Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

(覚え書き) col ユーザ追加とrootのssh禁止

More than 5 years have passed since last update.

2013/03/19 ごろの作業

パスワードポリシー

  • 有効期限:
    設定しない。設定したい場合はchageコマンドを全員に適用(Pマーク対策に)。
  • 強度:
    pam_cracklib を利用すると良いのですが特に設定していません。設定が必要な場合は /etc/pam.d/system-auth の 「password requisite 」 の部分に以下の設定を記述。
  difok=N     現在のパスワードと N文字以上異なれば許可。
  minlen=N    パスワードが N文字以上だと許可。
  dcredit=-N  数字が N文字以上含まれていれば許可。
  ucredit=-N  大文字が N文字以上含まれていれば許可。
  lcredit=-N  小文字が N文字以上含まれていれば許可。
  ocredit=-N  その他の文字が N文字以上含まれていれば許可。

ユーザ追加

  • ユーザ名
    適当に
  • ユーザID
    社員番号+2000 にしたいが社員番号がまだきまっていないので1000から適当に。サービス用アカウントは600から順に。
  • プライマリグループ
    users
  • セカンダリグループ
    特になし
  • homeディレクトリ
    標準
  • ログインシェル
    標準
  • 有効期限
    標準(なし)
  • パスワードの使用期限が切れてからアカウントが有効期限が無効になるまでの日数
    標準(-1)
  • 初期パスワード
    適当に
# useradd -u 1053 -g users masashi
# passwd masashi
(xxx)
# id maashi
uid=1053(masashi) gid=100(users) 所属グループ=100(users)
# useradd -u 600 -g users shift-web
# passwd shift-web
(xxx) 

rootのssh禁止

/etc/ssh/sshd_config を修正

# more /etc/ssh/sshd_config
#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
#
...(中略)
# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
...(略)

PermitRootLoginがコメントアウトされているので以下に修正

#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
#
...(中略)
# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
...(略)

設定変更が完了したらsshdを再起動

# service sshd restart

rootでsshできないことを確認

sudoの設定

# visudo
masashi ALL=(ALL) ALL

SELINUXの解除

$ sudo vi /etc/sysconfig/selinux
    SELINUX=enforcing
        ↓
    SELINUX=disabled
...(保存)

$ sudo reboot
...(再起動後)
$ getenforce
Disabled
shrimpx
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away