さくらのVPSを借りたらとりあえずやっておくべき設定はこれでいいのかしら

「さくらのVPSを借りたらとりあえずやっておくべき設定」みたいなタイトルのブログをいくつか読んだけど
最低限sshは鍵認証にしてiptablesをちょっといじっておけ、という感じみたい。
ここにも一応手順を書いておく(メモ程度だけど)。

rootのパスワード変更

passwd

sshのポート変更

sshデーモンの設定を開いて

vi /etc/ssh/sshd_config

とりあえず22番ポートから変更しておく

Port 10022 # 適当な数字

終わったらsshdの再起動

service sshd restart

作業ユーザの追加

ユーザを作成してパスワードを設定する

useradd nomnel
passwd nomnel

作成したユーザがsudo出来るように、まずwheelグループに追加する

usermod -G wheel nomnel
visudo

visudoで開いたファイルから下の行を探してコメントアウトを外す(%wheelの行)

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)    ALL

RSA鍵認証でのSSH接続

作業用端末でRSA鍵を作成

ssh-keygen

RSA公開鍵を作業用端末からVPSに転送

scp -P 10022 ~/.ssh/id_rsa.pub nomnel@[IPアドレス]:~/

接続 (以降VPSで)

ssh -p 10022 nomnel@[IPアドレス]

.sshフォルダを準備

cd
mkdir .ssh

公開鍵の内容をauthorized_keysにコピー

cat id_rsa.pub >> .ssh/authorized_keys

パーミッションを変更する

chmod 700 .ssh
chmod 600 .ssh/authorized_keys

sshdの設定を変更する

sudo vi /etc/ssh/sshd_config

下の行を探し、それぞれ"no"に変更する

PermitRootLogin no

PasswordAuthentication no

PermitEmptyPasswords no

sshdを再起動

sudo service sshd restart

iptablesの設定

sudo vi /etc/sysconfig/iptables

ssh, httpのみ開けておく

*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH, HTTP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022  -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80        -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

iptablesの再起動とデフォルトで起動するように

sudo /etc/rc.d/init.d/iptables restart
sudo /sbin/chkconfig iptables on

yumのアップデート

sudo yum -y update

とりあえずはこんな感じでいいのだろうか。
後はCentOSをサーバーとして活用するための基本的な設定 - さくらインターネット創業日記で紹介されていたように不要なサービスを落としておこうかな。

(3/12追記)

内部エンコードをUTF-8に変えておく

sudo vi /etc/sysconfig/i18n

で開いて、LANGのところを

LANG="ja_JP.UTF-8"

に書き換える。(設定の反映方法が分かんなかったのでとりあえず再起動…XD)