連載第18回
2014年2月15日
ServersMan@VPS > SSHでログイン出来るユーザーを制限する

 先週、都市の交通を大混乱に巻き込んだ大雪に、自分の不手際でベランダのカネノナルキを埋没させてしまったことを「猛省しているハズ」なのに、昨日の大雪アゲインでまたやっちまいました…(←)。このカネノナルキはもう十数年育てていて、途中幾度か病気に罹って瀕死の状態になりつつも、その度にこぼれ落ちた葉っぱからまたジワジワ再起し今に至るのですが、今回の立て続けの失態でついにダメになってしまうかもしれない。これまで何となく「このカネノナルキが元気なら僕も元気」という縁起を担いできたので、ちょっと心配です。何せ落ちた葉っぱも全て黄色に萎れてしまったので、今回もこれまでのように見事な復活が出来るのかどうか。もちろんこの後、積もった雪を払いのけて傘を差しておいたのだけれど、果たして…。

SSHでログイン出来るユーザーを制限する

 前回の記事のDisqusコメント欄でvineworkさんからまたアドバイスをいただきました。それは「SSHでログイン出来るユーザーを制限する」というもの。今回のレンタルサーバーには僕一人分のユーザーアカウントしか登録しないので、基本的に他のユーザーの権限を制限する必要は無いのだけれど、そんな当たり前の手段もあったのかと「基本の基本」に気付かないでいたところを指摘してもらって感謝です。ポート番号の話に入る前に、早速その設定をやってしまおうと思います。前回修正した設定ファイル「/etc/ssh/sshd_config」に「AllowUsers 許可するユーザ名」を追加すればOKなのだとか。

ユーザーの個別許可

AllowUsers フリフリ

「フリフリ」の箇所に許可するユーザ名

外部サイト参考記事
SSHでログインできるユーザを制限(Linuxで自宅サーバ構築・管理: KSKNET)

 手順としては前回と全く同様となります。フリフリでログイン後に「su -」でrootに昇格し「vi」で開いて上の行を追加し上書き保存。ちなみに前回「cp」コマンドを使って「sshd_config」ファイルのバックアップは取ってあるので、今回その工程は省略。ちなみにパスワードは入力時によく間違えます。

 開いた「sshd_config」の最後に「AllowUsers フリフリ」を追加し、「:wq」で上書き保存して終了。これで「フリフリ」以外のIDでsshを介したログインが出来なくなったハズ。

rootになれるユーザを制限する

 sshでログイン出来るユーザーを制限する事に関する記事をいろいろ読んでいたら、その流れで今度は「rootになれるユーザを制限する」という記事に辿り着きました。一般ユーザーIDでssh経由にてログインした後「su -」でrootに昇格出来るユーザーIDも予め管理しておきましょう、という事ですね。記事を読み比べて頭の中でまとめてみると、どうやら現状だと、サーバーにログイン出来た一般ユーザーは誰でも「su -」でrootに昇格出来てしまうようなのです。言われてみるとそうだったような…。

 以前「$ visudo」で編集した時の設定の意味は「wheel管理者グループに追加したユーザーのみsudo可能」というものでしたが、そこにプラスして「wheel管理者グループに追加したユーザーのみsu可能」という設定もしておこうよ、という事らしい。手順としては、「su -」で上がって「cp」でバックアップを取ってから、「# vi /etc/pam.d/su」で設定ファイルを開き、「#auth required pam_wheel.so use_uid」と書かれている行を探して、頭の#を削除して(コメントアウトを取り消して)上書き保存(:wq)。

suの設定ファイルを開く

# vi /etc/pam.d/su

suの内容を書き換える

#auth            required        pam_wheel.so use_uid

↓ 頭の#を取って「:wq」で上書き保存します。

auth            required        pam_wheel.so use_uid

 では、実画面のキャプチャです。

 一度ログアウトして、フリフリでログインし直し、これまで通り無事「su -」出来ました。フリフリ以外のアカウントだと、もう「su」出来ないハズです(試してないケド)。今後もし、rootを使えるユーザーを追加する必要が生じた時には「useradd -G wheel」で新規ユーザーIDをwheel管理者グループに追加します。つづく。

なお「CentOS5では/etc/login.defsの書き換え(“SU_WHEEL_ONLY yes”の追記)は必要ありません」と言う事らしいので、そこは修正していません。次回こそはポート番号ネタに(行けたらいいな)。