raspi zero wを使う上で色々と設定が必要な際に使ったコマンド集
ラズパイ公式サイトのドキュメントより
セキュリティ
- セキュリティのためにユーザを追加
- sudo useradd -m blabla -G sudo
- ユーザの削除時にホームフォルダーも同時に削除
- sudo deluser -remove-home blabla
- パスワードの変更
- sudo passwd blabla
- sudo使用時にパスワードを入力させる(raspiが外部インターネットにさらされている時にクラッカーが何らかの方法で接続した時にsudoコマンドをパスワードなしでは使えないようにするため)
- sudo nano /etc/sudoers.d/010_pi-nopasswd に
- pi ALL=(ALL) PASSWD: ALL と設定
- sudo nano /etc/sudoers.d/010_pi-nopasswd に
- ユーザの許可と否定の設定を行う
- 許可
- AllowUsers edward andrew charles anne
- 否定
- DenyUsers harry william
- 設定を適用
- sudo systemctl restart ssh or reboot
- 許可
- firewallの設定 (iptableでも良いが設定が難しいので設定が簡単なufwを使う)
- ufwのインストール
- sudo apt-get install ufw
- ufwの有効化
- sudo ufw enable
- ufwの無効化
- sudo ufw disable
- ufwのポートアクセスの許可(番号は適切に)
- sudo ufw allow 22
- ufwのポートアクセスの無効化
- sudo ufw deny 22
- ufwのポートアクセスの無効化(ポート指定)
- sudo ufw deny 22/tcp
- ufwのポートアクセスの許可(番号を知らなくてもできる)
- sudo ufw allow ssh
- ある30秒以内にに6回以上あるipアドレスから接続を試されたら自動的にその接続を拒否する
- sudo ufw limit ssh/tcp
- 指定の秒数内に6回指定のipアドレスから接続の試みがされた時それの接続を拒否する
- sudo ufw deny from 192.168.2.1 port 30
- ufwのインストール
- 外部に意図的に通信の出入り口を開けることにより生じる脅威を遮るためにfail2banをインストールする これにより攻撃者からのブルートフォースアタックなどをされているのをログファイルを自動で見て異常があれば伝えてくれたり自動でファイヤーウォールを更新してくれるスグレモノ
- fail2banのインストール
- sudo apt-get install fail2ban
- fail2banは**/etc/fail2banというファイルを作る
- 設定ファイルはjail.confである
- jail.confはjail.localというファイルとしてコピーする必要がある
- jail.localを実際に設定していく
- ssh接続を許可するために設定ファイルに書き込む
- fail2banのインストール
jail.confのコピー
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
jail.localへsshの許可を設定
sudo nano /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
sshの接続設定はsshd.confに記述されている
sshd.conf
\etc\fail2ban\filters.d\sshd.conf
sshのサービスの有効化の二つ目の方法 (初めらへんに書いてあるのが一つ目の方法)
sudo systemctl enable ssh
sudo systemctl start ssh