Raspberry Pi OSデフォルトユーザーPiが削除へ、Bullseyeがアップデート

Raspberry Piでは、ユーザーPiが長らくデフォルトユーザーとして存在していました。特に変更しない限り、ユーザーPiで使っていたと思います。Webサイトなどで伝える時に、Piユーザーのままなのは便利だったのですが、セキュリティとしてどうなんだろうという懸念はありました。

今回のバージョンアップで、基本は初回起動時に新規にユーザーを作成するように変更されました。

合わせて、少し前から導入されているRaspberry Pi Imagerや初回セットアップウィザードも更新され、これまでより分かりやすくなっています。

今後はRaspberry Piも一般的なPCのようなユーザー名とパスワードと捉えてよくなりました。主な変更点をお伝えしていきます。

Raspberry Pi Imager 1.7.2

これに伴い、Raspberry Pi Imagerもアップデートされています。

自動アップデートは相変わらずありませんが、これまでと異なり最新版アップデートがありますよ、という通知が出てきます。ダウンロードページへリンクされているだけですけどね。

アップデートした後、最初に気が付いたのは、日本語表記に変わっていたことです。これは日本人には助かります。

内容は一見して変わりません。

今後は、初回セットアップウィザードでデフォルトユーザーPiを変更することが基本となりました。

オプション（歯車マーク）にあるユーザー名とパスワードの設定の重要度が増しました。あとでご紹介しますが、モニターに繋がないヘッドレスインストールの時に困るからです。※このオプションを利用してユーザー名を変更してあげる必要がある

モニターに繋ぐようなデスクトップ版とLite版は、ウィザードに従えば問題なく変更できるようになっていますので安心してください。

これまでも普段からユーザー名を変更して利用していた人にとっては特段な違いはありませんが、今後は強制的にユーザーを変更して利用する形になるので注意してください。（とはいえPiも使えます）

先ずはWindows、macOS、Linux用のRaspberry Pi Imgaerをアップデートしておきましょう。

初回セットアップウィザード

メインはこの初回セットアップウィザードの更新です。そのためRaspberry Pi OSもバージョンアップしています。

* Default the pi user has been removed; the first-boot wizard enforces the creation of a new user account
  * rename-user script added to allow existing users to be renamed by temporarily rebooting to cut-down first-boot wizard
  * Overscan now managed by xrandr under KMS, can be set independently for both monitors, and takes effect on the fly rather than requiring reboot
  * GTK3 switch control now used in place of paired radio buttons throughout
  * piwiz - first-boot wizard now runs in a separate session as a different user with different graphics
  * piwiz - first-boot wizard now has automatic pairing for discoverable Bluetooth mice and keyboards
  * lxinput - keyboard delay and repeat settings now persist across reboots under mutter
  * raspi-config / rc_gui - removed pixel doubling option when KMS driver in use
  * raspi-config - removed composition manager option when legacy driver in use
  * arandr - restored support for interlaced displays
  * mutter - implemented more intuitive window and application cycling behaviour
  * pi-greeter - rebuilt for GTK3
  * Bug fix - graphical corruption in system tray icons
  * Bug fix - desktop items vanishing when dragged
  * Bug fix - terminal windows not focussed correctly when launched
  * Bug fix - crash after multiple update checks in updater plugin
  * Bug fix - Raspberry Pi keyboard auto-detect by wizard was broken in previous release
  * Bug fix - spurious connected to a dialog box shown when reconnecting to Bluetooth LE devices on boot
  * Support for experimental Wayland backend added - can be enabled as an advanced option in raspi-config
  * Various small bug fixes and graphical tweaks
  * Chromium upgraded to version 98.0.4758.106
  * FFmpeg HW acceleration improved
  * OpenJDK 17 now defaults to 'client' JVM for ARMv6 compatibility
  * Raspberry Pi firmware 69277bc713133a54a1d20554d79544da1ae2b6ca
  * Linux kernel 5.15.30

