セキュリティの設定

デフォルトの設定では以下のようになっています。

  • ユーザ名   ・・・cosmoz
  • パスワード   ・・・cosmoz
  • ファイアーウォール(iptables/ufw)・・・未使用
  • rootでのSSHログイン禁止

TCP/UDPのポートの制限はかけていないので、必要に応じてファイアーウォールを設定してください。また、デフォルトのパスワードは必要に応じて変更してください。

 

SSHでのrootログイン

Cosmo-Z SDカード2.1以降(Ubuntu 14.04LTS)では、SSHでrootユーザとしてログインできないようにしています。一般ユーザとしてログインしてsuでrootユーザに移行するのが一般的な作業の方式です。

もし、sshで直接rootログインできるようにしたい場合(WinSCPでシステムファイルを書き換えたい場合など)は、rootユーザのパスワードを適切に設定し、sshd_configのPermitRootLoginをyesに設定して、sshdを再起動してください。

 

USBシリアルでの自動ログインを禁止する

USBシリアルではrootユーザとしてログインできパスワードもかかっていないため、Cosmo-Zに物理的にアクセスできる場合には自由にログインできてしまいます。

このセキュリティを高める場合は、

# systemctl edit --force serial-getty@ttyPS0

でコンソールの設定ファイルを開き、

ExecStart=-/sbin/agetty --noissue --autologin root %I $TERM

と書かれた行を削除してください。(設定ファイルは /etc/systemd/system/serial-getty@ttyPS0.service.d/override.conf にあります)

USBコンソールからのログイン時でもユーザ名とパスワードが要求されるようになります。また、rootかでのログインも禁止されているので、一般ユーザとしてログインし、その後、suでrootに昇格する手順になります。

 

Windowsファイル共有を止める

Cosmo-Zは利便性のためsambaでファイル共有を行い、/home/shareをWindowsマシンから見えるように共有しています。

このフォルダにはcszmain.elfなどの重要なシステムファイルがあるため、セキュリティを気にする場合は、smbdの設定を変えて共有を停止するか、パスワードを設定・変更してください。