es sofort in meinen eigenen Namen ändern.
Jivings
Ist das Debian-spezifisch? Wird Arch mit einem Standardbenutzer ausgeliefert?
Alex Chamberlain
@ AlexChamberlain: Arch hat nur Wurzel. Sie müssen zusätzliche Benutzer anlegen.
Jivings
In jedem Fall ist dies spezifisch für die Software, nicht für den PI, und sollte wirklich im Titel enthalten sein.
XTL

Antworten:

22

Debian

Die offiziellen Debian Bild Schiffe mit mindestens zwei Benutzern, rootund pi. Sie können sich nur bei dem piKonto anmelden .

Wie ändere ich pidas Passwort?

Zumindest sollten Sie das Passwort für das piKonto ändern , da sich jeder mit einem RPi bei Ihnen anmelden kann. Führen Sie dazu passwdvon der Befehlszeile aus und befolgen Sie die Anweisungen.

Wie ändere ich piden Benutzernamen?

Wenn Sie, wie ich, Ihren eigenen Namen verwenden möchten, möchten Sie ihn folgendermaßen verwenden usermod:

usermod -l newname -d newname -m oldname

Es gibt weitere Optionen für usermod, die durch Ausführen gefunden werden können man usermod.

Soll ich ein Passwort für einrichten root?

Debian roothat kein Passwort und ist inaktiv - Sie können sich nicht daran oder sudaran anmelden root. Sie sollten dies nicht ändern, da dies ein Sicherheitsrisiko darstellt und sudosicherer ist.

Sind meine Dateien sicher, wenn ich das Passwort ändere?

Seien Sie jedoch nicht zu entspannt mit der Sicherheit Ihres RPi, da das Dateisystem standardmäßig nicht verschlüsselt ist und daher jeder mit physischem Zugriff die SD-Karte einfach herausnehmen und auf einem anderen Computer lesen kann.

Verwandte Fragen

Alex Chamberlain
quelle
usermodantwortet, user pi is currently used by process 10190wenn ich laufe usermod -l morgan -d morgan -m pi(Prozess 10190 ist bash, die Shell, die ich laufe ). Ich kann mich nicht einloggen, rootda ich das Passwort nicht kenne. Muss ein temporärer Benutzer erstellt werden, um den piBenutzernamen des Benutzers zu ändern ?
Morgan Courbet
2
@Morgan Legen Sie das Kennwort für rootdurch Ausführen fest sudo passwd.
Alex Chamberlain
18

Bogen

Eine neue Arch-Installation wird nur mit dem verfügbaren Root-Benutzer ausgeliefert. Sie sollten also auf jeden Fall einen neuen Benutzer anlegen, da es gefährlich ist, zu viel Zeit als root zu verbringen. Darüber hinaus sollten Sie auch das Root-Passwort ändern, da die Standardeinstellung ein erhebliches Sicherheitsrisiko darstellt.

Ändern des root-Passworts

Das Passwort kann geändert werden, wenn Sie als root angemeldet sind, indem Sie den passwdBefehl ausführen.

# passwd
Changing password for root.
(current) UNIX password: 
Enter new UNIX password:
Retype new UNIX password:

Neuen Benutzer hinzufügen

Mit den Befehlen adduseroder kann ein neuer Benutzer angelegt useraddwerden. adduserist wahrscheinlich am einfachsten, das einzige erforderliche Feld ist der Name (Sie können die anderen Felder überspringen, indem Sie die Eingabetaste drücken):

# adduser
Login name for new user []:

Sie werden aufgefordert, ein neues Kennwort für das Konto einzugeben, wenn es erstellt wird.

sudo

Wenn Sie es vorziehen, können Sie sudoauf ähnliche Weise wie Debian-Benutzer verwenden.

Installation

Führen Sie zum Installieren von sudo Folgendes aus

pacman -S sudo

als root.

Verwenden

Damit ein Benutzer sie verwenden kann, muss sudosie der sudoers-Datei hinzugefügt werden. Dies kann auf zwei Arten erfolgen.

  • Fügen Sie den Benutzer der wheelGruppe hinzu, indem Sie usermoddiese Zeile in der sudoers-Datei verwenden und auskommentieren:

    %wheel ALL=(ALL) ALL

  • oder fügen Sie den Benutzer direkt zur sudoers-Datei hinzu:

    username ALL=(ALL) ALL

HINWEIS Sie sollten die sudoers-Datei niemals mit Vim, Emacs usw. bearbeiten . Sie sollten sie immer über bearbeiten visudo. Dies verhindert, dass Sie die Syntax durcheinander bringen und sudofür Sie unbrauchbar machen.

Root deaktivieren

Wenn Sie möchten, können Sie das Root-Konto effektiv deaktivieren, indem Sie diesen Befehl als root ausführen:

# passwd --lock

Diese Option deaktiviert ein Kennwort, indem es in einen Wert geändert wird, der keinem möglichen verschlüsselten Wert entspricht.

