DTIサーバー構築7 「セキュリティ向上委員会」

最低限のセキュリティ対策はやっておく。基本は大事。

ServersMan@VPSのセキュリティ設定
http://dream.jp/vps/esp/manual/mnl_security_01.html

公式サポートの情報を元に、

# useradd newusername
# passwd newusername
ユーザー newusername のパスワードを変更。
新しいパスワード:***
新しいパスワードを再入力してください:***
passwd: 全ての認証トークンが正しく更新できました。
SSHで接続しなおして、
新しいユーザーでログインできたら、rootになれるかを確認!

[newusername@newhost ~]$ su –
パスワード:***
[root@newhost ~]#
なれたら、rootになれるユーザーを限定するために、rootになれるユーザーをwheelグループに入れる。

# usermod -G wheel newusername
sudoが使えるユーザーをwheelグループのユーザーだけに制限する。
visudoは、sudoが使えるユーザーを変更するためのエディタ。
“sudo vi /etc/sudoers”と同じこと。

$ visudo
 次の行のコメント(#)を外して、保存(:wq)。

%wheel   ALL=(ALL)      ALL
wheelグループのユーザーは、sudoが使えるかを確認。

[newusername@newhost ~]$ sudo ls /

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for newusername:***
aquota.group  bin   dev  home  lib64  mnt  proc  sbin     srv  tmp  var
aquota.user   boot  etc  lib   media  opt  root  selinux  sys  usr
[newusername@newhost ~]$
その他のユーザーは使えないかを確認。

[notwheeluser@newhost ~]$ sudo ls /
[sudo] password for notwheeluser:***
notwheeluser is not in the sudoers file.  This incident will be reported.
[notwheeluser@newhost ~]$
確認が終わったら、次はrootになれるユーザーも制限する。

$ sudo vi /etc/pam.d/su
次の行のコメント(#)を外して保存。
auth       required     pam_wheel.so use_uid

wheelグループのユーザーは、rootになれるかを確認!

[newusername@newhost ~]$ su –
パスワード:***
[root@newhost ~]#

その他のユーザーは、rootになれない事を確認!

[notwheeluser@newhost ~]$ su –
パスワード:***
su: パスワードが違います
[notwheeluser@newhost ~]$
最後に、SSHにrootで直接ログイン出来ない様に設定変更。

# vi /etc/ssh/sshd_config
ちなみに、”/”の後に検索したい文字列を入れると検索が可能
次の行を入れる。

PermitRootLogin no
PermitEmptyPasswords no
SSHを再起動して、rootでログインできないか試しましょう。

# service sshd restart

でも、rootで入れなくなると、制限を気にしないといけないから不便なんですよね~。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です