レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

C5 C6

評判のさくらのVPSを使うときに最初にやっておきたいこと(CentOS編)

2010年12月2日 2014年8月6日
sakura vps kvm centos

CentOS 7 編は、こちら

以前の記事「評判のさくらインターネットのVPS ( さくらのVPS ) を使ってみた」の中で、紹介していた内容(さくらのVPSを使うときに最初にやっておきたいこと(CentOS編))を1つの記事にまとめました。
内容的にも、後で、ぽろぽろと追記したくなったので、一つの記事にしました。

さくらインターネットのVPS ( さくらのVPS )を試してみたい方は、さくらのVPS ページさくらのVPS ページからどうぞ。無料お試し期間は14日です。
※お試し期間中は、OP25B設定、データ転送帯域に制約がありますから注意してください。

さくらのVPSのCentOSで最初にやっておきたいこと

さくらのVPSの場合、とりあえず、申しこんで、さくらのVPSのコントロールパネルからサーバーを起動すれば、CentOSが立ち上がります。

特にOSを入れ替えたい(CentOS 64bit版以外)と思われている方は、まず、OSの再インストールから好きなOSをインストールするところから始めます。CentOS 64bit版で良い方は、すでにインストール済みなので、そのまま起動するだけです。

さくらのVPSの場合、自宅サーバーと違って、既に外部に直接つながった状態ですから、まず、セキュリティ面の強化とサーバー設定をする必要があります。

ここでは、CentOSの初期状態から、各サーバー系をインストールする手前までにやることを記述してみます。

SSHのポートを変更する。

まずは、SSHのポートを変更して、簡単にアタックされないようにしておきます。指定するポート番号は、10000以降の適当なポート番号を割り当てましょう。

$ vi /etc/ssh/sshd_config

# ポート番号を 22 (デフォルト)から10022へ変更する
#Port 22
Port 10022
     :
# SSHのプロトコルをSSH2のみ対応とする
Protocol 2
     :
# rootでのログインを不可とする
PermitRootLogin no
     :
# パスワードでのログインを許可する
PasswordAuthentication yes
     :
# パスワードなしでのログインを不可とする
PermitEmptyPasswords no
     :
# hoge というユーザだけログインを許可する
AllowUsers hoge
     :

ここでは、ポート番号、SSHプロトコル、rootでのログイン不可、ログイン可能なユーザ名を指定しています。
(後でhogeというユーザを追加しています。)
また、ログインするIPアドレスが決まっているなら、許可するIPアドレスも指定した方がより良いです。

ここでは、詳しく解説していませんが、さらにセキュリティを強化するために公開鍵認証にてログインするようにしておいた方が良いでしょう。
(詳しくは、TeraTermで 公開鍵認証(鍵交換)を使ってSSH 接続してみる を参照してください。)

ファイアウォール(iptables)の設定を行う。

ここでは、単純にiptablesを使っていないポートを外部に非公開とするようにします。
シェルファイルを作成して、一気にやってしまいます。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#!/bin/sh

/sbin/iptables -F
/sbin/iptables -X

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -s 192.168.0.0/16 -j DROP

/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 10022 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

/etc/rc.d/init.d/iptables save

/sbin/service iptables restart

ここでは、10022(SSH),80(HTTP)の2つのポートのみを公開し、それ以外をすべて非公開にしています。
また、プライベートIPアドレス(10.x.x.x,172.16.x.x,192.168.x.x)は、すべて拒否してます。

pingを受け付けたくない場合は、17行目のicmpの許可を行っているところをコメントアウトしてください。
また、上記は、必要最小限のポートしか開いていません。pop3やmailなどの必要なポートは、19行目を真似て開くと良いでしょう。

ファイルにしたら、実行権限を与えるのを忘れないでね。
$ chmod 755 ファイル名
$ ./ファイル名
で実行できるはずです。

ユーザを追加する。

ここでは、SSHで唯一ログインを許可するようにしたhogeユーザを追加してみましょう。

$ useradd hoge
$ passwd hoge
Changing password for user hoge.
New UNIX password:
passwd: all authentication tokens updated successfully.
$ usermod -G wheel hoge
$ 

useraddで、hogeというユーザを追加しています。
passwordで、hogeのパスワードを設定しています。
usermodで、hogeをwheelのユーザグループに追加しています。
wheelは、管理者グループになります。


