Serverman@VPS Entry (490円/月)
http://dream.jp/vps/
DTIのVPSサーバでCentos6系入れてましたが、
6.5へアップデートしたらログインできなくなったので
気分的にOS入れ替えてみた(`・ω・´)ゞ
DTIではアップデートは保証外で
バージョン6.3以外は保証しないらしい。。
yum update したらアップデートしちゃうじゃん(`・ω・´)ゞ
■準備
登録から10分程度でSSHの接続が出来るので
ログイン後、念のため、Ubuntsのバージョン確認
#lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 10.10 Release: 10.10 Codename: maverick
■ユーザ追加
一般ユーザーを追加、パスワードを設定
# adduser hogehoge Adding user `hogehoge' ... Adding new group `hogehoge' (1001) ... Adding new user `hogehoge' (1001) with group `hogehoge' ... Creating home directory `/home/hogehoge' ... Copying files from `/etc/skel' ... Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully Changing the user information for hogehoge Enter the new value, or press ENTER for the default Full Name []: hogehoge Room Number []: Work Phone []: Home Phone []: Other []: Is the information correct? [Y/n] Y
useradd コマンドだとホームディレクトリとか作成してくれないため
adduserコマンドを使用
■root権限でのアクセスを禁止
rootでのログイン禁止設定
sshd_configの設定内容を変更
# vi /etc/ssh/sshd_config
上記、sshd_configの「#PermitRootLogin yes」の項目を「PermitRootLogin no」へ変更
#PermitRootLogin yes PermitRootLogin no
sshdを再起動
# /etc/init.d/sshd restart
■なんとなくHost名の変更
デフォルトのHost名だとがHost名が長かったり、名前も微妙な為、変更。
networkファイルの編集
#vi /etc/hostname
わかりやすいようにホスト名を変更
hogehoge
次に、hostsファイルの編集
# vi /etc/hosts
下記の[Host名]の所も同じHost名へ変更
127.0.0.1 localhost.localdomain localhost [Host名]
■iptablesの設定
ポート確認(初期の設定 全空き)
iptables -nL:現在設定中のiptablesの設定情報を確認するためのコマンド。
# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Serverman@VPSではSSHが3843番ポートを使用するので
外部からの3843番ポートへのアクセスを許可
# iptables -A INPUT -p tcp --dport 3843 -j ACCEPT
データ送信の応答受信の許可
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
その他を塞ぐ
# iptables -P INPUT DROP # iptables -P FORWARD DROP # iptables -P OUTPUT ACCEPT
確認
# iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3843 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
順番を間違えて先にDROPを設定してしまうと全拒否になりログインできなくなります。。
iptablesの設定保存
#/sbin/iptables-save -c > /etc/iptables
iptablesの自動起動
/etc/network/if-pre-up.d/ 配下にスクリプトを設置
iptables_start
#!/bin/sh /sbin/iptables-restore < /etc/iptables exit 0
スクリプトに実行権限を付加
# chmod +x /etc/network/if-pre-up.d/iptables_start
■接続元のアクセス制限の設定
hosts.allowファイルの編集
# vi /etc/hosts.allow
hosts.allow の編集
IPアドレス指定の場合
sshd: xxx.xxx.xxx.xxx
ドメイン指定の場合
sshd: ドメイン名.jp
とりあえず気分的に初期設定はここまで(`・ω・´)ゞ