ステータス:非推奨

この記事では、サポートされなくなったバージョンのCentOSについて説明します。 現在CentOS6を実行しているサーバーを運用している場合は、サポートされているバージョンのCentOSにアップグレードまたは移行することを強くお勧めします。

理由:
CentOS 6は、2020年11月30日に保守終了(EOL)に達しました and no longer receives security patches or updates. For this reason, this guide is no longer maintained.

代わりに参照してください:
このガイドは参照として役立つ場合がありますが、他のCentOSリリースでは機能しない場合があります。 可能な場合は、使用しているCentOSのバージョン用に作成されたガイドを使用することを強くお勧めします。

基礎

新しい仮想プライベートサーバーに最初にアクセスし始めるとき、それをより安全にするために取るべきいくつかの初期のステップがあります。 最初のタスクには、新しいユーザーの設定、適切な特権の提供、SSHの構成などがあります。

ステップ1-ルートログイン

IPアドレスとrootパスワードがわかったら、メインユーザーであるrootとしてログインします。

定期的にrootを使用することはお勧めしません。このチュートリアルは、永続的にログインするための代替ユーザーを設定するのに役立ちます。

ssh [email protected]

ターミナルには次のように表示されます。

The authenticity of host '69.55.55.20 (69.55.55.20)' can't be established.
ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0.
Are you sure you want to continue connecting (yes/no)? 

先に進み、yesと入力してから、rootパスワードを入力します。

ステップ2—パスワードを変更する

現在、rootパスワードは、ドロップレットを登録したときに送信されたデフォルトのパスワードです。 最初に行うことは、選択したものに変更することです。

passwd

CentOSは、許可するパスワードについて非常に慎重です。 パスワードを入力すると、不正なパスワードの通知が表示される場合があります。 より複雑なパスワードを設定するか、メッセージを無視することができます。CentOSは、短いパスワードや単純なパスワードの作成を実際に阻止することはありませんが、それに対してアドバイスします。

ステップ3—新しいユーザーを作成する

ログインしてパスワードを変更した後は、rootとしてVPSに再度ログインする必要はありません。 このステップでは、新しいパスワードを使用して新しいユーザーを作成し、それらにすべてのルート機能を提供します。

まず、ユーザーを作成します。 ユーザーには任意の名前を選択できます。 ここで私はデモを提案しました

/usr/sbin/adduser demo

次に、新しいユーザーパスワードを作成します。

passwd demo

ステップ4—ルート権限

今のところ、rootだけがすべての管理機能を持っています。 新しいユーザーにroot権限を付与します。

新しいユーザーでルートタスクを実行するときは、コマンドの前に「sudo」というフレーズを使用する必要があります。 これは2つの理由で役立つコマンドです:1)ユーザーがシステムを破壊するミスを犯さないようにします2)sudoで実行されたすべてのコマンドをファイル’/ var / log / secure’に保存し、必要に応じて後で確認できます。

先に進んで、sudo構成を編集しましょう。 これは、CentOSでは「vi」と呼ばれるデフォルトのエディターを介して実行できます。

/usr/sbin/visudo

ユーザー特権の指定というセクションを見つけます。

次のようになります。

# User privilege specification
root    ALL=(ALL)       ALL

rootの権限の詳細の下に、次の行を追加して、新しいユーザーにすべての権限を付与します。

viの入力を開始するには、「a」を押します。

demo    ALL=(ALL)       ALL

Escape:wqEnterの順に押して、ファイルを保存して終了します。

ステップ5— SSHを構成する(オプション)

次に、サーバーをより安全にします。 これらの手順はオプションです。 ログインをより困難にすることで、サーバーをより安全にします。

構成ファイルを開きます

sudo vi /etc/ssh/sshd_config

次のセクションを見つけて、必要に応じて情報を変更してください。

Port 25000
Protocol 2
PermitRootLogin no
UseDNS no

これらを1つずつ取り上げます。

ポート:ポート22がデフォルトですが、これを1025〜65535の任意の数値に変更できます。 この例では、ポート25000を使用しています。 新しいポート番号を必ずメモしてください。 将来ログインするために必要になります。この変更により、権限のない人がログインしにくくなります。

PermitRootLogin:これをyesからnoに変更して、今後のルートログインを停止します。 これで、新しいユーザーとしてのみログインできます。

ドキュメントの下部に次の行を追加し、デモをユーザー名に置き換えます。

AllowUsers demo

保存して終了

ステップ6—リロードして完了!

SSHをリロードすると、新しいポートと設定が実装されます。

service sshd reload

新しい設定をテストするには(まだrootからログアウトしないでください)、新しいターミナルウィンドウを開き、新しいユーザーとして仮想サーバーにログインします。

新しいポート番号を含めることを忘れないでください。

ssh -p 25000 [email protected]

プロンプトに次のように表示されます。

[[email protected] ~]$

続きを見る

SSHを使用してドロップレットのセキュリティを確保し始めたら、Fail2BanDenyHosts などのプログラムをインストールして、サーバーへのブルートフォース攻撃を防ぐことで、セキュリティを引き続き向上させることができます。

LAMPスタックをサーバーここにインストールするチュートリアル、またはLEMPスタックをサーバーここにインストールするチュートリアルもあります。

EtelSverdlov著