猫型iPS細胞研究所

Windows、Linux、iOS、DB、Network

Linux

linuxでSSH公開キー認証ユーザーを作成する

投稿日:

目的

最低限のセキュリティを考慮して、下記要件のユーザーを作成します。

  • rootではなく一般ユーザーを作成し、sudoで管理コマンドを実行します。
  • rootに昇格できるユーザーを限定します。
  • リモートログインは一般ユーザーのみとします。
  • リモートログインはSSH公開キー認証とします。

ユーザーの作成

ユーザーを作成してwheelグループに追加します。
このwheelグループのユーザーを、後の作業でrootに昇格できるユーザーとします。

# useradd [ユーザー名]
# passwd [ユーザー名]
# usermod -G wheel [ユーザー名]

ユーザーの公開鍵と秘密鍵の作成

teraTermの
メニュー>設定>SSH鍵生成
より公開鍵と秘密鍵を作成してください。

作成した公開鍵をサーバーに配置

・作成したユーザーに変更
# su [ユーザー名]
$ cd /home/[ユーザー名]/
$ mkdir .ssh
$ chmod 700 .ssh
$ cd .ssh
・teraTermで作成した公開鍵を.ssh配下に配置する。
ファイル名はauthorized_keysとする。
$ vi authorized_keys ⇒ここに公開鍵テキストの中身を貼り付け
[ユーザー名]による読み取り専用にする。
$ chmod 600 authorized_keys

SSH公開キー認証の設定

sshd_configを編集する

# vi /etc/ssh/sshd_config

・RSA公開鍵認証の有効化
RSAAuthentication yes

・公開鍵認証を有効化
PubkeyAuthentication yes

・公開鍵の場所を指定(%hはホーム)
AuthorizedKeysFile   %h/.ssh/authorized_keys

・パスワードでのログインを禁止(鍵方式でのみログイン許可)
PasswordAuthentication no

・sshd_configの文法チェック
# /usr/sbin/sshd -t

・sshdの再起動
# service sshd restart

rootに昇格可能ユーザーを制限

suコマンドでrootになれるアカウントを制限します。
rootになれるのはWHEELグループのユーザーのみにします。

# vi /etc/login.defs
下記行を最後に追加
SU_WHEEL_ONLY        yes
# vi /etc/pam.d/su
下記行を追加(コメントアウト)
auth    required    /lib/security/pam_wheel.so use_uid group=wheel 

追加ユーザーにsudoの設定

# visudo
# 以下の行のコメントを外す
%wheel ALL=(ALL) ALL

<補足>
## Allows people in group wheel to run all commands
# %wheel ALL=(ALL) ALL ←こちらをコメントアウトすること。

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL ←こちらはパスワードが不要でsudoができる。。意味がないのでダメ。

rootアカウントでのリモートログインの不許可

# vi /etc/ssh/sshd_config
・変更
PermitRootLogin yes 
 ↓
PermitRootLogin no

Gooleアドセンス用336

Gooleアドセンス用336

-Linux
-,

執筆者:

関連記事

linux

viで行を削除する

INDEX1 カーソルのある行から削除する2 指定した行を削除する3 特定の行で、カーソルの前後を削除する カーソルのある行から削除する ノーマルモードで dd でカーソルのある行を削除できます。 数 …

linux

digコマンドでDNSを調査する

digコマンドを使用すれば、指定したDNSサーバーに問い合わせができます。 dig @[DNSサーバー] [調べたいドメイン] です。 下記は8.8.8.8(googleDNS)にntp.nict.j …

linux

viでコピー(ヤンク)&ペーストをする

省略された言葉でも、本当の意味を知っていけば、コマンドだって簡単に覚えていけます。 Linuxではコピーのことをヤンク(yank)と言います。クリップボードとう機能はなく、ヤンク(yank)というバッ …

linux

vimをインストールする

viとvim、どちらを使用していますか?私はvimを愛用しています。 vimはviの拡張版ともいれるもので、多機能なので使いこなせているわけではありません。 しかし誰でも簡単にソースコードの色分けがで …

linux

vmware上のCentOSに仮想化ソフトxenをインストールする(2)ドメイン0のインストール

管理osであるドメイン0のインストール方法です。 INDEX1 xenのインストール2 GRUBの設定変更3 確認 xenのインストール # yum install xen virt-manager …