SSHのセキュリティ対策をしよう！

ここでは、rootユーザに切り替わることの出来るユーザを限定する方法と、rootユーザでのSSHによるログインを禁止する手順を掲載しています。

SSHとは…？

Linuxをコマンドで遠隔操作する手段としては、主に2つの方法があります。

1つは"Telnet"、もう1つは"Secure SHell(SSH)"です。

Telnetは暗号化をせず、平文(暗号化されていない素のデータ)で通信をするため安全な通信方法とはいえません。最近のディストリビューションでは、標準でTelnetが無効になっていることがほとんどです。

通常はTelnetの代わりにSSHを使います。SSHは通信を暗号化し、セキュリティを高めたものです。

SSHの設定

インストール直後はrootユーザでSSHへのログインが可能になっています。つまり、rootユーザのパスワードがバレてしまうと、簡単にサーバを乗っ取られる可能性が高いわけです。

そこで、一般ユーザでのログインのみを許可し、必要なときだけ一般ユーザからrootユーザに切り替えて使うようにします。

rootに切り替えが出来るユーザの設定

rootユーザに切り替わることの出来るグループをwheelグループといいます。作成済みの一般ユーザをこのwheelグループに追加します。

ここでは"user"という一般ユーザーを作成しているものとして話を進めています。入力するユーザー名はご自身の環境に合わせて入力してください。

また、一般ユーザーを作成していない方はこちらを参考に作成してみましょう。

sshdの設定

rootでSSHにログイン出来ない設定と、その他いくつかの設定をします。

まずは今の設定を削除してしまいましょう。

続いて、設定を変更します。

sshdの再起動

設定を有効にするために、sshdを再起動します。

ここから先、rootでsshにログインすることが出来なくなりました。次にログインするときは一般ユーザで行ってください。

一般ユーザからrootユーザへの切り替え

一般ユーザからrootユーザに切り替える場合、以下ようなコマンドを使います。

この２つの違いは、ユーザに管理者としての権限を与えるか、rootとしてログインし直すかです(厳密に言えばちょっと違いますが、この解釈で十分だと思います)。

"su"ではユーザuserの情報を引き継いで、現在地がuserのホームディレクトリ(/home/user)になっているのに対し、

"su -"ではrootのホームディレクトリ(/root)になっているのが分かります。

状況に応じて使い分けができると良いですが、通常は"su -"を使っておけば問題ないと思います。

更にセキュリティを向上したい場合は、公開鍵認証を導入しましょう！

SSHへ公開鍵認証導入へ

参考にしたサイト様

mrwk update - RHEL9のインストーラでrootのパスワードによるsshログインを許可したあとで拒否する話

今回新しく登場したコマンド

• usermod
• rm
• su
• pwd