以前、DTIのVPSサーバでCentos5.7で運用していましたが
CentOS6.3対応になったので再構築してみた(`・ω・´)ゞ
Serverman@VPS Entry (490円/月)
http://dream.jp/vps/
■準備
登録から10分程度でSSHの接続が出来るので
ログイン後、念のため、CentOSのバージョン確認
# cat /etc/redhat-release CentOS release 6.3 (Final)
ミラーリストから速いリポジトリを自動的に選択してくれる
「yum-fastestmirror」プラグインをインストール
# yum -y install yum-fastestmirror
その後、全体を更新する
# yum update
■ユーザ追加
一般ユーザーを追加、パスワードを設定
# useradd username # passwd username
参考:SSHによるリモート接続を行えないようしてUSER追加の場合
# useradd -s /sbin/nologin username # passwd username
■root権限でのアクセスを禁止
rootでのログイン禁止設定
sshd_configの設定内容を変更
# vi /etc/ssh/sshd_config
上記、sshd_configの「#PermitRootLogin yes」の項目を「PermitRootLogin no」へ変更
#PermitRootLogin yes PermitRootLogin no
sshdを再起動
# /etc/init.d/sshd restart
■なんとなくHost名の変更
デフォルトのHost名だとがHost名が長かったり、名前も微妙な為、変更。
networkファイルの編集
# vi /etc/sysconfig/network
わかりやすいように、上の方に下記を追加
HOSTNAME="Host名"
次に、hostsファイルの編集
# vi /etc/hosts
下記の[Host名]の所も同じHost名へ変更
127.0.0.1 localhost.localdomain localhost [Host名]
■iptablesの設定
ポート確認(初期の設定 全空き)
iptables -nL:現在設定中のiptablesの設定情報を確認するためのコマンド。
# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Serverman@VPSではSSHが3843番ポートを使用するので
外部からの3843番ポートへのアクセスを許可
# iptables -A INPUT -p tcp --dport 3843 -j ACCEPT
データ送信の応答受信の許可
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
その他を塞ぐ
# iptables -P INPUT DROP # iptables -P FORWARD DROP # iptables -P OUTPUT ACCEPT
確認
# iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3843 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
順番を間違えて先にDROPを設定してしまうと全拒否になりログインできなくなります。。
iptablesの設定保存、再起動
# /etc/init.d/iptables save # /etc/init.d/iptables restart
※iptables save 保存時エラー対応
/etc/rc.d/init.d/iptables: line 268: restorecon: コマンドが見つかりません
上記エラーが出る場合は
policycoreutilsというパッケージにrestoreconコマンドが含まれていますのでyumでインストール
# yum install policycoreutils
■接続元を制限
接続元のアクセス制限の設定
hosts.allowファイルの編集
# vi /etc/hosts.allow
hosts.allow の編集
IPアドレス指定の場合
sshd: xxx.xxx.xxx.xxx
ドメイン指定の場合
sshd: ドメイン名.jp
とりあえず気分的に初期設定はここまで(`・ω・´)ゞ