管理用ユーザーを追加 / Rocky Linux9.4 on さくらのVPS

アフィリエイト広告を利用しています

このページの内容が役に立ったら X (旧twitter) でフォローして頂けると励みになります
挨拶や報告は無しで大丈夫です

さくらのVPSにRocky Linux9.4をインストールした覚書です。

今回は、管理用ユーザーの設定を行っていきたいと思います。

なお本番環境で利用される場合はここにある内容だけを鵜呑みにせずセキュリティ専門家に相談されることをお勧めします。

環境

実施日2024-05-13
サーバさくらのVPS 2G
OSRocky Linux9.4
cat /etc/redhat-release
Rocky Linux release 9.4 (Blue Onyx)

ユーザーの追加

作業用のユーザーを作成します。
root権限での作業は基本的に作業用ユーザーから行うようにします。

もとからある rocky ユーザーは最終的に削除し、1から自分が設定したユーザーを残すことにします。

useradd shinohara
passwd shinohara

パスワードは超強力なものを設定して忘れましょう。(冗談です)
というのもパスワードを使用する場面がないからです。もし使用する場面があるなら使用しない方法(鍵認証など)に切り替えるべきです。

作成したら、su で shinohara に切り替え、公開鍵を設置します。

su shinohara
mkdir /home/shinohara/.ssh
chmod 0700 /home/shinohara/.ssh
vi /home/shinohara/.ssh/authorized_keys
chmod 0600 /home/shinohara/.ssh/authorized_keys
exit

authorized_keys に公開鍵を貼り付けます。

su の制限

root に戻って、su できるユーザーの設定もついでに行っておきます。

suを制限するwheelユーザー / Rocky Linux9.4 on さくらのVPS

接続の確認

ここで作成したユーザーで接続できることを確認しておきます。
新しくターミナルを開いて接続できればOKです。

接続できない場合はログを確認します。

tail -n 100 /var/log/secure
userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]

こちらのようなログが出ている場合は対策が必要です。

原因としては、「ssh-rsa」タイプで作られた鍵を許可しないというものです。
まー、古いので新しい鍵使ってね、です。

で、上記エラー内容で調査していくと「pubkeyacceptedalgorithms +ssh-rsa」と書かれた記事に行きつくと思います。
罠です。

SSHのバージョンを確認してみます。

ssh -V
OpenSSH_8.7p1, OpenSSL 3.0.7 1 Nov 2022

記事をよく見ていくと丁寧に書かれてるところでは、「バージョン8.8から」という文字が見つかると思います。

8.8からと書かれてるのに、自分のとこは8.7
なんだかおかしな匂いがしてきました。
ということで、ここではヒントまでにします。

ということで、素直に鍵を作ったほうが良いです。

TeraTerm で鍵を作る

TeraTermを開いて、接続のダイアログは閉じて、「設定」からの「SSH鍵生成」です。
ED25519 にして生成します。

putty / puttygen.exe で ppk にする

puttygen.exe を起動して、Conversions > Import Key > 秘密鍵を選択

Conversions > Export OpenSSH Key

○○.ppk の名前にして保存

鍵を配置して接続確認

公開鍵を、.ssh/authorized_keys に配置し、実際にログインできることを確認できたらOKです。