Raspberry Pi 2にセキュリティ設定などをしてみた。

今日は前からやると言っていたラズパイ2へのセキュリティ関連の設定を行ってみます。

まずIPアドレスが毎回変わると困るので固定します。
ルータのDHCP設定を見ると下のようになっています。

SS 2016-02-13 9.36.38

DHCPのIPアドレスの終了を以下のようにします。

SS 2016-02-13 9.37.25

それでラズパイ2には192.168.1.101を固定であてがいます。
以下はRASPBIAN JESSIEでの設定方法です。
/etc/dhcpcd.confファイルに以下の行を追記します。

interface eth0
static ip_address=192.168.1.101/24
static routers=192.168.1.1
static domain_name_servers=192.168.1.1

SS 2016-02-13 10.02.56

sudo rebootで再起動して新しいIPアドレスでSSHしてみます。

SS 2016-02-13 10.15.26

なぜかフィンガープリントがどうたらとか言われましたがなぜでしょうね?新しいIPアドレスで既存のユーザでログインしようとしたからでしょうか…。

次に念のためにラズパイ2のファームウェアを最新版にしておきます。

完了したらまた再起動してSSHし直します。

パッケージ管理ツールも最新版にし、さらにアップグレードしておきます。

次にユーザpi以外の新しいユーザを追加します。(下の例ではユーザ名okahiro。)

ユーザpiと同じ権限を与えたいのでpiの権限を確認します。

ユーザokahiroに同じ権限を付与します。(同じグループに追加する。)

念のため確認します。

出力がユーザpiで確認した時と同じならOKです。

ではユーザpiは名前を変えておきます。(この例ではold_piに名称変更。その前にexitでpiから抜けて新しいユーザでログインし直しておくのを忘れずに。)

SS 2016-02-13 12.46.37

process 503でユーザpiが使われているのでダメってことですね。killコマンドでプロセスを強制終了します。

そしてまたusermodをしますが、また別のprocessでダメっていうのを延々繰り返してようやく名称変更できました。ところがやっぱりというかGUIのraspi-configを開こうとしたら以下のメッセージが表示されました。

SS 2016-02-13 16.09.54

ユーザpiは残しておいた方が良さそうですね。その代わりパスワードを厳重なものに変えておきましょう。

では次にSSHのポート番号を変更します。
/etc/ssh/sshd_configファイル内のPort 22を他の番号に変えます。
以下のページなどを参考に変更を行ってみてください。
SSHのポート番号を変更 – SSHサーバーの設定

ポート番号を変更したらSSHを再起動します。

現在のユーザをログアウトしてログインし直し、新しいポート番号でSSHできれば成功です。(以下で、56789が新しいポート番号の例。)

最後にSSHをパスワード認証ではなく公開鍵認証で行うように設定しておきます。
これは次のページにMacでの方法が詳しく書かれているのでこれを参考に行ってみてください。

Raspberry Piに公開鍵認証を使ってssh接続する

ちなみに既にSSHのポート番号が変更されていますので、公開鍵をラズパイ2に転送するscpコマンドは以下の例のようにして下さい。

以上のような設定でラズパイ2を通常利用する範囲では良いと思います。

私はWebサーバとして利用したいと考えているので、以下のページを参考にセキュリティ対策をさらに行おうと思います。

【Raspbian】最低限必要なセキュリティを導入する

それにしても皆さん大変お詳しいですね。とても参考になります。ありがたや。

それでは今日はこの辺で。☕️

スポンサーリンク
  • このエントリーをはてなブックマークに追加

コメント

  1. okahiro より:

    【Raspbian】最低限必要なセキュリティを導入する(http://variedtastefinder.jp/linux/746/)
    のClamAVの記述については以下のページがさらに参考になります。
    Debian 8 (Jessie) – アンチウイルスソフト導入!(http://www.mk-mode.com/octopress/2015/05/29/debian-8-anti-virus-installation/)
    freshclamでエラーが出る問題は上記ページ記載の方法で回避できます。
    なお、設定ファイルは、/etc/clamav/clamd.confではなく、/etc/clamav/freshclam.confを変更します。これについては以下のページが参考になります。
    http://clamav-jp.osdn.jp/jdoc/freshclam.conf

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です