「サクラのVPS 980円」を使ってみた|初期設定
とりあえず基本的な設定
sshの設定
IP固定できないのでPKIバンザイ
rootで直接ログインを禁止する、パスワード認証を禁止する
echo 'OPTIONS="-o PermitRootLogin=no -o PasswordAuthentication=no"' >> /etc/sysconfig/sshd
IPv6関係を停止する
echo 'alias net-pf-10 off' >> /etc/modprobe.conf
echo 'alias ipv6 off' >> /etc/modprobe.conf
echo 'IPV6_AUTOCONF=no' >> /etc/sysconfig/network
echo 'NOZEROCONF=yes' >> /etc/sysconfig/network
/etc/sysconfig/network
HOSTNAMEを修正する
※名前解決できない名前を付ける場合は/etc/hostsを使って名前解決できるようにしておく事
iptablesを設定する
cat > /etc/sysconfig/iptables
*filter######################################################################
# ループバック/ICMP/確立済みの接続(通常は変更不要)
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
######################################################################
# 名前の定義 (通常は変更不要)
# NTP
#-N accept_ntp
#-A accept_ntp -p udp --dport ntp -j ACCEPT
# FTP
#-N accept_ftp
#-A accept_ftp -p tcp --dport ftp-data -j ACCEPT
#-A accept_ftp -p tcp --dport ftp -j ACCEPT
# SSH
-N accept_ssh
-A accept_ssh -p tcp --dport ssh -j ACCEPT
######################################################################
# OUTPUT
#-A OUTPUT -p tcp --dport ftp-data -j ACCEPT
#-A OUTPUT -p tcp --dport ftp -j ACCEPT
-A OUTPUT -p tcp --dport ssh -j ACCEPT
-A OUTPUT -p tcp --dport smtp -j ACCEPT
-A OUTPUT -p tcp --dport domain -j ACCEPT
-A OUTPUT -p udp --dport domain -j ACCEPT
-A OUTPUT -p tcp --dport http -j ACCEPT
-A OUTPUT -p udp --dport ntp -j ACCEPT
-A OUTPUT -p tcp --dport https -j ACCEPT
#-A OUTPUT -p tcp --dport smtps -j ACCEPT
#-A OUTPUT -p tcp --dport pop3s -j ACCEPT
#-A OUTPUT -p tcp --dport svn -j ACCEPT
#-A OUTPUT -p tcp --dport rsync -j ACCEPT
#-A OUTPUT -p tcp --dport X11 -j ACCEPT
######################################################################
# 公開ポート (必要なものを有効にする)
-A INPUT -p tcp --dport ssh -j ACCEPT
#-A INPUT -p tcp --dport smtp -j ACCEPT
#-A INPUT -p tcp --dport domain -j ACCEPT
#-A INPUT -p udp --dport domain -j ACCEPT
-A INPUT -p tcp --dport http -j ACCEPT
#-A INPUT -p tcp --dport pop3 -j ACCEPT
#-A INPUT -p tcp --dport https -j ACCEPT
#-A INPUT -p tcp --dport smtps -j ACCEPT
#-A INPUT -p tcp --dport pop3s -j ACCEPT
#-A INPUT -p tcp --dport svn -j ACCEPT
#-A INPUT -p tcp --dport submission -j ACCEPT
######################################################################
# 限定接続 - サーバ(nis,ntp,ftp,ssh,nfs,postgres,oracle)
# 接続元のクライアントの一覧
######################################################################
# 限定接続 - クライアント(nis,nfs,postgres,oracle)
# 接続先のサーバの一覧######################################################################
# その他設定があれば追加するCOMMIT
/etc/skel/
ユーザを追加した時にいちいちディレクトリを作るのがめんどくさいので
あらかじめ作っておく
mkdir /etc/skel/.ssh/
touch /etc/skel/.ssh/authorized_keys
chmod 700 /etc/skel/.ssh/
touch 600 /etc/skel/.ssh/authorized_keys
不要なrpmをお掃除(調査中)
yum remove NetworkManager cups dhclient ipsec-tools kudzu 'gnome*' wireless-tools bluez-gnome
※他にも消したいのはあるけど我慢
userの追加
ユーザー毎にgroup作るのは持った無いのでusersに統一
必ず公開鍵を登録を登録する事
useradd -g users makoto
vi ~makoto/.ssh/authorized_keys
はWEBベースの仮想コンソールがあるので設定ミスっても楽チン