[ さくらの VPS ] 申し込みからサーバ設定までの手順

[ さくらの VPS ] 申し込みからサーバー設定までの手順メモ。僕自身、サーバ関連の知識がまったく無いので、勉強しながら設定していくつもりです。

環境とか ———————————————————————-

ちなみに環境は、[ さくらの VPS 980 ] + [ CentOS 5.5 x86_64 ] です。

手順は、さくらの格安 VPS を借りたらいつもやっている設定いろいろを参考にさせてもらいました。ありがとうございます。

[ 01 ] コントロールパネルからサーバを起動させる ———————————————————————-

さくらの VPS を申し込むと、[ 仮登録完了のお知らせ ] と言うメールが届くので、その中に書いてある情報でコントロールパネルにログイン後、サーバ起動ボタンを押し、サーバを起動します。

安全のため、サーバの設定が終了し本番稼動するまで、サーバを使わない時は、サーバを停止しておく事にします。

[ 02 ] SSH の設定手順 ———————————————————————-

SSH のセキュリティー対策としては、次のような方法があるんだそう。必ずしも全ての対策を行う必要は無いが、設定できるのであれば、やっておいた方が良いです。

– SSH のポートを非標準ポート ( 22 以外 ) にする。 – SSH のパスワード認証は禁止して公開鍵方式にする。 – SSH で接続可能なユーザを制限する。 – SSH で接続可能な IP を制限する。

以下は私が行った設定です。間違いがあれば指摘頂けると嬉しいです。コマンドの順番などを良く考えれば、もっと簡単に設定できるのかも？

[ 02-01 ] root のパスワード変更とユーザー作成

さくらからの仮登録完了メールにある IP アドレスとパスワードで SSH 接続する。

$ ssh root@***.***.***.***

root のパスワード変更 ( パスワードは二回入力 )

## passwd

作業を行う一般ユーザーを作成し、パスワードを設定

## useradd test
## passwd test

新しく作ったユーザーでログインできるのか試しておく。

[ 02-02 ] SSH 接続用の RSA 鍵を作成する

パスワードによるログインを禁止し、鍵認証方式でのログインにするため、RSA 鍵を生成する。

手順は、[ SSH ] 公開鍵認証を使って、パスワード入力の手間を省く | Bowz::Notebook を参考に。

公開鍵をサーバに転送する時は、ローカルの id_rsa.pub ファイルのあるディレクトリに移動して、次のようなコマンドを使う。

$ scp ./id_rsa.pub ****@***.***.***.***:/home/****/.ssh/id_rsa.pub

[ 02-03 ] SSH デーモンの設定変更

su コマンドで root になる。

$ su –

/etc/ssh/sshd_config を編集する

## vi /etc/ssh/sshd_config

PermitRootLogin ( root のログイン ) と PasswordAuthentication ( パスワードによるログイン ) を no に設定する

PermitRootLogin no
PasswordAuthentication no
UsePAM no

SSH のポート番号を標準の 22 番から、1,000 番台以上にを変更する。ポートスキャンで見つかりにくくなるんだそうな。

#Port 22

と書いてある所を、

Port 3459

と書き換える。ローカルマシンの ~/.ssh/config に Port 3459 と言う表記を加えておく。

それにしても、どのポートが空いているか、どうやって調べるんだろ？

SSH デーモンを再起動する

## service sshd restart

これで root によるログインも、パスワードを使ったログインも出来なくなる。

[ 02-04 ] 作業用ユーザで sudo ができるよう設定を変更

作業用のユーザーを、root 権限を得られる wheel と言うユーザーグループに所属させる。

$ su –
Password:
## usermod -G wheel XXXX

/etc/sudoers ファイルを編集する。

## visudo

下記の様に書いてある部分を探す。

### Allows people in group wheel to run all commands
## %wheel  ALL=(ALL)       ALL

二行目にあるコメントを解除する。

### Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

これで作業用ユーザが、無制限に sudo できるようになります。あとは保存して、root を抜けます。

設定できたかどうか、試しに $ sudo ls とかやってみる？

ログイン後、最初に sudo した時、作業用ユーザのパスワードを聞かれるんだけど何でだろ？

[ 02-05 ] sudo を通して実行するプログラムのパスを通す

それから、初期状態の一般ユーザーには sudo を通して実行するプログラムのパスが通っていないようなので、ホームディレクトリにある .bash_profile を編集してパスを通す。

PATH=$PATH:$HOME/bin

の後に次の三行を追加して保存する。

PATH=$PATH:/sbin
PATH=$PATH:/usr/sbin
PATH=$PATH:/usr/local/sbin

保存したら次のコマンドで設定を再読み込みする。

$ source ~/.bash_profile

[ おまけ ] SSH がアタックされていないかログを見る

SSH がアタックされた時のログは、次のコマンドで見る事ができる。

## grep invalid /var/log/secure*

/var/log の中には色々ログが溜まっているっぽい。

[ 03 ] ファイアウォール ( iptables ) の設定 {#iptables} ———————————————————————-

さくらのVPS を使いはじめる 3 – iptables を設定する | アカベコマイリを参考に。

「iptables -L」で確認、再起動。

この辺りで力尽きました…。

参考にさせてもらったページ ———————————————————————-

– 誰得 UNIX-Blog : ServerMan@VPS での OpenSSH 設定 – 小悪魔女子大生のサーバエンジニア日記 » SSH って何？ – myfinder’s blog : さくらの VPS を借りたら真っ先にやるべき ssh 設定 – さくらの VPS を使いはじめる | アカベコマイリ – さくら VPS + CentOS：SSH の設定 | スイナシア – さくら VPS + CentOS：自分を sudo ユーザに追加してみた | スイナシア

ありがとうございます。