先日、2月8日の大雪にはホントにワクワクしました。田舎よりも北緯にありながら、東京は全然雪が降らないところだなあというイメージが強くあったのですが(何せ今回は20年ぶりの大雪と言うことですから僕も知らないワケです)、一日中降り続いたサラサラの雪は、オッサンの僕も子犬のように庭駆け回りたくなるほど心躍らせるものがありました。もちろんこれが毎日続けば辟易しますが、たった1日だったからこそ、のものかと思います。しかし今回迂闊にも、カネノナルキをベランダに出しっぱなしにしてしまい翌朝気が付けば雪がこんもりと降り積もっていて、急いで払いのけてみたのだけれど、これまで元気よく青々と広がっていた葉っぱが黄色くなってグニャリと萎れてしまっていたのでした(↑)。早く部屋に入れるか傘でも立て掛けておくべきだったと猛省しています。また、大量に降り積もった雪が、翌々日にはほとんど消え去ってしまったことにも驚きでした。一体どこに消えたのでしょうか…。
rootで直にログインするな!?
前回は環境設定な内容でした。今回からまた少しセキュリティ方面に。これまで参考にしてきた「最初にやっておく事関連記事」に目を通していると「rootでログインするな!」と必ず書かれてあるのですが、その理由は何だろうと思って、コチラの記事の冒頭部分を読んで今更ながらに納得出来ました。今どき、パスワードなんてその気になればすぐ分かってしまうのでしょうね。
そこで、改めて「DTIのマニュアルページ>ServersMan@VPSのセキュリティ設定>root権限でのアクセスを禁止する」に目を通し、今回はユーザーである自分もrootでログイン出来ないようにしてしまいます。設定に失敗して、「フリフリ」でもログイン出来なくなってしまったら最強。
ざっくりと手順はどうなっているか調べてみたところ、
設定手順
- 一般ユーザーIDを追加登録する。(第13回で設定済み)
- 一般ユーザーIDのパスワードを設定する。(第13回で設定済み)
- 上記一般ユーザーを管理者グループに登録する。(第13回で設定済み)
- 管理者グループのユーザーがsudoを使えるようにする。(第14回で設定済み)
- 設定ファイルを書き換えて、sshでrootログイン出来ないようにする
- sshの再起動
というわけで、1〜4は既に設定済みなので今回はイキナリ5、6で作業終了のハズ。
コンフィグファイル「sshd_config」の書き換え
では早速。設定ファイルの書き換えには「第14回:vi って何コレ使いにくい!」で何となく使い方を覚えたハズの「vi」を再び使います。書き換えるファイルは「/etc/ssh/sshd_config」だそうな。まず一般ユーザーIDの「フリフリ」でログインしてから「su -」でrootに昇格し、第15回で学んだように「cp」でバックアップを取っておきます。
作業前にはバックアップ
# cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.ORG
バックアップを取ったら、次のコマンドを入力します。
viでsshdのコンフィグファイルを開く
# vi /etc/ssh/sshd_config
設定ファイルを「vi」で開いたら、次の「#PermitRootLogin yes」と書かれてある行を探して、noに書き換え上書き保存します。
yesをnoに書き換える
#PermitRootLogin yes ↓yesをnoに書き換えて、頭の#を消して「:wq」で保存 #PermitRootLogin no
ここまで出来たら、sshの再起動。
sshの再起動
# /etc/init.d/sshd restart
では実際に作業している最中の画面キャプチャです。これがあると自分のやった事を思い出せるのです。
「vi」で開いた設定ファイルを書き換えます。
上書き保存して「vi」を終了し、sshを再起動。OKが出たら、一旦ログアウトします。
これでもうrootでのログインは出来なくなりました。つづく。
今月中に何とか、超初歩的なんちゃってセキュリティ対策を終了させたいです!
2014-02-13 > VPS&WordPress引っ越しメモ