リモート接続環境を整える

投稿日:

CentOS 4.4が走り始めたので、まずリモートから操作や設定が出来るよう環境を整えます。

sshdは最初から入ってたので、とりあえずsshでのrootログインを禁止。

/etc/ssh/sshd_config

PermitRootLogin no

続いてワタシ以外のssh接続を禁止。

/etc/hosts.allow

sshd: 192.168.1. : spawn (/bin/echo "%d connected from %c (%a)" | /bin/mail -s "%d from %h" root) &
sshd: .俺プロバイダ.ne.jp : spawn (/bin/echo "%d connected from %c (%a)" | /bin/mail -s "%d from %h" root) &

/etc/hosts.deny

sshd: ALL

基本的に「ファイヤーウォールで接続を拒否する構え」なので、TCP Wrapperのspawnコマンドで「接続してきた際にメールする」ようにします。

コマンド中で使用する変数>
%a クライアントのIPアドレス
%c ホスト名かIPアドレスいずれかのクライアント情報
%d サーバプログラムの名前
%h クライアントのホスト名

これやってると侵入試行された場合に山のようなメールが来る可能性があるので、fail2ban等と組み合わせといたほうが吉。

/root/.forwardには普段使ってるメアドを転送用に記述。

続いて、rootになれるユーザを制限しときます。

/etc/group

wheel:x:10:root,俺

/etc/login.defs

SU_WHEEL_ONLY yes

/etc/pam.d/su

auth required /lib/security/pam_wheel.so use_uid

サーバにGUIは要らないので、起動時のランレベルも3にしときます。

/etc/inittab

id:3:initdefault:

vncは、必要なときにsshでログインしてvncserverを起動する、という方針でいきます。WAN経由で接続する場合はVNC over SSHでトンネル

試しに起動して接続してみたら、vncではウインドウマネージャーがtwmで非常に見慣れなかったので、これをローカルで使ってるgnomeに変更。

/root/.vnc/xstartup

#twm &
gnome-session &

070415a.jpg

他とごっちゃにならないよう、サーバ毎に強烈な背景色を設定してるので、なんか凄い色合いになってますが(^_^;)

ついでにexec-shieldも有効にしときます。

# echo 2 > /proc/sys/kernel/exec-shield