備忘録_28 / ServersMan@VPS_09
完全に降参😢 … 何となくブログを書いてみようと思い立ち、そのブログを書くためにはWordPressを使う、… 程度の知識は頭の片隅にありました。しかし、始める前にもっと調べれば良かった。もともとページビュー数が見込めないただの日記帳なのだから、それこそ有料・無料のブログサービスもあるではないかと。勝手にwebクローラーも来てくれますし、SEO対策も程々やってくれますし … 。そもそも、この立ち上げを記事にする備忘録も10回ぐらいで終わるだろう予定だった … 。今はどこかに移行しようかなと完全に泣きが入っております。言い訳ですが「ブログパック」という商品名で売られていて、それって設定要らずで買ったらすぐに始められると思いますよ普通に … …。
SSHクライアントRLoginの使い方
バックアップの取り方
内容的には前回記事はこちらからの続きになります。
仮想専用サーバーのセキュリティを考えて、最終的にroot権限を廃止させる手続きを行います。
また、ガチガチに凝った設定を行いますと、いざトラブルが発生した時に肝心な自分がログイン出来なくなります。ですからそれ以前のバックアップは必ず取っておきましょう。
こちらのマニュアルを参照しながら実行していきます。
ServersMan@VPS_マニュアル/sudo設定
ServersMan@VPS_マニュアル/root権限でのアクセスを禁止する
考えてみたのですが、いざ事故を起こした時に自分自身で破れない程のセキュリティはかけられないですよね…。
仮想専用サーバーのセキュリティ対策を考える
初めの一歩
こちらのマニュアル読みましたところ、rootのパスワードを変更して、更に最悪そのパスワードを紛失してしまっても元に戻せるようです。
“root”アカウントのパスワードを初期化します。
エンジニアセットの場合は、”admin”アカウントのパスワードを初期化します。
自宅のwindows・mac/PC
ID:root
pass:メール記載パスワード
を使い@VPSにログインする。
サーバーの中で安全に作った、
ID:honyarara
pass:hogehoge
を使い@VPSにログインする。
もし、問題が発生したらMyDTI
ID:MyDTIお客様ID
pass:MyDTIお客様password
を使いMyDTIにログインする。
イソターネット空間
悪意のある第三者に見られている可能性がある。
――――― ログイン ――――→
悪意のある第三者に見られている可能性がある。しかし、ID:honyararaは偉くない。
――――― ログイン ――――→
悪意のある第三者に見られている可能性がある。しかし、これどうなってんだろう?分からない…。
ServersMan@VPS CentOS7
一般アカウントを作りpass設定。
ID:honyarara
pass:hogehoge
そして、今後はrootを使わない。
安全なサーバー内で、変更したrootパスワードを使いID:honyararaは偉くなる。
最終的に、 ↓
rootログイン禁止の設定をする。
もし、問題が発生したらServersMan@VPSコンソールより、rootパスワードをぽちっとリセットする。
上手くいけばそういう運びになるになる。…ハズです。しかし、そこまでしてVPSを使う必要があるのだろうか?
