某VPSへのセットアップおさらい1
●rootでログイン、メイングループwheelとして管理用アカウント追加、パスワード設定、確認
# useradd -g wheel admin # passwd admin # id admin●root になれるユーザを wheel グループのみに制限
# visudo
# %wheel ALL=(ALL) ALL ↓先頭のコメントアウト#を除去 %wheel ALL=(ALL) ALL以降 admin でログインしなおして作業。
●日本語メッセージを出力したいユーザー毎に
$ vi .bash_profileで、末尾に
LANG="ja_JP.UTF-8" export LANG LC_CTYPE="ja_JP.UTF-8" export LC_CTYPE を追加。●root のリモートログイン無効。SSH接続デフォルトポートを変更。
$ sudo mv /etc/ssh/sshd_config /etc/ssh/sshd_config.org $ sudo cp /etc/ssh/sshd_config.org /etc/ssh/sshd_config $ sudo vi /etc/ssh/sshd_config変更箇所は
$ sudo diff /etc/ssh/sshd_config.org /etc/ssh/sshd_config 13c13 < #Port 22 --- > Port 10022 42c42 < #PermitRootLogin yes --- > PermitRootLogin no設定変更の適用
$ sudo /etc/rc.d/init.d/sshd reloadあるいは再起動
$ sudo /etc/rc.d/init.d/sshd restart●root宛てメールをadminへ変更
$ sudo mv /etc/aliases /etc/aliases.org $ sudo cp /etc/aliases.org /etc/aliases $ sudo vi /etc/aliases変更箇所は
$ sudo diff /etc/aliases.org /etc/aliases 96c96 < #root: marc --- > root: admin $ sudo newaliases●OSアップデート
$ sudo yum clean all $ sudo yum install yum-fastestmirror $ sudo yum -y update●logwatch
logwatch がインストールされているか確認
$ sudo yum list installed | grep logwatchなければ logwatch をインストール Logwatch 7.3.6 (released 05/19/07)
$ yum info logwatch $ sudo yum -y install logwatchカスタマイズは以前と同様。
●ログローテート
logrotate がインストールされているか確認
$ sudo yum list installed | grep logrotateなければ logrotate をインストール
logrotate 3.7.8
$ yum info logrotate $ sudo yum -y install logrotate基本的なカスタマイズは以前と同様。ただし、ローテートするファイル履歴のデフォルトのサフィックスが連番から年月日へ変更されている。こちらの変更は後日。 ●ファイヤーウォール iptables がインストールされているか確認
$ sudo yum list | grep iptablesなければ iptables をインストール
iptables v1.4.7
$ yum info iptables $ sudo yum -y install iptablesSSH接続、WEBサーバの接続を許可する設定
$ sudo vi /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp -m multiport --dports 80,443 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT設定を反映
$ sudo service iptables restart確認
$ sudo iptables -L自動起動になっていなければ自動起動に変更
$ chkconfig --list | grep iptables $ sudo chkconfig iptables on