お外でひかり電話 追加のセキュリティその2
その1 SSH自体の設定
#nano /etc/ssh/sshd_config
・Port 22
・Protocol 2
(PermitRootLogin without-passwordはコメントアウトして「no」に変更)
・PermitRootLogin no
・PermitEmptyPasswords no
・PasswordAuthentication yes
・AllowUsers pi_part2
以上、デフォルト値のままで良い部分と追記する部分とを変更して保存しておく。
その2 TCP Wrapperの仕掛け
これもraspbianには入っている。
これは、以下2種類のファイルだけで設定が決まる。
#nano /etc/hosts.deny
以下の1行を追加
sshd : all
以下ファイルにも追記
#nano /etc/hosts.allow
最終行にでもどうぞ
sshd : 192.168.1.
これは192.168.1.0/24(192.168.1.1から192.168.1.254まで)を表している。自宅のLAN内からのみ接続可とする。
その3 PAMの設定
sshgrpというグループをつくり、そこに新規ユーザーであるpi_part2を追加しておく。
この設定で使うためだ。
#groupadd sshgrp
#gpasswd -a pi_part2 sshgrp
以下コマンドで追加されたか確認する
#grep sshgrp /etc/group
以下メッセージが返されたら概ね成功
sshgrp:x:1002:pi_part2
次。
#nano /etc/pam.d/sshd
最終部に追記する。
account required pam_access.so
最後に
#nano /etc/security/access.conf
以下1行を追記
- : ALL EXCEPT sshgrp : ALL
以下ファイルを開いて内容を確認。
#nano /etc/ssh/sshd_config
以下の行が最終行あたりにあればそのままで良い。
UsePAM yes
Follow me!