不要なサービス(デーモン)を停止する。

最後に、無駄に動作しているプロセスを停止するようにします。
これもシェルファイルを作成して、一気にやってしまいます。

  • CentOS 5

    登録および動作しているデーモンは以下のとおりです。

    サービス概要現行変更
    NetworkManager 有線/無線(コネクション)に必要に応じて自動接続してくれるサービス OFF
    acpid 電源管理 ON
    anacron タスクスケジューラー(cronの補助的役割) OFF
    atd at (コマンド)デーモン ON
    auditd システム監査結果のログ保存 OFF
    autofs ファイルシステムの自動マウント OFF
    avahi-daemon LAN内でのネットワーク自動構成 OFF
    avahi-dnsconfd DNSサーバなしにローカルネットワーク上のデバイスとサービスを検出する OFF
    bluetooth 文字通りbluetooth OFF
    conman リモートコンソール(conman)の管理 OFF
    cpuspeed システムのアイドル比率に応じてCPUの動作周波数を上下させる ON
    crond cronデーモン ON
    dnsmasq DNS キャッシュサーバ OFF
    dund Bluetooth ダイアルアップデーモン OFF
    firstboot インストール直後に呼び出されるもの OFF
    gpm コンソールマウス機能 OFF
    haldaemon D-BUSサポート OFF
    hidd bluetoothのキーボードやマウスの対応 OFF
    ip6tables ipv6用iptables ON
    ipmi ハードウェアリモート管理インターフェース(IPMI)管理デーモン OFF
    iptables iptables (ファイアウォール) ON
    irda 赤外線通信 OFF
    irqbalance マルチCPU環境でセカンドCPU以降も割り込み処理を行える OFF
    iscsi SCSIプロトコルをTCP/IPネットワーク上で使用する規格 OFF
    iscsid SCSIプロトコルをTCP/IPネットワーク上で使用するためのデーモン OFF
    kudzu ハードウェアの構成変更を検知 OFF
    lvm2-monitor LVMの障害監視 ON OFF
    mcstrans SELinuxの運用サポート OFF
    mdmonitor RAID の状態監視サービス OFF
    mdmpd RAID の状態監視サービス(multipath devices) OFF
    messagebus D-BUSサポート OFF
    microcode_ctl マイクロコード制御 OFF
    multipathd device-mapperカーネルドライバを使用してマルチパスデバイスのサポート OFF
    netconsole ネットコンソール(カーネル異常時に出力先として用いられるコンソール) OFF
    netfs NFSクライアント OFF
    netplugd ネットワークケーブルのホットプラグ管理デーモン OFF
    network ネットワークサービス ON
    nfs NFSサービス OFF
    nfslock NFSロック OFF
    nscd ユーザー認証、名前解決 などのためのデータキャッシュデーモン OFF
    ntpd NTP(時間管理)デーモン(誤差を埋める) ON
    oddjobd D-BUS 制御デーモン OFF
    pand Bluetooth ネットワーク制御デーモン OFF
    pcscd スマートカードの管理 OFF
    portmap RPCのポートマッパー OFF
    psacct 実行したコマンドログ(実行時の負荷情報なども記録) OFF
    rawdevices ハードディスクをブロックデバイスとして利用する際の補助 OFF
    rdisc ネットワークルータディスカバリーデーモン。ルータとして動作させないのであれば不要。 OFF
    readahead_early 前もってファイルをページ・キャッシュに読み込む ON
    readahead_later 前もってファイルをページ・キャッシュに読み込む ON
    restorecond SELinuxの運用サポート OFF
    rpcgssd NFS関連。RPCにおいてセキュリティコンテキストを生成するデーモン OFF
    rpcidmapd NFS関連。RPC名(UID/GID)マッパー OFF
    rpcsvcgssd NFS関連。RPCSEC GSS (サーバーサイド) OFF
    rsyslog Rシスログデーモン OFF
    saslauthd sasl認証サービス OFF
    sendmail sendmail(smtpサーバー) ON
    smartd S.M.A.R.Tのサポート OFF
    sshd SSHデーモン ON
    svnserve Subversion サーバー OFF
    syslog シスログデーモン ON
    tcsd TCGソフトウエアスタックサービス OFF
    wpa_supplicant 無線LANの暗号化、認証規格WPA(Wi-Fi Protected Access)サポート OFF
    xfs X-Window System用のフォントサーバ OFF
    ypbind NIS ユーザ管理デーモン OFF
    yum-updatesd yum自動アップデート OFF

