[Linux] VPSのrootユーザのパスワード忘れた


久しぶりにおうちでカタカタやったらいろいろひどかった…

・VPSにroot以外のユーザ作ってなかった。
・そしてrootのパスワード忘れた
・だから何もできなくなり、VPSのOS再インストール
・Botが載ってたけどいろいろデグレード
・なんとか復活したけど自動リプライ機能を失った
・なんでソースコード取ってないの俺…

ということで、Linuxの基本的な設定をいくつかやりました。
知識としてはだいぶ初級編。
でもコマンドでアカウント作成とか初めてやった…。


■Linuxに新規ユーザを追加
useraddコマンド
(参考)
http://kazmax.zpp.jp/linux_beginner/useradd.html

何かを作成するときはたいていコマンドでパパっとやっちゃう方法と
対話(Windowsならウィザード)でひとつひとつ入力していく方法が
あると思います。対話式だと多少めんどくさいけど、
意識しなきゃいけない設定はたいてい入力を促されるので便利。

今回はコマンド1行でアカウントを作成。しかしそのかわりに
ユーザに関する設定はほとんど行わず…そういう場合どうなるのか?
デフォルト値ですね。入力しなかった設定に関してはデフォルトの設定が
適用されて、それで勝手に作成される。
Linuxユーザ新規作成のデフォルト設定の確認は「useradd -D」コマンド。

CentOS release 6.2 (Final) x86_64 の場合の
デフォルトの設定はこうだった。
------------------------------
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
------------------------------

各設定の意味は上記の(参考)のページを確認してみましょう。
もっと勉強してbash以外のShellがイイ!とか言ってみたいなぁ…。
/etc/skel は覚えておくと便利かも。ユーザプロファイルのスケルトン
(ひな形)です。業務で間違ってrootユーザのプロファイル消しちゃって
上司からここ使えって教えてもらったことがあります…w


■新規作成したユーザに対するパスワードの作成
で、useraddコマンドで作成した
useraddコマンドで追加したユーザはパスワードを持っていないため
passwdコマンドでパスワードを作成する
http://www.geocities.jp/a1770053/jyoho/scsa/chapter6.htm
http://itpro.nikkeibp.co.jp/article/COLUMN/20060227/230854/


■rootでのログインを禁止する
http://wiki.minaco.net/index.php?Linux%2Froot%E3%81%AB%E3%82%88%E3%82%8B%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E7%A6%81%E6%AD%A2
WindowsのAdministratorやLinuxのrootはユーザ名がわかってるから、
それだけでもう大きなセキュリティリスクとなります。
どこのおうちにいってもAdministratorはAdministratorだもんね。
なので、ログオンできなくしてしまいましょう。
/etc/ssh/sshd_config をエディタで開いて
「PermitRootLogin no」という行を追加してあげればいいみたいですね。
デフォルトだとyesにはなっているものの、
#PermitRootLogin yes とコメントアウトされているから、
何も書かなければログオンできる、ということなのでしょう。
#を外してyesをnoに変えるのでもいいですが、
私はすぐ下の行に「PermitRootLogin no」を書いてやる
書き方の方が好きです。そのへんは好みで済ませていいのかな?
こういうタイプの人が業務用プログラムを改修したときに前のコードを
コメントアウトして残してたりするのかな?まぁいっか。


■Botのデグレードした機能「定期Post」を復活させる
1時間に1回つぶやいていたので、それを復活させる。
cron.dに自分のBot用のcronファイルを作成し、そこにコマンドを書いてあげる
cronファイルの書き方は以下がわかりやすい。
http://www.server-memo.net/tips/crontab.html

適当な名前のCronが書かれているファイル…
、たとえば「CronOfBot」とかを作って、それをOSが決めている
「お前がつくった『ぼくのかんがえたさいきょうCron』はここに置け」
っていう場所に置いてあげる。
場所はCentOSの場合 /etc/cron.d/ の中。
覚えておくと便利なんだけど、CronでもApacheのモジュール用設定ファイルでも、
「おまえが作った『ぼくのさいきょう○○』はここに置け」っていうディレクトリ名は
○○.dってなっている。


