Как удалить дефолтного пользователя PI

Posted by

По соображениям безопасности выдвигаемым к обустройству своей локальной сети и располагаемым сервисам я предпринимаю отчаянные меры, такие как:

  • Скрытие заголовков сервисов
  • Включение в работу брандмауэра и разбор только тех портов которые нужны только для используемых сервисов
  • Сложные пароли
  • Проработка процедуры восстановления сервисов
  • Доступ только по ключам и с доверенных адресов.

Но вот когда в моей сети появился миникомпьютер с сервисом MotionEye выставленным в интернет, чтобы я мог удаленно смотреть за деятельностью вокруг своего дома с участком, до меня ни зашло. Ведь можно же использовать для административного подключения не учетную запись pi, а вообще же любую, а вот дефолтную по умолчанию желательно удалить.

На заметку: используемая на замену учетная запись и пароль здесь это только для заметки.

Вот как это сделать и пойдет речь в текущей заметке, как всегда, моя система настроенная по соответствующей заметке.

Вот группы в которых состоит дефолтная учетная запись pi:

pi@raspberrypi:~ $ cat /etc/group | grep pi

adm:x:4:pi

dialout:x:20:pi

cdrom:x:24:pi

sudo:x:27:pi

audio:x:29:pi,pulse

video:x:44:pi

plugdev:x:46:pi

games:x:60:pi

users:x:100:pi

input:x:101:pi

netdev:x:108:pi

pi:x:1000:

spi:x:999:pi

i2c:x:998:pi

gpio:x:997:pi

Создаю учетную запись которая будет использоваться, как замена дефолтной.

pi@raspberrypi:~ $ sudo useradd -m -G

adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,input,netdev,spi,i2c,gpio ekzorchik

pi@raspberrypi:~ $ sudo passwd ekzorchik

Enter new UNIX password:

Retype new UNIX password:

passwd: password updated successfully

Теперь чтобы система автоматически загружалась в новую учетную запись (при GUI загрузке):

pi@raspberrypi:~ $ sudo nano /etc/systemd/system/getty.target.wants/getty@tty1.service

#ExecStart=-/sbin/agetty --autologin pi --noclear %I $TERM

ExecStart=-/sbin/agetty --autologin ekzorchik --noclear %I $TERM

pi@raspberrypi:~ $ sudo reboot

После уже подключаюсь через SSH клиент к Raspberry Pi 3 Model B с применением созданной учетной записи:

ekzorchik@navy:~$ ssh -l ekzorchik 192.168.1.124

ekzorchik@192.168.1.124's password: 712mbddr@

The programs included with the Debian GNU/Linux system are free software;

the exact distribution terms for each program are described in the

individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent

permitted by applicable law.

Last login: Sun Mar 12 20:36:51 2017

ekzorchik@raspberrypi:~ $

Отлично, теперь нужно удалить какое-либо упоминание об дефолтной учетной записи pi:

ekzorchik@raspberrypi:~ $ sudo deluser --remove-all-files pi

Еще раз перезагружаюсь:

ekzorchik@raspberrypi:~ $ sudo reboot

А после подключившись по VNC проверяю, какая дефолтная учетная запись сейчас, но вот в чем загвоздка, система автоматически не загрузилась, в смысле автологон не произведен:

AutoLogon не произведен в Raspberry Pi 3 Model B

Значит чего-то не хватает, исправляю это дело:

ekzorchik@raspberrypi:~ $ sudo raspi-config

«Boot Options» → «Desktop / CLI» → входим в «Console Autologin»

«Boot Options» → «Desktop / CLI» → входим в «Desktop Autologin»

После выходим Finish, Would you like to reboot now? = No

Created symlink from /etc/systemd/system/default.target to /lib/systemd/system/graphical.target.

Removed symlink /etc/systemd/system/default.target.

Created symlink from /etc/systemd/system/default.target to /lib/systemd/system/multi-user.target.

ekzorchik@raspberrypi:~ $ sudo nano /etc/lightdm/lightdm.conf

#autologin-user=pi

autologin-user=ekzorchik

ekzorchik@raspberrypi:~ $ sudo reboot

После перезагрузки подключаюсь по VNC к миникомпьютеру Raspberry Pi 3 Model B и вижу, что произошел вход в систему под учетной записью ekzorchik без какого-либо окна ввода логина и пароля, хотя наверное лучше бы его оставить:

AutoLogon под созданной учетной запись в Raspbian произведенВообще хотелось бы отметить, что можно и оставить учетную запись pi, но изменить ей пароль соответствующей Вашей собственной политики сложности. А в дополнение создать, как я сделал выше свою и работать под ней.

На заметку: Чтобы отключить AutoLogin в систему, нужно закомментировать строку:

ekzorchik@raspberrypi:~ $ sudo nano /etc/lightdm/lightdm.conf

#autologin-user=ekzorchik

ekzorchik@raspberrypi:~ $ sudo /etc/init.d/lightdm stop

[ ok ] Stopping lightdm (via systemctl): lightdm.service.

ekzorchik@raspberrypi:~ $ sudo /etc/init.d/lightdm start

[ ok ] Starting lightdm (via systemctl): lightdm.service.

Если AutoLogon не найстроен, то система будет грузиться до выбора под каким пользователем авторизоваться в системеВсе выше применимо к:

ekzorchik@raspberrypi:~ $ uname -a && lsb_release -a

Linux raspberrypi 4.9.13-v7+ #974 SMP Wed Mar 1 20:09:48 GMT 2017 armv7l GNU/Linux

No LSB modules are available.

Distributor ID: Raspbian

Description: Raspbian GNU/Linux 8.0 (jessie)

Release: 8.0

Codename: jessie

Отлично, я для себя разобрал что меня интересовало. И поэтому считаю данную заметку выполненной в полной мере. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.