VPSの初期設定

サーバ設定の実験用途などで試してみたいこともあり、sppdで新しくVPSを借りました。厳密には、まだ仮登録段階ですけど(^_^;)

ということで、まずは初期設定を。

参考：GMOクラウド VPSを借りてまず行う初期設定内容, ファイアウォール構築(iptables)

大まかな流れはguilz.orgさんを参考に、ntpdくらいは別に良いかなーと思っているので動かしたままにしていますが、やってることはほぼそのままです(^_^;)

事前準備：作業用ユーザの作成など

まずは、作業用のユーザが無いことには始まらないので、その辺りの設定を。

sppdのVPSだと初期設定で作業用のユーザも作ってもらえるのですが(そもそもrootでログイン出来ない)、細かい作業などの利便性を考えると自分用にアカウントを作った方がいいかなと。

rootパスワード変更＆ユーザ追加＆wheel設定

passwd
useradd your_logname -G wheel
passwd your_logname
visudo

wheelグループにユーザを追加し、sudoersのwheel設定を開けます。

visudo

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

%wheelの設定がコメントアウトされているので、コメントを外します。

visudoまでで使える様にはなるのですが、ついでにpamの設定も弄っておきます。

/etc/pam.d/su.diff

@@ -3,7 +3,7 @@
 # Uncomment the following line to implicitly trust users in the "wheel" group.
 #auth		sufficient	pam_wheel.so trust use_uid
 # Uncomment the following line to require a user to be in the "wheel" group.
-#auth		required	pam_wheel.so use_uid
+auth		required	pam_wheel.so use_uid
 auth		include		system-auth
 account		sufficient	pam_succeed_if.so uid = 0 use_uid quiet
 account		include		system-auth

ここで初期設定のアカウントはお役御免になるので、気になる方はpasswd -l default_userでアカウントをロックしてもいいかもしれません。

最低限のセキュリティ設定

sshdのポート変更

まずは何も考えずにsshdのポート変更をしておきます。

/etc/ssh/sshd_config.diff

@@ -10,7 +10,7 @@
 # possible, but leave them commented.  Uncommented options change a
 # default value.
 
-#Port 22
+Port 12345
 #AddressFamily any
 #ListenAddress 0.0.0.0
 #ListenAddress ::

ちなみにPermitRootLoginは最初からnoなので設定はそのまま弄っていません(もしyesだったら変更した方が良いと思っています)。

※ここでは12345番に設定していますが、実際は別の値を使っています

ここでservice sshd restartして、念のためss -lとかnetstat -lとかでLISTENポートの確認をしておきます。

因みにポート番号は適当に変換されて、12345番を使っている場合にはitalkになります。

sshd設定変更確認

$ sudo service sshd restart
sshd を停止中:                                             [  OK  ]
sshd を起動中:                                             [  OK  ]
$ ss -l4
State      Recv-Q Send-Q            Local Address:Port                Peer Address:Port   
LISTEN     0      128                           *:italk                          *:*   
$ grep italk /etc/services 
italk           12345/tcp               # Italk Chat System
italk           12345/udp               # Italk Chat System

ポート番号が変わったことの確認を兼ねて、最初に作成したユーザでログインしておきます(見ただけじゃ信用しない派です)。

iptablesでのフィルタリング

iptables関連の設定は、事前に加工したものを適当に転送します。

iptables.sh.diff

@@ -31,7 +31,7 @@
 iptables -A INPUT -i lo -j ACCEPT
 
 # 内部からのアクセスをすべて許可
-iptables -A INPUT -s $LOCALNET -j ACCEPT
+#iptables -A INPUT -s $LOCALNET -j ACCEPT
 
 # 内部から行ったアクセスに対する外部からの返答アクセスを許可
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
@@ -135,7 +135,7 @@
 
 # 外部からのTCP22番ポート(SSH)へのアクセスを日本からのみ許可
 # ※SSHサーバーを公開する場合のみ
-iptables -A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY
+iptables -A INPUT -p tcp --dport 12345 -j ACCEPT_COUNTRY
 
 # 外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可
 # ※外部向けDNSサーバーを運用する場合のみ

ひとまずは$LOCALNETの無効化と、SSH関連のポート変更の追従が必要です。

iplist_check.shは、guilz.orgさんに倣って/etc/cron.weeklyに放り込みます。一端全て/rootにファイルを転送してから手動でファイル移動です。

iptables設定

cd /root
chmod 700 *.sh
mv iplist_check.sh /etc/cron.weekly
./iptables.sh
chkconfig iptables on

iptables.sh実行中にここで失敗すると、最悪いきなりOS再インストールなので、SSH接続切れないように…と祈りながら待ちます。不安になっても決して空Enterとかしないように。最初のユーザ追加をした端末をここで空Enterして落としたのは秘密です。

基本パッケージの更新とサーバ類のインストール

さくらのVPSとかだと初期状態で大丈夫だった気がするのですが、EPELなどが無効になっていたので有効にしつつ、パッケージの更新をします。

参考：【メモ】EPELリポジトリをRed Hat Enterprise Linuxで使うには

パッケージ更新

$ sudo rpm --nosignature -i http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
$ sudo yum -y update

この後、使おうと思っているサーバなどのインストール(必要に応じてrepo追加)も合わせてしていますが、ここでは割愛します。

細かい設定は後追い…ということで(^_^;)