さくらの VPS に行った初期設定のメモ(主にセキュリティ関連)

サーバを公開するときってハラハラするよね。

構築したときの初期設定とかセキュリティ対策とか
調べながら色々やっていくのですが、すぐに忘れます。
(OS インストール後に1回しかやらないものも稀に良くあるし。)

ということで、
今このサーバに適応している設定のうち
最低限やっておいた方が良いものをピックアップしてメモしておきます。

選んだ基準は、以下の通り。
・どの書籍やサイトでも必ず行おうと書いてあるもの
・設定作業時間は短いけど効果が割とあるもの

では、順にいってみましょー。
(対象環境は、さくらの VPS 上で動いてる CentOS 6.7 です)

作業用アカウント設定

root アカウントは何でも出来ちゃうんです。怖いっす。
なので普段は一般ユーザで操作して、必要なときだけ権限を付与する運用にしておく。

一般ユーザの作成

root になれるユーザを管理者のみにする

wheel グループに sudo 権限付与

root アカウントの設定

VPS 契約時に root の仮パスワードが送られてきますが、忘れずに変えよう。

リモートからの root ログイン禁止の設定
作業用のアカウントに sudo 権限を与えたのでもう root でログインする必要はなくなったです。
余計なログインは禁止しちゃおう。

パッケージ管理システムの設定

Windows Update と同じようなやつっす。
必要なパッケージを最新の状態に保つことは大事。

以上!これで終わり。

[optional]
毎回手動でやるのではなく、定期的に自動更新するようにしておくのも良い。
そんな人は yum-cron で検索だ!

自動でアップデートまでやられちゃうと何かあったとき困るよ。。
って人は、自動ではダウンロードまでしかやらないって手もあります。
DOWNLOAD_ONLY=yes あたりで検索。

root宛 メールを転送

システムから重要なメールが送られてくることもあるので
普段使っているメアドに転送しよう

SSH ポート変更

デフォルトの SSH ポート(22)のままだと攻撃されやすいです。
攻撃者はまず 22 とか 10022 とかを叩いてきます。

well known port (0-1023) 以外にしよう。
動的ポート(49152-65535) あたりがオススメ。

この数字は後で使うので忘れないように。

公開鍵認証とパスワードによるログイン禁止

パスワード認証による SSH 接続より安全なので公開鍵認証にします。

で、秘密鍵・公開鍵を作って、
公開鍵の方を上記 authorized_keys に上書き保存。

公開鍵認証を有効にし、パスワードによるログインを禁止する。
同時に SSH を許可するユーザを制限しておく。

ファイアウォール設定

iptables の設定をします。
SSH のポートを 22 から、上で設定した数字に変えます。
後はこの辺を参考に少しいじる。

さいごに

とりあえず、最初にやっておくことを列挙してみました。
アンチウィルスとか rootkit 検地ツールとかログ監視とかはまた別途書きます。

ふぅ。

  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください