レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

C7

さくらのVPSを使うときに最初にやっておきたいこと(CentOS 7編)

2014年8月5日 2015年6月5日
sakura vps kvm centos

CentOS 5 , CentOS 6 編は、こちら

評判のさくらのVPSを使うときに最初にやっておきたいこと(CentOS編) の CentOS 7 編です。
Debian(Wheezly 7)で MySQLからMariaDB へ移行してみる でも書きましたが、CentOS 7 からは、MySQL→MariaDB へ変更となりました。 また、デーモンの起動方法なども旧バージョンから変更がありましたので、ここでは、記事を別にしました。

では、早速、簡単に解説してみます。

さくらインターネットのVPS ( さくらのVPS )を試してみたい方は、さくらのVPS ページさくらのVPS ページからどうぞ。無料お試し期間は14日です。
※お試し期間中は、OP25B設定、データ転送帯域に制約がありますから注意してください。

さくらのVPSのCentOSで最初にやっておきたいこと

さくらのVPSを申し込んで、さくらのVPSのコントロールパネルからサーバーを起動すれば、CentOS 6 が立ち上がります。(2014.8現在)
CentOS 7 は、カスタムOSインストールにて、自分でインストールする必要があります。(さくらのVPSでカスタムOSのインストールを行うには? 参照)

ここでは、既にCentOS 7 がインストールされ、起動されているものとして、以降、解説します。

さくらのVPSの場合、自宅サーバーと違って、既に外部に直接つながった状態ですから、まず、セキュリティ面の強化とサーバー設定をする必要があります。

ここでは、CentOSの初期状態から、各サーバー系をインストールする手前までにやることを記述してみます。

ユーザを追加する。

ここでは、SSHでroot以外のユーザでのみログインできるようにしたいので、 その際のユーザを少なくとも1つ(ここでは hoge)ユーザを追加しておきます。

$ useradd hoge
$ passwd hoge
Changing password for user hoge.
New UNIX password:
passwd: all authentication tokens updated successfully.
$ usermod -G wheel hoge
$ 

useraddで、hogeというユーザを追加しています。
passwordで、hogeのパスワードを設定しています。
usermodで、hogeをwheelのユーザグループに追加しています。
wheelは、管理者グループになります。


SELinuxをoffにする。

SELinuxは、非常に強力なセキュリティツールです。 ただ、設定が非常に面倒なので、ここでは、一旦、解除しておきます。 その際、以降で出てくるfirewallの設定は、厳密に行うようにしてください。不用意にポートを開かないようにしましょう。

ここでは、SELINUX=enforcingSELINUX=disabled とし、無効にします。

###  setenforce で無効にします。
$ setenforce 0

###  getenforceで無効を確認します。
$ getenforce
Permissive

上記で、SELinuxは無効になったはずです。

また、リブート時も無効になるように、以下の設定も行います。

$ vi /etc/sysconfig/selinux
...
#SELINUX=enforcing
SELINUX=disabled
...
もし、SELinuxの設定を行える方は、そのまま有効にしておいてください。 また、後で勉強して、SELinuxの設定が行えるようになったら、有効にしましょう。 その方が、よりセキュアであることは間違いありません。

SSHのポートを変更する。

まずは、SSHのポートを変更して、簡単にアタックされないようにしておきます。指定するポート番号は、10000以降の適当なポート番号を割り当てましょう。
また、rootでログインできないようにし、先に作成したユーザ(ここではhoge)でのみSSHログインを可能とします。

$ vi /etc/ssh/sshd_config

# ポート番号を 22 (デフォルト)から10022へ変更する
#Port 22
Port 10022
     :
# SSHのプロトコルをSSH2のみ対応とする
Protocol 2
     :
# rootでのログインを不可とする
PermitRootLogin no
     :
# パスワードでのログインを許可する
PasswordAuthentication yes
     :
# パスワードなしでのログインを不可とする
PermitEmptyPasswords no
     :
# hoge というユーザだけログインを許可する
AllowUsers hoge
     :

