Raspberry Pi OS Bullseye’de yapılan bir güncelleme, saldırganların varsayılan kimlik bilgilerini kullanarak İnternet’e açık Raspberry Pi cihazlarını bulmasını ve güvenliğini aşmasını zorlaştırmak için varsayılan ‘pi’ kullanıcısını kaldırdı.
Bu son sürümden başlayarak, işletim sistemini kurarken, önce bir kullanıcı adı ve şifre seçerek bir hesap oluşturmanız istenecektir (bu değişiklikten önce, işletim sistemi yükleyicisi yalnızca özel bir şifre isteyecektir).
Aygıt ilk kez başlatıldığında kurulum sihirbazı başlatılacağı için artık bu adımı atlayamazsınız (önceden, varsayılan pi/ahududu kimlik bilgilerini kullanmak için İptal’e basabilirdiniz).
Parolanız olarak yine de bir ‘pi’ kullanıcı adı ve ‘ahududu’ kullanmayı seçebilirsiniz, ancak bunun akıllıca bir seçim olmadığı konusunda uyarılacaksınız.
Raspberry Kıdemli Baş Mühendisi Simon Long, “Mevcut kurulumlarda ‘pi’ kullanıcısından kurtulmuyoruz. Yeni bir kurulumda kimsenin kullanıcı adı ve şifre olarak ‘pi’ ve ‘ahududu’ girmesini engellemiyoruz,” dedi. Pi.
“Tek yaptığımız, güvenliği önemseyen kişilerin varsayılan bir ‘pi’ kullanıcısına sahip olmamalarını kolaylaştırmak – bu, insanların bir süredir talep ettiği bir şey.”

Görüntüyü ilk kez başlatırken, Raspberry Pi OS Lite görüntü kullanıcılarından ayrıca komut satırı metin istemleri aracılığıyla yeni bir hesap oluşturmaları istenecektir.
Raspberry Pi’yi başsız çalıştırmak istiyorsanız, görüntüyü yazmadan veya kullanıcı adı: şifreli-parola içeren önyükleme bölümüne bir userconf dosyası eklemeden önce Ayarlar iletişim kutusu aracılığıyla bir kullanıcı adı ve parola ayarlayarak işletim sistemine önyükleme yapmadan önce kullanıcıyı oluşturabilirsiniz. çift.
Mevcut kurulumlar bu değişiklikten etkilenmez. Ancak, kullanıcılar yine de varsayılan olmayan kimlik bilgilerine şu şekilde geçebilir: mevcut imajını güncellemek ve çalıştırıyor sudo rename-user
emretmek.
“Bu o kadar da bir zayıflık değil – birisi sisteminize girmek isterse, sadece geçerli bir kullanıcı adını bilmek pek yardımcı olmuyor; aynı zamanda şifrenizi de bilmeleri gerekecek ve bazılarını etkinleştirmiş olmanız gerekecek. ilk etapta uzaktan erişim şekli,” Uzun açıkladı.
“Ancak yine de, potansiyel olarak bir kaba kuvvet saldırısını biraz daha kolaylaştırabilir ve buna yanıt olarak, bazı ülkeler şimdi İnternet’e bağlı herhangi bir cihazın varsayılan oturum açma kimlik bilgilerine sahip olmasını yasaklayan yasalar çıkarıyor.”
Örneğin, İngiltere istiyor. yeni düzenlemeler uygulamak IoT cihazlarının artık varsayılan kullanıcı adları ve parolalarla gelmemesini istemek, bunun yerine müşterilerden “herhangi bir evrensel fabrika varsayılan değerine sıfırlanamayan” özel kimlik bilgilerini seçmelerini istemek.