最低限のセキュリティ対策はやっておく。基本は大事。
ServersMan@VPSのセキュリティ設定
http://dream.jp/vps/esp/manual/mnl_security_01.html
公式サポートの情報を元に、
# useradd newusername
# passwd newusername
ユーザー newusername のパスワードを変更。
新しいパスワード:***
新しいパスワードを再入力してください:***
passwd: 全ての認証トークンが正しく更新できました。
SSHで接続しなおして、
新しいユーザーでログインできたら、rootになれるかを確認!
[newusername@newhost ~]$ su –
パスワード:***
[root@newhost ~]#
なれたら、rootになれるユーザーを限定するために、rootになれるユーザーをwheelグループに入れる。
# usermod -G wheel newusername
sudoが使えるユーザーをwheelグループのユーザーだけに制限する。
visudoは、sudoが使えるユーザーを変更するためのエディタ。
“sudo vi /etc/sudoers”と同じこと。
$ visudo
次の行のコメント(#)を外して、保存(:wq)。
%wheel ALL=(ALL) ALL
wheelグループのユーザーは、sudoが使えるかを確認。
[newusername@newhost ~]$ sudo ls /
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for newusername:***
aquota.group bin dev home lib64 mnt proc sbin srv tmp var
aquota.user boot etc lib media opt root selinux sys usr
[newusername@newhost ~]$
その他のユーザーは使えないかを確認。
[notwheeluser@newhost ~]$ sudo ls /
[sudo] password for notwheeluser:***
notwheeluser is not in the sudoers file. This incident will be reported.
[notwheeluser@newhost ~]$
確認が終わったら、次はrootになれるユーザーも制限する。
$ sudo vi /etc/pam.d/su
次の行のコメント(#)を外して保存。
auth required pam_wheel.so use_uid
wheelグループのユーザーは、rootになれるかを確認!
[newusername@newhost ~]$ su –
パスワード:***
[root@newhost ~]#
その他のユーザーは、rootになれない事を確認!
[notwheeluser@newhost ~]$ su –
パスワード:***
su: パスワードが違います
[notwheeluser@newhost ~]$
最後に、SSHにrootで直接ログイン出来ない様に設定変更。
# vi /etc/ssh/sshd_config
ちなみに、”/”の後に検索したい文字列を入れると検索が可能
次の行を入れる。
PermitRootLogin no
PermitEmptyPasswords no
SSHを再起動して、rootでログインできないか試しましょう。
# service sshd restart