ここでは、ポート番号、SSHプロトコル、rootでのログイン不可、ログイン可能なユーザ名を指定しています。
また、ログインするIPアドレスが決まっているなら、許可するIPアドレスも指定した方がより良いです。

ここでは、詳しく解説していませんが、さらにセキュリティを強化するために公開鍵認証にてログインするようにしておいた方が良いでしょう。
(詳しくは、TeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる を参照してください。)
ここの設定を以降のファイアウォール(firewall)の設定は、同時に行うようにします。 それぞれの設定を終えたのちに、sshdの再起動を行うようにします。
$ systemctl restart sshd.service

ファイアウォール(firewall)の設定を行う。

CentOS 6までは、ファイアウォールとして iptables を使ってきましたが、
CentOS 7からは、ファイアウォールとして firewalld を使います。

firewalld は、、文字通り ファイアウォール デーモンです。
設定を行うには、firewall-cmd コマンドを使用します。

ここでは、単純に使っていないポートを firewall-cmd を使って 外部に非公開とするようにします。

# 現在利用可能なサービス(ポート)を確認します。
$ firewall-cmd --list-services
dhcpv6-client ssh
#デフォルトでは、dhcpv6-client ssh のみが有効になっています。

# 現在利用可能なポートを確認します。
$ firewall-cmd --list-ports

#デフォルトでは、何も設定されていません。


# ウェブサーバーのサービス(ポート)を開きます。
$ firewall-cmd --add-service=http
success

# ウェブサーバーのサービス(ポート)を再起動しても開くように設定します。
$ firewall-cmd --permanent --add-service=http
success

# SSHサーバーのポートを開きます。
$ firewall-cmd --add-port=10022/tcp
success

# SSHサーバーのポートを再起動しても開くように設定します。
$ firewall-cmd --permanent --add-port=10022/tcp
success

# 古いSSHサーバーのサービス(ポート)を閉じます。
$ firewall-cmd --remove-service=ssh
success

# 古いSSHサーバーのサービス(ポート)を再起動しても閉じるように設定します。
$ firewall-cmd --permanent --remove-service=ssh
success

# 現在利用可能なサービス(ポート)を確認します。
$ firewall-cmd --list-services
dhcpv6-client http
#http が追加され、sshが削除されていることを確認します。

# 現在利用可能なポートを確認します。
$ firewall-cmd --list-ports
10022/tcp
#SSHの新しいポートが追加されていることを確認します。

ここでは、10022(SSH),80(HTTP)の2つのポートのみを公開し、それ以外を基本的にすべて非公開にしています。

上記は、必要最小限のポートしか開いていません。pop3 や mail などの必要なポートは、–add-service オプションで設定・追加すると良いでしょう。
指定できるサービス名は、以下のコマンドで確認できます。
$ firewall-cmd --get-services
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability \
http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls  \
mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s \
postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp  \
tftp-client transmission-client vnc-server wbem-https
この設定を変更した後、必ず、関連サービスの再起動、あるいはシステムの再起動を行うようにします。 例えば、上記であれば、sshd の再起動を行います。
$ systemctl restart sshd.service

不要なサービス(デーモン)を停止する。

最後に、無駄に動作しているプロセスを停止するようにします。

CentOS 6までは、サービス(デーモン)の制御として service(or /etc/init.d/…) , chkconfigコマンド を使ってきましたが、
CentOS 7からは、サービス(デーモン)の制御は、systemctl コマンドを使います。

CentOS 7 をMinimam インストールした時点で動作しているデーモンは以下のとおりです。

サービス概要現行変更
auditd システム監査結果のログ保存 ON
avahi-daemon LAN内でのネットワーク自動構成 ON
chronyd NTP(時間管理)デーモン Client/Server (ntpdからのデフォルトリプレース) ON
crond cronデーモン ON
irqbalance マルチCPU環境でセカンドCPU以降も割り込み処理を行える OFF
kdump システム異常時にダンプ出力する ON
NetworkManager 有線/無線(コネクション)に必要に応じて自動接続してくれるサービス ON
postfix postfix(smtpサーバー) ON
rsyslog Rシスログデーモン ON
sshd SSHデーモン ON
tuned システムコンポーネントの使用を監視し、その監視情報を基にして動的にシステム設定をチューニングするデーモン ON

