[ さくらの VPS ] 申し込みからサーバー設定までの手順メモ。
僕自身、サーバ関連の知識がまったく無いので、勉強しながら設定していくつもりです。
環境とか
———————————————————————-
ちなみに環境は、[ さくらの VPS 980 ] + [ CentOS 5.5 x86_64 ] です。
手順は、[さくらの格安 VPS を借りたらいつもやっている設定いろいろ](http://www.ideaxidea.com/archives/2010/11/sakura_vps_settings.html) を参考にさせてもらいました。
ありがとうございます。
[ 01 ] コントロールパネルからサーバを起動させる
———————————————————————-
さくらの VPS を申し込むと、[ 仮登録完了のお知らせ ] と言うメールが届くので、その中に書いてある情報でコントロールパネルにログイン後、サーバ起動ボタンを押し、サーバを起動します。
安全のため、サーバの設定が終了し本番稼動するまで、サーバを使わない時は、サーバを停止しておく事にします。
[ 02 ] SSH の設定手順
———————————————————————-
SSH のセキュリティー対策としては、次のような方法があるんだそう。
必ずしも全ての対策を行う必要は無いが、設定できるのであれば、やっておいた方が良いです。
– SSH のポートを非標準ポート ( 22 以外 ) にする。
– SSH のパスワード認証は禁止して公開鍵方式にする。
– SSH で接続可能なユーザを制限する。
– SSH で接続可能な IP を制限する。
以下は私が行った設定です。間違いがあれば指摘頂けると嬉しいです。
コマンドの順番などを良く考えれば、もっと簡単に設定できるのかも?
### [ 02-01 ] root のパスワード変更とユーザー作成
さくらからの仮登録完了メールにある IP アドレスとパスワードで SSH 接続する。
$ ssh root@***.***.***.***
root のパスワード変更 ( パスワードは二回入力 )
## passwd
作業を行う一般ユーザーを作成し、パスワードを設定
## useradd test
## passwd test
新しく作ったユーザーでログインできるのか試しておく。
### [ 02-02 ] SSH 接続用の RSA 鍵を作成する
パスワードによるログインを禁止し、鍵認証方式でのログインにするため、RSA 鍵を生成する。
手順は、[[ SSH ] 公開鍵認証を使って、パスワード入力の手間を省く | Bowz::Notebook](https://bowz.info/2419) を参考に。
公開鍵をサーバに転送する時は、ローカルの id_rsa.pub ファイルのあるディレクトリに移動して、次のようなコマンドを使う。
$ scp ./id_rsa.pub ****@***.***.***.***:/home/****/.ssh/id_rsa.pub
### [ 02-03 ] SSH デーモンの設定変更
su コマンドで root になる。
$ su –
/etc/ssh/sshd_config を編集する
## vi /etc/ssh/sshd_config
PermitRootLogin ( root のログイン ) と PasswordAuthentication ( パスワードによるログイン ) を no に設定する
PermitRootLogin no
PasswordAuthentication no
UsePAM no
SSH のポート番号を標準の 22 番から、1,000 番台以上にを変更する。ポートスキャンで見つかりにくくなるんだそうな。
#Port 22
と書いてある所を、
Port 3459
と書き換える。
ローカルマシンの `~/.ssh/config` に `Port 3459` と言う表記を加えておく。
それにしても、どのポートが空いているか、どうやって調べるんだろ?
SSH デーモンを再起動する
## service sshd restart
これで root によるログインも、パスワードを使ったログインも出来なくなる。
### [ 02-04 ] 作業用ユーザで sudo ができるよう設定を変更
作業用のユーザーを、root 権限を得られる wheel と言うユーザーグループに所属させる。
$ su –
Password:
## usermod -G wheel XXXX
/etc/sudoers ファイルを編集する。
## visudo
下記の様に書いてある部分を探す。
### Allows people in group wheel to run all commands
## %wheel ALL=(ALL) ALL
二行目にあるコメントを解除する。
### Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
これで作業用ユーザが、無制限に sudo できるようになります。あとは保存して、root を抜けます。
設定できたかどうか、試しに `$ sudo ls` とかやってみる?
ログイン後、最初に sudo した時、作業用ユーザのパスワードを聞かれるんだけど何でだろ?
### [ 02-05 ] sudo を通して実行するプログラムのパスを通す
それから、初期状態の一般ユーザーには sudo を通して実行するプログラムのパスが通っていないようなので、ホームディレクトリにある .bash_profile を編集してパスを通す。
PATH=$PATH:$HOME/bin
の後に次の三行を追加して保存する。
PATH=$PATH:/sbin
PATH=$PATH:/usr/sbin
PATH=$PATH:/usr/local/sbin
保存したら次のコマンドで設定を再読み込みする。
$ source ~/.bash_profile
### [ おまけ ] SSH がアタックされていないかログを見る
SSH がアタックされた時のログは、次のコマンドで見る事ができる。
## grep invalid /var/log/secure*
/var/log の中には色々ログが溜まっているっぽい。
[ 03 ] ファイアウォール ( iptables ) の設定 {#iptables}
———————————————————————-
[さくらのVPS を使いはじめる 3 – iptables を設定する | アカベコマイリ](http://akabeko.sakura.ne.jp/blog/2010/09/%e3%81%95%e3%81%8f%e3%82%89%e3%81%aevps-%e3%82%92%e4%bd%bf%e3%81%84%e3%81%af%e3%81%98%e3%82%81%e3%82%8b-3/) を参考に。
「iptables -L」で確認、再起動。
この辺りで力尽きました…。
参考にさせてもらったページ
———————————————————————-
– [誰得 UNIX-Blog : ServerMan@VPS での OpenSSH 設定](http://daretoku-unix.blogspot.com/2010/04/servermanvpsopenssh.html)
– [小悪魔女子大生のサーバエンジニア日記 » SSH って何?](http://co-akuma.directorz.jp/blog/?cat=8)
– [myfinder’s blog : さくらの VPS を借りたら真っ先にやるべき ssh 設定](http://blog.myfinder.jp/2010/09/vpsssh.html)
– [さくらの VPS を使いはじめる | アカベコマイリ](http://akabeko.sakura.ne.jp/blog/2010/09/%e3%81%95%e3%81%8f%e3%82%89%e3%81%aevps-%e3%82%92%e4%bd%bf%e3%81%84%e3%81%af%e3%81%98%e3%82%81%e3%82%8b/)
– [さくら VPS + CentOS:SSH の設定 | スイナシア](http://suin.asia/2010/10/11/sakura_vps_ssh)
– [さくら VPS + CentOS:自分を sudo ユーザに追加してみた | スイナシア](http://suin.asia/2010/10/11/sakura_vps_centos_sudo)
ありがとうございます。