いろいろ便利に使うために、ちょっとした設定をしてみました。
sshdの導入
もしネットワークルーターにするつもりなら、sshdのようなネットワークログイン可能な仕組みはセキュリティホールになる可能性がありますが、今回はあまりその心配をしない事にしてsshdを動かして普段のメンテナンスはssh経由にしてしまいます。
# apt-get install openssh-serverこれは特別な設定を意識せずに動かします。
ホスト名の変更
ホスト名は ns、FQDNで ns.localdomain にしたというのにログインすると元々のCFカードをUSB経由で接続していたマシンのホスト名になっているままです。
そのためホスト名をnsに変更してしまいます。
# echo ns > /etc/hostname # shutdown -r now結果を確実に確認するためには、一度shutdownしましょう。 いくらHDDがないとはいってもいきなり電源ケーブルを抜くわけにはいかないのでshutdownします。
sudo管理用ツールの導入
sshdによってネットワーク経由のログインができるようになりましたが、/etc/ssh/sshd_config をみると "PermitRootLogin yes" が有効になっています。
そうはいっても "PermitEmptyPasswords no" の設定もあり、"passwd"コマンドでrootユーザーにパスワードがついていないとログインできない事になります。
sshdを動かす時点で誰かがログインするリスクはありますが、rootでのログインは拒否してしまう方が良いのは確かです。誰でもrootユーザーがUNIXシステムに存在する事は知っているので、rootでのログインを試みる事になります。実際にブロードバンドルーターの設定を変更してsshdの接続を許可すると、ポートスキャンでsshポートが空いている事を察知した攻撃者がrootを含む、まぁありがちな名前でログインを試みます。
今回は自分の趣味で一般ユーザーを作成してrootユーザーのパスワードを/etc/shadowファイルから削除し'*'で置き換えてしまう、ubuntu的な手法を使うための準備としてsudoを導入しておきます。
# apt-get install sudo # useradd -m uniqid # passwd uniqid # id uniqid今後はuniqid(仮名)でログインして作業をするので、パスワードも設定しておきます。 最後のidコマンドの出力で、uniqidがグループに指定されているはずなので、このグループに所属するメンバーがsudoを自由に使えるように設定を変更します。
visudoコマンドで変更しますが、エディタとして勝手にnanoが動きます。 nano以外に変更したい場合にはEDITOR変数に希望のプログラムを指定します。 emacsが使いたければ emacs を apt-get で導入してから始めましょう。
# env EDITOR=/usr/bin/vi visudo
%uniqid ALL=(ALL) ALL
sshでuniqidでログインしてからsudoコマンドの設定を確認しましょう。
# ssh uniqid@localhost $ sudo -l User yasu may run the following commands on this host: (ALL) ALL最後のところで"(ALL) ALL"が表示されれば、まぁ大丈夫でしょう。 それでも怖いのでrootのパスワードを消すのは、しばらく後にします。
apt-get installとapt-cache searchを組合せて必要なものを探していけば、殆どの事はコンパイラやツールなどがなくても、なんとかなると思われます。
ただし、システム管理という観点からは /etc/defautls/ 以下のファイルや /etc/init.d/ スクリプトの動きなども理解する必要があって、複数のネットワークインタフェースを持つALIX2をターゲットにすると、dhcpdサーバーはeth0, eth2だけで動かしたいとか、いろいろな要件を実現するためにまだまだ設定するところがあります。
0 件のコメント:
コメントを投稿