さくらのVPSでサーバ再構築1

さくらのVPSで前から借りていたのだけど、新プラン体系になってから、新プランに移った方がお得なので移行しようと思っていました。
仕事が忙しくて手つかずだったので、12月に時間ができたのと、石狩リージョンだと初期費用無料のキャンペーン中だったので構築着手しました。

OSには使い慣れたDebianにして、DNSサーバもさくらの提供しているものに移して、Wordpressでブログ構築するのが最初の目標。

さくらのVPSのコントロールパネルで、新しく石狩リージョンの2Gプランのインスタンスを契約。
コントロールパネルでOSインストールから、カスタムOSを選ぶと、OSをプルダウンで選ぶ画面になるので、Debianを選択。

メモリが2Gだし、386でいいんじゃないかとおもいつつ、AMD64版を選択。
Java でリモートコンソールが開くけど、最初は、ブラウザのセキュリティに引っかかってうまくひらけなかった。
そのため再度やり直した。

リモートコンソール開いてからは、OSのインストーラに従うだけなんで、特になし。

パーティションの分割に少し悩んだ。
基本的にパッケージで構築していくなら、/var を大き目にとっておくのがいいとおもう。
まぁ無用に分割しないほうがVPSだし楽なんじゃないかというキモする。
/var を大きくするのは、

  • DBが /var 以下にデータ領域をとる
  • /var/log にログファイルが残る
  • 基本的にパッケージのデータ領域になるのが、/var 以下

だからってところです。

OSのインストールが終わると、再起動になる。
VPSだと自動的な再起動にならずに停止で終わるので、コントロールパネルから手動で再起動する。
再起動したら、再びリモートコンソールで接続する。

再起動したら、できれば、ネットワークをすぐに切っておきたい。
公開状態であるのに、セキュリティ対策何もしてないから。

/etc/ssh/sshd_config を以下に編集・追記する。

port 22 → 任意の未使用ポートへ
PermitRootLogin yes → no : root での SSH ログインを禁止
PubkeyAuthentication no → yes :公開鍵でのログインを許可 
PasswordAuthentication yes → no :パスワードでのログインを禁止
AllowUsers ○○ :SSH でのログインを禁止

編集したら、保存して、SSHを再起動して有効にする。

次に、iptables の設定。
lo については許可、OUTPUT も許可、FORWARD は全却下、INPUT は選択したものだけ許可する。
それにしても Debian って iptables の設定方法・保存方法が毎回変わってる気がする。

#aptitude install iptables-persistent

をして、iptables-persistent パッケージを入れておく。

とりあえず調整用の設定をファイルに記載していく。

#vi /etc/iptables.myrule

*filter
# lo 初期化
-A INPUT -i lo -j ACCEPT
# lo への同一ネットワークからのINPUT許可
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# NEW じゃない通信を許可
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# OUTPUT を初期化
-A OUTPUT -j ACCEPT

# web 用
-A INPUT-p tcp –dport 80 -j ACCEPT
-A INPUT -p tcp –dport 443 -j ACCEPT
# SSH (ポート番号は、sshd_config で指定したもの)
-p tcp -m state –state NEW –dport ポート番号 -j ACCEPT
# ping 許可
-A INPUT -p icmp -m icmp –icmp-type 8 -j 

# その他のINPUTを却下
-A INPUT -j REJECT

# FORWARD を却下
-A FORWARD -j REJECT

COMMIT

とりあえず記述できたら、適用させる。

#iptables-restore < /etc/iptables.myrule

きちんと適用されてることを確認したら、永続化する。

#iptables-save > /etc/iptables/rules
#service iptables-persistent start

1つ目のコマンドで、 /etc/iptables/rules ファイルに設定を保存。
2つ目のコマンドで、 iptables-persistent を起動する。
これで再起動しても自動的に適用される。