„Pi“ gibt es nicht mehr: Raspberry Pi OS verzichtet aus Sicherheitsgründen auf ein langjähriges Benutzerkonto

Seit seiner Einführung verfügt das Raspberry Pi-Betriebssystem (und die meisten darauf basierenden Betriebssysteme) über ein standardmäßiges „pi“-Benutzerkonto, sodass der Pi einfach hochfahren und loslegen kann, ohne das Gerät an einen Monitor anschließen oder gehen zu müssen durch einen mehrstufigen Einrichtungsprozess. Ab heute ändert sich dies jedoch: Bei Neuinstallationen des Raspberry Pi-Betriebssystems wird dieses Benutzerkonto aus Sicherheits- und Regulierungsgründen standardmäßig entfernt.

Simon Long, Softwareentwickler der Raspberry Pi Foundation, erklärt den Gedankengang in diesem Blogbeitrag .

„[Das ‚pi‘-Benutzerkonto] hat das Potenzial, einen Brute-Force-Angriff etwas einfacher zu machen, und als Reaktion darauf führen einige Länder jetzt Gesetze ein, die verhindern, dass jedes mit dem Internet verbundene Gerät Standard-Anmeldeinformationen verwendet.“ er schreibt..

Dieser Schritt wird die Sicherheit des Pi-Betriebssystems verbessern. Selbst wenn man dem „pi“-Konto ein gutes Passwort zugewiesen hat, konnten Angreifer früher davon ausgehen, dass die meisten Raspberry Pi-Boards den „pi“-Benutzernamen verwenden. Bei vielen Pi OS-basierten Betriebssystemen ist das „pi“-Benutzerkonto standardmäßig aktiviert und völlig passwortlos, sodass zunächst zusätzliche Schritte erforderlich sind, um ein Passwortkonto zuzuweisen.

Andererseits kann diese Änderung dazu führen, dass einige Programme und Skripte beschädigt werden, insbesondere solche, die für die Verwendung des „pi“-Benutzerkontos und des Home-Ordners fest programmiert sind. Gut funktionierende Software verwendet Variablen anstelle fest codierter Ordnernamen, sodass sie unabhängig vom verwendeten Benutzerkonto gleich funktionieren. Aber die Beliebtheit des Pi bei Indie- und Hobby-Entwicklern bedeutet, dass Sie hier und da wahrscheinlich auf Probleme stoßen werden. Es ist auch möglich, dass Distributionen, die auf dem Pi-Betriebssystem basieren, weiterhin das „pi“-Konto verwenden und sich dafür entscheiden, nicht dem Beispiel der Pi Foundation bei der Implementierung neuer Sicherheitspraktiken zu folgen.

Das Entfernen des Standardbenutzerkontos erforderte mehrere weitere Änderungen am Betriebssystem und seinen Tools. Wie die meisten anderen Betriebssysteme bootet das Raspberry Pi OS jetzt beim ersten Start in einen speziellen Setup-Modus, anstatt den Setup-Assistenten als Anwendung in einer normalen Desktop-Umgebung auszuführen. Und dieser Setup-Assistent fordert Sie jetzt auf, einen Benutzernamen und ein Passwort zu erstellen, anstatt nur dem Standard-Benutzerkonto „pi“ ein Passwort zuzuweisen. Um die Einrichtung zu vereinfachen, kann der Assistent jetzt eine Bluetooth-Tastatur und -Maus koppeln, ohne zuerst ein USB-Zubehör anzuschließen.

Viele Pi-Softwaredistributionen laufen ohne angeschlossenen Monitor, und das Tool Pi Imager ermöglicht dies auch. Sie können einen Benutzernamen und ein Passwort erstellen, bevor Sie Ihr Betriebssystem auf die SD-Karte schreiben. Dadurch kann Pi OS den Setup-Assistenten umgehen und direkt vom Desktop oder der Befehlszeile starten, wie es derzeit der Fall ist. Das gleiche Ergebnis wird durch das Erstellen einer Textdatei auf der Bootpartition der SD-Karte mit einem verschlüsselten Passwort erzielt.

Die neue Version des Pi OS enthält nicht viele neue Funktionen, bietet aber experimentelle Unterstützung für das Wayland-Anzeigeserverprotokoll, das viele (aber nicht alle) Funktionen des alten X Window Systems ersetzen und „wahrscheinlich die Zukunft von“ sein könnte Desktop-Linux“, schreibt Long. Aber die meisten Leute können und sollten Wayland auf dem Pi OS vorerst ignorieren, da es ausdrücklich als „experimentell“ gekennzeichnet ist und „viele Funktionen von Wayland noch nicht unterstützt werden“.