树莓派安全指南：如何安全修改默认pi用户名与主机名

1. 为什么需要修改默认pi用户名和主机名

树莓派系统默认使用"pi"作为用户名和"raspberrypi"作为主机名，这就像你家大门钥匙放在门垫下面一样危险。想象一下，如果每个树莓派用户都用相同的登录凭证，黑客只需要尝试pi/raspberry这个组合就能轻松入侵成千上万的设备。

我去年就遇到过这样的教训。当时用默认配置部署了一个树莓派智能家居网关，结果不到两周就被入侵变成了挖矿工具。CPU占用率长期100%，电费账单直接翻倍。从那以后，我养成了给每台树莓派"改头换面"的习惯。

修改默认凭证的好处远不止安全这一项：

• 防止自动化攻击：大部分针对IoT设备的自动化攻击脚本都会尝试默认凭证
• 便于网络识别：当你有多个树莓派设备时，独特的主机名能快速区分它们
• 符合企业安全规范：很多公司的IT安全政策明确禁止使用默认凭证
• 避免权限混淆：自定义用户名能清晰区分不同管理员的操作记录

2. 准备工作与风险防范

在开始修改之前，我们需要做好万全准备。这就像给飞机做检修——虽然只是换个零件，但必须确保整个过程不会让飞机坠毁。我见过太多人因为操作失误导致系统崩溃，最后只能重装。

必须准备的救命工具：

1. 另一台电脑或手机：用于查阅本指南（别指望修改过程中还能用树莓派上网查资料）
2. 备用SD卡：建议先完整备份系统镜像，具体命令如下：

sudo dd if=/dev/mmcblk0 of=/path/to/backup.img bs=4M

3. 物理访问权限：确保你能直接连接显示器和键盘，网络连接可能在修改过程中中断

高风险操作预警：

• 不要直接修改pi用户，而是先创建备用管理员账户
• 绝对不要在仅有SSH连接的情况下操作（我曾因此失去对远程树莓派的控制）
• 避免在生产环境直接操作，先在测试设备上演练

建议先创建一个临时管理员账户作为保险：

sudo adduser tempadmin sudo usermod -aG sudo tempadmin

这个账户会在我们搞砸时救急用。完成所有修改后，记得删除它。

3. 分步修改用户名全流程

现在进入实战环节。我将分享经过数十次验证的最稳妥方法，包括那些官方文档没写的细节。就像教朋友一样，我会把每个容易踩坑的地方都标出来。

3.1 启用root账户的正确姿势

很多教程直接让你解锁root，这就像把核按钮交给小学生。我的方法是有限度地使用root权限：

# 先设置root密码（建议使用密码管理器生成复杂密码） sudo passwd root # 临时解锁root（完成后会自动重新锁定） sudo passwd -u root

关键细节：

• 密码长度至少12位，包含大小写字母、数字和特殊符号
• 不要使用--unlock参数永久解锁，那会留下安全隐患
• 记录下密码并妥善保存（我习惯用加密的密码管理器）

3.2 用户名的安全修改

现在开始真正的重命名操作。注意：必须按顺序执行这些命令，我在括号里标注了每个步骤的实际作用：

# 1. 先终止所有pi用户进程（避免文件锁死） sudo pkill -u pi # 2. 修改用户名（注意保留旧用户组暂时不变） sudo usermod -l newname pi # 3. 修改用户组名（与用户名保持一致） sudo groupmod -n newname pi # 4. 重命名home目录（保持权限不变） sudo mv /home/pi /home/newname # 5. 更新用户目录配置 sudo usermod -d /home/newname newname

常见问题解决方案：

• 如果提示"user pi is currently used by process xxx"，先用ps -u pi查进程，然后sudo kill -9 PID强制结束
• 遇到"groupmod: cannot lock /etc/group"错误，尝试sudo rm -f /etc/gshadow.lock
• 修改后立即测试：su newname，确认能正常登录且环境变量完整

4. 主机名修改的完整方案

主机名修改看似简单，但实际上需要同步修改多个配置文件。去年我给实验室部署树莓派集群时，就因为没有完整修改导致节点间通信异常。

4.1 基础修改步骤

# 1. 修改hostname文件 sudo nano /etc/hostname # 删除raspberrypi，替换为newhostname # 2. 修改hosts文件 sudo nano /etc/hosts # 将127.0.1.1 raspberrypi改为127.0.1.1 newhostname

4.2 高级配置项

大多数教程不会告诉你，这些服务也会用到主机名：

# 1. 更新avahi-daemon配置（影响局域网发现） sudo nano /etc/avahi/avahi-daemon.conf # 修改host-name和domain-name # 2. 更新mDNS设置（Mac用户特别需要注意） sudo nano /etc/systemd/resolved.conf # 取消注释MulticastDNS并设为yes # 3. 修改邮件服务配置 sudo nano /etc/mailname # 更新为newhostname

修改完成后，必须执行完整重启才能使所有服务生效：

sudo systemctl restart avahi-daemon sudo systemctl restart systemd-resolved sudo reboot

5. 安全收尾工作

现在到了最关键的安全加固环节。就像手术后的护理，这一步决定了系统能否长期安全运行。

5.1 禁用root账户

# 重新锁定root账户 sudo passwd -l root # 额外安全措施：限制su命令 sudo dpkg-statoverride --update --add root sudo 4750 /bin/su

5.2 权限检查清单

执行这些命令验证配置：

# 检查用户名是否更新成功 id newname # 验证sudo权限 sudo -lU newname # 检查home目录权限 ls -ld /home/newname # 测试主机名解析 hostnamectl ping -c 1 newhostname.local

5.3 长期维护建议

根据我的运维经验，建议每月执行一次安全检查：

# 检查异常登录 last -f /var/log/wtmp # 验证用户权限完整性 sudo -U newname -l # 检查setuid文件 find / -perm -4000 -type f -exec ls -ld {} \;

记得定期更新系统：

sudo apt update && sudo apt full-upgrade -y