さくらVPSを借りて始めにやる事(CentOS6.4)


vi -> vim 置き換え

Centosはviが標準になっているが、vimも入っているので、viでvimが起動するように設定。完全に個人的な使い勝手の問題。
各アカウントのprofileに記載するべきかもしれないが、全ユーザーにvimを強制ww

vi /etc/profile

最終行に以下のエイリアスを追記

alias vi=’vim’

設定を反映する

source /etc/profile

vimの設定

見やすく行番号を標準で表示、文字コードをutf-8をデフォに。

vi /etc/vimrc

最終行に以下の設定を追記

set number
set encoding=utf-8
set fileencodings=iso-2022-jp,cp932,sjis,euc-jp,utf-8

アカウント作成

当たり前の事ですが、rootの常用は危険な為、新たにアカウントを作成する。
セキュリティ上、admin、user、ホスト名等一般的なアカウント名は避けるべき。

useradd xxxxx
passwd xxxxx

wheelグループにuserを追加

管理者グループに新たに作成したユーザーを追加する。

vi /etc/group

wheelにカンマ区切りで追記する

wheel:x:10:root,xxxxx

rootになれるのは、wheelだけに

vi /etc/pam.d/su
#auth required pam_wheel.so use_uid
↑コメント解除

#ルート宛メールを転送
vi /etc/aliases
# Person who should get root’s mail
# 最終行頭の#を削除しする先のメアドを記載
root: メールアドレス

#SSHのセキュリティ強化
vi /etc/ssh/sshd_config

# 42行目:コメント解除し変更 ( rootログイン禁止 )
PermitRootLogin no
# 65行目:コメント解除
PermitEmptyPasswords no
PasswordAuthentication yes
#使わないipv6を無効にする
vi /etc/sysctl.conf
#最終行に追記
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

#IPv6を無効にするとpostfixがエラーを吐くので対処。
vi /etc/postfix/main.cf
inet_protocols = ipv4

#IPv6を切ったの、ip6tablesも停止。
/etc/rc.d/init.d/ip6tables stop
chkconfig ip6tables off

#iptablesの基本設定
vi /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]

# 標準設定
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# SSH
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT

# HTTP
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT

# 上記に一致しないものは全部リジェクト
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited

COMMIT

# 再起動
/etc/rc.d/init.d/iptables restart

# 攻撃を受けたIPを自動的にブラックリストへ
yum install denyhosts
vi /etc/denyhosts.conf
設定は参照
http://www.omnioo.com/record/ubuntudebian/ubuntudebian-ssh-denyhosts/
/etc/rc.d/init.d/denyhosts restart
chkconfig denyhosts on

#logwatchを導入して自動的にログをメールで報告
yum install logwatch
cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/
#必要なら設定変更
vi /etc/logwatch/conf/logwatch.conf

#logwatchのメールがテスト
/etc/cron.daily/0logwatch
#不要なサービスを停止

#自動起動するサービスを確認。
chkconfig |grep 3:on

#TK仕様のサービス一覧
atd at:コマンドの遅延実行を有効にするサービス
crond 指定時刻に定期的に実行
denyhosts PASS繰り返し間違ったら自動的に拒否
iptables ファイヤーフォール
irqbalance コアが複数の場合、効率よく分散
network 説明不要
ntpd NTPサーバーで時間合わせ
postfix メール転送エージェント(MTA)
rsyslog ログの収集、syslogの変り
sshd 説明不要
sysstat システムの統計情報を収集
この構成で再起動直後100MB程度メモリを使用。



Kenzi Tada について

カメラマンを本業と出来るよう鋭意努力中ですが、まだまだ力量が不足し、広告企画制作や技術者としての仕事をメインに、二足のわらじ、もとい四足ぐらいか(笑) 作品制作や撮影のお仕事にご協力頂ける被写体様(男女年齢問わず)、ヘアメイクアップアーティスト様を随時募集しております。ご興味が御座います方は是非、ご連絡下さい。