![[PukiWiki]](image/logo.gif "[PukiWiki]"){kind=logo}
さくらのVPSを標準のOSの設定したときの情報(今はDebianで運用中) #contents #navi(Sakura/VPS) **利用目的 [#u359da86] +CentOSの扱いを学習 +iPadに仮想デスクトップを提供 **構築手順 [#a780bdb0] (シリアル・コンソールから) # useradd otsuka -m # passwd otsuka (いつものパスワード) # visudo otsuka ALL=(ALL) ALL $ mkdir .ssh $ chmod 700 .ssh $ cd .ssh $ cat >authorized_keys $ chmod 600 authorized_keys $ cd .. $ sudo -i # yum groupinstall "GNOME Desktop Environment" # yum groupinstall "X Window System" # vi /etc/sysconfig/vncservers VNCSERVERS="1:otsuka" VNCSERVERARGS[1]="-geometry 1280x1024 -nolisten tcp -nohttpd -localhost \ -fp /usr/share/X11/fonts/misc/,/usr/share/X11/fonts/100dpi/,/usr/share/X11/fonts/75dpi/" $ vncpasswd $ sudo /sbin/service vncserver start $ sleep 60 $ sudo /sbin/service vncserver stop $ vi ~/.vnc/xstartup unset SESSION_MANAGER exec /etc/X11/xinit/xinitrc $ sudo /sbin/service vncserver start **日本語入力 [#rbfbdc2b] 日本語入力できるようにする [[参考:http://bluebonnet.way-nifty.com/cyberham/2009/06/centos-5-3e9c.html]] sudo yum install anthy scim scim-anthy vi ~/.vnc/xstartup export XMODIFIERS="@im=scim" export GTK_IM_MODULE="scim" export QT_IM_MODULE="scim" export XIM_PROGRAM=/usr/bin/scm unset SESSION_MANAGER exec /etc/X11/xinit/xinitrc デフォルトは Ctrl-Space だが、emacs と重なるので、 System: Preferences: More Preferences: SCIM Method Setup: で Shift-Space に割り当てる。vncviewerで漢字キーを使えるように 設定すれば Kanji 等を割り当てても良いかもしれない。 ローマ字で「ちゃ・ちゅ・ちょ」が「cya cyu cyo」で出ない。 CIM Method Setup で、Key bindings theme を Microsoft IME に、 Romaji typing: Romaji table: も Microsoft IME にすればよい。 **emacs 21 [#pee53ee4] emacs22だとUTF-8を扱うのは難しくないのだが、CentOS 5は emacs21 なので 少し設定が必要なようだ。 $ sudo yum install emacs anthy-el $ cat >.Xresources emacs.geometry: 110x40 Emacs.Font: fontset-standard ^D $ vi ~/.emacs (require 'un-define) (coding-system-put 'utf-8 'category 'utf-8) (set-language-info "Japanese" 'coding-priority (cons 'utf-8 (get-language-info "Japanese" 'coding-priority))) (set-language-environment "Japanese") (set-terminal-coding-system 'utf-8) (set-keyboard-coding-system 'utf-8) (set-buffer-file-coding-system 'utf-8) (setq default-buffer-file-coding-system 'utf-8) **デスクトップの設定 [#s76ffe15] +スクリーンセーバーを無効にする +クリップボードの接続 System:Preferences:More Preferences:Sessions Startup Programs(TAB) Add vncconfig -iconic=1 +ssh-addをStartupセッションに加える **Firefox [#p65d8864] $ sudo yum install firefox コンテンツ言語に日本語を追加し最優先にする +Edit:Preferences:Content:Languages:Choose... +Select a language to add..:Japanese [ja] +Add:Move Up:Move Up **IPAフォント [#v5e2cc85] 標準のフォント Sazanami が汚いので、IPAフォントに変えてみる。[[ここ:http://tmcosmos.org/linux/centos/co5.html#japanesefonts]]に載っている手順でよいが、 タイプミスがあるためはまった。 cd src/ mkdir meguri-font cd meguri-font wget http://www.geocities.jp/ep3797/snapshot/modified_fonts/meguri-fonts-20100114.tar.bz2 tar xjvf meguri-fonts-20100114.tar.bz2 sudo cp meguri-fonts-20100114/meguri*.ttf /usr/share/fonts/japanese/TrueType/ wget "http://luke.skr.jp/hsj/?plugin=attach&refer=Sakura%2FVPS&openfile=local.conf.txt" -O local.conf sudo cp local.conf /etc/fonts/ cd ~/src mkdir ipa-font cd ipa-font/ wget http://ossipedia.ipa.go.jp/ipafont/IPAexfont00102.php unzip IPAexfont00102.zip sudo cp IPAexfont00102/*.ttf /usr/share/fonts/japanese/TrueType/ sudo fc-cache -fv -[[IPAフォントのダウンロード || OSS iPedia:http://ossipedia.ipa.go.jp/ipafont/index.html]] -&ref(Sakura/VPS/local.conf.txt); **iptables [#j2b9eb35] 物理レンタル・サーバーで iptables の設定をミスするとオペレータのお世話になるので気をつかったものだが、VPSだと仮想シリアルから入ってファイアーウォールの修正できるので気軽になった。 