WebArena Indigo環境設定11) ファイアウォールのポート設定
https://qiita.com/naga_kt/items/d9890aef7a188694e43fの続き。
今まではvpsを設定するために普通のユーザにも大きな権限を持たせてきた。設定が全て終わった段階で以下を行って、セキュリティを高めておく。
rootパスワードを設定
スーパーユーザになってrootにパスワードを設定する。
# passwd
Changing password for user root.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
ユーザの管理者権限設定
ユーザの管理者権限を限定
先にユーザに管理者権限を与えていたが、設定した/etc/sudoersを元に戻す。
# cd /etc/
# ls -lrt sudoers*
-r--r----- 1 root root 4328 Nov 4 2021 sudoers-org
-r--r----- 1 root root 4527 Sep 16 14:28 sudoers
sudoers.d:
total 4
-r--r----- 1 root root 393 Sep 2 14:02 90-cloud-init-users# visudo
# cp -p sudoers sudoers-22sep16
# cp -p sudoers-org sudoers
cp: overwrite 'sudoers'? y
初回アクセス用ユーザ設定を削除
sudoersファイルの末尾に初回アクセス用ユーザの設定があるからそれをコメントアウトしておく。
# visudo
でファイルを編集して、以下をコメントアウトする。
(CentOS7)
centos ALL=(ALL) NOPASSWD: ALL
(RockLinux8)
rocky ALL=(ALL) NOPASSWD: ALL
パスワードなしでコマンドを実行できるように設定
ユーザがパスワードなしにsudo service httpd restartを実行できるようにするために、次のようにする。
# visudo
でファイルを編集して、以下を付け加える。
User_Alias USER_GROUPE = xxxxxxxx, yyyyyyyy, zzzzzzzz
USER_GROUPE ALL=(root) NOPASSWD: /sbin/service httpd restart
User_Aliasは複数のユーザを一括して扱うための設定である。
これでユーザxxxxxxxx, yyyyyyyy, zzzzzzzzでsudo service httpd restartをパスワードなしに実行できる。
ssh接続のrootログインを禁止
ssh接続のrootログインはセキュリティ上で問題があるので禁止する。
そのためにsshd設定ファイルを変更する。これに関するパラメータはPermitRootLoginである。変更前にバックアップは取っておく。
# cd /etc/ssh/
ls -lrt sshd_config*
-rw------- 1 root root 4281 Sep 13 2021 sshd_config-org
-rw------- 1 root root 4292 Sep 6 10:38 sshd_config
# cp -p sshd_config sshd_config-22sep6
# vi sshd_config
ここでデフォルトでは以下のようになっている。
PermitRootLogin yes
これを以下のように変える。
PermitRootLogin no
適切に変更されているかどうかは以下のコマンドでエラーが表示されないことで確認できる。
# sshd -t
以下でsshdが再起動できる。
# systemctl restart sshd
参考記事
ユーザーの実行権限を柔軟に割り当てるsudoのリスクとメリット
https://www.itmedia.co.jp/enterprise/articles/0802/19/news013_2.html
sudoで覚えておくと便利な設定・使い方
https://orebibou.com/ja/home/201706/20170619_001/
sshのrootログインを禁止する
https://kazmax.zpp.jp/linux/lin_ssh.html
ご存じですか? sshd_config の PermintRootLogin の各種パラメータについて
https://qiita.com/ine1127/items/b50b9a8f831736cf14ea