Raspberry Pi OS wird sicherer

Wenn ich so im WWW unterwegs bin, dann suche ich immer nach Inspiration für neue Projekte, lese aber auch gerne die Technik-News von verschiedenen Seiten. Dazu zählt als Programmierer und Entwickler zum einen heise.de, aber auch andere Seiten, wie z.B. der Newsblog der Raspberry Pi Foundation. Gerade bei letzterem sind interessante News am 07. April 2022 erschienen, welchen ich an dieser Stelle kurz erläutern möchte und erklären werde, warum diese News mich tatsächlich so glücklich gemacht hat.

Was steht in den News

Da vllt. der ein oder andere Leser unter Ihnen ist, der Englisch nur schwer versteht, eine kurze Zusammenfassung. Der Header der Nachricht verrät es schon, Raspberry Pi OS Bullseye hat ein größeres Update bekommen. Der Grundgedanken des Updates lag bei der IT-Sicherheit. Gerade Cyber-Attacken und Schwachstellen im Code nutzen Hacker aus, um Systeme zu kapern oder sensible Daten zu stehlen. An dieser Stelle bin ich schon einmal hellhörig geworden! Raspberry Pi OS ist ein sogenanntes Derivat von dem Linux-System Debian, welches in der Vergangenheit ziemlich flott bei der Behebung von Bugfixes und Patches von kritischen Schwachstellen war. Beim weiteren Lesen des Artikels geht es erstmal um eine generelle Schwachstelle vom Raspberry Pi, dem User und der häufigen Wahl eines unsicheren Passwortes. Mit einer Google-Suche findet man schnell den Standard-LogIn für Raspberry Pi OS heraus, nämlich User pi mit dem Passwort raspberry, was so erst einmal nicht schlimm ist. Nur übergehen viele Nutzer vom Raspberry Pi die Meldung, bitte das Kennwort zu ändern. So landet schnell ein einfach zu übernehmendes System im Netzwerk oder schlimmer im Internet, bei dem jeder die Logindaten kennt.

Daher hat man sich dazu entschieden, beim ersten Start vom Raspberry Pi OS nicht wie früher eine freundliche Meldung zum Wechsel des Passworts zu zeigen, sondern den Benutzer dazu zu zwingen, einen root-User samt Passwort selbst anzulegen. Was heißt das aber nun genau?

In erster Linie heißt das, den User pi mit dem Passwort raspberry gibt es mit dem neuesten Image nicht mehr. Vielmehr muss man nun, wie bei allen gängigen Betriebssystemen, einen Root- bzw. Administrator-User anzulegen.

Bevor nun die Panik bei Ihnen ausbricht, dass eine schon bestehende Installation irgendwie manipuliert wird, kann ich erst einmal beruhigen. Bei sechs Raspberry Pis, mit unterschiedlichen Aufgaben, habe ich das Update schon ausgeführt und es hat sich nichts verändert. Mein Benutzer pi, sowie das von mir gesetzte Passwort, sind noch da und alle Anwendungen, Skripte und Aufgaben laufen wie vorher. Also können Sie beruhigt das Update durchführen. Im Folgenden zeige ich die Methoden, wie Sie das neue Konto einrichten.

Der klassische Weg über die Oberfläche

Der erste Weg, der bei jeder klassischen Installation von z.B. Ubuntu erfolgt, ist das Anlegen eines solchen Root-Users mit Passwort. Bei dem Raspberry Pi ist das nicht anders, nur die grafische Aufbereitung ist im Stil von Raspberry Pi.

Zunächst begrüßt Sie der Raspberry Pi mit einem Willkommensbildschirm, siehe Abbildung 1.

Abbildung 1: Willkommensscreen des Pi

Abbildung 1: Willkommensscreen des Pi

Dieser ist auf Englisch, zeigt aber jetzt schon einmal, dass bei der Erstinbetriebnahme noch einige Dinge zu tun sind. Zunächst muss aber erst einmal die Ländereinstellung angepasst werden, Abbildung 2.

Abbildung 2: Die Ländereinstellung anpassen

Abbildung 2: Die Ländereinstellung anpassen

Bestätigen Sie die Eingaben mit „Next“ und dann kommt der Moment, in dem es für Sie interessant wird. Nun muss der Root-User angelegt werden. Früher war das die Kombination pi und raspberry, jetzt ist das Ihr Job, siehe Abbildung 3.

Denken Sie bitte an der Stelle daran, dass Ihr System nur so sicher ist, wie der gewählte User und das Passwort! Das BSI hat dafür eine eigene Website, wie ein sicheres Passwort genau aussehen sollte.

Abbildung 3: Root-User anlegen

Abbildung 3: Root-User anlegen

Danach kommen noch weitere Abfragen, wie z.B. die Einstellungen für das WiFi. Displayeinstellungen und das Update des Betriebssystems folgen dann noch. An der Stelle sei gesagt, dass der von Ihnen gewählte Benutzer die gleichen Einstellungen und Berechtigungen wie der alte User pi hat.

Nutzen Sie die Lite-Version des aktuellen Raspberry Pi OS, dann sehen Sie im Terminal die entsprechende Aufforderung zum Anlegen des Root-Kontos.

Der Weg über den Raspberry Pi Imager

Da das Image standardmäßig über den Raspberry Pi Imager erfolgt, kann man auch hier direkt die nötige Einstellung vornehmen. Dazu in die Einstellungen, Zahnrad unten rechts, auswählen und in dem folgenden Dialog wählen Sie die Kombination aus Benutzer und Passwort aus, siehe Abbildung 4.

