さくらのVPS の履歴の現在との差分(No.5)

• 履歴一覧
• 差分 を表示
• ソース を表示
• 履歴 を表示
• さくらのVPS へ行く。
  • 1 (2011-12-02 (金) 14:32:07)
  • 2 (2011-12-03 (土) 10:54:00)
  • 3 (2011-12-05 (月) 01:07:44)
  • 4 (2011-12-05 (月) 05:29:51)
  • 5 (2011-12-26 (月) 09:33:25)
  • 6 (2012-01-11 (水) 05:20:52)
  • 7 (2012-02-06 (月) 06:19:20)
  • 8 (2012-03-13 (火) 10:09:33)
  • 9 (2012-03-13 (火) 13:20:04)
  • 10 (2012-04-04 (水) 02:02:46)
  • 11 (2012-04-11 (水) 19:16:42)
  • 12 (2015-11-05 (木) 08:09:09)
  • 13 (2016-01-04 (月) 05:39:03)
  • 14 (2016-04-13 (水) 07:48:34)
  • 15 (2017-04-03 (月) 04:33:52)
  • 16 (2019-02-05 (火) 15:47:02)
  • 17 (2019-05-16 (木) 13:32:03)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-07-16T07:10:53+00:00","default:wikiwriter","wikiwriter")
&tag(さくらのVPS);
*目次 [#ob42dd52]
#contents
*参考情報 [#a2bae64f]
-[[CentOSをサーバーとして活用するための基本的な設定 - さくらインターネット創業日記:http://tanaka.sakura.ad.jp/archives/001065.html]]
-[[さくらの格安VPSを借りたらいつもやっている設定いろいろ | IDEA*IDEA:http://www.ideaxidea.com/archives/2010/11/sakura_vps_settings.html]]
-[[./CentOS5]]
-[[./CentOS6]]
-[[./Debian]]
-[[./ディスク速度]]

*基本情報 [#t6381175]
-エントリープラン。
-CentOS 5.5(64bit)版がインストールされていた(2011/12/05(月)現在)。
-初期状態の使用メモリ
#pre{{
[root@www12123u ~]# free
             total       used       free     shared    buffers     cached
Mem:        510540     164284     346256          0      21580     116556
-/+ buffers/cache:      26148     484392
Swap:      2048276          0    2048276
}}
*設定 [#h562f865]
**サーバー起動 [#y3a16241]
-コントロールパネルでサーバーを起動する。
**作業用ユーザー生成 [#m6f53f04]
-sshでrootでログイン。rootのパスワードを変更しておくと良い。
 # passwd 
-初期状態でCentOS 5.5なのでアップグレードする(現在のバージョンは/etc/redhat-releaseで確認できる)。
 # yum upgrade
-作業用アカウントを作成。
 # useradd tanaka
-作業用アカウントのパスワード設定。
 # passwd tanaka
-sudoの設定。visudoを実行し最下行に追加。
#pre{{
tanaka    ALL=(ALL) NOPASSWD:ALL
}}
**公開鍵認証用にsshを設定 [#x729add6]
***公開鍵の設定 [#e44fb3f9]
-/home/tanaka/.ssh/authorized_keysを準備する。
#pre{{
# su tanaka
$ cd /home/tanaka
$ mkdir .ssh
$ chmod 700 .ssh
$ vi .ssh/authorized_keys
$ (ターミナルなどから公開鍵をはりつける)
$ chmod 600 .ssh/authorized_keys
}}
*制限 [#gf4cdcfa]

***sshdの設定変更 [#rfc7434b]
-/etc/ssh/sshd_configを編集。Portも適当に変更しておいたほうがいい。
#pre{{
Port 10100
PermitRootLogin no  
PasswordAuthentication no  
UsePAM no  
}}
-[[さくらVPSコントロールパネルのリソース情報の意味とは？「CPU、トラフィック、DISK I/O」とは | Webと人のアマモ場:https://www.amamoba.com/pc/vps-resource.html]]

***sshdを再起動し確認 [#md268d87]
-sshdを再起動する。失敗したときに備えて別にウィンドウでログインしておくこと(そのセッションはsshdを再起動しても維持される)。
 # /etc/init.d/sshd restart
-クライアントから秘密鍵を指定してログインしてみる。ログインできれば成功。
-エラーになった場合、Poderosaよりputtyのほうがもう少し詳しく原因を表示してくれる。サーバーの/var/log/secureを確認してみる。
**ネットワーク転送量: [#g899767c]

