某VPSへのセットアップおさらい1
CentOS 6 x86_64 インストール直後から。
●rootでログイン、メイングループwheelとして管理用アカウント追加、パスワード設定、確認
# useradd -g wheel admin
# passwd admin
# id admin
●root になれるユーザを wheel グループのみに制限
# visudo
# %wheel ALL=(ALL) ALL ↓先頭のコメントアウト#を除去 %wheel ALL=(ALL) ALL以降 admin でログインしなおして作業。
●日本語メッセージを出力したいユーザー毎に
$ vi .bash_profileで、末尾に
LANG="ja_JP.UTF-8"
export LANG
LC_CTYPE="ja_JP.UTF-8"
export LC_CTYPE
を追加。
●root のリモートログイン無効。SSH接続デフォルトポートを変更。
$ sudo mv /etc/ssh/sshd_config /etc/ssh/sshd_config.org変更箇所は
$ sudo cp /etc/ssh/sshd_config.org /etc/ssh/sshd_config
$ sudo vi /etc/ssh/sshd_config
$ sudo diff /etc/ssh/sshd_config.org /etc/ssh/sshd_config設定変更の適用
13c13
< #Port 22
---
> Port 10022
42c42
< #PermitRootLogin yes
---
> PermitRootLogin no
$ sudo /etc/rc.d/init.d/sshd reloadあるいは再起動
$ sudo /etc/rc.d/init.d/sshd restart
●root宛てメールをadminへ変更
$ sudo mv /etc/aliases /etc/aliases.org変更箇所は
$ sudo cp /etc/aliases.org /etc/aliases
$ sudo vi /etc/aliases
$ sudo diff /etc/aliases.org /etc/aliases
96c96
< #root: marc
---
> root: admin
$ sudo newaliases
●OSアップデート
$ sudo yum clean all
$ sudo yum install yum-fastestmirror
$ sudo yum -y update
●logwatch
logwatch がインストールされているか確認
$ sudo yum list installed | grep logwatchなければ logwatch をインストール
Logwatch 7.3.6 (released 05/19/07)
$ yum info logwatchカスタマイズは以前と同様。
$ sudo yum -y install logwatch
●ログローテート
logrotate がインストールされているか確認
$ sudo yum list installed | grep logrotateなければ logrotate をインストール
logrotate 3.7.8
$ yum info logrotate基本的なカスタマイズは以前と同様。ただし、ローテートするファイル履歴のデフォルトのサフィックスが連番から年月日へ変更されている。こちらの変更は後日。
$ sudo yum -y install logrotate
●ファイヤーウォール
iptables がインストールされているか確認
$ sudo yum list | grep iptablesなければ iptables をインストール
iptables v1.4.7
$ yum info iptablesSSH接続、WEBサーバの接続を許可する設定
$ sudo yum -y install iptables
$ sudo vi /etc/sysconfig/iptables設定を反映
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
$ sudo service iptables restart確認
$ sudo iptables -L自動起動になっていなければ自動起動に変更
$ chkconfig --list | grep iptables
$ sudo chkconfig iptables on