さくらインターネットでVPSを借りたときのCentOS 7の設定

Linux

さくらインターネットでVPSを借りたときに最初に行う設定をメモしておきます。

主にセキュリティ関連と管理関連の設定ばかりです。

さくらインターネットのサーバ設定

さくらのVPSコントロールパネルから各種設定→サーバ情報編集を選びます。

さくらVPS コンパネ メニュー

ここではこのサーバについてわかりやすくするためのサーバの名前や説明などを入力します。

次に各種設定→OSインストールを選びます。

今回はCentOS 7を選びました。あとはrootのパスワードを入力します。

スタートアップスクリプトは使わないことにします。

パケットフィルタではとりあえずSSHだけ許可しておきます。

このパケットフィルタを設定すればサーバでフィルタの管理をする必要が無くなりますし、不要なアタックに気を使う必要もなくなります。標準でこういうサービスを提供してもらえるのはありがたいですね。

OSのアップデート

sshでrootユーザとしてVPSに接続したら、まずはOSのアップデートを行います。

yum -y update

OSの再起動が必要なのか確認しておきます。

needs-restarting -r

再起動が必要であれば再起動を行います。

shutdown -r now

ユーザの作成と権限の設定

ユーザの作成

いつまでもrootで作業はしませんのでユーザを作成します。

useradd user01
passwd user01

グループwheelへの所属

sudoコマンドが使えるようにwheelグループに所属させます。

usermod -G wheel user01

suできるグループをwheelのみにする

vim /etc/pam.d/su

予めコメントアウトされているのでコメントを削除する。

auth        sufficient  pam_wheel.so trust use_uid

rootでの作業終了

管理者ができたのでrootからログアウトして管理者でログインします。

公開鍵の設定

パスワードでのログインではなく、公開鍵を使用する場合はSSHの設定を行なっておきます。

鍵の作り方についてはここでは省略します。

mkdir .ssh
chmod 700 .ssh
cd .ssh
touch authorized_keys
chmod 600 authorized_keys

authorized_keysに公開鍵を入れておきます。

sshdの設定

sshdに関する設定変更を行います。

sudo vim /etc/ssh/sshd_config

設定したい内容としては、rootでのログイン禁止、公開鍵での認証、パスワードでのログイン禁止です。

PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no

設定を変更したらsshdを再起動します。

sudo systemctl restart sshd

yum-cronのインストール

アップデートがあるかどうか自動的に確認するようにします。

sudo yum -y install yum-cron

設定も行なっておきます。

sudo vim /etc/yum/yum-cron.conf

設定したい内容としては、自動ダウンロードは行わない、メールで通知するなどです。

download_updates = no
apply_updates = no
random_sleep = 0
emit_via = email
email_from = yum-cron@server.example.com
email_to = personal-mail@user.example.com

logwatchのインストール

ログを適度にまとめて通知してくれるlogwatchをインストールします。

sudo yum -y install logwatch

設定を行います。

sudo vim /etc/logwatch/conf/logwatch.conf

設定内容としてはメール通知の設定だけを行なっておきます。

MailTo = personal-mail@user.example.com
MailFrom = logwatch@server.example.com

logrotateの設定

あまり気にしないところですが、ログのローテーションの設定を見直しておきます。

sudo vim /etc/logrotate.conf

デフォルトではweeklyと4世代管理になっていますが、dailyと10世代管理にしておきます。

daily
rotate 10

sshのポート番号を変えたりwwwなどのサービスを行うのであれば、さくらインターネットVPSコントロールパネルからパケットフィルタの設定を変えたり、firewalldの設定を変更する必要がありますが、ここでは省略します。もしかしたら追記するかもしれません。

コメント

タイトルとURLをコピーしました