system-config-securitylevel-tui で Security Level を Enabled にして Customize ボタンで ssh だけアクセスできるようにする。VPSのシリアル・コンソールから実行しないと操作途中で切れることがあるので注意。シリアル・コンソールだと表示が乱れる。 ここで SELinux を Enforce にして再起動すると、誰もログインできなくなって再インストールが必要になるのでやらないこと。 [2010/8/5 17:50] 何気なく /var/log/secure を見ていたら、ssh ブルートフォースアタックを受けていることが判明した。 ユーザー名やパスワードを辞書を使って総あたりで破ろうとしているようだ。 rootやotsukaのパスワードは乱数なので破られることは無いと思われるが、 念のためパスワードによるssh接続を無効にした。 sudo vi /etc/ssh/sshd_config :s/PasswordAuthentication yes/PasswordAuthentication no/ :w :q sudo /sbin/services sshd restart ログを確認 ( tail -F /var/log/secure ) していたら、パスワードでの接続を無効にしているにもかかわらず執拗に アタックが続くようなので IPアドレスでフィルタするようにした。 sudo /sbin/iptables -I INPUT 1 -p tcp -s (攻撃元IP) --dport 22 -j REJECT 攻撃元IPを APNIC の WHOIS で調べてみたところ韓国からのようだ。 一時的なフィルタとして設定するつもりなので、再起動するか sudo /sbin/iptables -D INPUT 1 とすれば解除できる。 手動でフィルタするのが追いつかなくなったので、/etc/sysconfig/iptables で ssh を通すフィルタの手前に8回/分以上の新規接続を 検出すれば、応答しないように修正。sudo /etc/init.d/iptables restart して様子を見る。 -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT + -A RH-Firewall-1-INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH + -A RH-Firewall-1-INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited cat /proc/net/ipt_recent/SSH すれば、アタックしてきたIPが出てくる(正規のアクセスも含まれる) 日本以外からのssh接続を拒否するフィルタを設定するのも手かもしれない。 [2010/12/15] ポート番号を22から適当な番号に変更した。クライアント側の設定変更が面倒だが、セキュリティ上は好ましい。 新規接続の頻度でフィルタする iptables のエントリも削除した。 -[[sshへの総当り攻撃をiptablesの2行で防ぐ方法 (blog@browncat.org):http://blog.browncat.org/2007/07/sshiptables2.html]] -[[ファイアウォール構築(iptables) - CentOSで自宅サーバー構築:http://centossrv.com/iptables.shtml]] -[[世界の国別 IPv4 アドレス割り当てリスト:http://nami.jp/ipv4bycc/]] **root宛てのメール [#yb43e0d5] 少なくとも1日1通 Logwatch からのメールが届くので、 root宛てのメールを Thunderbird で読めるようにする。 $ sudo yum install dovecot thunderbird $ sudo vi /etc/dovecot.conf protocols = imap mail_location = mbox:~/mail:INBOX=/var/mail/%u $ sudo service dovecot start $ sudo chkconfig dovecot on $ sudo vi /etc/aliases root: otsuka $ sudo newaliases これまで溜まっていた root 宛てのメールを inbox へ移動 $ cd /var/mail $ sudo cp root otsuka $ sudo chown otsuka.mail otsuka $ sudo chmod 660 otsuka Thunderbird で以下ようなアカウントを作成 (外にメールを出すことがあるのなら、 実在するメールアドレスで設定する)。 Your Name: Koichi Otsuka Email Address: otsuka@sakura-vps.local Server Type: IMAP Mail Server Server Name: localhost User Name: otsuka Outgoing Server Server Name: localhost **httpサーバー [#k6fb2828] localhostで[[p2 (PHPでつくった2ch Viewer)>Sakura/rep2]]を入れるために httpサーバーを立ち上げる。 p2はSakuraのレンタルサーバーでも動作するが、最近過負荷が酷くなってきたのでVPSに移すことにした。 ポート80(http)への外からのアクセスは、デスクトップの Firefox からのみアクセスするのであれば、 不要だがiPhone等からもアクセスしたいときは、乗っ取られないように慎重に開ける。 $ sudo yum install httpd php php-mbstring $ sudo vi /etc/sysconfig/iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT + -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT $ sudo service iptables restart $ sudo service httpd start $ sudo chkconfig httpd on $ sudo vi /etc/php.ini mbstring.* のコメントを全て外した 安全性に問題ないのか検証していないが、一般ユーザーでもhttpdのアクセスログを見れるようにした。 $ sudo chmod go+rx /var/log/httpd $ tail -F /var/log/httpd/access_log httpサーバーを開放する場合は、インストールするモジュールなどを慎重に設定する。 php-admin等、デフォルトのフォルダ構成や簡単なパスワード等で公開しない、等の注意が必要。 **その他チューニング [#s5495657] -[[CentOSをサーバーとして活用するための基本的な設定 (さくらインターネット創業日記):http://tanaka.sakura.ad.jp/archives/001065.html]] にあるように不要なデーモンを一気にoff、 inittab の不要なコンソールも停止。 ---- #include(免責事項)