    上記の動作しているデーモンの中で、 論理ボリュームマネージャー(LVM)を使わない方(よくわからない方)には、lvm2-monitorも停止しても問題ないでしょう。
    また、ipv6 非対応なら、ip6tablesも停止しても問題ないでしょう。

    #!/bin/sh
    
    /sbin/chkconfig lvm2-monitor off

  • CentOS 6

    登録および動作しているデーモンは以下のとおりです。

    サービス概要現行変更
    abrt-ccpp 自動バグ報告ツール OFF
    abrt-oops 不具合をoopsトラッカーへ送信するサービス OFF
    abrtd 自動バグ報告ツール OFF
    acpid 電源管理 ON
    atd at (コマンド)デーモン ON
    auditd システム監査結果のログ保存 OFF
    cpuspeed システムのアイドル比率に応じてCPUの動作周波数を上下させる ON
    crond cronデーモン ON
    haldaemon D-BUSサポート OFF
    ip6tables ipv6用iptables ON
    iptables iptables (ファイアウォール) ON
    irqbalance マルチCPU環境でセカンドCPU以降も割り込み処理を行える ON
    kdump システム異常時にダンプ出力する OFF
    lvm2-monitor LVMの障害監視 ON OFF
    mdmonitor mdデバイスの監視 OFF
    messagebus D-BUSサポート OFF
    netconsole ネットコンソール(カーネル異常時に出力先として用いられるコンソール) OFF
    netfs NFSクライアント OFF
    network ネットワークサービス ON
    ntpd NTP(時間管理)デーモン(誤差を埋める) ON
    ntpdate NTP(時間管理)デーモン(即設定) ON OFF
    postfix postfix(smtpサーバー) ON
    psacct 実行したコマンドログ(実行時の負荷情報なども記録) OFF
    quota_nld クォータ値超過の警告が発生した旨のカーネルメッセージを D-BUS に転送する OFF
    rdisc ネットワークルータディスカバリーデーモン。ルータとして動作させないのであれば不要。 OFF
    restorecond SELinuxの運用サポート OFF
    rngd ハードウェア TRNG (true ramdom number generator) と、カーネルの PRNG (pseudo- random number generator) の間のブリッジ OFF
    rsyslog シスログデーモン ON
    saslauthd sasl認証サービス OFF
    smartd S.M.A.R.Tのサポート OFF
    sshd SSHデーモン ON
    sysstat システム情報取得サービス ON
    udev-post ハードウェア自動認識を行うデーモン ON

    上記の動作しているデーモンの中で、間違いなく不要と思えるものは ntpdate でしょう。
    論理ボリュームマネージャー(LVM)を使わない方(よくわからない方)には、lvm2-monitorも停止しても問題ないでしょう。
    また、ipv6 非対応なら、ip6tablesも停止しても問題ないでしょう。

    #!/bin/sh
    
    /sbin/chkconfig ntpdate off
    /sbin/chkconfig lvm2-monitor off



ファイルにしたら、実行権限を与えるのを忘れないでね。
$ chmod 755 ファイル名
$ ./ファイル名
で実行できるはずです。
acpid : 電源管理 は、
立ち上げておいた方が良いらしいです。要はさくらインターネットで、障害もしくはメンテナンスにおいて、無条件にマスターVPSのリブートないし、電源断を実施することがあります。 その際、ちゃんとacpiを立ち上げておけば、電源断を検出し、シャットダウンしてくれます。

日本語に対応にする。

CentOSのロケールの設定を日本に設定します。

/etc/sysconfig/i18nを編集します。
初期状態は以下のようになっています。

LANG="C"
SYSFONT="latarcyrheb-sun16"

これを、以下のように変更します。

LANG="ja_JP.UTF-8"
SUPPORTED="ja_JP.UTF-8:ja_JP:ja"
SYSFONT="latarcyrheb-sun16"

vimをインストールする。

標準のviエディタでも良いのですが、多言語に対応したvimの方が、使い勝手は間違いなく良いですから、インストールしておきましょう。

$ yum -y install vim-enhanced

これだけで、自動的にインストールできます。


ログイン環境を編集する。

vimを標準のエディタとして使うために、vi のaliasとして登録しておきます。
また、/sbin へのパスも設定しておくと便利です。パスをとおしておくと、いちいち/sbinを先頭にタイプしなくて良くなりますからね。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
$ vim ~hoge/.bash_profile


# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs

PATH=$PATH:$HOME/bin:/sbin:/usr/sbin

# alias
alias vi='vim'

export PATH

13行目で、/sbin/usr/sbinへのパスと追加しています。
16行目で、vimの別名をviとしています。

現在ログインしている状態で、上記の編集情報を有効にするには、
$ source ~hoge/.bash_profile
とすればOKです。


参考記事:CentOSをサーバーとして活用するための基本的な設定

一応、ここで設定しているサービスは、現在では、デフォルトでは、すべて停止している?ようです。
また、上記の参考記事にあるように
  • 要らないコンソールを無効にする
    不要なコンソールは、デフォルトで設定されているtty2からtty6 をすべてコメントアウトする。
    CentOS 5
    $ vi /etc/inittab
    ...
    # Run gettys in standard runlevels
    1:2345:respawn:/sbin/mingetty tty1
    #2:2345:respawn:/sbin/mingetty tty2
    #3:2345:respawn:/sbin/mingetty tty3
    #4:2345:respawn:/sbin/mingetty tty4
    #5:2345:respawn:/sbin/mingetty tty5
    #6:2345:respawn:/sbin/mingetty tty6
    ...
    CentOS 6
    $ vi /etc/sysconfig/init
    ...
    # What ttys should gettys be started on?
    #ACTIVE_CONSOLES=/dev/tty[1-6]
    ACTIVE_CONSOLES=/dev/tty1
    ...
  • selinuxをoffにする
    SELINUX=enforcingSELINUX=disabled とし、無効にする。
    $ vi /etc/sysconfig/selinux
    ...
    #SELINUX=enforcing
    SELINUX=disabled
    ...

    リブートなしに無効にするには、以下の設定も行います。

    ###  setenforce で無効にします。
    $ setenforce 0
    
    ###  getenforceで無効を確認します。
    $ getenforce
    Permissive
についてもデフォルトで無効になっているようです。

さすが、さくらインターネットですね。対応が早くて気持ちが良いですね。

ざっとですが、こんな感じです。
ここに書いているのは、あくまで必要最小限としての記載ですので、ユーザによっては、もっと、セキュリティ面で強化を図ることもできると思います。

いろいろ設定してみて、Logwatch ぐらいは確認しておきましょう。
変なアクセスがないかぐらいは、チェックしておきましょう。

さくらインターネットのVPS ( さくらのVPS )を試してみたい方は、http://vps.sakura.ad.jp/からどうぞ。無料お試し期間は14日です。
※お試し期間中は、OP25B設定、データ転送帯域に制約がありますから注意してください。

ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

評判のABLENET VPSを使うときに最初にやっておきたいこと(CentOS編)

さくらのVPSの時(評判のさくらのVPSを使うときに最初にやっておきたいこと(CentOS編))や CloudCore ( クラウ ...

評判のお名前.com VPS(KVM)を使うときに最初にやっておきたいこと(CentOS編)

お名前.com VPS (KVM)の具体的な評価(世間の評判も含めて)や感想は、 → お名前.com VPS (KVM) ...

評判のSPPD VPSを使うときに最初にやっておきたいこと(CentOS編)

さくらのVPSの時(評判のさくらのVPSを使うときに最初にやっておきたいこと(CentOS編))や CloudCore ( クラウ ...

評判のさくらのVPSを使うときに最初にやっておきたいこと(Scientific Linux編)

先のScientific Linux 6.x をインストールするからの続きです。 CentOS版の ・yum を使って ...

評判のCloudCore VPSを使うときに最初にやっておきたいこと(CentOS編)

以前の記事「評判のKDDI CPIのVPS ( CloudCore ( クラウドコア ) VPS ) を使ってみた」で KDDI C ...


3 件 コメントがあります。 コメントを投稿する
  1. PHP on さくらVPS – private void
    2012年3月31日, 10:37 PM

    […] http://sakura.off-soft.net/blog/sakura_vps_centos_first_setup.html (『評判のさくらのVPSを使うときに最初にやっておきたいこと(CentOS編)』 レンタルサーバー・自宅サーバーの設定・構築のヒント) […]

  2. […] […]

  3. […] (http://server-setting.info/blog/sakura_vps_centos_first_setup.html を参考にさせていただきました。ほとんど同じなのでなにか問題がありましたらご連絡ください。) […]


コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2639 [s]