私が実施したのは下記の項目
- pi、rootユーザーのパスワード変更
- piユーザー削除と作業用ユーザーアカウント追加
- SSHの鍵認証、ポート変更
今後実施予定
- iptables導入→接続エラー回数によるアクセス拒否
セキュリティーは大事!とわかっていても、いざ自分が被害にあわないと重要性をそこまで感じないのではないでしょうか?
そんな私も今までは結構無頓着でした。
実はラズパイで自宅サーバー構築をしたのは今回が初めてではなく、過去に2回ほど実施しています。が、ユーザーパスワードの変更だけで当時は公開しておりましたので、結構攻撃を受けていたのではないかと思います。(ログの確認方法もわからなかったので定かではありません。。)
セキュリティーの重要性を感じたのは、内部にrootkitを仕込まれたことや、wordpressへのログインを許し記事を消されたり、怪しい海外のサイトへのリンクだけのページに書き換えられたことです。
実際に嫌な思いをしたとはいえ、大した問題ではなかったのは自宅サーバーだから(業務でしたらえらいことです!)
pi、rootユーザーのパスワード変更
ラズパイには初期でpiとrootのユーザーが存在します。しかもrootは最初パスワード設定なし。piはraspberryというわかりやすいパスワードになっているので、知識なしで公開をするとあっという間にサーバーを乗っ取られます!
rootパスワード変更は
$ sudo raspi-config
piのパスワードは
$ sudo passwd pi
作業用ユーザーアカウント追加とpiユーザー削除
基本作業をpiでやるのは危険です。作業用ユーザーを作ってそれを今後使います。piユーザーは使用しないので削除します。
作業用ユーザー追加(ユーザー名:hoge)
$ sudo adduser hoge
piユーザー削除
$ sudo userdel -r pi
SSHの鍵認証とポート変更
パスワードのみだとアタックかけられまくりですので、アクセス方法を鍵認証とパスワードをかけます。また、基本ポートは21番ですが、これも狙われるのでさっさと変えておきましょう。
SSHのポート変更
ファイルはここ
/etc/ssh/sshd_config
上記ファイル内にある「Port」を初期値はから54321など任意のポート番号へ変更
Port 54321
鍵認証についての方法は後日書きたいと思います。