■ファイルやディレクトリの所有者を変更
ファイルやディレクトリの所有者を変えるだけなら chown コマンドでおk。
その所有者に代行してもらうなら su コマンドでそのユーザになるか、
sudoコマンドで「管理者権限で実行」する。
sudoコマンドを使えるようにするには設定ファイルの編集が必要。

普段の作業用アカウントを作って、そいつでcronファイルを書いたまではいいが、
作ったcronファイルが/etc/cron.d/ディレクトリ内へコピーできない。
それは/etc/cron.d/ディレクトリの所有者がrootになっていて、
自分じゃコピーさせてもらえないから。
そういう場合の選択肢は3つ。
    1.諦める
    2.そのディレクトリの所有者に代わりにコピーしてもらう
    3.自分がそのディレクトリの所有者になる。

2.か3.を行うわけだけど、今回の場合は2.のほうがいいですよね。
/etc以下のディレクトリはWindowsでいえば「C:\Windows」みたいな
システム用の場所なので1ユーザの所有物にしちゃ(きっと)ダメです。

ということでsuコマンドでrootになってコピーしました。
あ、「su -」したほうがいいんだっけ…?あとで調べる。

で、いままで知らなかったんですけど、sudoコマンドには設定ファイルがあって、
そこをへんこうしてやらないと新しく作ったユーザはsudoできないんですよ。
/etc/sudoers っていうファイルを編集するんだけど、
visudo っていう専用コマンドで編集する。crontabみたいな。
下のページにものすごく詳しく書かれていて、とても参考になります。
http://linux.kororo.jp/cont/intro/sudo.php

こんなページを書ける人はすごいな…

で、なにすればいいかというと、自分がsudoしたいユーザを
追記してあげればいいです。

適当なところ…たとえばざっとファイルを見てみるとこういう場所がありました。

------------------------------
## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL
------------------------------

ここにこんな感じで追記してみました。
------------------------------
## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL
%Ore        ALL=(ALL)       ALL
------------------------------

そしたら俺(Ore)はsudoできるようになりました。
でもぶっちゃけこれでいい気がする。
------------------------------
## Allows people in group wheel to run all commands
%wheel        ALL=(ALL)       ALL
------------------------------

ユーザがWheelグループに入ってればだけど。


あー、スキルが足りない。
設定周りでやるべきこと他にありましたらぜひ教えて下さい!





コメント

コメントを投稿

このブログの人気の投稿

オライリーのDocker本を読んだり色々な記事を読んだりしたので自分なりにまとめる(Dockerfileについて)

Docker経験値0だった私も何冊か本を読んで実際にDockerfileを見たりいじったりしてみてECSに試行錯誤でデプロイしてみたりして、ようやく少しずつ慣れてきた感が出てきました。 しかしまだまだ「バッチリできます!」というには力不足間は否めなく…いやそういう話じゃない。 折角本を読んだりネット上の先輩たちの記事を読んだりして色々覚えたのだから、それをまとめておきたいと思います。 実はもうすでに 日本語での公式なDockerfileベストプラクティス が存在するので、意味がないといえばたぶん意味はないのですが、アウトプットをして学習にいったんの区切りをつけるという意味で自己満足も兼ねて書きたいと思います。 Dockerfileについての基本的なこと 1コンテナ1プロセスを起動するつもりでDockerfileを書く 1プロセスとはつまりnginxとmod-phpによるPHPアプリケーションなら2つのコンテナを用意するということ コマンドは大文字で書く( RUN, COPY, EXPOSE 等) #によるコメントアウトが使える FROM 文は先頭に1行だけ書く CMD 文は末尾に1行だけ書く Dockerfile についてやるべきこと・意識すべきこと DockerHub のイメージは「公式」とわかるもの以外むやみやたらに使わずできるだけ Dockerfile を読んでから利用を判断する DockerHub は Docker イメージの共有サイトだが、有象無象のコンテナイメージが登録されており、(その意図はなくても)セキュリティ的に危険なコンテナが存在する可能性は十分にある。  DockerHubが公式に提供しているNginx  など、ソフトウェアベンダ(団体)の公式イメージ以外は基本的に利用しないことで基本的なセキュリティある程度確保することができる。 構文にはshell形式とexec形式が利用できるものがあるが基本的にexec形式を利用する 例えばCMDコマンドはshell形式とexec形式を利用することができる。 shell形式は指定された文字列を /bin/sh -c に渡すことでコマンドを実行する。 その場合に、exec形式だと/bin/shに対する攻撃のような文字列の実行を回避することができる。
続きを読む

