忙しい人のための、5分でできるVPSセキュリティ設定の最初の一歩
はじめに
VPS借りていても面倒でセキュリティ設定を全くやってない人が居るというのを聞き、
一番最初のものだけでも簡単にできればと思い設定を書きました。
さくらVPSで初期設定のCentOS6.3で試した簡単にできる設定を紹介しようと思います。
- sshでのrootログイン禁止設定
- wheelのみrootになれる設定
下準備
sshログイン用のユーザとwheelの設定をします。
作っている方は、読み飛ばしてください。
sshログインするユーザの作成
passwdコマンドするとパスワードを聞かれるので、ログイン時に利用するものを入力してください。
# useradd <username> # passwd <username>
rootになれるユーザをwheelに追加
usermodを使って、
# usermod -G wheel <username>
sshからのrootログイン禁止設定
sshからのrootログイン禁止設定
# sed -i.bak1 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config;service sshd reload;
確認
# ssh root@localhost Permission denied, please try again. root@localhost's password: Permission denied, please try again. root@localhost's password: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
ここでパスワードが正しくてもログインできなければ成功です。
sshからのrootログイン禁止解除をする場合(バックアップファイルから)
# cp -f /etc/ssh/sshd_config.bak1 /etc/ssh/sshd_config ;service sshd reload;
wheelのみrootになれる設定
上の項目でsshからのrootログイン禁止設定にしたなら、
rootログイン禁止を解除してから試してください。
rootログイン禁止で、誰もsuできなくなったら悲惨です。
wheelのみrootになれる設定(トラブらないよう再起動とは別の行にしています)
# sed -i.bak1 's/#auth.*required.*pam_wheel.so use_uid/auth\t\trequired\tpam_wheel.so use_uid/g' /etc/pam.d/su; # /sbin/shutdown -r now
確認
wheelに追加されていないユーザでsuを試します。rootに慣れなければ成功です。
# su <su-testuser> <su-testuser> $ su
wheelのみrootになれる設定解除する場合(バックアップファイルから)
# cp -f /etc/pam.d/su.bak1 /etc/pam.d/su # /sbin/shutdown -r now
両方個別に設定できたら、先ほど行った両方の設定
(sshからのrootログイン禁止設定・wheelのみrootになれる設定)を適用してください。
おわりに
「めんどくさいけど簡単にできるならセキュリティ設定しとくか」って方が増えるように、
同様の記事を書いていきたいと思います。
めんどくさい人のためのって動画があるのに、本当にめんどくさいと
思ってる人が居るところには、無かったので書いてみました。
Webで見付けた設定が自分の環境と違っていて、rootログインできず、suできない悲惨な
設定になりました。すべての権限を使えるユーザの管理をしているので、非常に重要な設定です。
設定は1つずつ試してみてください。