ラスパイを購入して最初にやっておくべきセキュリティ設定

先日購入した Raspberry Pi 3 のセキュリティを高めるため行なった設定をまとめました。

これからRaspberry Pi 3を始める人のために！ラズパイの構成と初期設定

Raspberry Pi をひと通り設定すると、どこからでもアクセスできる便利な端末となります。
Raspberry Pi に一度アクセスして、そこから家のネットワークにあるファイルサーバやルータ等にもアクセスでき非常に便利です。
しかし、逆に言うと Raspberry Pi に不正アクセスされると自宅のサーバや家電を自由に制御されたり、パスワードを盗まれたり、知らない間にウィルスをばら撒かれる可能性もあります。

そうならないために最初のうちにセキュリティ対策を行いましょう。

SSH を認証鍵ログインにするのも一つのセキュリティ対策です。

Raspberry Piに安全にSSHログインできる公開鍵認証の設定方法

Raspberry Pi を最新版にする

1. rpi-update コマンドで Raspberry Pi を最新版へアップデート
   

   sudo rpi-update

2. 途中で y/N の入力画面が出るので [y] を入力
   
   
3. OS の再起動
   

   sudo shutdown -r now

   ラズパイのアップデートは定期定期に行いましょう。

Pi ユーザの代わりになるアカウントを作成

Pi アカウントはラズパイ共通で最初に作られるアカウントです。
パスワードも共通で設定されています。
つまり初期設定のままだと、ラズパイを使った事ある人にとっては簡単にログインできてしまうアカウントです。
危険な Pi アカウントを無効にするため、Pi アカウントの代わりとなるユーザを作成します。

1. 新規ユーザアカウントを作成
   

   sudo useradd –groups sudo -m hoge -s /bin/bash

   ※hoge には作成するアカウント名を入力してください

    

2. 新規ユーザのパスワードを設定
   

   sudo passwd hoge
   

3. pi ユーザの group を確認
   

   groups pi
   

4. 新規ユーザーに pi ユーザが所属している group を追加
   

   sudo usermod -G pi,adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,netdev,input,spi,gpio hoge
   

5. pi ユーザと同じ group になっているか確認
   

   groups hoge
   

6. 新規ユーザでログインし直す
   ※下記コマンドでユーザをスイッチしても大丈夫ですが、念のためログインできるか確認した方がいいでしょう。

   su hoge
   

7. pi ユーザのホームディレクトリにあるファイルを新規ユーザのホームディレクトリにコピーする
   

   cp -r /home/pi/* /home/hoge
   

8. パスワード無しで sudo できるように設定
   

   sudo visudo
   

9. #includedir /etc/sudoers.d の下の行に下記を追加する
   

   hoge ALL=(ALL) NOPASSWD: ALL
   

   

10. Ctrl + X で Exit して [Y] を押して保存する
    
    

pi ユーザをロックする

1. pi の代わりとなる新規ユーザの追加が完了したら pi ユーザをロックする
   

   sudo passwd –lock pi

SSH のポートを変更する

SSH のポートが 22port だと狙われやすいので、ポート番号を変更します。

1. 設定ファイルを開く
   

   sudo vi /etc/ssh/sshd_config

2. “#Port 22” の行の後に “Port xxxxx” を追加
   

   Port xxxxx
   

   

3. SSH を再起動
   

   
   sudo service ssh restart
   

    

   以降はここで設定したポート番号を指定して SSH ログインを行います。

   SSH のパスワードによるログインを無効にして、公開鍵の認証でログイン設定をしておくと更にセキュリティが強固になるのでオススメです。