Supprimer le compte « pi » dans Raspbian ?

raspbian_os

Vous venez de recevoir votre petit rapsberry et vous décidez d’y installer la célèbre distribution Raspbian.
Par défaut, la première connexion se fait en ssh avec le compte principal utilisateur « pi » et son mot de passe par défaut « raspberry« .
Sur la doc officielle, la PREMIERE chose à faire est de le changer. Et à titre perso je dirai même plus, la PREMIERE chose à faire est de le supprimer ! Sinon vous risquez de vous retrouver assez vite dans la base de données du moteur SHODAN .
Si vous ne connaissez pas encore SHODAN allez voir ICI.
Cette opération de suppression de compte par défaut parait anodine mais n’est pas si simple que ça pour le grand débutant.
Et si vous merdez, vous n’aurez plus du tout accès à la raspberry !!!!
En effet, le compte « pi » est administrateur et appartient au groupe « sudo » avec les pleins pouvoirs. Allez y tester pour voir:

ssh pi@raspberry

sudo -i

et vous apparaissez bien en « root« .

Pour votre culture, ce mécanisme est géré dans le fichier /etc/sudoers mais on ne va pas détailler ici son fonctionnement pour ne pas brouiller la compréhension générale.

Donc vous êtes root, ça tombe bien! Restez en root, nous allons profiter de ses privilèges pour créer notre nouvel utilisateur avec un couple nom d’utilisateur/mot de passe choisi par vos soins.

Création du nouveau compte

…que j’appellerai ici pour l’exemple « tutox »

useradd -m -d /home/tutox/ -s /bin/bash tutox

-Définition du mot de passe pour l’utilisateur « tutox »

passwd tutox

-Rentrez 2 fois le mot de passe.

Pour rappel comment choisir un bon mot de passe,  voir le billet bien fait sur le blog de Zenzla.

-Ajout de « tutox » au groupe « sudo »:

usermod -G sudo tutox

-Redémarrage de la framboise:

Reboot

-Test de la connexion avec le nouveau compte utilisateur:

ssh tutox@raspberry

Tapez votre super mot de passe

sudo -i

On tape le mot de passe et si tout se passe bien on bascule en root.

Suppression de l’ancien compte « pi »

Puisque le nouveau compte « tutox » est opérationnel on peut passer à la suppression du compte générique « pi »

-Suppression du compte « pi » et de ses fichiers et de son répertoire personnel /home/pi

userdel -r pi

Pour aller plus loin

Vous l’avez sans doute remarqué mais pour passer en root vous êtes obligé de taper une seconde fois le mot de passe de l’utilisateur au moment du « sudo -i’.

Or avant , avec l’utilisateur « pi » quand vous tapiez « sudo -i » vous basculiez directement en root. Cette possibilité est due notamment au fichier :

sudo cat /etc/sudoers.d/010_pi-nopasswd

qui contient

pi ALL=(ALL) NOPASSWD: ALL

Vous l’avez compris c’est le NOPASSWD qui permet à l’utilisateur de ne pas devoir retaper son mot de passe pour basculer en super utilisateur.

Donc si vous souhaitez être comme avant, car AVANT c’était mieux Hein , bah vous créé le même fichier en remplaçant « pi » par votre nouveau nom d’utilisateur , ici « tutox ».

Ou bien vous gérez çà directement dans le fichier /etc/sudoers

sudo visudo

et rajouter la ligne

tutox ALL=(ALL) NOPASSWD: ALL

Du coup votre appartenance au groupe sudo n’est plus nécessaire puisque votre nom d’utilisateur est inscrit en dur dans le fichier « sudoers ».

L’utilisation et la configuration de « sudo » mériteraient à elles seules un tuto entier, ici on ne voit qu’une infime partie au travers de ce petit cas pratique .

Conclusion

La suppression du compte « pi » installé par défaut sur Raspbian est la première étape pour avoir un peu plus de sécurité sur son raspberry. La suite logique voudrait que l’on sécurise aussi le service SSH en lui changeant entre autre son port par défaut.Mais cette étape fera l’objet d’un autre tuto 😉

 

Partager l'article

3 commentaires sur Supprimer le compte « pi » dans Raspbian ?

  1. Bonjour,

    merci pour ce travail. aucun intérêt de changer le port par défaut est, un scanner de port le retrouverai. par contre installation de fail2ban et authentification par clef rsa serai pertinent. dispo pour vous aidez si nécessaire.

  2. @Alexandre, si ca a pu taider à démystifier un peu le « sudo -i » sans mot de passe tant mieux ! 😉

    @Benns je tinvite à faire le test à laisser ne serait-ce qu’une heure branché ton rapsberry avec le port 22 actif par défaut et à regarder ds les logs fail2ban . Ensuite tu fais la même chose avec un port 22222 par défaut.
    Le nombre de tentatives de bruteforce descend dragstiquement. Du coup, tu élimines quand même un grand nombre de « script kiddie »..
    Mais au final on est daccord le changement de port par défaut ne prémunit pas totalement d’un scan ciblé avec nmap sur le service ssh

1 Trackbacks & Pingbacks

  1. Comment changer le "petit" nom de son raspberry? -

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*