Comment créer un nouvel utilisateur?

28

Y a-t-il des implications de sécurité pour créer (ou ne pas créer) un nouvel utilisateur?

Si besoin est, comment créer un nouvel utilisateur ou modifier l'utilisateur par défaut?

operating-systems setup security Andrew Fogg
la source
À vous de voir. Il n'y a aucun problème de sécurité lors de la création d'un nouvel utilisateur. Personnellement, je le changerais immédiatement en mon propre nom.
Jivings
Est-ce que Debian est spécifique? Arch est-il livré avec un utilisateur par défaut?
Alex Chamberlain
@AlexChamberlain: Arch n'a que root. Vous devez créer des utilisateurs supplémentaires.
Jivings
Quoi qu'il en soit, c'est vraiment spécifique au logiciel, pas au PI et devrait vraiment être dans le titre.
XTL

Réponses:

22

Debian

L'image Debian officielle est livrée avec au moins 2 utilisateurs, rootet pi. Vous ne pourrez vous connecter qu'au picompte.

Comment changer pile mot de passe de?

À tout le moins, vous devez modifier le mot de passe du picompte, car toute personne possédant un RPi pourra se connecter au vôtre. Pour ce faire, exécutez à passwdpartir de la ligne de commande et suivez les invites.

Comment changer pile nom d'utilisateur de?

Si, comme moi, vous souhaitez utiliser votre propre nom, vous souhaitez utiliser usermodcomme ceci:

usermod -l newname -d newname -m oldname

Il y a plus d'options pour usermod, qui peuvent être trouvées en exécutant man usermod.

Dois-je définir un mot de passe root?

Debian rootn'a pas de mot de passe et est inactif - vous ne pouvez pas vous y connecter ou y suaccéder root. Vous ne devriez pas changer cela, car c'est un risque pour la sécurité et sudoc'est plus sûr.

Alors, mes fichiers sont-ils sécurisés une fois que j'ai changé le mot de passe?

Cependant, ne soyez pas trop détendu avec la sécurité de votre RPi, le système de fichiers n'est pas chiffré par défaut, et par conséquent, toute personne disposant d'un accès physique peut simplement retirer la carte SD et la lire sur une autre machine.

Questions connexes

Alex Chamberlain
la source
usermodrépond user pi is currently used by process 10190lorsque usermod -l morgan -d morgan -m pij'exécute (le processus 10190 est bash, le shell que j'exécute ). Je ne peux pas me connecter rootcar je ne connais pas son mot de passe. Est-il nécessaire de créer un utilisateur temporaire pour changer le pinom d'utilisateur de?
Morgan Courbet
2
@Morgan Définissez le mot de passe rooten exécutant sudo passwd.
Alex Chamberlain
18

Cambre

Une nouvelle installation Arch est livrée avec uniquement l'utilisateur root disponible. Ainsi, vous devriez certainement créer un nouvel utilisateur, car passer trop de temps en tant que root est dangereux. En outre, vous devez également modifier le mot de passe root, car laisser par défaut est un risque de sécurité majeur.

Changer le mot de passe root

Le mot de passe peut être modifié lors de la connexion en tant que root en exécutant la passwdcommande.

# passwd
Changing password for root.
(current) UNIX password: 
Enter new UNIX password:
Retype new UNIX password:

Ajout d'un nouvel utilisateur

Un nouvel utilisateur peut être créé avec les commandes adduserou useradd. adduserest probablement le plus simple, le seul champ obligatoire est le nom (vous pouvez ignorer les autres en appuyant sur Entrée):

# adduser
Login name for new user []:

Vous serez invité à entrer un nouveau mot de passe pour le compte lors de sa création.

sudo

Si vous préférez, vous pouvez utiliser sudo, de la même manière que les utilisateurs de Debian.

Installation

Pour installer sudo, exécutez

pacman -S sudo

en tant que root.

Utilisation

Pour permettre à un utilisateur de les utiliser, sudoils doivent être ajoutés au fichier sudoers. Ceci peut être fait de deux façons.

  • Ajoutez l'utilisateur au wheelgroupe en utilisant usermodet décommentez cette ligne dans le fichier sudoers:

    %wheel ALL=(ALL) ALL

  • ou ajoutez l'utilisateur directement au fichier sudoers:

    username ALL=(ALL) ALL

REMARQUE Vous ne devez jamais modifier le fichier sudoers avec Vim, Emacs, etc. Vous devez toujours le modifier via visudo. Cela vous empêche de gâcher la syntaxe et de vous rendre sudoinutilisable.

