知ったかですが、なにか問題でも?

アクセスカウンタ

zoom RSS CentOS 5.4 によるサーバー構築(3) − ユーザーの作成、sshd tcpwrapper

<<   作成日時 : 2010/02/19 10:11   >>

ナイス ブログ気持玉 1 / トラックバック 0 / コメント 0

 Vmware Server 2.2 で仮想化した仮想環境にゲストOSとして CentOS 5.4(64bit) を構築して行きます。
 Vmware Server 2.2 による仮想環境の構築については、以下を参照下さい。
  Vmware Server のダウンロード
  Vmware Server のインストール
  Vmware Server の初期設定
  Vmware Server のゲストOSの作成

 CentOSは,米Red Hat社が開発・提供している「Red Hat Enterprise Linux」(RHEL)の互換OSです。RHELのソース・コードからRed Hatの知的財産物(ロゴなど)を取り除いて開発されており,機能・性能的にはRHELと同等です。
 CentOSは無償で使用できます。

 今回は、前回までのインストールが完了した後を受けて基本的な設定を進めて行きます。

 ログイン用のユーザーの作成とssh、tcprapper (hosts.allow hosts.deny)の設定を行います。

 Linuxに限ったことではないのですが、誰が操作したかわからなくなるため、telnet や ssh 等によるリモートアクセスを行う場合、rootユーザーで直接ログインして作業を行うことは基本的に推奨されません。

 ログインは、一般ユーザーで行い、root権限による設定が必要な場合のみ、su コマンドや sudo コマンドを使用して設定を行います。

 今回も、リモートからのrootユーザーによるログインは禁止するため、ログイン用のユーザー「loginuser」を作成します。必要性は特にないのですが、グループも作成しておきます。(グループ名:login)


1 グループの作成

groupadd -g 500 login


2 ログイン用ユーザの作成

useradd -g login -G login -m -u 500 -d /home/login loginuser


3 ログイン用ユーザのパスワード変更

[root@CentOS53 ~]# passwd loginuser
Changing password for user loginuser.
New UNIX password:password ←設定したいパスワードを入力
BAD PASSWORD: it is based on a dictionary word
Retype new UNIX password:password ←設定したいパスワードを再入力
passwd: all authentication tokens updated successfully.


4 loginuserのパスワード設定の確認

[root@CentOS53 ~]# su - loginuser
[loginuser@CentOS53 ~]$ ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 68:c8:1f:46:00:bb:69:90:aa:53:2a:c7:ef:d7:09:ee.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
loginuser@localhost's password:password ←設定したパスワードを入力


 「loginuser」を作成した後、su コマンドでユーザー変更し、sshコマンドを使用してloginuserでログインすることができれば、ユーザーの作成は正常に完了しています。

 グループの設定情報を確認したい場合は、「/etc/growp」を確認して下さい。
 ユーザーの設定情報を確認したい場合は、「/etc/passwd」を確認して下さい。


 リモートからのコントロール用にsshの設定を行います。
 Linuxの初期設定では、基本的に何の設定もされていません。
 そのため、安全性の面から sshでの接続制限を行う必要があります。

 sshd の設定ファイルは、「/etc/ssh」に存在します。


5 sshdの設定

[root@CentOS53 ~]# cd /etc/ssh/
[root@CentOS53 ssh]# cp -p sshd_config sshd_config.org
[root@CentOS53 ssh]# vi sshd_config

以下の内容を編集

39行
PermitRootLogin no ←root ユーザーでのログインを許可しない
65行
PermitEmptyPasswords no ←空のパスワードを許可しない

最終行に追加
AllowUsers loginuser ←許可するユーザーのリスト
←この項目を指定した場合、リストにないユーザーのログインは不可


6 sshdの設定の確認

[root@CentOS53 ssh]# /etc/rc.d/init.d/sshd restart ←設定を反映するためデーモンを再起動

Stopping sshd: [ OK ]
Starting sshd: [ OK ]

[root@CentOS53 ssh]# ssh localhost
root@localhost's password:password
Permission denied, please try again.
root@localhost's password:password
Permission denied, please try again.
root@localhost's password:password
Permission denied (publickey,gssapi-with-mic,password). ←ログイン失敗(root)

[root@CentOS53 ssh]# su - loginuser
[loginuser@CentOS53 ~]$ ssh localhost
loginuser@localhost's password:password
Last login: Sun Aug 30 09:49:56 2009 from centos53 ←ログイン成功(loginuser)


 設定ファイルをを編集した後、変更を反映するため、sshdデーモンを再起動します。
 その後、「root」でローカルホスト宛に接続して失敗。「loginuser」で接続して成功となれば設定完了です。


7 tcpwrapperによるアクセス制御

[root@CentOS53 ssh]# cd /etc
[root@CentOS53 etc]# cp -p hosts.allow hosts.allow.org
[root@CentOS53 etc]# cp -p hosts.deny hosts.deny.org

/etc/hosts.deny の編集

最終行に以下を追加

ALL:ALL ←全てのプロトコル、IPアドレスでの接続を拒否

/etc/hosts.allow の編集

最終行に以下を追加

sshd : 192.168.1.2 ←sshd かつ 「192.168.1.2」からの接続を許可


8 tcpwrapperによるアクセス制御の確認

該当IPアドレス帯からのssh接続を実施する。(loginuser)


 TCP Wrapperの実態は"tcpd"というプログラムです。
 tcpd を介してプログラムを起動することにより起動の許可および拒否の設定を行うことができます。
 デフォルトでは、全てのプログラムでtcpdを使用する設定となっています。

 アクセス制御は「/etc/hosts.allow」、「/etc/hosts.deny」で行います。

 hosts.allow、hosts.deny の記述にないプロトコル、ホストからの接続は全て許可します。

 そのため、最初に hosts.deny で全てを拒否してから、必要なプロトコル、ホストのみ hosts.allow で許可します。


 hosts.allow で設定を行ったホストから ssh での接続を確立できれば、設定完了です。

 次回は、引き続き、基本的なサーバーの構築・設定を行っていきたいと思います。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 1
ナイス

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
CentOS 5.4 によるサーバー構築(3) − ユーザーの作成、sshd tcpwrapper 知ったかですが、なにか問題でも?/BIGLOBEウェブリブログ
文字サイズ:       閉じる