adminでsshログインする

最初はこのアカウントでしかログインできない。

まっさきにiptablesの設定を変える。

要望があれば＆気が向いたらコマンドのっけます。

管理用アカウントを作成して管理ユーザにする。

$ su -
# useradd hoge
# passwd hoge
# usermod -G wheel hoge
# vi /etc/pam.d/su
"auth required pam_wheel.so use_uid"の行のコメントアウト"#"を外す
# visudo
"%wheel  ALL=(ALL)  ALL"の行のコメントアウト"#"を外す

この時点でsudoが出きるようになっているので、確認する。
ちなみに提供された状態だと、sudoする度に、
「audit_log_user_command(): 接続を拒否されました」というエラーがでる。これはCentOSの問題。sudoをアップデートすると直る。

$ sudo yum update sudo

sshの設定を変える

クライアント側で先にDSAキーペアを作っておき、管理ユーザのホームディレクトリに公開鍵の方をコピーする。上記の場合/home/hoge/.ssh/authorized_keysというファイルに公開鍵を書き込む。その後、sshdサーバの設定を変更。

# vi /etc/ssh/sshd_config
"Protocol 2" にする
"PermitRotLogin no" にする
"PasswordAuthentication no" にする
"PermitEmptyPasswords no" にする
"PubkeyAuthentication yes" にする
"AuthorizedKeysFile  .ssh/authorized_keys" にする
保存する。
# /etc/rc.d/init.d/sshd reload

こんぐらいが最低限かな。
なんか、全体的にCentOSの初期設定とかが違っていて、なんかいじった形跡が見られます。本格的に使う前にはいろいろチェックしていらないものは殺すとか、手を打つか、シンプルセット（あまり何も入ってないパッケージ）にしてしまう方がいい気がします。

自分が気づいたのは、

• インストール済みのMySQlに普通は存在しない変なtestアカウントとか残っている。
• /etc/配下にいろいろとバックアップと思われる、設定ファイルが残ってる。
• /root配下にネットワーク設定スクリプトがいろいろある。
• 444と81ポートが使用されて、BlueOnyxだかコンパネっぽいもので使われている。

など。

ちなみに

MySQL上に初期状態で作られていたユーザはというと

mysql> select Host, User, Password from user;
+----------------------------+------+----------+
| Host                       | User | Password |
+----------------------------+------+----------+
| localhost                  | root |          | 
| OpenVZ-test.intraoffice.jp | root |          | 
| 127.0.0.1                  | root |          | 
| localhost                  |      |          | 
| OpenVZ-test.intraoffice.jp |      |          | 
+----------------------------+------+----------+

こういうよくわからんアカウントが残っているっていうのは、あんまり気持ちいいもんじゃないよね。

まあ、今後に期待しつつも、しばらくプライベートユースで、商用は様子見します。

とりあえず、
gitリポジトリ作る会
http://d.hatena.ne.jp/shunsuk/20100803/1280830065
とかかな。