NFS Bootできるようにしたraspberry pi 活用 その前に。

NFS Bootする様に設定したrasberry piに必要最小限のセキュリティ設定をします。

(5年前に書いて放置していたが一応公開・・・　2021/07/03)

１．まずはとりあえず、rootのパスワード設定

　　sudo passwd root

　　２回同じパスワードを入力します。

２．新規ユーザ作成
　　piユーザの代わりにする新しいユーザを作成します。
　　
　　sudo adduser username
　　(usernameには自分で付けたい名前を必ず設定しましょう。）
　　新しいユーザのパスワードを

３．piユーザに付与されていたgroupを新規作成したユーザに付与します。

　　現在piユーザに設定されているgroupの確認
　　groups pi

　　色々付与されているが、気にせず全部付与します。

sudo rpi-update

　　

$ sudo usermod -G pi,adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,netdev,input,spi,gpio username

sudo usermod -G pi,adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,netdev,input,spi,gpio username

reboot

cp -r /home/pi/* /home/username

deluser -r pi

sudo apt-get install vim

cp /etc/vim/vimrc ~/.vimrc

vi .vimrc

su -
cd /home/yoneyone
cp .bashrc .vimrc .bash_aliases /home/root
source .bashrc
exit

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org

元の設定ファイルをバックアップ
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org
SSHの設定ファイルを開きます。
sudo vi /etc/ssh/sshd_config
【sshd_configの編集内容】
①ポート番号の変更
SSHのポート番号22は広く知られており、外部からアクセスできるようにした場合攻撃の対象になります。
なのでポート番号を予測しにくい任意の番号に変えておきましょう。
ポートスキャンされればわかってしまうので気休めですが。
ちなみに自由に使えるポート番号は49152～65535です。
5行目ぐらいの以下行の数字22を書き換えます。
Port 22
↓
Port 50022 (例えばの例です上記範囲なら好きに設定していいです)
②rootユーザーのSSHログインを禁止
セキュリティ向上のためrootユーザーでのログインを禁止します。
root権限が必要な場合は今まで同様に一般ユーザーでログインし、rootにスイッチするかsudoで対応します。
27行目付近のPermitRootLoginをyesからnoに変更します。
PermitRootLogin yes
↓
PermitRootLogin no


pi@raspberrypi ~ $

pi@raspberrypi ~ $ cat id_rsa.pub >> .ssh/authorized_keys

pi@raspberrypi ~ $ chmod 700 .ssh

chmod 600 .ssh/authorized_keys

rm id_rsa.pub

sudo vi /etc/ssh/sshd_config

#Port 22
Port 28987

以降の作業も元の記述を残しておきたい場合、同様に作業してください。
続いて、rootログインを禁止します。”PermitRootLogin”という設定項目があるので、以下のように変更します。すでにこのようになっている場合は変更の必要はありません。

PermitRootLogin no

次に、公開鍵ファイル認証を有効にします。しばらく下の方に行くと設定がありますので、以下のように変更してください。

RSAAuthentication    yes
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys

最後に、パスワード認証を無効にします。さらに下の方にいくと、”PasswordAuthentication yes”という記述がありますので、以下のようにyesをnoに変更します。

PasswordAuthentication no

/etc/inittab
(中略)
# Note that on most Debian systems tty7 is used by the X Window System,
# so if you want to add more getty's go ahead but skip tty7 if you run X.
#
1:2345:respawn:/sbin/getty --noclear 38400 tty1
#2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6
(中略)

http://wings2fly.jp/yaneura/raspberry-pi-first-security-setting/