LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@naga_kt(naga k)

RockyLinux8 vps環境設定11) 権限の最終的な設定

Last updated at Posted at 2022-09-21

RockyLinux8 vps環境設定10) /tmpフォルダのファイルの削除処理の変更
https://qiita.com/naga_kt/items/87900d6a0b5172c091ea
の続き。WebArena Indigo(RockyLinux8.4)及びKagoya(RockyLinux8.5)での環境設定について述べる。

 今まではvpsを設定するために普通のユーザにも大きな権限を持たせてきた。設定が全て終わった段階で以下を行って、セキュリティを高めておく。

rootパスワードを設定

 スーパーユーザになってrootにパスワードを設定する。

# passwd
Changing password for user root.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

ユーザの管理者権限設定

ユーザの管理者権限を限定

 先にユーザに管理者権限を与えていたが、設定した/etc/sudoersを元に戻す。

# cd /etc/
# ls -lrt sudoers*
-r--r-----  1 root root 4328 Nov  4  2021 sudoers-org
-r--r-----  1 root root 4527 Sep 16 14:28 sudoers

sudoers.d:
total 4
-r--r----- 1 root root 393 Sep  2 14:02 90-cloud-init-users# visudo
# cp -p sudoers sudoers-22sep16
# cp -p sudoers-org sudoers
cp: overwrite 'sudoers'? y

初回アクセス用ユーザ設定を削除【WebArena Indigoの場合】

 WebArena Indigoの場合は、sudoersファイルの末尾に初回アクセス用ユーザrockyの設定があるからそれをコメントアウトしておく。

# visudo

でファイルを編集して、以下をコメントアウトする。

rocky  ALL=(ALL)       NOPASSWD: ALL

パスワードなしでコマンドを実行できるように設定

 ユーザがパスワードなしにsudo service httpd restartを実行できるようにするために、次のようにする。

# visudo

でファイルを編集して、以下を付け加える。

User_Alias USER_GROUPE = xxxxxxxx, yyyyyyyy, zzzzzzzz

USER_GROUPE      ALL=(root)      NOPASSWD: /sbin/service httpd restart

 User_Aliasは複数のユーザを一括して扱うための設定である。
これでユーザxxxxxxxx, yyyyyyyy, zzzzzzzzでsudo service httpd restartをパスワードなしに実行できる。

ssh接続のrootログインを禁止

 ssh接続のrootログインはセキュリティ上で問題があるので禁止する。
 そのためにsshd設定ファイルを変更する。これに関するパラメータはPermitRootLoginである。変更前にバックアップは取っておく。

# cd /etc/ssh/
ls -lrt sshd_config*
-rw------- 1 root root 4281 Sep 13  2021 sshd_config-org
-rw------- 1 root root 4292 Sep  6 10:38 sshd_config
# cp -p sshd_config sshd_config-22sep6 
# vi sshd_config

 ここでデフォルトでは以下のようになっている。

【WebArena Indigoの場合】

PermitRootLogin yes

【Kagoyaの場合】

PermitRootLogin without-password

 Kagoyaのデフォルトのwithout-passwordはrootログインはパスワード認証を拒否するが公開鍵認証では可能にするということだ。
 これを以下のように変える。

PermitRootLogin no

 適切に変更されているかどうかは以下のコマンドでエラーが表示されないことで確認できる。

# sshd -t

 以下でsshdが再起動できる。

# systemctl restart sshd

RockyLinux8 vps環境設定12) 時間の同期設定の変更
https://qiita.com/naga_kt/items/f050f279bdbcc3ce2360
に続く。

参考記事

ユーザーの実行権限を柔軟に割り当てるsudoのリスクとメリット
https://www.itmedia.co.jp/enterprise/articles/0802/19/news013_2.html

sudoで覚えておくと便利な設定・使い方
https://orebibou.com/ja/home/201706/20170619_001/

sshのrootログインを禁止する
https://kazmax.zpp.jp/linux/lin_ssh.html

ご存じですか? sshd_config の PermintRootLogin の各種パラメータについて
https://qiita.com/ine1127/items/b50b9a8f831736cf14ea

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?