# eGGi 資安實作日記 ## 1. 關閉terminal hot key 參考以下文章 "Disable Keyboard Shortcuts on Raspberry Pi" 的部分 https://beebom.com/best-raspberry-pi-keyboard-shortcuts/ 1. vim sudo /etc/xdg/openbox/lxde-pi-re.xml 2. 找到以下段落並刪除 <keybind key = "C-A-T"> <action name = "Execute"> <command>x-terminal-enulator</command> </action> </keybind> ## 2. 創立只能用sftp連線的user 跟著以下文章步驟實作即可(Match User以下的前面要加上TAB，如下面所示) https://hbayraktar.medium.com/step-by-step-how-to-configuration-sftp-without-shell-access-on-csentos-7-39a0e129b044 Match User sftpuser " "ForceCommand internal-sftp ... 在下面要多加上 或許我們winnoz heater需要chown ## 3. 交換ssh相關的key autostart會有listen_ssh_key.sh腳本去判斷ssh key是否已經存在 1. 已經存在 -> 不做事情 2. 不存在 -> 監看 /var/sftp/sftpuser/.ssh的資料夾，看ssh_key是否存在，如果ssh key被送入，將sftpuser密碼可以登入sftp的功能關閉 這邊要設定的有 autostart裡面的 listen_ssh_key.sh /etc/sudoers相關指令的權限 NOPASSWD的設定 ## 4. 權限管理 1. 先寫create new user script 2. pi 換名字、取消sudo權限，更換路徑 3. 建立developer user，賦予sudo權限 4. 把 FileStore，serial number eGGi 使用者全部都會被加到"iusers" ## 5. create new user script ``` #! /bin/bash if [ "$#" -ne 2]; then echo "Please provide proper amount of parameter" fi username="$1" password="$2" if id "username" &> /dev/null; then echo "User "$username" create fail: The user already exists." else useradd -N -s /usr/sbin/nologin -d /var/sftp "$username" echo -e "$password\npassword" | sudo passwd "$username" usermod -a -G eggiusers "$username" echo "User $usernmae has been created." systemctl restart sshd if ``` ## 6. new image steps ### 1. 創建新user developer with sudo permission ``` sudo useradd -m developer sudo passwd developer sudo usermod -aG sudo developer ``` ### 2. 修改pi名字並拔除sudo permission ``` sudo deluser pi sudo sudo usermod -l eGGi pi sudo groupmod -n eGGi pi sudo usermod -m -d /home/eGGi -g eGGi eGGi ``` ### 3. 更換autologin user ``` sudo vim /etc/lightdm/lightdm.conf -> [Seat:*] 有一個row autologin-user=username (換成eGGi) ``` ### 4. 更換user共用檔案