WebARENAのVPSサーバー設定メモ(2) SSHの設定

SSHの設定

前回はrootでのSSH接続まで行いました。

管理者アカウントでSSHでログインできる状態になっていると辞書攻撃や 総当たり攻撃 によって第三者によって管理者権限を不正に取得される危険があります。

この危険性に対処するため、root でのSSHログインを禁止する設定を行います。

ユーザーアカウントの追加

まずはSSHで接続するユーザを作成します。

[root@localhost ~]# useradd ユーザ名
[root@localhost ~]# passwd ユーザ名
Changing password for user ユーザ名.
New UNIX password:   ←パスワードを入力
Retype new UNIX password:    ←確認用に再入力
passwd: all authentication tokens updated successfully.

rootになれるユーザを管理者のみにする

デフォルトでは全てのユーザがrootになれてしまうため、管理者以外の一般ユーザはrootになれないようにします。

[root@localhost ~]# usermod -G wheel ユーザ名 ←ユーザをwheelグループに追加

[root@localhost ~]# cp /etc/pam.d/su /etc/pam.d/su.backup
[root@localhost ~]# vi /etc/pam.d/su

#auth       required     pam_wheel.so use_uid
↓
auth       required     pam_wheel.so use_uid

SSHサーバー起動設定

SSHサーバーを自動起動するように設定します。

[root@localhost ~]# chkconfig sshd on

自動起動設定されているか確認します。

[root@localhost ~]# chkconfig --list sshd
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

2〜5がonになっていれば自動起動に設定されています。

設定ファイルを編集

次にSSHサーバー設定ファイルを編集します。

[root@localhost ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
[root@localhost ~]# vi /etc/ssh/sshd_config

#PermitRootLogin yes
↓
PermitRootLogin no    ← rootでのログインを禁止します

#UseDNS yes
↓
UseDNS no    ← DNS を使用してリモートホスト名を確認しなようにします。

今回はSSH鍵の認証は設定していません。

以下のコマンドを実行し、設定した内容を有効にして下さい。

[root@localhost ~]# service sshd reload

chktrootkit・Tripwireのインストール

chktrootkit・Tripwireが必要であれば
以下のサイトを参考にインストールします。
ファイル改竄検知システム導入(Tripwire)
rootkit検知ツール導入(chkrootkit)

簡易サーバー設定

bind、apache、vsftpd、postfixの初期設定を自動で行います。
面倒な手作業での設定ファイル編集を行わず、短時間で自動的にサーバーの構築作業を行うことが出来ます

コントロールパネルの「初期設定」メニューにある「簡易サーバー設定」の項目から行うことが出来ます。
ホスト名の変更などもここで可能です。

まずはこれで公開できる状態になりました。
これから細かい設定をしていきます。