ラズパイOSのセキュリティーを強化——新OS「bullseye」でデフォルトユーザー名「pi」が廃止に
2022/04/26 08:00
Raspberry Pi財団は2022年4月7日、Raspberry Pi OS「bullseye」をアップデートし、デフォルトユーザー名「pi」を廃止したと発表した。容易に推測できるデフォルトユーザー名によるハッキングへのリスクに備える。
同財団によると、セキュリティーの強化は使いやすさとのトレードオフの関係にあるため、これまでRaspberry Pi OSは安全性と利便性のバランスを常に心掛けてきたという。
利便性のひとつとして、これまでのRaspberry Pi OSはデフォルトユーザー名として「pi」を設定し、初期設定を容易にする方策がとられていた。パスワードの漏洩がない限り重大な脆弱性につながらないとの認識だったが、「総当たり攻撃」などへの対応の強化と、インターネット接続デバイスに対し、デフォルト設定でのログイン認証を禁じる法律を導入する国が出てきたことから、デフォルトユーザー名「pi」は廃止とした。
アップデート版のRaspberry Pi OSでは、初ブート後にユーザーアカウントを作成する必要がある。これまでもウィザードで各種設定やデフォルトパスワードの変更などが可能だったが、最初のページでキャンセルもでき、あくまでオプションとしての利用に留まっていた。アップデート版ではウィザードをキャンセルできず、ユーザーとパスワードを入力しアカウントを作成しないと、デスクトップへのログインができない仕組みになっている。
これまでのデフォルト設定と同じく、ユーザー名「pi」、パスワード「raspberry」でのアカウント作成は可能だが、警告メッセージが表示される。これまでの経緯から、ユーザー名「pi」を必要とするソフトウェアもあるため、完全な使用禁止にはできないとのことだ。
また、アップデート版では、Bluetoothキーボードとマウスとの自動ペアリング機能を追加し、開発段階にあるデスクトップ環境Waylandを試験的にサポートする。