Bastelrechner: pi muss gehen und vereinfachte Nutzbarkeit in Raspberry Pi OS
Die Raspberry Pi-Macher haben im Standardnutzer pi ein Sicherheitsproblem erkannt. Deshalb muss er gehen. Weitere Verbesserungen vereinfachen die Nutzung.
(Bild: c't)
Das auf Debian 11 (Bullseye) basierende Raspberry Pi OS hat etwas Modellpflege erfahren. Am auffälligsten ist eine sicherheitsrelevante Änderung, die auch den Projekt-Machern sehr wichtig ist: Der Standardnutzer pi, der bislang immer angelegt wurde, fliegt raus. Weitere Änderungen sollen den Nutzern Vereinfachungen bringen, etwa die Anbindung von Bluetooth-Tastaturen und -Mäusen. Zudem können Interessierte schon mal auf eine frühe Version von Wayland schauen, das die Entwickler derzeit schrittweise in die Linux-Distribution einpassen.
Standardnutzer ade
Ein Standardnutzer, also ein auf allen Geräten mit diesem Betriebssystem vorhandenes Konto, stellt ein leicht erhöhtes Sicherheitsrisiko dar. Angreifer müssten lediglich das Passwort erraten, während heutzutage etwa Stand der Dinge ist, dass ein fehlerhafter Login-Versuch keine Rückschlüsse darauf zulässt, ob es das Konto überhaupt gibt oder ob lediglich das Passwort falsch eingegeben wurde. Zudem hätten einige Länder Gesetze erlassen, die Internet-verbundenen Geräten verbieten, Standard-Login-Daten zu implementieren. Die neue EU-Funkanlagenrichtlinie fordert so etwas unter anderem.
Um diese unnötige Vergrößerung der Angriffsfläche einzuhegen, haben die Raspberry-Pi-OS-Maintainer jetzt an mehreren Stellen Anpassungen vorgenommen. Nach dem ersten Start eines neu geflashten Raspberry Pis verlangt dieser, einen Benutzer und Passwort anzulegen – ganz so, wie man das von den meisten aktuellen Betriebssystemen kennt. Dazu haben die Entwickler den Installationswizard angepasst. Der dient etwa zur Einstellung der Systemsprache, fragte auch das Passwort ab und ließ sich auf dem ersten Dialog beenden. Der Assistent legt jetzt das Benutzerkonto an und lässt sich zudem nicht mehr abbrechen.
Natürlich können Nutzer so weiterhin den Nutzer pi anlegen, erhalten jetzt jedoch eine Warnung, dass das keine gute Idee ist. Ähnlich sieht es beim Raspberry Pi OS Lite-Image aus, das ohne Desktop-Umgebung auskommt. Beim ersten Start fragt es nach dem anzulegenden Benutzerkonto. Und ebenso macht es jetzt auch der Raspberry Pi Imager, wenn er eine Installation für den Headless-Betrieb ohne Monitor und Tastatur vorbereitet. Auch damit kann man ein Konto anlegen, das beim ersten Start am Desktop angemeldet wird.
Ein weiterer Weg wäre, mittels userconf- oder userconf.txt-Datei ein Konto beim ersten Start anlegen zu lassen. Dazu muss sie eine einzelne Zeile mit dem nutzernamen:verschlüsseltes_passwort-Paar enthalten. Das Passwort verschlüsselt bei Bedarf der Aufruf von echo 'mein_passwort' | openssl passwd -6 -stdin im Terminal – durch ein Leerzeichen vor dem echo-Befehl landet der Aufruf nicht in der Bash-History. Um bestehende Installationen etwas sicherer zu machen, hat das Projekt noch das Skript rename-user gebastelt. Damit lässt sich ein bestehendes Konto namens pi umbenennen. Dazu sollen Administratoren als pi angemeldet sein und sudo rename-user aufrufen. Das mündet in einen Neustart, wo sich dann Benutzername und Kennwort neu vergeben lassen. Nach einem weiteren Neustart sind dann Nutzer- und Verzeichnisnamen angepasst.
