VPSでUbuntuサーバー 未完成備忘録 其の一 -ユーザー作成、SSH設定-
我ながら飽きっぽいというか、何というかだけども、SaaSesでコントロールパネルからOSの再インストールができるようになったので真っ新にしてみた。
ついでにCentOSからUbuntuにOSを変えて、改めてサーバーを構築してみる。
とりあえず注意事項。
前回の記事ではWebminを多用していたけど、だんだん面倒になってきたので基本的にWebminを利用せずコンソールで行うことにする。
今回のサーバーは前回と同じく、FTPサーバ、メールサーバは構築せず、あくまでウェブサーバーのみとする。
メールはGoogle Appsを使った方が安心だし、FTPサーバはSSHサーバーでSCPを利用した方が安全なので。
また、普通Ubuntuならrootを利用せずsudoを利用するのが定石だけれど(非推奨とされてる)、いちいちsudoするのが面倒なので今回はroot権限に昇格した上で作業をした。
万が一にもこの記事を参考にする人がいたらその辺りは気をつけていただければ。
新規に契約した場合はメールに添付、初期化した場合はコントロールパネルから入手できるPDFファイルに載っている通常ユーザーでログインする。
rootに昇格するには
su -
と打ち込み、ルートのパスワードを入力すればいい。とはいっても最初はrootにパスワードが指定されていないので、
sudo su -
passwd
でrootパスワードを指定する必要がある、かも。
rootに昇格したらまずは新しいユーザーの作成を行う。
SaaSesのVPSの場合最初からあるユーザーは契約者の名字を利用しているので何となく嫌だ・・・。
今回はhogeuserという名前のユーザーを作る。このユーザーのみroot権限昇格可能とする。
useradd -g adm hogeuser //ユーザーの作成(+admグループに追加)
passwd hogeuser //パスワード設定
次にroot昇格可能なグループを設定する。
vi /etc/pam.d/su
# auth required pam_wheel.so
↓
auth required pam_wheel.so group=adm
これでadmグループに所属するユーザーのみがrootに昇格できるようになる。
次にSSH関連の設定を行う。
まずは一定量の攻撃があった場合防御してくれるdenyhostをインストール。
aptitude update
aptitude install -y denyhosts
denyhostの設定
vi /etc/denyhosts.conf
PURGE_DENY =
↓(引っかかった場合の制限時間)
PURGE_DENY =3h //3時間で解除
DENY_THRESHOLD_INVALID = 5
↓(存在しないユーザーへのログインを拒否するまでの回数)
DENY_THRESHOLD_INVALID = 2
DENY_THRESHOLD_VALID = 10
↓(存在するユーザーへのログインを拒否するまでの回数)
DENY_THRESHOLD_VALID = 5
次に自分がdenyhostに引っかからないよう設定
vi /etc/hosts.allow
ALL:自分のIPアドレス
また、狙われやすいSSHサーバのデフォルトポートを変更しておくとより安全になる。
vi /etc/ssh/sshd_config
Port 22
↓(SSHサーバのポート変更)
Port 2222
iptables変更(やり方がよくわからなかったので直接編集した。危険なのであまりおすすめしない)
vi /etc/iptables.up.rules
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
↓
以下を実行
iptables-restore < /etc/iptables.up.rules //iptablesの設定ファイルに書かれた内容を反映
次の記事へ続く。