この中で、不要?と思われるものは、kdumpぐらいです。
ただ、このkdumpも、先の概要のように異常時のログ情報ですから、本来は、起動しておいた方が良いです。 しかし、さくらのVPSの最安プラン 1GBメモリは、CentOS 7 の最低メモリ要件ですから、kdumpを動作させるには、少々厳しいかもしれません。

そういう意味で、不要?かもしれないという意味ですので、メモリに余裕がある方は、そのまま起動されていてください。 さくらのVPSの最安プラン 1GBメモリでは、kdumpの状態がfailedとなって、起動していないはずなので、ここでは、削除してみます。

# 現在のkdumpの状態を確認しておきます。
$ systemctl status kdump.service
kdump.service - Crash recovery kernel arming
   Loaded: loaded (/usr/lib/systemd/system/kdump.service; enabled)
   Active: failed (Result: exit-code) since Tue 2014-08-05 00:14:11 JST; 5h 27min ago
...
#上記のように failed となっている場合は、起動に失敗しています。
# Active: active (exited)  ... となっている場合は、正常に起動しています。

# kdumpを停止します。
$ systemctl stop kdump.service

# kdumpを再起動しても起動しないように設定します。
$ systemctl disable kdump.service
rm '/etc/systemd/system/multi-user.target.wants/kdump.service'

また、chronydは、CentOS 6まで ntpd が提供されていた ntpデーモンになります。これもデフォルトのパッケージがリプレースされています。
ntpは、起動してくべきか議論がありますが、KVMにおいて ホストとゲストの時間管理はNTPを用いるべきか? でも解説しているように起動しておいた方がベストなので、ここでは起動しておきます。
chronydの設定は、そのままでOKです。変更するとしたら ntpサーバーを日本のサーバーに変更するぐらいです。デフォルトでは、ntpサーバーとして動作しないようになっていますから、それほど、負荷もかからないと思います。

systemctl コマンドでは、enabled となっているサービスをリスト出力するパラメータがありません。
そこで、以下のようにすると、全systemctl 制御配下のサービスがすべて出力されます。
$ systemctl list-unit-files|grep '\.service *enabled'
auditd.service                              enabled
avahi-daemon.service                        enabled
crond.service                               enabled
dbus-org.fedoraproject.FirewallD1.service   enabled
dbus-org.freedesktop.Avahi.service          enabled
dbus-org.freedesktop.NetworkManager.service enabled
dbus-org.freedesktop.nm-dispatcher.service  enabled
firewalld.service                           enabled
getty@.service                              enabled
irqbalance.service                          enabled
kdump.service                               enabled
lvm2-monitor.service                        enabled
microcode.service                           enabled
NetworkManager-dispatcher.service           enabled
NetworkManager.service                      enabled
postfix.service                             enabled
rsyslog.service                             enabled
sshd.service                                enabled
systemd-readahead-collect.service           enabled
systemd-readahead-drop.service              enabled
systemd-readahead-replay.service            enabled
tuned.service                               enabled
上記リストは、以下の全ディレクトリを出力したものになります。
$ ls -F /etc/systemd/system/|grep /
basic.target.wants/
default.target.wants/
getty.target.wants/
multi-user.target.wants/
sockets.target.wants/
sysinit.target.wants/
system-update.target.wants/
ただ、これだと、dbus-org.fedoraproject.FirewallD1.service と firewalld.service が実は同じサービスなのも解りづらいです。
また、その他に getty.targetなどが含まれており、本来、ユーザがコントロールすべきサービスのみとは言い切れないところがあります。

そう考えると、単純に以下が、ほぼ求めたいサービス一覧になるのかもしれません。
$ ls /etc/systemd/system/multi-user.target.wants|grep \.service
NetworkManager.service
auditd.service
avahi-daemon.service
crond.service
irqbalance.service
kdump.service
postfix.service
rsyslog.service
sshd.service
tuned.service
また、Disableもすべてのサービスを出力する場合は、以下のディレクトリを出力すると、ほぼ求めたいサービス一覧になると思います。
$ ls /usr/lib/systemd/system|grep \.service
...

