В прошлый раз мы установили Ubuntu на Orange Pi 5, но эта радость будет не полной, поскольку оставлять «пользователя по умолчанию» крайне непредусмотрительно. Мало ли какой мамкин хакер окажется рядом с нашим роутером, не надо же говорить, что после проникновения в незащищённую сеть и скана устройств в сети подключиться к устройству с логином-паролем «по умолчанию» у него не составит труда?
Кому-то это может показаться фантазией («кому ты нужен?»), ну вот для считающих такие предположения — фантазиями, скажу так — дальше не читайте. Те же кто видит в ленте взломы и шифрования и кому «есть что терять», продолжаем дальше.
Итак, повторим процедуру:
ssh orangepi@*ip-устройства*
При подключении кстати, можно увидеть «Local users: 2» и «Last Login», последнее во-первых даст Вам представление о том, когда к устройству подключались в последний раз (и если это не Вы, повод задуматься действительно ли «паранойя» мнение о возможном взломе или действительно, кто-то балуется). У меня одноплатник пока ещё ни к чему не привязан, поэтому переживание не было бы, даже если бы действительно барабашка какой-нибудь завёлся.
А и да, параноикам будет полезно знать про команду last (в терминале введите man last), которая покажет Вам историю входа пользователей или lastlog (в терминале введите man lastlog), которая выведет список пользователей и их последний вход.
Для повышения безопасности, наверное, было бы достаточно сменить пароль у пользователя orangepi, для этого вводим в терминале:
passwd
После вводим текущий пароль (по умолчанию) Current password: orangepi
А после, новый пароль, главное потом самому его не забыть, не то будет проблематично (не «невозможно») его восстановить.
New password:
Но от брута пароля это не защитит, поэтому пойдём дальше, поменяем пользователя. Выполним команду su, даже если Вы успели сменить пароль у orangepi, у root’а (а именно для подключения к нему мы сейчас используем su) пароль остался прежним (orangepi), его кстати сменить куда важнее, чем пароль у пользователя orangepi.
Потому что пользователь root это «Главный администратор», отключитесь от текущего сеанса (команда exit) и подключитесь не как:
ssh orangepi@*ip-устройства*
А как:
ssh root@*ip-устройства*
И да, здесь снова пароль orangepi, удалить root’a не получится, но можно ограничить доступ. Только перед этим, необходимо создать пользователя с правами администратора (включённого в группу sudo). В текущем положении дел у нас таким пользователем является orangepi.
Что я собственно собираюсь сделать, сначала переименовать пользователя orangepi, на другого, для «спокойной работы», пока авторизовался под root, и далее ввожу команду:
usermod -l *user* -m -d /home/*user* orangepi
Где *user* новое имя пользователя.
Только вот незадача, в OrangePi по умолчанию влючен автологин к tty пользователя orangepi. Поэтому прежде чем выполнить команду, необходимо сначала этот автологин отключить ну или в нашем случае «переключить», для этого создадим файл override.conf по следующему пути:
mkdir -p /etc/systemd/system/serial-getty@.service.d
touch /etc/systemd/system/serial-getty@.service.d/override.conf
nano /etc/systemd/system/serial-getty@.service.d/override.conf
Со следующим содержимым:
[Service]
ExecStartPre=/bin/sh -c 'exec /bin/sleep 10'
ExecStart=
ExecStart=-/sbin/agetty --noissue --autologin root %I $TERM
Type=idle
и изменить содержимое (тоже orangepi меняем на root):
nano /usr/lib/systemd/system/getty@.service.d/override.conf
nano /lib/systemd/system/serial-getty@.service.d/override.conf
В nano сохраняется документ горячими клавишами Ctrl+O.
Вместо root, можно своего пользователя написать. Сохраним (иногда требуется перезагрузка, команда reboot) и выполним:
who -u
Выведет список, отражающий все подключённые сеансы, далее
kill -HUP *№ процесса, который занимал orangepi*
kill -HUP *№ процесса, который занимал orangepi*
И только после того, как who -u показал, что активен только root:
usermod -l *user* -m -d /home/*user* orangepi
Где *user* новое имя пользователя.
С первой задачей справились, теперь надо отключить root. На самом деле, если подумать, то нам надо не столько отключить root’a сколько отключить возможность подключения, как root через ssh, т. к. если кто-то будет иметь физический контакт с OrangePi, там отключай не отключай, а всё равно доступ получит. Поэтому будем отталкиваться именно от отключения удалённого подключения под учётной записью root’a:
Пока проверял предыдущие настройки, переключился с root’а на свою учётку, поэтому команду выполняю с sudo:
sudo nano /etc/ssh/sshd_config
Здесь ищем:
PermitRootLogin yes
И слово «yes» меняем на «no».
Теперь при попытке подключиться под учёткой root’а мы будем видеть:
Permission denied, please try again.
