お外でひかり電話　追加のセキュリティその3

rootへの切替制限

rootユーザーに切り替えできるユーザーを限定（実質一人だけ）する。

ここで使用する「wheelグループ」はraspbianにデフォルトで存在しないので作っておく。

#groupadd wheel

#gpasswd -a pi_part2 wheel

確認

grep wheel /etc/group

wheel:x:1003:pi_part2

設定ファイルの変更

#/etc/pam.d/su

ここに以下の１行だけ追記する。

auth required pam_wheel.so group=wheel

最後に

#systemctl restart sshd

でsshまわりのサービスを再起動して設定を反映させてやればOK。

テストしてみる

設定を間違っていたら結構立ち往生なので、よく確認してから。場合によってはraspberriPiにディスプレイつなげて復旧作業ができるよう準備してから実行してください。

ここからはテストです。

一度ログアウトしてから従来どうりに再びログインしてみる。

これはログインできない。

次にpi_part2のユーザー名でログインしてみる。

ちょっとしたエラーメッセージが出るがログインできる。

次は

#su -

でrootになれるか試してみる。

ちゃんとrootになれる。

そして

# su pi

でpiユーザーに切り替えられるか。

これもできるはず。

最後にいまのpiユーザーのままrootになってみる

#su -

これは

Permissiondenied

が返されてrootになれない。

それで良し。

以上の感じでsshまわりがだいぶ固められたと思う。

それ以上できる人は公開鍵・秘密鍵の設定でパスワードそのものを使わない方法をとるのがさらに強固なセキュリティになるかもしれない。

僕はパソコンがしょっちゅう入れ替わったり、再インストールしたりの嵐なので秘密鍵がどこかにいってしまいそうだから、あえて使っておりません。

みなさまのさらなるご検討を祈ってます。