さくらのVPS初期設定

  • 8
    いいね
  • 0
    コメント

redmineとかインストールしたくなったので、2年程誰もログインしないマインクラフトサーバとして利用していたさくらのVPSを再設定することにしました。

基本的にはさくらのVPSのサーバ初期設定ガイドに従っていくだけです。

さくらのVPS サーバの初期設定ガイド

環境

OS Mac OS X El Capitan 10.11.4
VPSプラン 1G 972円/月
サーバOS CentOS 6.7

OS再インストール

コントロールパネルから「OSインストール」→「標準OSインストール」と選択し、rootのパスワードを入れるだけです。
標準OSを選択するとCentOS6.7がインストールされます。
CentOS7等別のOSをインストールしたい場合は「カスタムOSインストール」を選択するとインストールできますが、今回はCentOS6を使います。

日本語入力の設定

ファイルに日本語を入力すると文字化けしたので、rootで次の設定ファイルを書き換えて再起動します。

[root@www99999ue ~]# vi /etc/sysconfig/i18n
変更前
LANG="C"
変更後
LANG="ja_JP.utf8"

再起動します。

[root@www99999ue ~]# shutdown -r now

今思えば文字化けしたのはファイルを開いた時の文字コードがUTF-8になっていなかっただけだったような気もします。
"C"だとデフォルトなので英語が表示されるところもjp_JP.UTF-8なら日本語で表示されるのでまあやっておいても良い設定だと思います。

一般ユーザの追加とsudoの設定

普段からrootでログインするのは危険なので一般ユーザを作成します。

adminというユーザを作成し、パスワードを設定します。

[root@www99999ue ~]# useradd admin
[root@www99999ue ~]# passwd admin

作成したユーザをwheelグループに追加します。

[root@www99999ue ~]# usermod -G wheel admin

wheelグループのユーザはすべてのコマンドをsudoで実行できるように設定ファイルをvisudoコマンドで書き換えます。#を一個外すだけ。

[root@www99999ue ~]# visudo
変更前
## Allows people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
変更後
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL

これでadminがsudoを使えるようになりました。

SSH接続をできるようにする

まずはMac側でSSH接続に必要な鍵を生成します。
初期設定ガイドではTeraTermで作成していますが、MacにTeraTermがあるかわからないので普通にコマンドで作成します。

# ssh-keygen

パスフレーズを入力します。パスフレーズは鍵を使う時に入力する事があるので忘れないようにしましょう。

ssh接続をするユーザ(今回はさっき作成したadmin)でサーバへログインします。

Macで作成した鍵のうち公開鍵をサーバに登録します。

[admin@www99999ue ~]$ mkdir .ssh
[admin@www99999ue ~]$ chmod 700 .ssh
[admin@www99999ue ~]$ vi .ssh/authorized_keys

ここで先ほどMacで作成した公開鍵(ssh-keygenで作成されたこれ.ssh/id_rsa.pub)の内容を貼り付けて保存します。保存したら権限の変更。

[admin@www99999ue ~]$ chmod 600 .ssh/authorized_keys

rootでログインしてsshデーモンの設定ファイルを書き換えます。

[root@www99999ue ~]# vi /etc/ssh/sshd_config

sshは普通22番ポートを使いますが、攻撃を回避するために私は50022番にします。49152番〜65535番が自由にできるポート番号なので、その中から選ぶのが良いのではないでしょうか。
sshでrootのログインは危険なので禁止します。rootは必ず存在するユーザなので狙われやすいからですね。
また、鍵を使うため、ログインパスワードでの認証は禁止します。

変更前
(略)
#Port 22
(略)
#PermitRootLogin yes
(略)
PasswordAuthentication yes
(略)
変更前
(略)
Port 50022
(略)
PermitRootLogin no
(略)
PasswordAuthentication no
(略)

このコマンドで設定ファイルがおかしくないかチェックできるらしいです。何も表示されなければオッケー。

[root@www99999ue ~]# sshd -t

変更した設定ファイルを読み込み直します。

[root@www99999ue ~]# service sshd restart

(2016/12/14 追記)CentOS7系ではserviceではなくsystemctlに変わっています。

Macからログインを試します。ポート番号を22番から変更した場合は-pオプションでポート番号を指定する必要があります。-iオプションでは秘密鍵を指定します。

# ssh admin@www99999ue.sakura.ne.jp -p 50022 -i ./.ssh/id_rsa

ログインできました。

OSのアップデート

インストールに用いたOSイメージが最新とも限らないため、OSのアップデートをします。

[root@www99999ue ~]# yum update

iptablesの設定

最低限のセキュリティ設定をします。
初期設定ガイドではコマンドを用いてルールを設定する方法が記載されていますが、面倒なので設定ファイルを直接修正します。

[root@www99999ue ~]$ vi /etc/sysconfig/iptables

私の設定ファイルはこんな感じ。
インプットはホワイトリスト、FORWORDとOUTPUTはブラックリストにします。
とりあえずsshと使いそうなhttp,httpsを許可します。

/etc/sysconfig/iptables
*filter
:INPUT DROP [3:564]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24:2288]
##
## basic
##
# 確立済みの通信を許可
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
# ループバックを許可
-A INPUT -i lo -j ACCEPT 
# pingを許可
-A INPUT -p icmp -j ACCEPT 
# httpを許可
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
# httpsを許可
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
# sshを許可(50022をsshのポートにしている)
-A INPUT -p tcp -m tcp --dport 50022 -j ACCEPT 
##
## security
##
# データを持たないパケットの接続を破棄する
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
# SYNflood攻撃と思われる接続を破棄する
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
# ステルススキャンと思われる接続を破棄する
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 

COMMIT

iptablesを再起動して変更を適用します。

[root@www99999ue ~]$ service iptables restart

これにて最低限の設定が完了!