POSTED BY
2024-09-10

一般ユーザではpasswd(shadow)パスワードを設定しない＝コンソールログインできないようにしている。SSHでのみログイン可能とする。
例）vipw -s
hogeuser:*:18159:0:99999:7:::
※間違って*を消してカラにするとパスワード無しでログインできるという全く逆の結果になるので注意※

コンソールログインできるのはrootユーザのみとしている。仮想マシンコンソールを開くときや、物理マシンにディスプレイ・キーボードをつなげるときはネットワークが切られた緊急時である。

例）rootでpasswdコマンドでパスワード設定すると↑shadowに暗号化されたパスが入る

一般ユーザとは逆にrootでのSSHでのログインは厳禁でなければならない。

/etc/ssh/sshd_config

PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no

一般ユーザでありかつ公開鍵認証でしかSSHログインできない設定。
鍵ペアの作成はこちらのように強いED25519を使い、
ログインされるマシンの.ssh/authorized_keysファイルにid_ed25519.pubを追加する。
ログインする側のマシンの.ssh/id_ed25519があればPubkeyAuthenticationログインが可能。

rootになるならまず一般ユーザでSSHログインしたのち
sudo -s
とする。そのためには /etc/group,gshadowのsudoグループに自分を加える。

vigr
sudo:x:27:hogeuser
vigr -s
sudo:*::hogeuser

そしてsudoファイルの設定
env EDITOR=vi sudoedit /etc/sudoers

#Defaults       env_reset
Defaults        env_keep += "PATH"
Defaults        env_keep += "EDITOR"
%sudo   ALL=(ALL:ALL) NOPASSWD: ALL

一般ユーザ時代のエディターとパスを引継ぎ、パスワード無しでsudoする設定。