Raspberry Pi verwijdert standaardgebruiker uit besturingssysteem

zaterdag 9 april 2022

Raspberry Pi heeft besloten om de standaardgebruiker die in Raspberry Pi OS aanwezig is te verwijderen. Dit moet bruteforce-aanvallen lastiger maken en is tevens een reactie op wetgeving in verschillende landen. Tot nu toe beschikte elke installatie van Raspberry Pi OS over een standaardgebruiker genaamd “pi”. Volgens de ontwikkelaars is dit eigenlijk geen probleem, aangezien een aanvaller ook over een wachtwoord moet beschikken om in te kunnen loggen.

Daarnaast zou de Raspberry Pi-computer vanaf het internet voor de aanvaller toegankelijk moeten zijn. Toch kan de aanwezigheid van de standaardgebruiker bruteforce-aanvallen iets eenvoudiger maken, zegt Simon Long van Raspberry Pi. Vanwege de kwetsbaarheid van Internet of Things-apparaten zijn verschillende landen bezig met wetgeving die de aanwezigheid van standaard inloggegevens verbiedt.

Daarop heeft Raspberry Pi besloten om in de nieuwste versie van Raspberry Pi OS de standaardgebruiker te verwijderen. Wanneer gebruikers voor de eerste keer Raspberry Pi OS starten moeten ze een gebruiker aanmaken. Pas na het aanmaken van deze gebruiker is het mogelijk om applicaties te starten. Voor gebruikers die Raspberry Pi OS “headless” gebruiken, waarbij er geen wizard wordt getoond, is het mogelijk om via de Raspberry Pi Imager-tool van tevoren een gebruiker aan te maken.


Lees verder bij de bron op Raspberrypi.com

Up until now, all installs of Raspberry Pi OS have had a default user called “pi”. This isn’t that much of a weakness – just knowing a valid user name doesn’t really help much if someone wants to hack into your system; they would also need to know your password, and you’d need to have enabled some form of remote access in the first place. But nonetheless, it could potentially make a brute-force attack slightly easier, and in response to this, some countries are now introducing legislation to forbid any Internet-connected device from having default login credentials.

So with this latest release, the default “pi” user is being removed, and instead you will create a user the first time you boot a newly-flashed Raspberry Pi OS image. This is in line with the way most operating systems work nowadays, and, while it may cause a few issues where software (and documentation) assumes the existence of the “pi” user, it feels like a sensible change to make at this point.

Source Raspberrypi.com