WordPressに最適化されたKUSANAGI環境で個人ブログを立ち上げるまで-3

では本当は真っ先にやっておかないと行けなかったセキュリティー的な対策、詳細な設定などを行っていきたいと思います。

これまでの作業を振り返りたい場合はコチラから。

WordPressに最適化されたKUSANAGI環境で個人ブログを立ち上げるまで-1

WordPressに最適化されたKUSANAGI環境で個人ブログを立ち上げるまで-2

SSHログインを鍵認証のみにする

KUSANAGIの初期設定の時に鍵認証の項目もあったのですが、なぜか必要な設定ファイルが作成されていないので手作業で行います。

Macで公開鍵、秘密鍵を生成する

# 鍵作成コマンド
ssh-keygen -t rsa

# ここで好きなファイル名をつけてください
# 指定しない場合は id_rsa のファイル名で生成されます
Enter file in which to save the key ({環境別ディレクトリ}/.ssh/id_rsa): {秘密鍵名}

# パスフレーズの設定(私は都度入力は必要ない派なのでEnterで未設定にしてます)
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in {秘密鍵名}.
Your public key has been saved in {秘密鍵名}.pub.

これで公開鍵と秘密鍵が作成されました。

公開鍵をサーバに設定する

サーバの /home/kusanagi/.ssh/authorized_keys に公開鍵が設定できればいいので、ファイル転送ツールを使ってアップロードしても scpコマンドでアップロードしても、方法は何でも構いません。

私は先程作成した{秘密鍵名}をテキストエディタで開き、中に書かれている文字列をサーバの /home/kusanagi/.ssh/authorized_keys に追記しました。

では鍵認証でSSHログインできるか確認します。

# sshコマンドに iオプションで鍵認証を指定します
ssh -i ~/.ssh/{秘密鍵名} kusanagi@160.16.220.90
Last login: Sat Jun 24 12:34:34 2017 from 

     __ ____  _______ ___    _   _____   __________
    / //_/ / / / ___//   |  / | / /   | / ____/  _/
   / ,< / / / /\__ \/ /| | /  |/ / /| |/ / __ / /
  / /| / /_/ /___/ / ___ |/ /|  / ___ / /_/ // /
 /_/ |_\____//____/_/  |_/_/ |_/_/  |_\____/___/

    Version 8.0.7, Powered by Prime Strategy.

[kusanagi@kusanagi71 ~]$

無事鍵認証でSSHログインできる事が確認できました。

kusanagiユーザにsudo権限を与える

sudoコマンドはrootユーザでないユーザに対して、root権限でコマンドを実行させるコマンドになります。

# sudo権限を設定する用のコマンド
visudo

# rootユーザの設定の下辺りに追記します。
# sudoコマンドの際に都度rootユーザのパスワード入力も必要ないようにしています
kusanagi ALL=(ALL) NOPASSWD: ALL

sshログイン設定を調整

# 設定ファイルのバックアップ
# ssh_configとsshd_configがありますが、sshd_configが対象になります
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org

# 設定ファイルの編集
vim /etc/ssh/sshd_config

# ここからは編集内容になります
----------------------------------
# port番号の変更
Port 変更したいポート番号

# rootでのログインを禁止
PermitRootLogin no

# パスワードログインを禁止
PasswordAuthentication no

# パスワードなしでのログインを禁止
PermitEmptyPasswords no
----------------------------------
# sshd再起動
systemctl restart sshd

firewallでポート制限

# 現在の設定確認
firewall-cmd --zone=public --list-all

# sshサービスの削除(portを22番のままにしている場合は削除しては行けません)
firewall-cmd --remove-service=ssh --zone=public --permanent

# 許可するポートの追加
firewall-cmd --add-port={sshに設定したポート番号}/tcp --zone=public --permanent

# firewalldのリロード
firewall-cmd --reload

ポートが開放されているかの確認は下記サービスなどでも確認できます。
https://www.cman.jp/network/support/port.html

sshログインの確認

上記の設定変更が反映されているかの確認を行いますが、くれぐれも既にログインしているrootユーザはログアウトしないでください。

別タブなどで新規にログインの確認を行います。

sshの設定でrootログインや、パスワードログインを禁止にしていますので、仮に設定に何かしらのミスがあった場合にログインできなくなる可能性があります!

※ 万が一ログインできなくなった場合はさくらのコントロールパネルのコンソール機能から再設定してください。

# 鍵認証を使ったkusanagiユーザでのsshログイン
# -p ポート指定
# -i 鍵認証指定
ssh -p {変更したポート番号} -i ~/.ssh/{秘密鍵} kusanagi@160.16.220.90

無事ログインできたら完了です。

これにてKUSANAGI環境へのWordpressを使った個人ブログの立ち上げ手順を終わります。