始めてしまった以上、出来る所までやってみるしかないです。ダメなら無料ブログサービスにお引越します… … 。
CentOS7のパスワードポリシー
[図_1]
前回でも使用したWinSCPを使い、ServersMan@VPS CentOS7のパスワードポリシーのデフォルトを確かめてみました。以下のconfファイルを見るとパスワード作成ルールの設定が見られます。
# /etc/security/pwquality.conf |
但し、本当に設定のメモ書きらしく、このファイルを修正しても設定は変わらないそうです。
ちゃんと確かめておかないと、実は利用するVPSプロバイダーごとにポリシーは変えてあった…かの様になりますと後々余計に大変になります。大丈夫、ここに手は加えられていないようです。CentOS7デフォルトのままです。
項目 | 値 | 説明 |
difok | 5 | 変更前のパスワードの文字はNG |
minlen | 9 | パスワードの最低文字数 |
dcredit | 1 | 数字が1文字以上 |
ucredit | 1 | 英大文字が1文字以上 |
lcredit | 1 | 英小文字が1文字以上 |
ocredit | 1 | 記号が1文字以上 |
使用できるcharacter
- 数字
0~9 - 英大文字
a~z - 英小文字
A~Z - 記号
!”#$%&'()*+,-./:;<=>?@[\]^_`{|}~
一般に、パスワードに使う文字種は多いほど、その組み合わせが増えてcrackingしにくくなると言われています。ですから、これら4種類の文字を全て組み入れればパスワードの強度が上がります。但し、ログインする時の自身の面倒が増えます。
しかし、たいしたセキュリティを作ることが望めないのだから、この際面倒でも長い文字列にした方が良さそうです。パスワードはwindows用のパスジェネレーターで用意しました。
後、面倒な人のためでしょうか?パスワードの最低文字数は変化するそうです。使用する文字種が増えるごとに最低文字数が減るっぽい。
rootのパスワード変更のプロセス
仮想専用サーバーにログイン
1⃣ root権限で仮想マシンにログイン(root)
ServersMan@VPS_マニュアル
例:「serversman」という一般ユーザーを追加する場合を例に解説いたします。
※追加するユーザー名は任意です。
2⃣ 一般ユーザーを追加
# useradd honyarara |
3⃣ 追加した一般ユーザーにパスワードを設定
# passwd honyarara |
Changing password for user honyarara New password:hogehoge Retype new password:hogehoge passwd: all authentication tokens updated successfully. |
一般ユーザー用パスワードを自由に設定
確認のため、上記と同じパスワードを入力
0⃣ rootパスワードを変更
# passwd root |
Changing password for user root New password:new hogehoge Retype new password:new hogehoge passwd: all authentication tokens updated successfully. |
同様に、rootのパスワードも変更してしまう。
以後、ServersMan@VPSコンソールよりrootパスワードをリセットしない限り、最初に貰ったパスワードは使えない。
2⃣ “visudo”コマンドにてファイルを編集
# visudo |
“visudo”コマンドにてファイルを編集します。
※”vi”コマンドと同じ要領で編集が可能です。
3⃣ 設定を編集
## Allows members of the users group to shutdown this system # %users localhost=/sbin/shutdown -h now |
honyarara ALL=(ALL) ALL |
開いたファイルの最下段に下記を入力し、編集内容を保存します。admin ALL=(ALL) ALL
記述の見方:ユーザー名 ホスト名=(権限) 許可するコマンド
x | 1文字消去 | i | 現在のカーソル位置に文字を挿入する |
A | 現在のカーソル行の最後に文字を追加する | o | 現在のカーソル行の次の行に行を挿入する |
:q! | ファイルを破棄してviを閉じる | :wq | ファイルを上書してviをを閉じる |
0⃣ ユーザのログイン・ログオフ情報の履歴を表示
# last |
root pts/0 xx.xxx.xxx.xxx.a Tue Feb 2 12:00 – 12:20 (00:20) |
rootでの最終ログイン日時をメモする。
4⃣ サーバーからログアウト(root)
# exit |
以後、rootのパスワードを使ったログインはしない。
0⃣ 一般ユーザーで仮想マシンにログイン(honyarara)
以後、サーバー操作はhonyararaを介して行うう。
5⃣ 作成した一般ユーザーをroot権限へ昇格
[honyarara@VPS]$ su – Password:new hogehoge [root@vps]# |
※ユーザー名の部分が「root」と表示されれば、昇格成功です。
0⃣ サーバーからログアウト(honyarara)
# exit |
パスワードの変更だけでしたが、今回は以上です。
次 | 備忘録_29 / iptableの初期化方法 | → |
□ | 備忘録_30 / iptableの設定方法 | → |
□ | 備忘録_31 / 公開鍵認証の設定方法 | → |
□ | 備忘録_32 / AirDisplayの設定方法 | → |
セキュリティ編 2 |
セキュリティ編 3 |
セキュリティ編 4 |
セキュリティ編 5 |
EyeCatch画像:Rudy and Peter Skitterians/Pixabayからの画像