アプリケーション開発ポータルサイト
ServerNote.NET
Amazon.co.jpでPC関連商品タイムセール開催中!
カテゴリー【Debian
【Debian初期設定2】group、passwd、sudo、sshログインルール
POSTED BY
2023-09-10

一般ユーザではpasswd(shadow)パスワードを設定しない=コンソールログインできないようにしている。SSHでのみログイン可能とする
例)vipw -s
hogeuser:*:18159:0:99999:7:::
間違って*を消してカラにするとパスワード無しでログインできるという全く逆の結果になるので注意※

コンソールログインできるのはrootユーザのみとしている。仮想マシンコンソールを開くときや、物理マシンにディスプレイ・キーボードをつなげるときはネットワークが切られた緊急時である。

例)rootでpasswdコマンドでパスワード設定すると↑shadowに暗号化されたパスが入る

一般ユーザとは逆にrootでのSSHでのログインは厳禁でなければならない。

/etc/ssh/sshd_config

PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no

一般ユーザでありかつ公開鍵認証でしかSSHログインできない設定。
鍵ペアの作成はこちらのように強いED25519を使い、
ログインされるマシンの.ssh/authorized_keysファイルにid_ed25519.pubを追加する。
ログインする側のマシンの.ssh/id_ed25519があればPubkeyAuthenticationログインが可能。

rootになるならまず一般ユーザでSSHログインしたのち
sudo -s
とする。そのためには /etc/group,gshadowのsudoグループに自分を加える。

vigr
sudo:x:27:hogeuser
vigr -s
sudo:*::hogeuser

そしてsudoファイルの設定
env EDITOR=vi sudoedit /etc/sudoers

#Defaults       env_reset
Defaults        env_keep += "PATH"
Defaults        env_keep += "EDITOR"
%sudo   ALL=(ALL:ALL) NOPASSWD: ALL

一般ユーザ時代のエディターとパスを引継ぎ、パスワード無しでsudoする設定。

※本記事は当サイト管理人の個人的な備忘録です。本記事の参照又は付随ソースコード利用後にいかなる損害が発生しても当サイト及び管理人は一切責任を負いません。
※本記事内容の無断転載を禁じます。
【WEBMASTER/管理人】
自営業プログラマーです。お仕事ください!
ご連絡は以下アドレスまでお願いします★

☆ServerNote.NETショッピング↓
ShoppingNote / Amazon.co.jp
☆お仲間ブログ↓
一人社長の不動産業務日誌
【キーワード検索】