« Radikaでラジオ番組を録音しようとして・・・上手く行かない | Main | Arduinoで動態検知装置(ブザーを鳴らし、LEDライトを点ける) »

01/07/2017

Raspberry Pi2用のセキュリティ設定覚書(暫定版)

これは自分のRaspberry Pi2用セキュリティ関連設定の覚書

いろいろやって紙に書いていると、纏めておいたつもりのものでも、容易に散逸してしまったり、どこかにファイリングしてしまい、また調べることになる。
また、他の人によってブログなどに書かれた手順も、自分の理解のために加筆しておく必要があるものもある。・・・それで、自分のメモ代わりにここに書いておく。

手順と処置方法
1) rootユーザのパスワード設定を行う

 sudo passwd root

  と打ち込みパスワードを設定。 

2) Raspberry Pi2のアップデート

 sudo apt-get update
 
3) Raspberry Pi2のファームウェア更新

 sudo rpi-update

  この後、再起動

4) テキストエディタ(Vim/Emacs)のインストール
  vim か emacs どちらかでOK

 sudo apt-get -y install vim
  sudo apt-get -y install emacs

5) IPアドレスの固定
 私のシステムでは有線LAN接続する。先ほど「vim」をインストールしたので、
 先ず、

 sudo vim /etc/dhcpcd.conf  で格納先を開き、

 下記の 4行を、行末尾に追記する。「***」は固定アドレスの指定番号を入れる。

 interface eth0
 static ip_address=192.168.1.***/32
 static routers=192.168.1.1
 static domain_name_servers=192.168.1.1

 設定が終了したら、Raspberry pi2 を再起動すればIPアドレスが固定される。


6) SSHを安全に利用するために・・・
   SSH接続用の鍵ファイルを作成する。

  cd ~  でホームディレクトリに移動し、

  ssh-keygen -t rsa  とキーインして実行し、


 以下のようなメッセージが表示される。
 これは、鍵ファイルを作成する場所を聞かれているだけなので、問題がなければエンターを押す。

 Generating public/private rsa key pair.

 Enter file in which to save the key (/home/pi/.ssh/id_rsa):

そのあと、パスフレーズの入力
 2か所あり・・・


 このステップが終わると、

 /home/pi/.ssh/  ディレクトリに id_rsa(秘密鍵) と、 id_rsa.pub(公開鍵)が作成される。

7) 作成された公開鍵を pi ユーザーの公開鍵として登録する。

 cat .ssh/id_rsa.pub >> .ssh/authorized_keys


8) 秘密鍵(/home/pi/.ssh/id_rsa)の方は
 外部から Raspberry Pi にアクセスする際に利用するので、
 このPCには保存しないで、他のパソコンや USB メモリ等にコピーしておく。
 絶対に第三者に漏れる事がないように注意する事。

9) 念のため、今までのファイルのアクセス権を変更
 「 pi ユーザーのみ 読み書き出来る」ように、
 下記のようにアクセス権を変更しておく。


  chmod 600 ~/.ssh/authorized_keys

  chmod 600 ~/.ssh/id_rsa
  chmod 600 ~/.ssh/id_rsa.pub

10) SSHサーバー設定の変更

  sudo vim /etc/ssh/sshd_config
 
  で、設定ファイルを開いて 下記の①~④の4 箇所を書き換える。


 ①ポート番号の変更
  49152~65535 あたりで好きなポート番号(*****)を選んで設定する。

  # What ports, IPs and protocols we listen for
  #Port 22   ← #でコメントアウト化して、何かの時に戻すことがやり易いように・・・
  Port *****

 ②管理者権限での SSH ログインの禁止

  #PermitRootLogin without-password ← #でコメントアウト化しておく
  PermitRootLogin no

 
平文パスワードでのログイン禁止 (これで、必ず秘密鍵が必要となる)

  #PasswordAuthentication yes ← #でコメントアウト化しておく
  PasswordAuthentication no


 
空のパスワードでのログイン禁止
  念のため、空パスワードでのログインも明示的に禁止しておくため、追記する。

  PermitEmptyPasswords no

 修正が終わったら、
 
 
設定内容を Systemd に反映する。

  sudo systemctl daemon-reload

  として、反映させ、次に、

  sudo systemctl enable ssh
  sudo systemctl start ssh

  とコマンドを打ち込んで、SSH サーバーを再起動させる。

 ⑥ 再起動後、接続の確認実施
  ・ 外部のパソコンから、ID とパスワードのみではログインできないこと、
  ・ id_rsa 秘密鍵のみで SSH 接続出来ること を確認すること。

13) 監視ツールの設定
  失敗したログインの履歴を見ることができるコマンド(実行には root 権限が必要)


  sudo lastb

参考としたブログ
・殆どそのまま利用させて頂いた。感謝!
 私のブログでは、私自身が後から理解しやすいように書き加えただけである。

・ラズパイの最低限セキュリティ・セッティング
 http://www.feijoa.jp/laboratory/raspberrypi/minimumSecurity/

« Radikaでラジオ番組を録音しようとして・・・上手く行かない | Main | Arduinoで動態検知装置(ブザーを鳴らし、LEDライトを点ける) »

PC and PC troubles」カテゴリの記事

Comments

Post a comment

Comments are moderated, and will not appear on this weblog until the author has approved them.

(Not displayed with comment.)

TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/540128/64729242

Listed below are links to weblogs that reference Raspberry Pi2用のセキュリティ設定覚書(暫定版):

« Radikaでラジオ番組を録音しようとして・・・上手く行かない | Main | Arduinoで動態検知装置(ブザーを鳴らし、LEDライトを点ける) »

September 2017
Sun Mon Tue Wed Thu Fri Sat
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Recent Trackbacks

無料ブログはココログ