スレチかも知れないけど気になるなら一応報告しておきますが最初に見たサイトは下記のサイトです。そのあとにpiのロックを解除してからこのサイトでは書いてない手順を前述のサイトで踏みました。
ユーザー追加やグループ参加の部分は重要じゃない&同じ動作だろうと思っていたので貼りませんでした。

http://makezine.jp/blog/2017/09/secure-your-raspberry-pi-against-attackers.html