root ユーザーの SSH アクセスの制限

IBM Cloud® ネットワーク上のすべての Linux システムには、管理権限を持つ root ユーザーがいます。 Linux 内に wheel グループを作成できます。wheel グループは、root ユーザーの資格情報の使用を要求せずに、「sudo」を介して root ユーザーの権限に似た権限をユーザーに提供します。 root の sudo 権限を持つ wheel グループを作成したら、そのグループ内のユーザーの SSH アクセスを制限できます。 このようにユーザーを制限することにより、ネットワークでのアクセスにつきもののセキュリティー脆弱性からデバイスを保護します。 wheel グループに属しているユーザーは、引き続き、いつでもデバイスに対して管理機能を実行できます。

root ユーザーの SSH アクセスを制限するには、以下のステップを実行します。

1. 「etc/group」ファイルを開き、wheel グループを定義する以下の行が含まれているかどうか確認します。

   wheel:x:10:root
   

   この行がファイル内にない場合は、追加します。

2. 以下のようにして、少なくとも 1 人のユーザーを wheel グループ行に追加します。

   wheel:x:10:root, user1
   

   ホイール・グループに追加されたユーザーは、root ユーザーと同じ権限を持ちますが、システムへのアクセス時には固有のユーザー名を使用します。

3. :wq コマンドを実行して変更を保存し、ファイルを終了します。

4. /etc/ssh/sshd_config を開き、 PermitRootLogin yes 行を PermitRootLogin noに変更します。

5. :wq コマンドを実行して変更を保存し、ファイルを終了します。

6. visudoコマンド・ライン**に ** と入力してコマンドの権限を生成します。

7. 以下の行からハッシュ (#) を削除し、行をアンコメントします。

   # %wheel ALL=(ALL) ALL
   

   この行のコメントを外すと、ホイール・グループ内のすべてのユーザーに、すべてのコマンドを実行する許可が与えられます。

8. :wq コマンドを実行して変更を保存し、ファイルを終了します。

9. コマンド・ラインで以下のコマンドを実行します。

   vi /etc/pam.d/su
   

10. 以下の行からハッシュ (#) を削除し、行をアンコメントします。

#auth required pam_wheel.so use_uid

この行をアンコメントするには、ユーザーは wheel グループに所属し、すべてのコマンドを実行する権限を持っている必要があります。

11. :wq コマンドを実行して変更を保存し、ファイルを終了します。
12. 以下のコマンドを実行して、すべての変更を保存し、SSH を再始動します。

# etc/init.d/ssh restart