日本語に対応にする。

CentOSのロケールの設定を日本に設定します。

# localectlコマンドで現在のロケールを確認します。
$ localectl
   System Locale: LANG=en_US.UTF-8
       VC Keymap: jp106
      X11 Layout: jp

#上記のように en_US : 英語になっています。

# localectlコマンドで設定可能な言語を確認します。
$ localectl list-locales |grep ja
ja_JP
ja_JP.eucjp
ja_JP.ujis
ja_JP.utf8
japanese
japanese.euc

# localectlコマンドで設定可能な言語を確認します。
$ localectl set-locale LANG=ja_JP.utf8

vimをインストールする。

標準のviエディタでも良いのですが、多言語に対応したvimの方が、使い勝手は間違いなく良いですから、インストールしておきましょう。

$ yum -y install vim-enhanced

これだけで、自動的にインストールできます。


ログイン環境を編集する。

vimを標準のエディタとして使うために、vi のaliasとして登録しておきます。
また、/sbin へのパスも設定しておくと便利です。パスをとおしておくと、いちいち/sbinを先頭にタイプしなくて良くなりますからね。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
$ vim ~hoge/.bash_profile


# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs

PATH=$PATH:$HOME/bin:/sbin:/usr/sbin

# alias
alias vi='vim'

export PATH

13行目で、/sbin/usr/sbinへのパスと追加しています。
16行目で、vimの別名をviとしています。

現在ログインしている状態で、上記の編集情報を有効にするには、
$ source ~hoge/.bash_profile
とすればOKです。


ざっとですが、こんな感じです。
ここに書いているのは、あくまで必要最小限としての記載ですので、ユーザによっては、もっと、セキュリティ面で強化を図ることもできると思います。

CentOS 6 から CentOS 7 へは、かなり、設定における変更がありますね。
ただ、やるべきことは、そうれほど変更がありませんから、一つ一つ対応する設定方法を確認していけばできるはずです。 まずは、上記の設定を参考に、よりセキュアな環境設定を行っていただければうれしく思います。

さくらインターネットのVPS ( さくらのVPS )を試してみたい方は、http://vps.sakura.ad.jp/からどうぞ。無料お試し期間は14日です。
※お試し期間中は、OP25B設定、データ転送帯域に制約がありますから注意してください。

ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

CentOS 7 でLAMP(Apache+MariaDB(MySQL)+PHP)インストールからWordpressを動かすまで(Apache編)

今回は、CentOS,ScientificLinuxでLAMP(Apache+MySQL+PHP)インストールからWordPress ...

CentOS 7 でLAMP(Nginx+MariaDB(MySQL)+PHP)インストールからWordPressを動かすまで(Nginx編)

今回は、CentOS,ScientificLinuxでLAMP(Nginx+MySQL+PHP)インストールからWordPressを ...

kdumpでNo memory reserved for crash kernel.が出たときの対処

CentOS 7 では、デフォルトでインストールされている kdump ですが、 さくらのVPS の1Gプランで CentOS 7 ...

CentOS 7 での変更点(まとめ)

CentOS 7 (RHEL 7) が、2014.7にリリースされました。 CentOS 6 からの変更が、案外、多いので、ちょっとまとめてみ ...

評判のお名前.com VPS(KVM)を使うときに最初にやっておきたいこと(CentOS編)

お名前.com VPS (KVM)の具体的な評価(世間の評判も含めて)や感想は、 → お名前.com VPS (KVM) ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.6005 [s]