【セキュリティ対策】Raspberry Pi4に新規ユーザを追加し、piユーザを削除

前書き:piユーザは脆弱

Raspberry Piのデフォルトユーザであるpiユーザ(管理者権限あり)は、パスワードがraspberryに設定されています。この情報は悪意のあるユーザも当然知っているため、近年ではpiユーザを狙い撃ちにしたマルウェアが増えています。

一般的には、piユーザのパスワードを変更する事によって、セキュリティリスクを減らします。本記事では、もう一歩踏み込んで、piユーザ以外に管理者権限を付与した後に、piユーザを削除する方法を紹介します。

                       

新規ユーザの追加

新規ユーザ名は任意ですが、本記事では新規ユーザをantonとして以下の手順を進めます。なお、antonの元ネタは、シリコンバレー(海外ドラマ)の登場人物であるギルフォイルが構築したサーバ名です。

新規ユーザの追加にはuseraddコマンドを使用し、パスワードの設定にはpasswdコマンドを使用します。

useraddのオプションについて補足すると、

  • -m:ユーザのホームディレクトリがない場合は作成
  • -d:ユーザのホームディレクトリPATH
  • -s:ログインシェルの指定。

ログインシェルをBash以外に変更したい場合は/etc/shellsファイルを確認し、使用したいシェルを探してからユーザを作成してください。もしくは、ユーザ作成後にchshコマンドでシェルを変更する方法があります。

                                                               

新規ユーザに管理者権限を付与

各ユーザの管理者権限の有無は、/etc/sudoersファイルで管理されています。/etc/sudoersファイルの書式を間違うと、sudoコマンドが使用できなくなる落とし穴があります。

一般的には、書式チェック機能があるvisudoコマンドで/etc/sudoersファイルを編集する場合が多いです(私は愚か者なので、直接vimで編集します!)。

本記事では、書き間違えが発生しない方法で、新規ユーザ(=anton)がsudoコマンドを使えるようにします。具体的には、新規ユーザをsudoグループに所属させます。

                       

「piユーザ所属グループ」と「新規ユーザの所属グループ」を一致させる

管理者権限があるので、細かい権限を一致させる必要性薄いのですが、「新規ユーザ(=anton)」と「piユーザの所属グループ」を一致させます。

まずは、piユーザのグループを確認した後に、usermodコマンドで新規ユーザのグループ情報をpiユーザに合わせます。usermodコマンドは、-Gオプションの後に追加したいグループ名をカンマ区切りで記載します。後ほど削除するpiグループは、追加不要です。

所属グループ情報が正しく更新されているかどうかは、groupsコマンドで確認できます。      

                      

piユーザの自動ログインを解除

Raspberry Piは、CLIもしくはGUI環境にpiユーザで自動ログインするかどうかを設定できます。piユーザは後ほど削除するため、自動ログイン設定を変更しておきます。

                       

piユーザの削除

この段階で、piユーザは不要になったので、削除します。何か起こった時のため、piユーザのホームディレクトリは残しておきます。

userdelコマンドの実行時にエラーが発生する場合は、piユーザでログインしている可能性が高いです。piユーザがログアウトしている状態で、以下の手順を新規ユーザ(=anton)で実行してください。

                   

おすすめ

1件の返信

  1. 2020年9月27日

    […] 【セキュリティ対策】Raspberry Pi4に新規ユーザを追加し、piユーザを削除 […]