*iptablesの設定 [#i4abb680]
-[[CentOSをサーバーとして活用するための基本的な設定:http://tanaka.sakura.ad.jp/archives/001065.html]]を参考にする。ssh/httpはどこからでも許可にした。
-/etc/sysconfig/iptables
#pre{{
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10100 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
}}
-iptablesを反映させる
 # /etc/init.d/iptables restart
-iptablesの設定を確認しておく
#pre{{
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  anywhere             anywhere            
公式には制限なし。2ch情報によると80GB(ギガバイト)/日ぐらいはいけるらしい。ただし80GB/日の場合7.4Mbps相当になりディスクI/Oの規制にひっかかる可能性ありとか。

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  anywhere             anywhere            
,80Gバイト/日,640Gビット/日,640000メガビット/日,7.40メガビット/秒(mbps)
,,80Gビット/日,80000メガビット/日,0.92メガビット/秒(mbps)

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            icmp any 
ACCEPT     esp  --  anywhere             anywhere            
ACCEPT     ah   --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:mdns 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ipp 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:10100 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
}}

*MySQL [#zcd1fbdf]
-CentOS5.7でもMySQL5.0しか入っていないので、5.5系を使いたい場合は特別な処理が必要。
-[[CentOS 5.5にyumで MySQL 5.5をインストールする - hrendohの日記:http://d.hatena.ne.jp/hrendoh/20110630/1309418113]]より。remiリポジトリを追加し、enablerepoによりそのリポジトリを一時的に有効にしてmysql-serverをインストールする。
#pre{{
# rpm -ivh http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm
# rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-5.rpm
# yum --enablerepo=remi,eplp install mysql-server
}}
-自動起動させる
 # chkconfig mysqld on
-rootのパスワードを設定
 # mysqladmin -uroot password

*Java [#c56a132a]
-Oracleからjdk-6u29-linux-i586-rpm.binをダウンロードしてインストール。 
 # sh jdk-6u29-linux-i586-rpm.bin
-必要ならば/usr/java/defaultをJAVA_HOMEに設定するなどしておく。
**ディスクI/O [#a7e535f3]

*Postfix [#tfb4ab4c]
**インストール [#y280832a]
-まずデフォルトでインストール済みのsendmailを削除しておく。
 # yum remove sendmail
-初期設定を行う
 # /usr/bin/mysql_secure_installation 
-インストールする。
 # yum install postfix
**設定変更 [#q8aa4ee5]
-/etc/postfix/main.cfを編集する。以下独自ドメインexample.comを取得済みとした場合の設定。
-本登録しないと送信用SMTPポートは使えないので注意。iptablesにも穴をあけておかないとダメ。
-[[さくらのVPSをもう少しセットアップしてみる - @blog.justoneplanet.info:http://blog.justoneplanet.info/2010/10/24/%E3%81%95%E3%81%8F%E3%82%89%E3%81%AEvps%E3%82%92%E3%82%82%E3%81%86%E5%B0%91%E3%81%97%E3%82%BB%E3%83%83%E3%83%88%E3%82%A2%E3%83%83%E3%83%97%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B/]]が参考になる。
#pre{{
myhostname = mail.example.com
mydomain = example.com
inet_interface = all
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
home_mailbox = Maildir/
smtpd_banner = $myhostname ESMTP unknown
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_unauth_destination
message_size_limit = 10485760
}}
**起動設定 [#g7f4f21e]
***saslauthdの起動 [#ub60f977]
-外部からSMTP接続を許可するときに使われる認証用サーバーを起動する
#pre{{
# /etc/init.d/saslauthd start
# chkconfig saslauthd on
}}
ディスクアクセスが激しすぎると、IOPS制限がかかる。1MB/secを超える負荷が30分ぐらい？続くとまずいらしい。

**postfixの起動 [#qc9c2ea9]
-postfixデーモンを起動。
#pre{{
# /etc/init.d/postfix start
# chkconfig postfix on
}}
-[[さくらVPSのIOPS制限がきつすぎる | CodeLab技術ブログ:https://www.codelab.jp/blog/?p=1210]]
-[[さくらのVPSは突然制限かけられて激重になるから要注意 | GUiLZ.ORG:https://www.guilz.org/2013/03/28/%E3%81%95%E3%81%8F%E3%82%89%E3%81%AEvps%E3%81%AF%E5%88%B6%E9%99%90%E3%81%A7%E6%BF%80%E9%87%8D%E3%81%AB%E3%81%AA%E3%82%8B%E3%81%8B%E3%82%89%E8%A6%81%E6%B3%A8%E6%84%8F/]]

