CloudReadyのセキュリティを強化する2つの設定とは

2019/1/29 Linuxの使い方

CloudReadyのセキュリティを強化する2つの設定とは

手持ちの古いノートパソコンをCloudReadyでChromebook化して、現在セカンドマシンとして利用しています。

デフォルトの設定のままでの十分に使い勝手のよいCloudReadyですが、外出先なども利用することが想定されるなら、ここで紹介する2つの設定を行っておくことで、よりセキュリティを強化できます。

Windows向けキーボードでCloudReadyを操作するのに役立つショートカットキー一覧
ここでは、Windows向けの日本語109キーボードで、CloudReadyを操作するときに役立つショートカットキーを紹介します。
4thsight.xyz
2021-04-13 23:22
Check!

☆ 毎日開催のAmazonのタイムセールは、こちらからチェック!

☆ AmazonのKindle本のセール&キャンペーンは、こちらからチェック!

☆ 楽天市場の24時間限定タイムセールは、こちらからチェック!

動作環境

この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。

ソフトウェアバージョン
CloudReady Home Edition70.4.39

PINによるロック解除

CloudeReadyでは、通常、画面のロックを解除するときは、ログインに使用するGoogleアカウントのパスワードを入力します。

ですが、Googleアカウントのパスワードには、複雑なパスワードを設定して安全性を高めていることが多く、複雑なパスワードをロック解除のたびに入力するのは大変です。

そんな時は、PINを設定しておけば、すばやく画面のロックを解除することができ、ログイン時以外でGoogleアカウントのパスワードを入力せずに済み、セキュリティ的にも安心です。

PINを設定する手順は、次のとおりです。

設定手順

CloudReadyの設定画面を開き「ユーザー」>「画面ロック」を順にクリックします。

CloudReadyのセキュリティを強化する2つの設定とは

パスワードの入力画面が表示されるので、ログインに使用しているGoogleアカウントのパスワードを入力し「確認」ボタンをクリックします。

CloudReadyのセキュリティを強化する2つの設定とは

「画面ロック」の設定画面が表示されたら、画面ロックの種類で「PIN またはパスワード」を選択して「PINを設定」ボタンをクリックします。

CloudReadyのセキュリティを強化する2つの設定とは

PINの入力画面が表示されるので、PINを設定します。なお、PINには6桁以上の数字を設定します。

CloudReadyのセキュリティを強化する2つの設定とは

設定が完了すれば、ロック画面でパスワードだけでなく、PINを入力することでもロックを解除できるようになります。

CloudReadyのセキュリティを強化する2つの設定とは

chronosユーザーにパスワードを設定する

Memo

本手順は、OSをアップデートするたびにやり直す必要があります。また、本手順を実行するには、後述する「Rootfs Verification機能の無効化手順」を事前に実施しておく必要があります。

CloudReadyには、rootとchronosという2つのユーザーが存在しており、「CloudReady Home Edition」のchronosユーザーには、デフォルトでパスワードが設定されていません。

そのため、ターミナル(crosh)上でshellコマンドを実行すれば、管理者権限が必要なコマンドをパスワードなしで実行できて便利ではありますが、セキュリティ的に少し心配です。

そこで、chronosユーザーにパスワードを設定することで、管理者権限でのコマンド実行を制限でき、セキュリティを向上させることができます。

手順は、次のとおりです。

まず、ショートカットキー「Ctl+Alt+t」で「ターミナル」を起動します。

CloudReadyのセキュリティを強化する2つの設定とは

ターミナルが起動したら「shell」と入力しエンターキーを押しbashを起動します。bashが起動すると、プロンプトが「crosh>」から「chronos@localhost」に変わります。

CloudReadyのセキュリティを強化する2つの設定とは

次のコマンドを実行して、ルートファイルシステムに変更を加えることができるようにします。

$ sudo mount -o rw,remount /

CloudReadyのセキュリティを強化する2つの設定とは

次のコマンドを実行して、chronosユーザーのパスワードを設定します。

$ sudo passwd chronos

CloudReadyのセキュリティを強化する2つの設定とは

パスワード変更が完了したら、次のコマンドを実行して、ルートファイルシステムに変更を加えることができないよう設定を戻します。

$ sudo mount -o ro,remount /

CloudReadyのセキュリティを強化する2つの設定とは

以上で設定完了です。

次回からchronosユーザーのパスワードを入力しないと、管理者権限が必要なコマンドは実行できなくなります。

CloudReadyのセキュリティを強化する2つの設定とは

なお、CloudReadyのKnowledge Baseを確認したところ、rootのパスワードは変更しないことが推奨されています。

Knowledge Base – CloudReady

「Rootfs Verification」を無効化する

CloudReadyには「Rootfs Verification」と呼ばれるセキュリティ機能が搭載されており、ルートファイルシステムに予期しない変更が検出されると、OSの起動プロセスを停止することで、OSの改ざんを防いでくれています。

そのため、「chronosユーザーのパスワード変更」などのように、意図的にルートファイルシステムに変更を加える場合は、事前にこの機能を無効化しておく必要があります。

「Rootfs Verification」を無効化する手順は、次のとおりです。

Memo

なお、本機能を無効化にすると、システムの改ざんに対するセキュリティは低下します。

まず、ショートカットキー「Ctl+Alt+t」で「ターミナル」を起動します。

CloudReadyのセキュリティを強化する2つの設定とは

ターミナルが起動したら「shell」と入力しエンターキーを押しbashを起動します。bashが起動すると、プロンプトが「crosh>」から「chronos@localhost」に変わります。

CloudReadyのセキュリティを強化する2つの設定とは

以下のコマンドを実行して「Rootfs Verification」を無効化します。

$ sudo disable_verity

なお、設定を適用するために次のコマンドを実行してマシンを再起動します。

$ sudo reboot

CloudReadyのセキュリティを強化する2つの設定とは

以上で設定完了です。

Memo

なお「Rootfs Verification」を無効化して、ルートファイルシステムになにがしかの変更をすると、「Rootfs Verification」を再度有効化することはできません。

あとがき

CloudReadyを使い始めてまだ日が浅いので、まだまだ使いこなせているとは言えませんが、これからもどんどん使い倒して、おススメ設定があればまた紹介したいと思います。