Linux、ユーザー作成、グループ追加、SSH設定

Tags : Ubuntu  

メモ記事です。DigitalOceanでプロビジョンするほどでないけど、ちょっと試したいときの最初の設定です。

# ユーザー作成(rootユーザーしかない場合)
adduser YourUserName

# adminグループ追加(wheelのほうが適当か?)
sudo groupadd admin

# ユーザーをadminグループに追加
sudo usermod -a -G admin YourUserName

# adminグループにsuの使用を制限(Debian系)
sudo dpkg-statoverride --update --add root admin 4750 /bin/su

# ユーザーをSSHで接続可能にする
md /home/YourUserName/.ssh
chmod 700 /home/YourUserName/.ssh

# rootの公開認証キーをコピー(必要なら公開キーを貼り付けること)
cp /root/.ssh/authorized_keys /home/YourUserName/.ssh/
chown YourUserName:YourUserName /home/YourUserName/.ssh/authorized_keys
chmod 600 /home/YourUserName/.ssh/authorized_keys

# SSHの設定(ルート接続禁止、パスワード接続禁止、ポート変更)
# 置換の空白は現在適当です
sed -i \
-e 's/Port 22/Port ポート番号/' \
-e 's/PermitRootLogin yes/PermitRootLogin no/' \
-e 's/#PasswordAuthentication yes/PasswordAuthentication no/' \ 
/etc/ssh/sshd_config

# 必要に応じファイヤーウォールで22ポートを閉じ、新しいsshポートを開く

YourUserNameを作成したいユーザー名に置き換えてください。 ポート番号を新しいSSHポート番号に置き換えます。

ファイヤーウォールの設定を忘れずに!

これでssh -p ポート番号 -i キーファイルへのフルパス YourUserName@IPかドメインでアクセスできます。


IPが固定されなけりゃ、気にすること無いんですが、DigitalOceanでは、たまに使用するだけでもIPが固定されるようです。もちろん、このIPはかつて他の人や、どこかで使用されていたものらしく、起動するといきなりアクセスがあったりします。

そのため、ちょっとしたことを行う場合であっても、初めから開いているSSH周辺はきっちりと設定しておく必要があります。

たぶんVagrantでも、外部からの接続に使用するIPやドメイン名は使いまわしでしょうから、これから同じような注意が必要になるでしょうね。まあ、プロビジョニングが先に走ることがほとんどでしょうから、さほど心配は要らないでしょうが、時間がかかることがありますので、その間をぬって攻撃ということも起きてくるでしょう。

そんなわけで、いつでも思い出せるように、メモ記事です。主にDigitalOceanのUbuntuサーバーで使用するためのものです。