【さくらVPSの入門・セットアップ】

さくらVPSを借りた。せっかくなのでセキュリティとかの勉強も兼ねて、「きちんと」セットアップする。

【設定を行う前の注意】
設定ファイルを編集する際は必ず

cp hogehoge.conf hogehoge.conf.orig

のようにバックアップを取っておくこと。これをきちんと行えば、もし設定をミスしても元のファイルの設定を確認することができる。


【早速セットアップ！】

ログイン後に
//rootのパスワードを変更
passwd 

//ユーザーの作成
useradd　hogehoge

//作成したユーザーのpassを設定
passwd　hogehoge

//管理者グループに追加
usermod -G wheel hogehoge

//管理者グループのみrootになれるように設定
vi /etc/pam.d/su
#auth required pam_wheel.so use_uid
の#を取る。

//sshd_configの設定
後でまたいじると思うけど、下記を設定

vi /etc/ssh/sshd_config

・ポートを22番から変更
Port 10022

・rootでのログイン禁止
PermitRootLogin no

・空パスワードでのログイン禁止
PermitEmptyPasswords no

・クライアントの生存チェック間隔を15秒に

ClientAliveInterval 15

・クライアントの生存チェック最大カウント数を3回に
ClientAliveCountMax 3


上記2つは
http://tatsushim.blogspot.com/2011/01/sshdconfscreen.html
参照

//sshdを再起動して、先ほどの設定を反映
service sshd restart

//sudo権限を付与
/usr/sbin/visudo
hogehoge ALL=(ALL) ALL

//環境を日本語に設定
sudo vi /etc/sysconfig/i18n
LANG="ja_JP.UTF-8"

//利用されていないデーモンのoff

/sbin/chkconfig auditd off

/sbin/chkconfig autofs off
/sbin/chkconfig avahi-daemon off
/sbin/chkconfig bluetooth off
/sbin/chkconfig cups off
/sbin/chkconfig firstboot off
/sbin/chkconfig gpm off
/sbin/chkconfig haldaemon off
/sbin/chkconfig hidd off
/sbin/chkconfig isdn off
/sbin/chkconfig kudzu off
/sbin/chkconfig lvm2-monitor off
/sbin/chkconfig mcstrans off
/sbin/chkconfig mdmonitor off
/sbin/chkconfig messagebus off
/sbin/chkconfig netfs off
/sbin/chkconfig nfslock off
/sbin/chkconfig pcscd off
/sbin/chkconfig portmap off
/sbin/chkconfig rawdevices off
/sbin/chkconfig restorecond off
/sbin/chkconfig rpcgssd off
/sbin/chkconfig rpcidmapd off
/sbin/chkconfig smartd off
/sbin/chkconfig xfs off
/sbin/chkconfig yum-updatesd off

ファイアォールの設定や、screenなど必須系のinstall、yum updateなどは後ほど。
とりあえずここまででreboot。

再起動後、freeでメモリのチェックをしてみると、大分使用量が減っていた。

【windows環境での公開鍵の設定】

teratermで作成した公開鍵はwinscpでは使用できない。
winscpにはデフォルトでPuTTYgenがついてくるので、そこで生成されたものを使用する。

→しかしログインできなかった

そこで、teratermで作成した秘密鍵をPuTTYgenにインポートして、winscpでも使えるように変換する。
変換後は、ログインの度に秘密鍵のpassを入れる必要があるが、無事秘密鍵として使用することができた。
整理すると下記のようになる

teratermで作成した公開鍵　→　サーバーへ設置
teratermで作成した秘密鍵　→　teratermで使用
teratermで作成した秘密鍵をwinscp用に変換した秘密鍵　→　winscpで使用

これでOK.研究室から自宅に戻ったらMacでもできるように一旦passでのログインをOKにしないとな・・・←セキュリティ的にもっと上手い方法ないだろうか
ちなみにrootで作成していた.sshディレクトリを丸々hogehogeのユーザーディレクトリ以下にコピーすれば、同じ鍵でいけるんじゃないかと思ったんだけど、いけなかったので、hogehogeユーザー向きにもう一度鍵生成をした。
※もし原因がわかる方がいらっしゃいましたらご指摘していただけると嬉しいです。

//sshdのログ

sshd のログファイルのパスは通常

 /var/log/secure 

ちなみに、ssh のログインに失敗/成功したユーザ数は以下の様なコマンド等でカウントできる

grep -c invalid /var/log/secure
grep -c Failed /var/log/secure
grep -c Accepted /var/log/secure

//公開鍵の仕組み
下記が参考になる。
http://itpro.nikkeibp.co.jp/article/COLUMN/20071031/286010/

追記
DNSをGoolge Public DNSした。
http://subtech.g.hatena.ne.jp/secondlife/20110207/1297081892