Raspberry Pi セキュリティ向上のための設定
ラズパイがサイバー攻撃の温床になっているとの話があるので、知らないうちに加担しないようセキュリティ設定を見直しておく。c60evaporatorさんのQiitaによく書かれている。
①ユーザ名とパスワードを変更
groups pi sudo usermod -G pi,adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,netdev,input,spi,gpio 新ユーザ名
最後に新ユーザ名を追記するのを忘れないように。
②自動ログインの解除とpiユーザの削除
2021年6月時点では、Qiitaの記事で紹介されているraspi-configとバージョンが異なるため、以下から設定を変更する。
1 System Options
S5 Boot / Auto Loginから設定可能
紹介したQiitaの記事によると、Boot optionでB1 Consoleを選択すると書かれている。B1を選択してリブートすると、macの画面共有で
と表示される。Macのターミナルを起動して、ssh (新ユーザ名)@raspberrypi.localでSSH接続して「piユーザの削除」を進める。
sudo userdel -r pi
の実行後に
userdel: グループ pi には他のメンバーがいるので削除しませんでした
と表示されたが、
id -a pi
で確認すると
userdel: ユーザ 'pi' は存在しません
と表示されたのでユーザ piの削除はできているようだ。
sudo raspi-config
を実行し、
1 System Options
> S5 Boot / Auto Login
> B4 Desktop Autologin Desktop GUI, automatically logged in as '(新ユーザ名)' user
を選択すると、次回からはログインIDとパスワードなしでGUIにログインできる。(Qiitaの記事の「起動時認証ユーザを「pi」→新ユーザに変更」は不要)
③SSHのポート番号を22から他番号に変更
ポート番号を忘れる可能性があるので、こちらは実施しないこととした。
④SSHを公開鍵認証に変更
ssh-keygen -t rsa -b 4096
-C メールアドレスは任意とのことで、省略
Macのターミナルから
scp -P22 id_rsa.pub (新ユーザ名)@raspberrypi.local:/home/(新ユーザ名)/.ssh
と入力し、新ユーザ名のパスワードを入力すると、Macからラズパイの/home/(新ユーザ名)/.ssh/ にid_rsa.pubが転送される。
「公開鍵認証での接続を確認」では以下のように入力し、ラズパイにSSH接続できればOK。
ssh (新ユーザ名)@raspberrypi.local
uzimihsrさんの記事の「ちゃんとパスワード認証が無効化されているか確認する」を参考に、Macに保存した秘密鍵(id_rsa)の名前をid_rsa.bkupなどに変更し、秘密鍵がなければSSH接続できないことを確認しておくといい。(確認終了後は忘れずにid_rsaに戻しておく)