一部のユーザだけ NET::ERR_CERT_REVOKED でサイトにアクセスできない

イメージ
一部のユーザから、HTTPSのURLにアクセスできなくなったという連絡を受けました。 なんでも攻撃される恐れのあるサイトですとかなんとか…。 ブラウザのスクリーンショットをもらってみたら、こんな表示が。 Google Chromeでも同じ感じのエラーメッセージが表示されていました。(サイト名が出るので省略…) Chromeの方のエラーメッセージをよく見ると、 NET::ERR_CERT_REVOKED と書かれています。ファッ!?証明書が失効している…!? そんな馬鹿なと思い手元でアクセスしてみたら普通に繋がる…HTTPSできてるよ?なんで?何が起こってるんだろう…。 結論を言うと、 SSL証明書業者が手違いで中間CA証明書を失効させてしまった ことにより、私たちが購入して使っている証明書が一時的に利用不可能になり、そのネガティブキャッシュをユーザが参照している 、というお話でした。 解消のための新しい中間CA証明書が公開されていたので、そちらを使って更新してみると、問題は解消されました。 ただ、自社が買っていたのはクイックSSL証明書だとばかり思っていたので、更新に失敗しまくって時間がかかりました。違うやつだった…。 SSL証明書とかドメインの周りのメンテナンスは多くても年に数回とかっていう頻度なので、いろいろ思い出すのに苦労しますね。 ていうか、そういうことあるんですね、中間証明書間違って消しちゃった!とか。 レジストラのDNSサーバダウンと合わせて、「 うちのせいじゃないんだけどご迷惑をおかけしてごめんなさい案件 」って感じで覚えておきたい…。
続きを読む

[#CentOS][#Apache] CentOS6 でApacheが起動できない

CentOS 6 で httpd を起動させようとした時のこと $ sudo /etc/init.d/httpd start httpd を起動中: httpd: bad user name apache    [ 失敗 ] なんじゃこりゃ。 ■問題 Apacheが起動できない。問題はapacheユーザ ■原因 httpd.confには ユーザ:apache グループ:apache でhttpdを起動するようになっている。 ユーザとグループを確認してみよう… $ cat /etc/passwd | grep apache $ ユーザが居ない… $ cat /etc/group | grep apache apache:x:48: グループはある。なんでこうなってんだ? ■対処 ユーザ「apache」を作ってグループ「apache」に入れてあげよう。 # useradd -g apache apache useradd: /etc/passwd をロックできません。後でもう一度試してください。 は?(#゚Д゚) # ll /etc/*.lock -rw-------. 1 root root 5  2月 12 07:29 2013 /etc/passwd.lock -rw-------. 1 root root 5  2月 12 07:29 2013 /etc/shadow.lock これを消すか # rm /etc/passwd.lock rm: remove 通常ファイル `/etc/passwd.lock'? y # rm /etc/shadow.lock rm: remove 通常ファイル `/etc/shadow.lock'? y これでもう一度apacheをuseraddして…あれ、もしかしてロックファイルがApahceをインストール剃る前からあって、もしかしてyumのインストールシーケンスの中でユーザ作成だけ失敗してたりしてるのかな? ということでApacheをインストールし直す方向で。 # yum remove httpd $ sudo yum install httpd httpd-devel mod_wsgi Pythonの勉強したいからmod_wsgiも入れてます。 で、yum入りました。 Transaction Summary
続きを読む