Azure VMのroot初期パスワードやsudo権限設定手順(Rocky Linux)
Rocky Linuxの仮想マシン(Azure VM)デプロイ後のrootユーザーに関する設定手順について纏めてみました。
-
- 主な内容
- rootユーザーのパスワード設定
- rootユーザーのSSHログイン拒否
- 管理者ユーザーのsudo権限はく奪
- 主な内容
※Rocky Linux release 8.8 (Green Obsidian)を利用しています。2023年7月現在の情報です。
※本記事では仮想マシン(Azure VM)デプロイ時に指定するユーザーを管理者ユーザーと記載しています。
rootユーザのパスワード設定
初期状態のrootユーザーパスワード
デプロイ直後の仮想マシン(Azure VM)のrootユーザのパスワードは非公開です。
rootユーザーのパスワード設定
仮想マシン(Azure VM)デプロイ時に作成した管理者ユーザーはsudo権限を保持しています。
管理者ユーザーのsudoはパスワード無しで可能です。
#sudo使ってrootユーザになる。 #Passwdコマンドでパスワードを設定する #sudo passwdコマンドでも設定可能 |
※身近な単語を使うと、”よくないパスワード: このパスワードは辞書チェックに失敗しました – 辞書の単語に基づいています”と表示されます。
管理者ユーザーでSSHキーを選択した場合
管理者ユーザーでSSHキーを選択した場合もパスワード認証と同じ手順で設定出来ます。
SSH周りの設定
rootユーザーのSSHログイン拒否
Rocky Linux 8の仮想マシン(Azure VM)の場合rootユーザーのSSHログインは許可されています。
特段の理由が無い場合はセキュリティ的に好ましくないのでSSHログインを拒否します。
設定は/etc/ssh/sshd_configで行います。43行目あたりに設定があります。
PermitRootLogin noに変更します。
#初期設定確認 #Passwdコマンドでパスワードを設定する 40 #Authentication: #sshdを再起動して設定を反映 |
パスワードログイン確認
管理者ユーザーのSSHキーで設定した場合はパスワードでのSSHログインが拒否されます。
sshd_configのPasswordAuthentication設定で確認出来ます。
PasswordAuthenticationがnoとなっている事が確認出来ます。
#初期設定確認 |
SSHのポート番号変更
SSHポート番号の変更も出来ます。
/etc/ssh/sshd_configの17行目あたりに設定があります。
仮想マシン(Azure VM)のSSHポート番号を変更した場合、NSG(ネットワークセキュリティグループ)の許可ポート変更も併せて実施する必要があります。
#初期設定確認 #Passwdコマンドでパスワードを設定する 17 #Port 22 #sshdを再起動して設定を反映 |
管理者ユーザーのsudo権限を剥奪する
仮想マシン(Azure VM)デプロイ時の管理者ユーザーの場合
仮想マシン(Azure VM)作成時の管理者ユーザーにはsudo権限が付与されています。
すべてのコマンドが実行できるsudo権限(パスワード必要なし)が付与されています。
仮想マシン(Azure VM)デプロイ時に作成した管理者ユーザーのsudo設定は/etc/sudoers.d/90-cloud-init-usersにあります。
#初期設定確認 # Created by cloud-init v. 22.1-5.el8.0.1 on Sat, 22 Jul 2023 03:36:52 +0000 #sudo権限はく奪 # Created by cloud-init v. 22.1-5.el8.0.1 on Sat, 22 Jul 2023 03:36:52 +0000 # User rules for azureuser #設定変更後の確認(管理者アカウントでsudo実行) あなたはシステム管理者から通常の講習を受けたはずです。 #1) 他人のプライバシーを尊重すること。 [sudo] azureuser のパスワード: |
※管理者ユーザーのsudo権限剥奪はrootユーザーのパスワード設定後に実施します。
追加した管理者ユーザーの場合
Azure Portalを使って管理者ユーザーのパスワードリセットや追加が出来ます。
手順はこちらを参照願います。
追加した管理者ユーザーのsudo設定はパスが異なります。
/etc/sudoers.d/waagentにあります。
同様にsudo権限が付与されている事が確認出来ます。
#追加した管理者ユーザーのsudo権限確認 |
最後に
Rocky Linux8を例に仮想マシン(Azure VM)のrootユーザー周りや管理者ユーザーのsudo権限回りの初期設定手順を纏めてみました。
デフォルトでは比較的自由に操作できるようになっています。
パブリッククラウドの仮想マシン(Azure VM)は攻撃受けやすいので、必要に応じてセキュリティを意識した設定にすべきかと思います。
今後も色々試してみたいと思います。
Rocky Linuxの仮想マシン(Azure VM)デプロイから初期設定までの手順はこちらに纏めています。
仮想マシン(Azure VM)認証方法にSSHキーを用いる場合の設定はこちらに纏めています。