Désactiver la racine

Si vous le souhaitez, vous pouvez effectivement désactiver le compte root en exécutant cette commande en tant que root:

# passwd --lock

Cette option désactive un mot de passe en le modifiant en une valeur qui ne correspond à aucune valeur chiffrée possible.

Cela ne devrait pas vraiment être nécessaire si vous avez un mot de passe root fort et que l'accès root via SSH est désactivé.

Jivings
la source
Fonctionne avec Raspian ainsi qu'avec Arch. Que toi.
Marc
7

Astuce supplémentaire sur raspbian avec usermod

usermod La commande ne s'exécutera pas s'il existe des processus de l'utilisateur à modifier en cours d'exécution sur la machine lors de l'exécution de la commande.

Si vous êtes sur la console du pi, il existe un moyen de contourner cela sans avoir à faire un autre utilisateur (ou définir un pw à la racine):

En supposant que rien d'autre ne fonctionne avec votre nom d'utilisateur autre que le shell sur la console - pas de session X, pas de connexion ssh, etc.:

exec sudo -s
cd /
usermod -l newname -d /home/newname -m oldname

La raison pour laquelle cela fonctionne:

  • sudo -sindique sudoqu'au lieu de simplement exécuter la commande en tant qu'un autre utilisateur, il doit exécuter un nouveau shell en tant qu'utilisateur donné
  • execindique au shell qu'au lieu de lancer un nouveau processus lorsqu'il exécute une commande (d'où le fait de laisser le processus shell s'exécuter en tant qu'utilisateur de connexion), le shell doit se remplacer par le nouveau processus - cela signifie que lorsque la execcommande ed se termine, le shell est parti - dans le cas d'un shell de connexion qui équivaut à se déconnecter de la connexion
  • le cd /est facultatif. Au minimum, les choses deviennent un peu déroutantes si vous déplacez un répertoire dans votre (votre connexion commence par s'asseoir dans le répertoire pihome de l'utilisateur ), mais parfois, cela entraînera un échec, mieux vaut prévenir que guérir.

Pour cela, exec sudo -svous écrasez votre shell avec un nouveau shell qui a été créé en tant qu'utilisateur différent.

PS assurez-vous de donner usermod -dun chemin d'accès complet ou vous finirez par déplacer la maison du compte vers un endroit que vous n'attendez pas (et une entrée de répertoire fausse dans passwd)

Mike Lutz
la source
6

Pour ajouter un nouvel utilisateur dans raspbian:

sudo useradd -m -G pi,sudo,gpio,audio,video steve

Ensuite:

sudo passwd steve

Explication:

-m - Créez un nouveau répertoire personnel

-G group1,group2,group3- Ajoutez l'utilisateur à ces groupes, n'ajoutez pas sudosi vous ne voulez pas que l'utilisateur ait des privilèges sudo.

steve - Nom du nouvel utilisateur

passwd - Linux nécessite un mot de passe pour se connecter, alors définissez le mot de passe.

Théorémiseur
la source
très utile pour moi! cheers Epic person
Clement
L' -Goption ne semble plus fonctionner. L'utilisation -groupne permet qu'un seul groupe à la fois.
Liens
L'option -groupremplace le groupe de connexion initial par la chaîne spécifiée. -G définit une liste des groupes dans lesquels l'utilisateur se trouve.
Theoremiser
2

J'ai lu un tas de conseils à ce sujet, mais le plus simple est aussi le plus simple

Connectez-vous en tant que pi,

Pour ajouter un nouvel utilisateur:

 sudo adduser john

Après la création réussie, ajoutez johnau sudoersgroupe

 sudo usermod john -g sudo

Connectez - Out:

logout

Se connecter en tant que john

Mettre à jour les listes de packages:

 sudo apt-get update

Si cela fonctionne, vous avez terminé ...

tediffer3rd
la source
Et s'il utilise Arch?
Impulss
Après avoir exécuté "sudo adduser guest", "passé" et créé le dossier / home / guest, j'ai un utilisateur invité qui travaille. Cependant, lorsque je me connecte en tant qu'utilisateur, le fichier .bashrc dans / home / guest ne semble pas être exécuté. J'ai créé .bashrc manuellement et accordé l'autorisation d'exécution sur celui-ci. Y a-t-il encore quelque chose qui manque?
mvmn
PS OK, je l'ai résolu moi-même - .bashrc provenait de .profile et .profile n'existait pas pour le nouvel utilisateur.
mvmn
Il doit être appelé avec l'argument -G, car l'argument définit le groupe de connexion initial, il n'ajoute pas de groupe à la liste.
Theoremiser