今日はお仕事のご依頼で、GCP上にCentOS7のComputeEngineを構築しました。
いつも通り作業を進めていると、ひとつ「!?」と思う出来事が。
できたてほやほやのまっさらなはずのOSに作成した覚えのない一般ユーザがいる…!
こ、こわい。
インフラのお仕事でよくわからない事象に遭遇すると、とりあえず「こわっ」となり、
理由がわからなくて、ずっと歯の奥にものが挟まったような気持ち悪さが残ります。
モヤモヤモヤモヤ。
自動作成されたユーザの正体
作成されていたユーザは、以前構築したサーバで作成した一般ユーザでした。
そう、見覚えのあるユーザだったのです。
しかし、今回はこのサーバを元にサーバに構築したわけではなく、
googleから提供されているプレーンなOSイメージを使用しました。
頼んでもいないのに、なんで勝手に一般ユーザが作られているの?
使わないユーザなら消せばいいのですが、理由がわからないと気持ちが悪い。
しかし、色々記憶をたどって無事に解決しましたよー!
そういうわけで備忘録として記しておきます。
公開鍵認証するために、メタデータにユーザを登録していた
以前puttyから公開鍵認証で、GCP上のインスタンスにssh接続できるように設定をしたことがありました。
パスワード認証だとセキュリティ的に不安があるし、
公開鍵認証は一度登録しておけば、すぐにサーバに入れて楽なので^^
私は下記リンク先の方法を参考にさせていただきました。
この手順の中に、GCPコンソールから、GCPに公開鍵を登録する行程があります。
GCPコンソールにログイン -> [Compute Engine] -> [メタデータ] -> [SSH認証鍵]で、ユーザ名と鍵の登録を行うのですが、ここで一度登録をしたユーザの情報は、このプロジェクトのすべてのインスタンスに継承されるようです。
画面にもしっかり書いてありますねw
つまりここで登録したユーザは、今後作成するサーバ上に自動で登録されますよということです。
プロジェクトメンバーが複数いる場合、各個人のユーザはいちいちOS上で作らずに、ここに登録しておけばいいわけですね。
ただ、プロジェクトメンバーの離任の際には、忘れずにここからデータを削除する必要がありますね!
以上です。お読みいただきありがとうございました。