さくらのVPSサーバー構築メモ – 基本設定編
さくらのVPS
さくらインターネットでVPSサービスが始まりましたね!
月額980円(メモリ512MB、HDD20GB)とリーズナブルなので、個人のサイト運用、また勉強用とかでも最適ですね!
国内の安いVPSなら、他にもSaaSesやServersMan@VPSなどがありますが、僕はなんとなくネームバリューでさくらを選びました。
さてさて、そんな「さくらのVPS」でのサーバー構築メモを残していきたいと思います。
何かおかしなこと言ってたらお気軽にツッコミお願いします!
はじめに
基本的なセットアップ情報などは以下に書かれています。
さくらのVPS OSセットアップ情報
ちなみにOSはCentOSです。それではいってみよー!
基本的なセキュリティの設定
ポート番号の変更
手当たりしだいにポート22を攻撃してくる人たちがいるのでまずはポート番号を変更します。
# vi /etc/ssh/sshd_config#Port 22 ↓ Port 50022
iptablesの設定
いわゆるファイアウォール設定をします。
# vi /etc/sysconfig/iptables*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50022 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMITユーザーを追加する
まずは一般ユーザーを追加する。
# useradd user1
# passwd user1
Changing password for user user1.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.rootになれるユーザーを制限する
# vi /etc/group
wheel:x:10:root, user1
# vi /etc/login.defs
SU_WHEEL_ONLY yes
をファイルの最後に追加(なくてもいいかも)。
# vi /etc/pam.d/su#auth required pam_wheel.so use_uid
↓
auth required pam_wheel.so use_uidrootでのログインを禁止する
# vi /etc/ssh/sshd_config #PermitRootLogin yes ↓ PermitRootLogin no
このへんでサーバーを再起動。
# shutdown -r nowここからは、ポート番号、ユーザー名を先程設定したものにしてログインする。
公開鍵認証の設定
まずはクライアント側で鍵ペアを生成する(ここではUnix環境での作り方)。
% mkdir ~/.ssh
% ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (~/.ssh/id_rsa): ~/.ssh/id_rsa.sakura
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ~/.ssh/id_rsa.sakura.
Your public key has been saved in ~/.ssh/id_rsa.sakura.pub.
(略)
% chmod 700 ~/.ssh
% chmod 600 ~/.ssh/id_rsa.sakura再びさくら側に戻る
$ mkdir ~/.ssh
$ vi ~/.ssh/authorized_keysさっき作った公開鍵(~/ssh/id_rsa.sakura.pubの方)をコピって保存。
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keysパスワード認証を禁止する。
# vi /etc/ssh/sshd_configPasswordAuthentication no
sudoできるようにする
/usr/sbin/visudo
%wheel ALL=(ALL) ALLsshdを再起動。
/etc/init.d/sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]ソフトをアップデートする
$ sudo yum -y updateとりあえず以上です!
参考リンク
シェアしてたもれ。
