- Oracle Database
- Oracle Cloud
Oracle Databaseユーザー必見!ZRCVで始めるランサムウェア対策
ランサムウェアの脅威からデータベースを守る!OCIのフルマネージドバックアップサービスZRCVは、3-2-1-1-0ルールに対応し、データ損失ゼロに近い復旧を実現します。本記事では堅牢な保護機能と、GUIで完結するわずか5ステップのシンプルな設定方法を解説します。
|
|
初版公開日:2022.04.07
更新日:2024.07.18
Oracle Cloud Infrastructure上に、ComputeインスタンスやDBシステムを構築すると、システム管理者ユーザーであるopcユーザーが作成されます。
Linux OS上で何らかの作業を実施する場合、先ずopcユーザーでSSH接続をして、sudoコマンドを介して操作を行うことが一般的ですが、お客様の中にはopcユーザー以外からSSH接続を必要とするケースもあるかと思います。
今回は、opcユーザー以外のユーザーからSSH接続を行う方法をご紹介します。
※Computeインスタンスの場合は一般ユーザー以外にrootユーザーもSSH接続が可能ですが、DBシステムの場合は一般ユーザーのみとなります。
※SSH接続の設定が完了しても、opcユーザーの削除や無効化は控えてください。
1.ホストOSにopcユーザーでログイン後、rootユーザーにスイッチします。
(opc) $ sudo su -
2.対象ユーザー用のSSHキー・ペアを生成します。
(root) # ssh-keygen -t rsa -N "<パスフレーズ>" -b 2048 -C "<任意のコメント>" -f ~/.ssh/id_rsa
実行例:”sample”として作成する場合
(root) # ssh-keygen -t rsa -N "sample" -b 2048 -C "sample_key" -f ~/.ssh/sample_id_rsa
3.対象ユーザーを作成します。
(root) # useradd <ユーザー名>
.実行例:”sampleuser”として作成する場合
(root) # useradd sampleuser
4.対象ユーザーのホームディレクトリに.sshディレクトリを作成します。
(root) # mkdir -p /home/<対象ユーザー名>/.ssh
.実行例:”sampleuser”として作成する場合
(root) # mkdir -p /home/sampleuser/.ssh
5.2で作成したSSH公開キーの内容を対象ユーザーのauthorized_keysファイルにコピーします。
(root) # cat ~/.ssh/sample_id_rsa.pub > /home/<対象ユーザー名>/.ssh/authorized_keys
.実行例:”sampleuser”に実行する場合
(root) # cat ~/.ssh/sample_id_rsa.pub > /home/sampleuser/.ssh/authorized_keys
6./etc/ssh/sshd_configファイルのAllowUsersパラメータに対象ユーザーを追記します。
(root) # vi /etc/ssh/sshd_config .実行例:”sampleuser”を追記する場合 AllowUsers sampleuser .※DBシステムの場合、すでにgridユーザーとoracleユーザーが記載されていますので下に追記します AllowUsers grid AllowUsers oracle
7./home/<ユーザー名>/.sshディレクトリの所有者およびグループを対象ユーザーに変更します。
(root) # chown -R <ユーザー名>:<グループ> /home/<ユーザー名>/.ssh
.実行例:”sampleuser”を設定する場合
(root) # chown -R sampleuser:sampleuser /home/sampleuser/.ssh
8.SSHデーモンを再起動します。
(root) # /sbin/service sshd restart Redirecting to /bin/systemctl restart sshd.service
9.対象ユーザーにsudo権限を有効にする場合は、visudoコマンドで/etc/sudoersファイルを編集します。
(root) # visudo 以下を追記します。 <ユーザー名> ALL=(ALL) NOPASSWD: ALL .実行例:”sampleuser”を設定する場合 sampleuser ALL=(ALL) NOPASSWD: ALL
10.2で作成したSSH暗号キーファイルをクライアント端末に配置してターミナルソフトからSSH接続できることを確認します。
Computeインスタンスであれば、直接rootユーザーでSSH接続を行うことが可能です。
1.ホストOSにopcユーザーでログイン後、rootユーザーにスイッチします。
(opc) $ sudo su -
2.SSHキー・ペアを生成します。
(root) # ssh-keygen -t rsa -N "<パスフレーズ>" -b 2048 -C "<任意のコメント>" -f ~/.ssh/id_rsa
3./root/.ssh/authorized_keysファイルから以下の文字列を削除します。
(root) # vi /root/.ssh/authorized_keys
※削除する文字列(表示上、改行しています)
"no-port-forwarding,no-agent-forwarding,no-X11-forwarding,command="echo 'Please login as the user \"opc\" rather than the user \"root\".';echo;sleep 10""keys.
4.2で作成したSSH公開キーの内容をrootユーザーのauthorized_keysファイルにコピーします。
(root) # cd ~/.ssh (root) # cat id_rsa.pub > authorized_keys
5.2で作成したSSH暗号キーファイルをクライアント端末に配置してターミナルソフトからSSH接続できることを確認します。
今回は、opc以外のユーザーでもSSH接続を行う方法をご紹介しました。
基本的にはopcユーザーからsudoコマンドを介して管理操作を実施いただくことが望ましいですが、お客様の運用上、opc以外のユーザーからSSH接続を行う必要がある場合には本記事や以下マニュアルを参考の上、設定実施をご検討いただけますと幸いです。
Linuxインスタンスでのキー・ペアの管理
https://docs.oracle.com/ja-jp/iaas/Content/Compute/Tasks/managingkeypairs.htm#Managing_Key_Pairs_on_Linux_Instances
■本記事の内容について
本記事に記載されている製品およびサービス、定義及び条件は、特段の記載のない限り本記事執筆時点のものであり、予告なく変更になる可能性があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
ランサムウェアの脅威からデータベースを守る!OCIのフルマネージドバックアップサービスZRCVは、3-2-1-1-0ルールに対応し、データ損失ゼロに近い復旧を実現します。本記事では堅牢な保護機能と、GUIで完結するわずか5ステップのシンプルな設定方法を解説します。
今年もオラクル社の年次イベント「Oracle AI World 2025」が開催され、アシストからも11名の社員がラスベガス現地で参加しました。 本記事では「Oracle AI World 2025 視察記」として「Oracle AI World 2025のハイライト」と「アシストの注目ポイント」を、Oracle AI World 2025全体の雰囲気とともにお伝えします。
データベースの環境準備に時間を要していませんか?OCI BaseDBのクローン機能なら、検証環境を30分未満で作成可能です。本記事では、実際の操作手順から開発・テストでの活用法、コストやIP変更などの注意点までを画像付きで徹底解説します。
![[260123T]既存DBからの移行はどうする?ゼロから始める!EDB超入門:移行編(改訂版)](/db_blog/__icsFiles/afieldfile/2025/12/23/edb_semi260123_TOP_176x215px.png)
