Linux、ユーザー作成、グループ追加、SSH設定

タグ: Ubuntu  

メモ記事です。DigitalOceanでプロビジョンするほどでないけど、ちょっと試したいときの最初の設定です。

  1. # ユーザー作成(rootユーザーしかない場合)
  2. adduser YourUserName
  3.  
  4. # adminグループ追加(wheelのほうが適当か?)
  5. sudo groupadd admin
  6.  
  7. # ユーザーをadminグループに追加
  8. sudo usermod -a -G admin YourUserName
  9.  
  10. # adminグループにsuの使用を制限(Debian系)
  11. sudo dpkg-statoverride --update --add root admin 4750 /bin/su
  12.  
  13. # ユーザーをSSHで接続可能にする
  14. md /home/YourUserName/.ssh
  15. chmod 700 /home/YourUserName/.ssh
  16.  
  17. # rootの公開認証キーをコピー(必要なら公開キーを貼り付けること)
  18. cp /root/.ssh/authorized_keys /home/YourUserName/.ssh/
  19. chown YourUserName:YourUserName /home/YourUserName/.ssh/authorized_keys
  20. chmod 600 /home/YourUserName/.ssh/authorized_keys
  21.  
  22. # SSHの設定(ルート接続禁止、パスワード接続禁止、ポート変更)
  23. # 置換の空白は現在適当です
  24. sed -i \
  25. -e 's/Port 22/Port ポート番号/' \
  26. -e 's/PermitRootLogin yes/PermitRootLogin no/' \
  27. -e 's/#PasswordAuthentication yes/PasswordAuthentication no/' \ 
  28. /etc/ssh/sshd_config
  29.  
  30. # 必要に応じファイヤーウォールで22ポートを閉じ、新しいsshポートを開く
  31.  

YourUserNameを作成したいユーザー名に置き換えてください。 ポート番号を新しいSSHポート番号に置き換えます。

ファイヤーウォールの設定を忘れずに!

これでssh -p ポート番号 -i キーファイルへのフルパス YourUserName@IPかドメインでアクセスできます。

IPが固定されなけりゃ、気にすること無いんですが、DigitalOceanでは、たまに使用するだけでもIPが固定されるようです。もちろん、このIPはかつて他の人や、どこかで使用されていたものらしく、起動するといきなりアクセスがあったりします。

そのため、ちょっとしたことを行う場合であっても、初めから開いているSSH周辺はきっちりと設定しておく必要があります。

たぶんVagrantでも、外部からの接続に使用するIPやドメイン名は使いまわしでしょうから、これから同じような注意が必要になるでしょうね。まあ、プロビジョニングが先に走ることがほとんどでしょうから、さほど心配は要らないでしょうが、時間がかかることがありますので、その間をぬって攻撃ということも起きてくるでしょう。

そんなわけで、いつでも思い出せるように、メモ記事です。主にDigitalOceanのUbuntuサーバーで使用するためのものです。