三歩あるけば物も忘れる

EC2にログイン後すぐに実施しておくことを記載する。

ハイライト行のみ変更

vi /etc/selinux/config

#変更前
SELINUX=enforcing
SELINUXTYPE=enforcing

#変更後(SELINUXの部分を変更する)
SELINUX=disabled
SELINUXTYPE=enforcing

#適用
reboot

#確認(Disabledと表示されること)
getenforce

yum -y update --exclude=kernel*

useradd -s /bin/bash -m [ユーザー名]
usermod -G wheel [ユーザー名]
grep wheel /etc/group
echo '[ユーザー名]  ALL=(ALL) NOPASSWD:ALL' | sudo tee --append /etc/sudoers.d/90-cloud-init-users

sudo su - [ユーザー名]

mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys
chmod 600 .ssh/authorized_keys

#ssh-rsa AAAAB3NzaC1yc.........を記載する。
vi .ssh/authorized_keys

login as: [ユーザー名]
Authenticating with public key "imported-openssh-key"

[newuser@ip-172-xx-xx-xx ~]$ sudo su -
Last login: Sun Nov 29 10:33:33 UTC 2020 on pts/4
[root@ip-172-xx-xx-xx ~]#

sudo userdel ec2-user

vi /etc/ssh/sshd_config

#下記の記述を追加する。
DenyUsers ec2-user

#サービスを再起動する。
systemctl restart sshd

cloud-initの「disable_root: 1」はsshd_configと関係ないので以下の対応をすること
インフラ構築/RHEL8/91.cloud-init調査#動作確認結果

#変更
vi /etc/ssh/sshd_config

#変更前
PermitRootLogin yes

#変更後
PermitRootLogin no

#サービス再起動
systemctl restart sshd

インフォメーションレベルの情報が大量に出力される為、ログ肥大しないようログレベル設定を「notice」へと変更する。

インフラ構築/RHEL8/26.ログ管理-ログレベルの変更

AWSのRHELはデフォルトで入っていないようで「Unit firewalld.service could not be found.」と表示される。
セキュリティグループがあるので、入っていないと思われる。

#確認
systemctl status firewalld
  firewalld.service; enabled
  Active: active(running)

#停止
systemctl stop firewalld

#無効化
systemctl disable firewalld

#確認
systemctl status firewalld
  firewalld.service; disabled
  Active: inactive (dead)

必要に応じて実施する。

vi /etc/ssh/sshd_config

#下記の記述を追加する。
Port XXXX

sshd -t
systemctl restart sshd

netstat -anp | grep sshd