さくらのVPSを借りたらとりあえずやっておくべき設定はこれでいいのかしら
「さくらのVPSを借りたらとりあえずやっておくべき設定」みたいなタイトルのブログをいくつか読んだけど
最低限sshは鍵認証にしてiptablesをちょっといじっておけ、という感じみたい。
ここにも一応手順を書いておく(メモ程度だけど)。
rootのパスワード変更
passwd
sshのポート変更
sshデーモンの設定を開いて
vi /etc/ssh/sshd_config
とりあえず22番ポートから変更しておく
Port 10022 # 適当な数字
終わったらsshdの再起動
service sshd restart
作業ユーザの追加
ユーザを作成してパスワードを設定する
useradd nomnel passwd nomnel
作成したユーザがsudo出来るように、まずwheelグループに追加する
usermod -G wheel nomnel
visudo
visudoで開いたファイルから下の行を探してコメントアウトを外す(%wheelの行)
## Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL
RSA鍵認証でのSSH接続
作業用端末でRSA鍵を作成
ssh-keygen
scp -P 10022 ~/.ssh/id_rsa.pub nomnel@[IPアドレス]:~/
接続 (以降VPSで)
ssh -p 10022 nomnel@[IPアドレス]
.sshフォルダを準備
cd mkdir .ssh
公開鍵の内容をauthorized_keysにコピー
cat id_rsa.pub >> .ssh/authorized_keys
パーミッションを変更する
chmod 700 .ssh chmod 600 .ssh/authorized_keys
sshdの設定を変更する
sudo vi /etc/ssh/sshd_config
下の行を探し、それぞれ"no"に変更する
PermitRootLogin no PasswordAuthentication no PermitEmptyPasswords no
sshdを再起動
sudo service sshd restart
iptablesの設定
sudo vi /etc/sysconfig/iptables
ssh, httpのみ開けておく
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH, HTTP -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
iptablesの再起動とデフォルトで起動するように
sudo /etc/rc.d/init.d/iptables restart
sudo /sbin/chkconfig iptables on
yumのアップデート
sudo yum -y update
とりあえずはこんな感じでいいのだろうか。
後はCentOSをサーバーとして活用するための基本的な設定 - さくらインターネット創業日記で紹介されていたように不要なサービスを落としておこうかな。
(3/12追記)