Разработчики Raspberry Pi обновили свою ОС, удалив из нее пользователя по умолчанию — pi. Эта мера призвана усложнить жизнь злоумышленникам, чтобы им было сложнее взламывать устройства, доступные через интернет, с использованием брутфорса и учетных данных по умолчанию.
Теперь при установке ОС пользователю предложат создать учетную запись, выбрав имя пользователя и пароль, хотя раньше установщик запрашивал только пользовательский пароль. Пропустить этот шаг больше не получится, тогда как раньше можно было нажать «Отмена» и использовались учетные данные по умолчанию: pi/raspberry. Хотя пользователи по-прежнему смогут использовать pi/raspberry в качестве логина и пароля, система предупредит их, что это не слишком разумный выбор.
«Мы не избавляемся от пользователя pi в существующих установках. Мы не запрещаем никому использовать pi и raspberry качестве имени пользователя и пароля при новой установке, — рассказывают разработчики. — Мы лишь помогаем людям, которые заботятся о безопасности, не иметь пользователя pi по умолчанию. Об этом люди просили уже давно».
При первой загрузке образа Raspberry Pi OS Lite пользователю так же будет предложено создать новую учетную запись. Если же нужно запустить headless-вариацию Raspberry Pi, перед загрузкой ОС можно установить имя пользователя и пароль (в диалоговом окне «Настройки» перед записью образа) или добавив в загрузочный раздел файл userconf, содержащий учетные данные в формате username:зашифрованные-пароль.
«Это не такая уж слабость, ведь простое знание имени пользователя не сильно поможет, если кто-то захочет взломать вашу систему. К тому же, им потребуется знать и ваш пароль, а вам нужно будет предварительно разрешить некоторые формы удаленного доступа, — пишут разработчики. — Тем не менее, потенциально это позволяет упростить брутфорс-атаку, и в ответ на это некоторые страны сейчас вводят законы, запрещающие любому устройству, подключенному к интернету, использовать учетные данные для входа по умолчанию».