さくらのVPSでCentOS8 (11) rootのセキュリティ向上

前回は、言語設定を行い、日本語環境を整えた。

今回は、rootユーザーのセキュリティを向上させます。

まずは、sudoを使ったコマンド実行ができるユーザーをwheelグループのメンバーだけにします。

ちなみに、ユーザー(anata)をwheelグループに所属させるには、次のコマンドを実行します。

# usermod -Ga wheel anata

オプションは、G:セカンダリグループ、a:追加という意味。

次のコマンドで、sudoが実行できるユーザーを編集します。

# visudo

実際には、/etc/sudoersというファイルを編集することになります。

## Allows people in group wheel to run all commands
# %wheel  ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

両方ともwheelグループのみに権限を与えることになりますが、上はパスワード入力が必要、下は不要という違いがあります。

次に、su -などのコマンドで、rootとしてログインできるユーザーを制限します。

$ sudo vi /etc/pam.d/su

ファイル内の次の行をコメントアウトすることで、wheelグループに属したユーザーのみが、rootとしてログイン可能となります。

# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid

こちらも2種類選択可能で、上をコメントアウトすると、パスワード無しでユーザの切り替えが可能ですが、下ではパスワードの入力が必要となります。

下側を有効にするほうが好ましいでしょう。

ということで、結果として、rootではログインできず、rootへログインできるのも、rootのパスワードを知っているwheelグループに所属したユーザー飲のみに制限ができました。

さて、少しですがセキュリティが向上しました。

次回はWebサーバの構築を行います。

さくらインターネットのVPS

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です