Чи є якісь наслідки для безпеки для створення (або не створення) нового користувача?

Якщо потрібно, як створити нового користувача або змінити користувача за замовчуванням?

Debian

Офіційний образ Debian постачається щонайменше з двома користувачами rootта pi. Ви зможете лише увійти в piобліковий запис.

Як змінити piпароль?

Як мінімум, вам слід змінити пароль для piоблікового запису, оскільки будь-хто з RPi зможе увійти до вашого. Для цього запустіть passwdкомандний рядок і дотримуйтесь підказок.

Як змінити piім'я користувача?

Якщо, як я, ви хочете використовувати своє власне ім’я, ви хочете використовувати usermodтак:

usermod -l newname -d newname -m oldname

Існує більше варіантів usermod, які можна знайти, запустивши man usermod.

Чи потрібно встановити пароль root?

У Debian rootнемає пароля і неактивний - ви не можете ввійти в нього або suв нього root. Ви не повинні змінювати це, оскільки це ризик для безпеки і sudoє більш захищеним.

Отже, чи безпечні мої файли після зміни пароля?

Не будьте занадто розслабленими, захищаючи RPI, файлова система за замовчуванням не шифрується, і тому кожен, хто має фізичний доступ, може просто вийняти SD-карту та прочитати її на іншій машині.

Пов'язані питання

• Навіщо мені це робити sudo?

Арк

Свіжий Arch встановлює лише доступні користувачі root. Таким чином, ви обов'язково повинні створювати нового користувача, оскільки витрачати занадто багато часу, оскільки корінь небезпечний. Крім того, вам слід також змінити кореневий пароль, оскільки залишення за замовчуванням є головним ризиком для безпеки.

Зміна пароля root

Пароль можна змінити при вході в систему як root, виконавши passwdкоманду.

# passwd
Changing password for root.
(current) UNIX password: 
Enter new UNIX password:
Retype new UNIX password:

Додавання нового користувача

Новий користувач може бути створений за допомогою команд adduserабо useradd. adduserце, мабуть, найпростіше, єдине обов'язкове поле - це ім'я (ви можете пропустити інші, натиснувши клавішу Enter):

# adduser
Login name for new user []: 

Коли він буде створений, вам буде запропоновано новий пароль для облікового запису.

судо

Якщо ви хочете, ви можете використовувати sudoаналогічно до користувачів Debian.

Установка

Щоб встановити sudo, запустіть

pacman -S sudo

як корінь.

Використовуйте

Щоб дозволити користувачеві користуватися, sudoїх потрібно додати до файлу sudoers. Це можна зробити двома способами.

• Додайте користувача до wheelгрупи, використовуючи usermodта скаментуйте цей рядок у файлі sudoers:

  %wheel ALL=(ALL) ALL
  

• або додати користувача безпосередньо у файл sudoers:

  username ALL=(ALL) ALL
  

ПРИМІТКА Ніколи не слід редагувати файл sudoers за допомогою Vim, Emacs тощо. Ви завжди повинні редагувати його через visudo. Це не дозволяє вам зіпсувати синтаксис і зробити sudoнепридатним для вас.

Відключити корінь

Якщо ви хочете, ви можете ефективно вимкнути кореневий обліковий запис, виконавши цю команду як root:

# passwd --lock

Ця опція відключає пароль, змінюючи його на значення, яке не відповідає жодному можливому зашифрованому значенню.

Це насправді не повинно бути необхідним, якщо у вас надійний кореневий пароль та доступ до кореневого доступу через SSH відключений.

Додатковий трюк на Rasbian з usermod

usermod команда не запуститься, якщо на машині виконуються будь-які процеси, які потрібно змінити користувачеві, коли команда виконується.

Якщо у вас на консолі pi є спосіб обійти це, не вимагаючи іншого користувача (або встановити pw на root):

Якщо припустити, що нічого іншого не працює з вашим іменем користувача, крім оболонки на консолі - не X сеанс, не вхід в ssh тощо.

exec sudo -s
cd /
usermod -l newname -d /home/newname -m oldname

Причина цього працює:

• sudo -sповідомляє, sudoщо замість того, щоб просто запускати команду як інший користувач, він повинен запустити нову оболонку як даний користувач
• execповідомляє оболонці, що замість нерестування нового процесу, коли він виконує команду (отже, процес оболонки працює як користувач для входу), що оболонка повинна перезаписати себе новим процесом - це означає, що коли execкоманда ed закінчується, оболонка піде - у випадку оболонки входу, яка прирівнюється до відключення від входу
• cd /НЕ є обов'язковим. Як мінімум, речі стають дещо заплутаними, якщо ви перемістите дір вхід (ваш логін починає сидіти в piдомашньому режимі користувача ), але іноді це спричинить збій, краще безпечно, тоді вибачте.

Для цього exec sudo -sперезаписуючи оболонку новою оболонкою, створеною як інший користувач.

PS бути впевнені , щоб дати usermod -dбільш повний шлях або ви в кінцевому підсумку рухатися додому в акаунті, щоб де - то ви не очікували (і є запис підроблений каталогу в passwd)

Щоб додати нового користувача в raspbian:

sudo useradd -m -G pi,sudo,gpio,audio,video steve

Потім:

sudo passwd steve

Пояснення:

-m - Створіть новий домашній каталог

-G group1,group2,group3- Додайте користувача до цих груп, не додайте, sudoякщо ви не хочете, щоб у користувача були привілеї sudo.

steve - Ім'я нового користувача

passwd - Linux потрібен пароль для входу, тому встановіть пароль.

Я читав купу способів з цього приводу, але найпростіший - також найпростіший

Увійти як pi,

Щоб додати нового користувача:

 sudo adduser john

Після успішного створення додайте johnдо sudoersгрупи

 sudo usermod john -g sudo

Вийти:

logout

Увійти як john

Оновити списки пакетів:

 sudo apt-get update

Якщо це працює, ви закінчили ...