冒頭のように、これまで何もしないとRaspberry Piのユーザー名はpiのままでした。これはセキュリティとしては非常に危険です。世界中のRaspberry Piのユーザー名が高い確率で知られていることになるからです。

以前も初期パスワードraspberryを変更するようにバージョンアップしてきました。それと同じで、最初の段階でユーザー名とパスワードを設定することになり、一般的なPCと同じ仕組みになったわけです。

最近のサイバーアタックも醜いですから、個人情報の重要性は別にして、踏み台の利用にRaspberry Piが狙われていることは簡単に想像できます。

ファイヤーウォール以前に、先ずはユーザー名とパスワードを変更しないと意味がないですからね。

今回のバージョンアップの肝は、このデフォルトユーザー名piの変更を促すバージョンアップです。

既存のRaspberry Pi OSをアップデート

既に稼働しているRaspberry Pi OSの自動更新をすると、今回の仕組みが適用されます。

バージョンアップした後、コマンドからデフォルトユーザーpiの変更が可能になっています。

既にpiで稼働すべてのディレクトリエントリが変更されるわけではない点に注意が必要です。試したところ、一部のアプリケーションは、piを明示的に指定している場合は適用されません。

ディレクトリエントリはファイルの存在場所のこと

デスクトップエントリ（ショートカット）のようなディレクトリエントリは変更されていないケースがあります。

自動ログインユーザーや権限も含め、システムに関するユーザー名変更は、ほぼ移行していました。

ユーザー名を変更するコマンド

ユーザー名を変更する方法として、usermodなど手動で変更する手段はこれまでもありました。それも利用はできますが、新しくrename-userコマンドで済むようになっています。

sudo rename-user

再起動され、新しいユーザー名とパスワードを設定する画面が表示されます。

これは新しいセットアップウィザードの一部が稼働する形です。ここは英語です。再起動後に変更されています。

ディレクトリエントリを修正

デスクトップPCライクに使っているRaspberry Pi 4で、ディレクトリエントリが変更されない例をご紹介します。

1つは、いわゆるデスクトップショートカットです。

画面はCommandPiのデスクトップエントリを例にしています。しかし、画像にあるゴミ箱以外はすべて/home/piのままでした。

この場合は、コマンドラインの部分にあるユーザー名を手動で変更してあげれば動作します。キーボードで入力してOKボタンで完了。

confファイルの修正

私はmacOSなので、Raspberry Piとのデータをやり取りするのに、sambaではなくafpを主に使用しています。

このafpは、インストール後に共有するホームディレクトリを指定するためにconfファイルを修正する必要があるのですが、そこは自分で変更しないとなりません。

sudo nano /etc/netatalk/afp.conf

[HOMES]
basedir regex = /home/pi

このpiを新たに作成したユーザー名に変更してあげないと参照できません。

ユーザー変更による影響

既に稼働しているRaspberry Pi OSのユーザー名を変更できても、どこまで影響するのかインストールされているアプリケーションやサービスによって異なります。

個人的見解として、rename-userコマンドで変更しても、デフォルトユーザーpiのままになっていて通らないケースは出てくると思います。

何かエラーが出た場合、ユーザー名を変更したことも念頭に入れて考えてみる必要が出てくるでしょう。

ラズパイダ内の記事

技術的な内容を記しているWebサイトの宿命として、古い記事のやり方が通用しなくなる点が挙げられます。ラズパイダ内の記事もご多分に漏れず、過去の記事で現在は通用しないコマンドや操作方法があります。

全てではありませんが、なるべく最新の記事と見比べて一部を置き換えてご覧ください。

過去の記事は、順番に修正をしたり、全く異なる内容は削除しています。

設定など、現在も変わらない部分もありますから、サイト内検索で探していただければと思います。

サイト内検索

サイト内検索できる検索ボックスは、トップページまたはサイドバー内に設定しています。スマホやタブレットなどはアコーディオンメニュー（三本線）の下部にも表示されます。

同ページ内に検索結果がポップアップして表示されます。