ラズパイのユーザー設定はデフォルト状態だとセキュリティ的に良くないです。
この投稿では、ラズパイをセットアップしたらなるべく早くやっておくべことをメモしておきます。特にLANケーブルを接続して使用する場合には絶対やっておいたほうが良いと思います。
ここでは某nanoDLP機に組み込まれているRaspberryPiを対象に書くので、一般的に使われている方とは多少違った対策をしています。
対象となる機種としては、一般的なRaspberryPiと何ら変わりありません。
RaspberryPi3 ModelB、OSはRasbian
ネットワーク接続可能かつ、nanoDLP機への対策を前提で話を進めていくため、画面やUSBへのキーボードマウスからの設定は難しいのでSSHを利用しての設定を行います。
電源を入れて起動させるとデフォルトでSSHというリモート接続できるような状態になっています。RaspberryPiの場合、公知のユーザーとしてpiユーザーでデフォルトのパスワードはraspberryに設定されています。このユーザー/パスワードでログインできる機器は、非常にセキュリティリスクを持っているといえます。
なんたって、システムを触りたい放題、破壊し放題となりますので、下手をすると踏み台にされてシステムが使用不能にされてしまう恐れさえあります。
詳しいことができない!わからない!というかたも最低限のpiユーザのパスワード変更だけでもやっておいたほうが良いです
よくあるRaspberryPiでの例ではPiユーザー事態を削除してしまう対策が取られている例が多いのですが、すでにPiユーザーで実行されている稼働中システム(nanoDLP)があるので温存する方向で進めます。
1.nanoDLPへの接続
まず初めに、ネットワークに接続されたシステムのIPアドレスを知る必要があります。ネットワークに接続しているネットワーク機器を見つけるのは、ある程度知識のある人はすぐわかると思いますが、nanoDLP機であれば液晶にも表示されるので、そのIPアドレスをメモしてください。
IPアドレスがわかったら、SSHというプロトコルを使用してシステムに接続していくのですが、接続するソフトは、基本的になんでも問題ないのですが、今後のことを考えて、当ラボではWinSCPで進めていきます。WinSCPは公式HPよりDLしてインストールしてください。
WinSCP ダウンロードページ
https://winscp.net/eng/download.php
ダウンロードが終わったら、接続設定をしていきます。
新しいサイトから下記のように設定していきます。設定が終わったら保存してログインしていきます。
転送プロトコル:SFTP
ホスト名:メモしたIPアドレス
ユーザー名:pi
パスワード:raspberry
接続が完了したら左から5番目のボタンを押して、コンソールに接続します。
パスワードは先ほどと同じraspberryで接続できます。
2.piユーザーのパスワードを変更
piユーザがデフォルトパスワードのままなのは不安なのでパスワードを変更していきます。
pi@raspberrypi:~ $ passwd
Changing password for pi.
(current) UNIX password:raspberry
Enter new UNIX password:(任意のパスワード)
Retype new UNIX password:(任意のパスワード)
passwd: password updated successfully
3.自分用ユーザーを作る
$ sudo adduser tac(任意のユーザ名)
Adding user `tac' ...
Adding new group `tac' (1001) ...
Adding new user `tac' (1001) with group `tac' ...
Creating home directory `/home/tac' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:(任意のパスワード)
Retype new UNIX password:(任意のパスワード)
passwd: password updated successfully
Changing the user information for tac
Enter the new value, or press ENTER for the default
Full Name []:(ENTER)
Room Number []:(ENTER)
Work Phone []:(ENTER)
Home Phone []:(ENTER)
Other []:(ENTER)
Is the information correct? [Y/n] Y
pi@raspberrypi:~ $
4.作成したユーザーをsudoに追加
作成したユーザーを新しい管理者とするためsudo権限を与えます。
$ sudo usermod -G sudo tac(追加したユーザ)
$ sudo cat /etc/group | grep tac(追加したユーザ)
sudo:x:27:pi,tac
tac:x:1001:
$ sudo visudo
するとファイルが編集できるのでカーソルキーを使用して一番下の行まで移動します
PIユーザー用の設定が見つかると思うので、同様のの設定で追加します
pi ALL=(ALL) NOPASSWD: ALL
tac ALL=(ALL) NOPASSWD: ALL
編集が終わったらCTRL+Xを押すと保存するか聞かれるのでYを押して保存して終了します。
ここまで終わったら、一度ターミナルをつなぎなおして新しいユーザーで接続ができるか確認しておきます。新規接続と一緒なので、省略!
正常につながったら念のためSUDOができるか確認、sudoコマンドを使用してエラーなくPIユーザーに変身できればOKです。
tac@raspberrypi:~ $ sudo su pi
pi@raspberrypi:/home/tac $ exit
tac@raspberrypi:~ $
5.piユーザーの権限はく奪
正常に追加したユーザでsudoできたら、こんどはpiユーザーの権限をなくしてしまいます。権限を追加したときと同様にvisudo
tac@raspberrypi:~ $ sudo visudo
こんどは権限を削除していくので、先頭に#をつけてコメントアウトしていきます。
#pi ALL=(ALL) NOPASSWD: ALL
tac ALL=(ALL) NOPASSWD: ALL
同じようにCTRL+Xで保存して終了してください。つづいてグループからも削除していきます。
tac@raspberrypi:~ $ sudo gpasswd -d pi sudo
Removing user pi from group sudo
tac@raspberrypi:~ $ sudo cat /etc/group | grep sudo
sudo:x:27:tac
sudoグループからpiユーザーが消えていることを確認したら、念のため権限がなくなったか確認しておきましょう。
pi@raspberrypi:/home/tac $ sudo su tac
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for pi:raspbeery
pi is not in the sudoers file. This incident will be reported.
正常に権限がなくなっていると、エラーが発生するはずです。
これで一通りの、設定変更は終了です。
sudo事態をつかうのがーといわれる方がいたり賛否がありますが。ひとまず何もしないのはマズいので、少し対応しておこうといった方向です。
楽しい3Dプリンタライフを!
※改造するとメーカーのサポート等は受けられなくなる恐れがあります
ご利用は計画的に
コメント