読者です 読者をやめる 読者になる 読者になる

fugafuga.write

アウトプットする用



さくらVPSに Debian jessie をインストール

Linux

CentOS 6.4 だと Docker がサポートされてなかったので

OSのカスタムインストール方法

これみてやる

help.sakura.ad.jp

キーボードレイアウトがおかしい場合

設定しなおしたりする

$ su -
$ dpkg-reconfigure keyboard-configuration
$ service keyboard-setup restart

そもそも、さくらVPSのVNCコンソールからUSキーボードで操作すると変更しても反映されなかった。
シリアルコンソール(β版)使ったらうまいこと入力できた。

原因は調べてない。

初期設定

ここから ssh で手元のターミナルから繋いで設定した。

sudo 入れる

$ su -
$ apt-get install sudo

インストール終わったら

$ visudo

以下を足す

{ユーザー名} ALL=(ALL) ALL

そこそこセキュアにする

記事を参考にしながら設定していく

そこそこセキュアなlinuxサーバーを作る - Qiita

ssh

/etc/ssh/sshd_config

Port {適当なポート}
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no

クライアント側の公開鍵を登録 (手元の端末で実行)

$ ssh-copy-id -i ~/.ssh/id_rsa.pub {ユーザー名}@{サーバーIP}

今まで知らんかったが、ssh-copy-id 超便利だわ!!!

設定し終わったら

$ sudo systemctl restart sshd.service

firewall の設定

iptables を直接触らず、ufw を使って設定する。

UFW - Community Help Wiki

$ sudo apt-get -y install ufw

全てのアクセスを拒否

$ sudo ufw default deny

http, ssh を許可

$ sudo ufw allow http
$ sudo ufw allow {ssh用ポート番号}/tcp

IPv6 off

/etc/default/ufw

IPV6=no

有効化

$ sudo ufw enable

確認

$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
80                         ALLOW       Anywhere
{ssh port}/tcp             ALLOW       Anywhere

ip spoofing 対策

IPスプーフィング - Wikipedia

これのとおりに設定 www.linuxtopia.org

/etc/sysctl.conf

net.ipv4.conf.all.rp_filter = 1

再起動

sysctl - システム管理コマンドの説明 - Linux コマンド集 一覧表

$ sudo sysctl -p

passprompt 変更

管理者は[sudo] password for user:と表示されるとパスワードを入力したくなる節があるので、ダミーなプロンプトを表示させてパスワードを盗んだりがんばればできます(そんな事態が発生する時点でやばいですが)。

とのこと。

$ sudo visudo

以下を追加

Defaults passprompt = "%u@%h -> Passworddddddd!!! -> "

logwatch 入れる

ログ監視してリポートしてくれるやつ

logwatchによるログ監視 | server-memo.net

$ sudo aptitude install -y logwatch

デフォルトの設定ファイルをコピー

$ sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

メールやら設定

/etc/logwatch/conf/logwatch.conf

MailTo=ore_no_mail@xxxx.com

キャッシュファイルディレクトリを作成

$ sudo mkdir /var/cache/logwatch

メール確認

$ sudo /etc/cron.daily/00logwatch

メールサーバーが入ってないと飛ばないがやってない。

Debian 8 (Jessie) - SMTP サーバ Postfix 構築! - mk-mode BLOG

以上

Linuxシステム[実践]入門 Software Design plus

Linuxシステム[実践]入門 Software Design plus

Linuxサーバーセキュリティ徹底入門

Linuxサーバーセキュリティ徹底入門

(参考)

http://qiita.com/upamune/items/7adc03e8a87f8ce4b924 http://www.mk-mode.com/octopress/2013/11/04/debian-7-install-logwatch/ http://qiita.com/cocuh/items/e7c305ccffb6841d109c#5-ポート変更