**テスト [#dd59fb29]
***送信テスト [#n1eb0039]
-送信テストはmail foo@bar.com などmailコマンドでメールを送れるかどうか確認。
ディスクI/Oはコントロールパネルで直接確認可能。

***不正中継していないかどうかの確認 [#h4222a2a]
-[[Postfixのぺーじ−Postfixでのspam対策:http://www.postfix-jp.info/origdocs/antispam.html]]が参考になる。
**CPU使用率 [#t0f3b9e9]

**転送する [#y28d1fd2]
/etc/aliasesを編集し、正しく転送されればOK。編集後newaliasesを実行しないと反映されないかも。
CPUを使用した時間らしい。

-2コアの場合2000msecが限界
-3コアの場合3000msecが限界。

その1/10ぐらいが望ましい？
*設定 [#q71740e3]

**セキュリティ設定 [#x9055da2]
-[[さくらインターネット、適切なセキュリティ対策無しにサーバーを運用しているユーザーに対し対策を求める | スラド セキュリティ:https://security.srad.jp/story/18/11/26/0639203/]]
-以下の設定が必要らしい。
--パスワードはすべて適切な強度を満たすように設定してほしい
--なるべく自動アップデートを利用してほしい
--ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール（WAF）を活用すること
--持続的な運用または終了方法を考えてほしい
-まあできることはWAFの導入くらいか。要検討ということで。[[さくらのVPS「SiteGuard Lite（WAF）」提供開始のお知らせ | さくらインターネット:https://www.sakura.ad.jp/information/announcements/2017/01/11/1501/]]

**独自ドメインを設定する [#f41288aa]

***参考情報 [#f158df38]
-[[【2014年版】バリュードメインで取得したドメインをさくらのネームサーバ/VPSで使用する方法:http://www.softantenna.com/wp/etc/value-domain-with-sakura-vps/]]

***さくら側での設定 [#v19a2d86]
-会員メニューにログイン。
-「契約情報 > ドメインメニュー」へ。
-「ネームサーバ新規登録」で登録したいドメイン名を入力し「送信する」をクリック。
-ドメイン一覧から選択し、ゾーン編集でVPSのIPアドレスを入力。送信するをクリック。
-この段階で、「会員メニュー > ドメイン > 管理ドメインとネームサーバーの一覧」にドメインが表示される。
***バリュードメイン側の設定 [#be9faea3]
-会員メニューにログイン。
-ドメインを選択し、ネームサーバーにns1.dns.ne.jpとns2.dns.ne.jpを。

***逆引き設定 [#lf27f4d2]
-さくらVPSのコントロールパネルにログイン
-[[DNS逆引きレコードを変更する｜さくらインターネット公式サポートサイト:https://help.sakura.ad.jp/app/answers/detail/a_id/2415]]
-逆引き設定をしたあと再起動するとbashプロンプトのホスト名が変更される?(未確認)

*トラブルシューティング [#x2958aaf]

**カーネルをバージョンアップしたら起動しなくなった [#n0f034db]
-意識して実行しなくてもyum updateなどでカーネルのバージョンが上がってしまう場合がある。
-その場合[[さくらのVPS (CentOS)シングルユーザモード｜さくらインターネット公式サポートサイト:https://help.sakura.ad.jp/app/answers/detail/a_id/2419/c/228]]に従ってトラブルシューティングすると良い。

***ひとつ前のカーネルで起動するかどうか確認 [#u5e2aa48]
-シリアルコンソールを起動。
-カーネルパニックが発生している場合、Escapeキーでgrubのメニューが表示できる場合がある。
-grubのメニューが表示できない場合、「Escape character is ^]」で「Enter」を押し、「Press any key to enter the menu」が表示されたら再度「Enter」を押す。これで古いカーネルを選択して起動する。

***grub.confの編集 [#lee942ea]
-古いカーネルを使い続ける場合、grub.confを編集し「default=0」を適当に変更する。
-新しいカーネルを使いたい場合、grub.confの起動パラメータがおかしくなっていないかなどの調査を行う。
--CentOS 6.7にバージョンアップした場合、[[centOS6.7でカーネルパニック！:http://blog.seiglab.com/linux/post-440.html]]と同様の事象が発生した。
--grub.confにinitrdの指定がなく(そもそもinitramfs-xxxが存在しなかった)ため、「yum reinstall kernel」を実行。