第二回 server構築 IP制限
それではここから本題のIP制限のお話をしていきます。
これは一切公開しない、または遊びのためなので間違えないように!
私の場合はただgame serverとして作りたいというだけなので( *´艸`)
環境
Conoha
CentOS6.7
初期設定をしよう
まぁ、これはいつもと一緒なのですが記載しておきます!
ここからはすべて、管理者権限で話を進めていきます。
といっても初めはrootしかいないので問題はないかな
# yum -y update
# yum -y groupinstall "Base" "Development tools"
完全にこれはいつもどおりですね
updateはやっといた方がいいですが他はやらなくても構いません!
(自分はやっときたいだけです。)
iptablesに記述していこう
ここで注意!
centos7系には標準で入っておりません!
なのでインストールしてあげる必要があります!
今回は7系ではやってないので知りたいという人がいればやろうかなと思います。
とりあえず、自宅(接続したい場所)のグローバルIPを調べましょう。
これがわからない事にはどうしようもありませんからね~
google先生でグローバルIPと検索すればすぐにでも調べられます。
それでは、iptablesにいろいろと記述していきます。
# vim /etc/sysconfig/iptables
(下記のように記載する)
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
xxx.xxx.xxx.xxxの部分にグローバルIPを記述します。
22ポートはssh用の初期ポートです。
本当は変えた方がいいのですが今回はこのままでいきます。
他ポートを開けるときは
-A INPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 22 -j ACCEPT
(上記の22の部分を変更してあげれば問題ありません)
それと
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
に関しては触らないでくださいね。
それ以外はコピペで問題はないと思います。
それを、保存したら
# /etc/init.d/iptables start
# /etc/init.d/iptables save
で完了です。間違ってもsaveを先にしないようにしてください。
先にしてしますといままで記述したものがもとに戻ってしまいますので
有効になっているか確認
# iptables -L
で確認できます。
再起動しても設定が動くように設定
# chkconfig iptables on
#chkconfig iptables --list
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
このように出れば完了です!
一度ログアウトして、sshで再度ログイン
ログインができればokです!
別ipから接続できるのであれば、確認のために接続できないか確認するのもいいと思います。
新規ユーザー追加
念のためにrootログインを禁止させます。
そのためにまずはuserを追加
# adduser hoge
#passwd hoge
でユーザーとパスワードの設定をします。
このままではhogeはsudoが使えないので設定してあげます。
# visudo
## Allows people in group wheel to run all commands
#%wheel ALL=(ALL) ALL
↓
%wheel ALL=(ALL) ALL
コメントアウトを外してあげればokです。
ユーザーをwheelグループに所属させてあげます。
usermod -G wheel hoge
これでhogeをグループに追加させることができました。
# su - hoge
(hogeに切り替えて)
#sudo echo "test"
さらにログアウトしてhogeでログイン
# ssh hoge@xxx.xxx.xxx.xxx
でログインできれば完了です。
sshでrootログイン禁止
さすがにrootでログインできるようにするのは危険なので設定していきます。
といっても難しいことはなく、
# vim /etc/ssh/sshd_config
#PermitRootLogin yes
↓
PermitRootLogin no
(保存)
# /etc/rc.d/init.d/sshd restart
で完了です。rootでログインできないことを確認しましょう!
終わり
まぁ、面倒ではあるけどしておかないと危ないですからね~
EC2ぐらい簡単にできてほしいですわ( ゚Д゚)
まぁ、楽しいからいいのだけど♪
それではみなさん、良きConohaライフを!