Abbildung 4: Benutzer und Passwort via Raspberry Pi Imager

Abbildung 4: Benutzer und Passwort via Raspberry Pi Imager

Vergessen Sie bitte nicht an der entsprechenden Stelle auch den Haken zu setzen, damit die eingegebene Kombination aus Benutzer und Passwort akzeptiert wird.

User anlegen via userconf.txt

Sollten Sie das Image schon auf der SD-Karte oder dem USB-Stick haben, dann brauchen Sie jetzt nicht alles neu zu flashen, sondern es gibt einen einfacheren Weg dafür. Da die boot-Partition bei allen Betriebssystemen einsehbar ist, gerade bei Windows wichtig, kann hier die Datei userconf.txt angelegt werden. Darin muss der Username und das verschlüsselte Passwort wie folgt eingetragen werden, benutzer:encrypted- passwort. Knackpunkt dabei ist, dass das Passwort OpenSSL-verschlüsselt sein muss.

Nutzen Sie dazu auf einem laufenden Raspberry Pi das Kommando aus Code 1.

echo 'mypassword' | openssl passwd -6 -stdin

Code 1: Passwort mit OpenSSL verschlüsseln

Ersetzen Sie mypassword mit Ihrem Passwort und tragen Sie die Kombination in die Datei ein. In meinem Beispiel habe ich das in Abbildung 5 beispielhaft vorgenommen.

Abbildung 5: User / Passwort - Kombination in userconf-Datei

Abbildung 5: User / Passwort - Kombination in userconf-Datei

Die Datei wird, soweit ich das in meinen Tests gesehen habe, direkt nach dem Auslesen gelöscht.

Was gibt es sonst noch?

Neben dieser doch größeren Neuerung hat sich auch noch etwas unter der Haube getan. Zunächst das altbekannte Problem mit Bluetooth. In der Vergangenheit war es immer ein Problem, sofern die Bluetooth-Geräte nicht schon gepairt waren, sie an dem Pi zu nutzen. Jetzt ist es möglich das Pairing auch im Wizard durchzuführen, sobald das Raspberry Pi OS ein Bluetooth-Device erkennt. Auf der ersten Seite wird dazu eine entsprechende Nachricht angezeigt und ein Untermenü angeboten.

Um das neue Raspberry Pi OS zu erhalten, reicht der Befehl aus Code 2 aus. Es dauert zwar je nach Stand des Betriebssystems einen kurzen Moment, aber danach sollten Sie das neueste OS auf dem Raspberry Pi haben.

sudo apt update
sudo apt full-upgrade

Code 2: System komplett updaten

Sollten Sie nun den Wunsch verspüren, ihren Nutzer pi ändern zu wollen, gibt es mit dem Befehl aus Code 3 auch eine Möglichkeit, das zu tun.

sudo rename-user

Code 3: Benutzer pi umbenennen

Sie werden direkt im Anschluss gebeten, den Raspberry Pi neu zu starten, um dann den User wie aus dem oben erwähnten Wizard zu öffnen.

Zuletzt geht es in den News noch um die Alternative zum X-Server. Dieser heißt Wayland, muss aber entsprechend aktiviert werden. Der Server ist bisher rein experimentell, kann aber auf nicht produktiven Systemen schon jetzt getestet werden. Dazu kann ich aktuell leider noch nichts berichten, da ich alle meine aktuellen Raspberry Pis im produktiven Einsatz habe. Ich habe bisher wenig Negatives gelesen, allerdings scheint es noch diverse Bugs zu geben.

Möchten Sie Wayland nutzen und wurde das System von Ihnen von einer vorherigen Version upgedatet, so muss neben der Einstellung in raspi-config, auch noch Wayland auf dem OS installiert werden. Dies geschieht mittelt des Befehls aus Code 4.

sudo apt install rpi-wayland

Code 4: Wayland nachinstallieren

Mehr wichtige Informationen sind den News nicht zu entnehmen und ich hoffe, ich konnte Ihnen kompakt die wesentlichen Dinge erklären. Haben Sie schon das neue Raspberry Pi OS ausprobiert? Schreiben Sie gerne ihre Erfahrungen dazu in die Kommentare.

Grundlagen softwareRaspberry pi

5 commentaires

masterflai

masterflai

Alternativ die beiden Kommandos verbinden und mit einem Aufruf ausführen:

sudo apt update && sudo apt full-upgrade

Jörn Weise

Jörn Weise

Hallo Herr Mückner,
wenn ein Altsystem ein Update verpasst bekommt (auch das habe ich in einem Test versucht), gibt es keinerlei Probleme. Die Zugangsdaten werden nicht geändert oder blockiert.

Andreas Mückner

Andreas Mückner

Sehr interessant, vielen Dank!
Allerdings frage ich mich wie sich ein Altsystem mit Standard User und Passwort verhält. Sie haben bei Ihren Systemen bereits das Passwort vorher geändert wenn ich es richtig verstanden habe.

Andreas Wolter

Andreas Wolter

es sind zwei Befehle. Es fehlte ein Zeilenumbruch. Ich habe das korrigiert.

Grüße,
Andreas Wolter

Hans-Jürgen Kaufeld

Hans-Jürgen Kaufeld

sudo apt updatesudo apt full-upgrade

Funktioniert nicht

Laisser un commentaire

Tous les commentaires sont modérés avant d'être publiés