今日はお仕事のご依頼で、GCP上にCentOS7のComputeEngineを構築しました。
いつも通り作業を進めていると、ひとつ「!?」と思う出来事が。

できたてほやほやのまっさらなはずのOSに作成した覚えのない一般ユーザがいる…!
こ、こわい。

インフラのお仕事でよくわからない事象に遭遇すると、とりあえず「こわっ」となり、
理由がわからなくて、ずっと歯の奥にものが挟まったような気持ち悪さが残ります。
モヤモヤモヤモヤ。

 

 

自動作成されたユーザの正体

作成されていたユーザは、以前構築したサーバで作成した一般ユーザでした。
そう、見覚えのあるユーザだったのです。

しかし、今回はこのサーバを元にサーバに構築したわけではなく、
googleから提供されているプレーンなOSイメージを使用しました。

頼んでもいないのに、なんで勝手に一般ユーザが作られているの?
使わないユーザなら消せばいいのですが、理由がわからないと気持ちが悪い。

しかし、色々記憶をたどって無事に解決しましたよー!
そういうわけで備忘録として記しておきます。

 

 

公開鍵認証するために、メタデータにユーザを登録していた

以前puttyから公開鍵認証で、GCP上のインスタンスにssh接続できるように設定をしたことがありました。
パスワード認証だとセキュリティ的に不安があるし、
公開鍵認証は一度登録しておけば、すぐにサーバに入れて楽なので^^

私は下記リンク先の方法を参考にさせていただきました。

PuTTYでGCPのインスタンスにSSH接続する

 

この手順の中に、GCPコンソールから、GCPに公開鍵を登録する行程があります。
GCPコンソールにログイン -> [Compute Engine] -> [メタデータ] -> [SSH認証鍵]で、ユーザ名と鍵の登録を行うのですが、ここで一度登録をしたユーザの情報は、このプロジェクトのすべてのインスタンスに継承されるようです。

meta

画面にもしっかり書いてありますねw

つまりここで登録したユーザは、今後作成するサーバ上に自動で登録されますよということです。
プロジェクトメンバーが複数いる場合、各個人のユーザはいちいちOS上で作らずに、ここに登録しておけばいいわけですね。
ただ、プロジェクトメンバーの離任の際には、忘れずにここからデータを削除する必要がありますね!

以上です。お読みいただきありがとうございました。

 

 

 

コメントを残す