はじめに

VPS借りていても面倒でセキュリティ設定を全くやってない人が居るというのを聞き、
一番最初のものだけでも簡単にできればと思い設定を書きました。
さくらVPSで初期設定のCentOS6.3で試した簡単にできる設定を紹介しようと思います。

1. sshでのrootログイン禁止設定
2. wheelのみrootになれる設定

下準備

sshログイン用のユーザとwheelの設定をします。
作っている方は、読み飛ばしてください。

# useradd <username>
# passwd <username>

# usermod -G wheel <username>

sshからのrootログイン禁止設定

sshからのrootログイン禁止設定

# sed -i.bak1 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config;service sshd reload;

確認

# ssh root@localhost
Permission denied, please try again.
root@localhost's password: 
Permission denied, please try again.
root@localhost's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

ここでパスワードが正しくてもログインできなければ成功です。

sshからのrootログイン禁止解除をする場合(バックアップファイルから)

# cp -f /etc/ssh/sshd_config.bak1 /etc/ssh/sshd_config ;service sshd reload;

wheelのみrootになれる設定

上の項目でsshからのrootログイン禁止設定にしたなら、
rootログイン禁止を解除してから試してください。
rootログイン禁止で、誰もsuできなくなったら悲惨です。

wheelのみrootになれる設定(トラブらないよう再起動とは別の行にしています)

# sed -i.bak1 's/#auth.*required.*pam_wheel.so use_uid/auth\t\trequired\tpam_wheel.so use_uid/g' /etc/pam.d/su;
# /sbin/shutdown -r now

確認
wheelに追加されていないユーザでsuを試します。rootに慣れなければ成功です。

# su <su-testuser>
<su-testuser> $ su

wheelのみrootになれる設定解除する場合(バックアップファイルから)

# cp -f /etc/pam.d/su.bak1 /etc/pam.d/su
# /sbin/shutdown -r now

両方個別に設定できたら、先ほど行った両方の設定
(sshからのrootログイン禁止設定・wheelのみrootになれる設定)を適用してください。

おわりに

「めんどくさいけど簡単にできるならセキュリティ設定しとくか」って方が増えるように、
同様の記事を書いていきたいと思います。

めんどくさい人のためのって動画があるのに、本当にめんどくさいと
思ってる人が居るところには、無かったので書いてみました。

Webで見付けた設定が自分の環境と違っていて、rootログインできず、suできない悲惨な
設定になりました。すべての権限を使えるユーザの管理をしているので、非常に重要な設定です。
設定は1つずつ試してみてください。