Wenn die eingesetzte Software sauber programmiert wurde, sollte das alles ohne Nebenwirkungen ablaufen. Manche Programme oder Projekte nutzen aber möglicherweise den hartkodierten Pfad /home/pi – dabei könnte es also zu Problemen kommen. Da sollten Nutzer gegebenenfalls rasch Korrekturen vornehmen.
Weitere Verbesserungen
Wo sie eh grade dabei waren, den Installationswizard anzupassen, wollten die Entwickler auch ein altes Problem angehen. Um Bluetooth-Tastaturen und -Mäuse zu nutzen, mussten Nutzer zunächst USB-Pendants anschließen und mit denen das Pairing mit der Bluetooth-Peripherie vornehmen. Das geht jetzt deutlich einfacher. Solange der Wizard auf der ersten Dialog-Seite stehen bleibt, sucht der nach paarungswilligen Bluetooth-Geräten und bindet diese automatisch an. Also müssen Nutzer künftig Bluetooth-Tastatur und -Maus lediglich in den Pairing-Modus versetzen und kurze Zeit warten, bis die Geräte auf dem Raspberry Pi nutzbar werden. Das funktioniert mit integriertem Bluetooth genauso wie mit extern angestöpselten Bluetooth-Dongles. Diese müssen lediglich vor dem Booten eingesteckt sein.
Weiterhin arbeiten die Raspberry-Pi-OS-Maintainer an dem Wechsel zu Wayland als Ersatz für das in die Jahre gekommene X-Window-System. Es soll künftig mehr Geschwindigkeit und Sicherheit liefern, befinde sich jedoch noch im frühen Status. Unter dem Bullseye-basierenden Raspberry Pi OS haben sie daher den Openbox-Window-Manager durch Mutter ersetzt, das bereits die Wayland-Protokolle beherrscht.
Diejenigen, die schon jetzt einen Blick auf die Zukunft von Raspberry Pi OS wagen wollen, gibt es die Möglichkeit, den experimentellen Wayland-Support zu aktivieren. Nach Aufruf von sudo raspi-config können sie in den erweiterten Einstellungen die Wayland-Option aktivieren. Nach einem Reboot ist dann das neue System aktiv, was aber optisch kaum auffallen soll. Im Terminal liefert der Aufruf von echo $XDG_SESSION_TYPE jedoch Klarheit, welches System derzeit läuft.
Das Raspberry-Pi-Projekt schreibt in seiner Ankündigung, dass noch vieles nicht richtig funktioniert. So lassen sich unter anderem keine Screenshots erstellen, die Bildschirmlupe läuft nicht, Remote-Desktop-Applications funktionieren nicht – ebenso wenig das Tool zum Einstellen der Bildschirmauflösung. Die Umsetzung von Wayland ist auch keine "reine" Version, da der Desktop noch auf X-Features wie die Anwendungskommunikation setze, die Wayland nicht unterstützt. Der Mutter-Window-Manager laufe als echte Wayland-Anwendung, alles andere jedoch unter XWayland. Dahinter verbirgt sich im Kern eine Implementierung von X, die Wayland zum Rendern der Grafik nutzt.
Aktualisierte Images können Interessierte auf der Download-Seite des Raspberry-Pi-Projekts herunterladen. Um bestehende Systeme auf den neuen Stand zu bringen, kann man auch einfach ein Terminal öffnen und dort eingeben:
sudo apt update sudo apt full-upgrade
Das user-rename-Skript wird auf einer Lite-Installation dadurch jedoch nicht automatisch nachinstalliert. Dies können Nutzer mittels
sudo apt install userconf-pi
nachholen. Denjenigen, die in einer bestehenden Installation das experimentelle Wayland installieren wollen, hilft der Befehl
sudo apt install rpi-wayland
weiter.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Update 11.04.2022 13:50 Uhr: Ergänzt, dass ein Leerzeichen vor einem Befehl diesen nicht in der Bash-History auftauchen lässt, wo Einbrecher andernfalls möglicherweise eine Klartextkopie des Passworts finden hätten können.
(dmk)
