« Radikaでラジオ番組を録音しようとして・・・上手く行かない | Main | Arduinoで動態検知装置(ブザーを鳴らし、LEDライトを点ける) »

01/07/2017

Raspberry Pi2用のセキュリティ設定覚書(暫定版)

これは自分のRaspberry Pi2用セキュリティ関連設定の覚書

いろいろやって紙に書いていると、纏めておいたつもりのものでも、容易に散逸してしまったり、どこかにファイリングしてしまい、また調べることになる。
また、他の人によってブログなどに書かれた手順も、自分の理解のために加筆しておく必要があるものもある。・・・それで、自分のメモ代わりにここに書いておく。

手順と処置方法
1) rootユーザのパスワード設定を行う

 sudo passwd root

  と打ち込みパスワードを設定。 

2) Raspberry Pi2のアップデート

 sudo apt-get update
 
3) Raspberry Pi2のファームウェア更新

 sudo rpi-update

  この後、再起動

4) テキストエディタ(Vim/Emacs)のインストール
  vim か emacs どちらかでOK

 sudo apt-get -y install vim
  sudo apt-get -y install emacs

5) IPアドレスの固定
 私のシステムでは有線LAN接続する。先ほど「vim」をインストールしたので、
 先ず、

 sudo vim /etc/dhcpcd.conf  で格納先を開き、

 下記の 4行を、行末尾に追記する。「***」は固定アドレスの指定番号を入れる。

 interface eth0
 static ip_address=192.168.1.***/32
 static routers=192.168.1.1
 static domain_name_servers=192.168.1.1

 設定が終了したら、Raspberry pi2 を再起動すればIPアドレスが固定される。


6) SSHを安全に利用するために・・・
   SSH接続用の鍵ファイルを作成する。

  cd ~  でホームディレクトリに移動し、

  ssh-keygen -t rsa  とキーインして実行し、


 以下のようなメッセージが表示される。
 これは、鍵ファイルを作成する場所を聞かれているだけなので、問題がなければエンターを押す。

 Generating public/private rsa key pair.

 Enter file in which to save the key (/home/pi/.ssh/id_rsa):

そのあと、パスフレーズの入力
 2か所あり・・・


 このステップが終わると、

 /home/pi/.ssh/  ディレクトリに id_rsa(秘密鍵) と、 id_rsa.pub(公開鍵)が作成される。

7) 作成された公開鍵を pi ユーザーの公開鍵として登録する。

 cat .ssh/id_rsa.pub >> .ssh/authorized_keys


8) 秘密鍵(/home/pi/.ssh/id_rsa)の方は
 外部から Raspberry Pi にアクセスする際に利用するので、
 このPCには保存しないで、他のパソコンや USB メモリ等にコピーしておく。
 絶対に第三者に漏れる事がないように注意する事。

9) 念のため、今までのファイルのアクセス権を変更
 「 pi ユーザーのみ 読み書き出来る」ように、
 下記のようにアクセス権を変更しておく。


  chmod 600 ~/.ssh/authorized_keys

  chmod 600 ~/.ssh/id_rsa
  chmod 600 ~/.ssh/id_rsa.pub

10) SSHサーバー設定の変更

  sudo vim /etc/ssh/sshd_config
 
  で、設定ファイルを開いて 下記の①~④の4 箇所を書き換える。


 ①ポート番号の変更
  49152~65535 あたりで好きなポート番号(*****)を選んで設定する。

  # What ports, IPs and protocols we listen for
  #Port 22   ← #でコメントアウト化して、何かの時に戻すことがやり易いように・・・
  Port *****

 ②管理者権限での SSH ログインの禁止

  #PermitRootLogin without-password ← #でコメントアウト化しておく
  PermitRootLogin no

 
平文パスワードでのログイン禁止 (これで、必ず秘密鍵が必要となる)

  #PasswordAuthentication yes ← #でコメントアウト化しておく
  PasswordAuthentication no


 
空のパスワードでのログイン禁止
  念のため、空パスワードでのログインも明示的に禁止しておくため、追記する。

  PermitEmptyPasswords no

 修正が終わったら、
 
 
設定内容を Systemd に反映する。

  sudo systemctl daemon-reload

  として、反映させ、次に、

  sudo systemctl enable ssh
  sudo systemctl start ssh

  とコマンドを打ち込んで、SSH サーバーを再起動させる。

 ⑥ 再起動後、接続の確認実施
  ・ 外部のパソコンから、ID とパスワードのみではログインできないこと、
  ・ id_rsa 秘密鍵のみで SSH 接続出来ること を確認すること。

13) 監視ツールの設定
  失敗したログインの履歴を見ることができるコマンド(実行には root 権限が必要)


  sudo lastb

参考としたブログ
・殆どそのまま利用させて頂いた。感謝!
 私のブログでは、私自身が後から理解しやすいように書き加えただけである。

・ラズパイの最低限セキュリティ・セッティング
 http://www.feijoa.jp/laboratory/raspberrypi/minimumSecurity/

« Radikaでラジオ番組を録音しようとして・・・上手く行かない | Main | Arduinoで動態検知装置(ブザーを鳴らし、LEDライトを点ける) »

PC and PC troubles」カテゴリの記事

Comments

Post a comment

Comments are moderated, and will not appear on this weblog until the author has approved them.

(Not displayed with comment.)

TrackBack


Listed below are links to weblogs that reference Raspberry Pi2用のセキュリティ設定覚書(暫定版):

« Radikaでラジオ番組を録音しようとして・・・上手く行かない | Main | Arduinoで動態検知装置(ブザーを鳴らし、LEDライトを点ける) »

August 2019
Sun Mon Tue Wed Thu Fri Sat
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Recent Trackbacks

無料ブログはココログ