Dies sollte eigentlich nicht erforderlich sein, wenn Sie ein starkes Root-Passwort haben und den Root-Zugriff über SSH deaktiviert haben.

Jivings
quelle
Funktioniert sowohl mit Raspian als auch mit Arch. Als du.
Marc
7

Extra Trick auf Himbeer mit usermod

usermod Befehl wird nicht ausgeführt, wenn auf dem Computer Prozesse des zu ändernden Benutzers ausgeführt werden, wenn der Befehl ausgeführt wird.

Wenn Sie auf der Konsole des pi sind, können Sie dies umgehen, ohne dass Sie einen anderen Benutzer einrichten müssen (oder ein pw auf root setzen müssen):

Angenommen, mit Ihrem Benutzernamen wird nichts anderes ausgeführt als die Shell auf der Konsole - keine X-Sitzung, kein SSH-Login usw.:

exec sudo -s
cd /
usermod -l newname -d /home/newname -m oldname

Der Grund dafür ist:

  • sudo -ssagt, sudodass, anstatt nur auf Befehl als ein anderer Benutzer ausgeführt zu werden, eine neue Shell als der angegebene Benutzer ausgeführt werden soll
  • execteilt der Shell mit, dass beim Ausführen eines Befehls kein neuer Prozess gestartet werden soll (wodurch der Shell-Prozess als angemeldeter Benutzer ausgeführt wird), und dass die Shell sich selbst mit dem neuen Prozess überschreiben soll. Dies bedeutet, dass execdie Shell beim Beenden des Befehls ed nicht mehr vorhanden ist - Im Fall einer Anmeldeshell, die dem Trennen der Anmeldung entspricht
  • Das cd /ist optional. Zumindest werden die Dinge etwas verwirrend, wenn Sie ein Verzeichnis nach innen verschieben (Ihr Login beginnt im Benutzerverzeichnis nach piHause), aber manchmal schlägt dies fehl, besser in Sicherheit als in Verzeihung.

exec sudo -sÜberschreiben Sie daher Ihre Shell mit einer neuen Shell, die als anderer Benutzer angelegt wurde.

PS wird sicher gibt usermod -deinen vollständigen Pfad oder Sie werden das irgendwo zu Hause Konto bewegen am Ende Sie nicht erwarten (und haben einen falschen Verzeichniseintrag in passwd)

Mike Lutz
quelle
6

So fügen Sie einen neuen Benutzer in raspbian hinzu:

sudo useradd -m -G pi,sudo,gpio,audio,video steve

Dann:

sudo passwd steve

Erklärung:

-m - Erstellen Sie ein neues Home-Verzeichnis

-G group1,group2,group3- Fügen Sie den Benutzer zu diesen Gruppen hinzu. Fügen Sie ihn nicht hinzu, sudowenn Sie nicht möchten, dass der Benutzer über Sudo-Berechtigungen verfügt.

steve - Name des neuen Benutzers

passwd - Linux benötigt ein Passwort, um sich anzumelden.

Theoremiser
quelle
sehr hilfreich für mich! Prost Epische Person
Clement
Die -GOption scheint nicht mehr zu funktionieren. Bei der Verwendung wird jeweils -groupnur eine Gruppe zugelassen.
Krawatten
Die Option -groupändert die anfängliche Anmeldegruppe in die angegebene Zeichenfolge. -G legt eine Liste der Gruppen fest, in denen sich der Benutzer befindet.
Theoremiser
2

Ich habe ein paar Anleitungen dazu gelesen, aber die einfachste ist auch die einfachste

Einloggen als pi,

So fügen Sie einen neuen Benutzer hinzu:

 sudo adduser john

Nach erfolgreicher Erstellung johnzur sudoersGruppe hinzufügen

 sudo usermod john -g sudo

Ausloggen:

logout

Anmelden als john

Paketlisten aktualisieren:

 sudo apt-get update

Wenn es funktioniert, sind Sie fertig ...

tediffer3rd
quelle
Was ist, wenn er Arch benutzt?
Impulss
Nach dem Ausführen von "sudo adduser guest", "passed" und dem Erstellen des Ordners / home / guest habe ich einen arbeitenden Gastbenutzer. Wenn ich mich jedoch als dieser Benutzer anmelde, wird die .bashrc-Datei in / home / guest anscheinend nicht ausgeführt. Ich habe .bashrc manuell erstellt und ihm die Ausführungsberechtigung erteilt. Fehlt noch etwas?
mvmn
PS OK, ich habe es selbst gelöst - .bashrc wurde von .profile bezogen, und .profile gab es für neue Benutzer nicht.
mvmn
Es sollte mit dem Argument aufgerufen werden -G, da das Argument die anfängliche Anmeldegruppe festlegt und keine Gruppe zur Liste hinzufügt.
Theoremiser