Day19 Raspberry Piのセキュリティ設定

今回から、Raspberry Piを自宅サーバーとして外部に公開することを意識した作業を開始する。

まずは、Raspberry Piのセキュリティ設定をしなくてはならない。セキュリティといっても、内容は多岐にわたるが、まず行うべきなのがユーザアカウントに関するものである。rootのパスワードはないわ、piユーザのパスワードはみんな知っているわ、sshでパスワードの総当たりに脆弱だわと、問題が多く、デフォルトではとても外部に公開はできません。そこで、最低限抑えておきたいところを設定してきます。

まず、ネットで情報を収集。

#このサイトはとてもまとまっている

RaspberryPiのセキュリティ設定について

#SSH接続に関しての設定
Raspberry Pi でサーバー構築 (SSH接続)

#sshの設定ファイルのセキュリティに関しての細かい設定方法
IT備忘録


############## rootのパスワード設定 #################

#rootのパスワード設定
sudo passwd root
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

############## piのパスワード設定 #################

sudo passwd pi
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

##############piユーザのsudo使用時に常にパスワードが必要にする###############
piユーザはデフォルトではsudoコマンドでパスワードが必要とされていません。これは危険なので変更します。まずは、visudoで使用するエディタをvim(3番)に変更します

#visudoのエディタ変更
sudo update-alternatives --config editor
There are 4 choices for the alternative editor (providing /usr/bin/editor).

  Selection    Path                Priority   Status
------------------------------------------------------------
* 0            /bin/nano            40        auto mode
  1            /bin/ed             -100       manual mode
  2            /bin/nano            40        manual mode
  3            /usr/bin/vim.basic   30        manual mode
  4            /usr/bin/vim.tiny    10        manual mode

Press enter to keep the current choice[*], or type selection number: 3
update-alternatives: using /usr/bin/vim.basic to provide /usr/bin/editor (editor) in manual mode

#visudoでsudoの設定を変更
sudo visudo
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL                                       

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d
pi ALL=(ALL) NOPASSWD: ALL              #ここをコメントアウトして、新たに設定を付け足す。

こんな感じ
#pi ALL=(ALL) NOPASSWD: ALL
pi ALL=(ALL) PASSWD: ALL

:wq

#テスト
$ sudo su

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.
[sudo] password for pi: 

これでうまくいった。