【Raspbian】セキュリティ向上その1

  • ルートユーザパスワード変更

    passwd root
    

    変更後のパスワード入力。
    変更後のパスワード再入力。

  • ログインユーザ(作業ユーザ)追加

    adduser ユーザ名
    

    変更後のパスワード入力。
    変更後のパスワード再入力。
    残りの項目は空でエンターを押下すれば問題なし。
    最後に”Y”を入力。

    sudoを管理する「/etc/sudoers」を編集するための特殊コマンドを実行する。
    特殊なエディタが起動したらデフォルトユーザpiの下に作業ユーザを追加する。

    visudo
    
    # 下記内容を追加
    # PASSWDはsudoコマンド時にパスワード入力を求める。
    ユーザ名 ALL=(ALL) PASSWD: ALL
    

    CTRL+Xとエンターで保存する。
    次にデフォルトユーザpiの所属を確認する。

    groups pi
    pi : pi adm dialout cdrom sudo audio video plugdev games users netdev input spi gpio
    

    作業ユーザにも同様の所属を適用する。

    sudo usermod -G adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,netdev,input,spi,gpio ユーザ名
    

    再起動後、作業ユーザが同様の所属になったか確認する。

    groups ユーザ名
    ユーザ名 : ユーザ名 adm dialout cdrom sudo audio video plugdev games users netdev input spi gpio
    
  • デフォルトユーザ削除

    userdel pi
    

    「/etc/sudoers」からもデフォルトユーザをコメントアウトする。

    visudo
    
    # 下記内容を変更
    pi ALL=(ALL) NOPASSWD: ALL
    ↓
    # pi ALL=(ALL) NOPASSWD: ALL
    
  • SSH接続設定
    SSH接続設定はデフォルトで有効化されているので、ユーザ制限だけを行う。

    vi /etc/ssh/sshd_config
    
    # 下記内容を変更
    # rootログイン制御
    PermitRootLogin yes
    ↓
    PermitRootLogin no
    
    # 空パスワード制御
    PermitEmptyPasswords yes
    ↓
    PermitEmptyPasswords no
    
    # 下記内容を追加
    # 指定ユーザ名のみのログイン制御
    AllowUsers ユーザ名
    
    /etc/init.d/ssh restart