&tag(さくらのVPS,CentOS6); *目次 [#xcf78e4e] #contents *参考情報 [#m9e8430d] -[さくらのVPS]] *設定 [#rad876e9] **サーバー起動 [#m9ba82ff] -コントロールパネルにログインしVPSを起動する。 **作業ユーザーを生成 [#ya1d708e] -sshでrootでログイン。rootのパスワードを変更しておく。 # passwd -初期状態でCentOS 5.5なのでアップグレードする(現在のバージョンは/etc/redhat-releaseで確認できる)。 # yum upgrade -作業用アカウントを作成。 # useradd tanaka -作業用アカウントのパスワード設定。 # passwd tanaka -sudoの設定。visudoを実行し最下行に追加。 #pre{{ tanaka ALL=(ALL) NOPASSWD:ALL }} **公開鍵認証用にsshを設定 [#x729add6] ***公開鍵の設定 [#e44fb3f9] -/home/tanaka/.ssh/authorized_keysを準備する。 #pre{{ # su tanaka $ cd /home/tanaka $ mkdir .ssh $ chmod 700 .ssh $ vi .ssh/authorized_keys $ (ターミナルなどから公開鍵をはりつける) $ chmod 600 .ssh/authorized_keys }} ***sshdの設定変更 [#rfc7434b] -/etc/ssh/sshd_configを編集。Portも適当に変更しておいたほうがいい。 #pre{{ Port 10100 PermitRootLogin no PasswordAuthentication no UsePAM no }} ***sshdを再起動し確認 [#md268d87] -sshdを再起動する。失敗したときに備えて別にウィンドウでログインしておくこと(そのセッションはsshdを再起動しても維持される)。 # /etc/init.d/sshd restart -クライアントから秘密鍵を指定してログインしてみる。ログインできれば成功。 -エラーになった場合、Poderosaよりputtyのほうがもう少し詳しく原因を表示してくれる。サーバーの/var/log/secureを確認してみる。 *iptablesの設定 [#i4abb680] -[[CentOSをサーバーとして活用するための基本的な設定:http://tanaka.sakura.ad.jp/archives/001065.html]]を参考にする。ssh/httpはどこからでも許可にした。10100は変更したsshのポート。 -/etc/sysconfig/iptables #pre{{ *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10100 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT }} -iptablesを反映させる # /etc/init.d/iptables restart -iptablesの設定を確認しておく #pre{{ # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp any ACCEPT esp -- anywhere anywhere ACCEPT ah -- anywhere anywhere ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns ACCEPT udp -- anywhere anywhere udp dpt:ipp ACCEPT tcp -- anywhere anywhere tcp dpt:ipp ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:10100 REJECT all -- anywhere anywhere reject-with icmp-host-prohibited }}