今借りているさくらインターネットのVPSは、2012年に借りて現在に至ります。
HDDタイプなんですが、SSDタイプにしようとおもいました。
これを書いているときはまだ作業中ですが、メモとして残します。
新しいVPSを借りる
石狩リージョンでも借りられるんじゃんとおもったんだけど、
2Gプランは売り切れになっていて、東京リージョンにするしかなかったので、
東京リージョンにしました。
仮申し込みしたあと、使えるようになるまでメールを待ちます。
申し込み完了から、仮登録完了のメールがくるまで20分弱というところでした。
プリインストールされてるCentOS起動して、cpuinfo の情報を見る。
まぁさすがに今のCPUよりはよくなりそうなので、サーバを落とした。
割り当てられたIPアドレスがブラックリスト登録されてないか確認したところ、
特に問題なさそうだったので、このインスタンスでいいやってことで。
Debian をインストール
管理画面でOSインストールを選択。
カスタムのDebian7amdを選択してインストール開始。
途中で聞かれるIPアドレス等は、さくらインターネットに割り振られているものを設定する。
パーティションは以下に設定
| /boot | 250 MB |
|---|---|
| swap | 2.1 GB |
| / | 残り全部 |
インストール終わったら、再起動はいるのだけど、自動的に起動しないので、
管理画面で停止してるのを確認したらそのまま起動ボタン押して起動する。
初期設定的なこと
いらないパッケージを削除する
#apt-get purge rpcbind nfs-common
apt のソースリストの修正
#vi /etc/apt/souces.list
contrib と non-free も対象になるように追記する
最新の状態に更新
#apt-get update #apt-get upgrade
vim のインストール
vim のほうが使いやすいので、vim をインストール。
#apt-get install vim
su できるユーザー設定
debian では、adm グループを使用するらしいので、adm グループに追加する。
(sakurauser は blog 記事用のサンプルユーザー)
#usermod -G adm sakurauser
pam_wheel で adm グループユーザーだけが su 可能にする。
#vi /etc/pam.d/su auth required pam_wheel.so group=adm
sudo の設定
sudo パッケージをインストール。
#apt-get install sudo
sudo の設定ファイルを書き換えて、自分が sudo 使えるようにする。
#vi /etc/sudoers # %sudo ALL=NOPASSWD: ALL sakurauser ALL=(ALL) ALL
コンソールの数を減らす
デフォルトだと6つコンソールできるけど、そんなにいらないので、2つ残して残りをコメントアウトする。
#vi /etc/inittab #3:23:respawn:/sbin/getty 38400 tty3 #4:23:respawn:/sbin/getty 38400 tty4 #5:23:respawn:/sbin/getty 38400 tty5 #6:23:respawn:/sbin/getty 38400 tty6
上記に合わせてこちらも修正する。
#vi /etc/default/console-setup #ACTIVE_CONSOLES="/dev/tty[1-6]" ACTIVE_CONSOLES="/dev/tty[1-2]"
時計合わせ
ntpdate をインストール
#apt-get install -y ntpdate
設定ファイルを修正する。
ntpd は立ててないので、ntdp の設定ファイルは使わない。
ntp サーバーはさくらのものを指定する。
#vi /etc/default/ntpdate NTPDATE_USE_NTP_CONF=no NTPSERVERS="ntp1.sakura.ad.jp"
クーロンのデイリーに追加する。
#vi /etc/cron.daily/ntpdate #!/bin/sh /usr/sbin/ntpdate-debian > /dev/null 2>&1
実行権限付与する
#chmod 755 /etc/cron.daily/ntpdate
SSHDの設定
SSHD は入ってるので、設定を変える。
#vi /etc/ssh/sshd_config Port xxxxx #ポートを変更 PermitRootLogin no #rootでのログインを禁止 PasswordAuthentication no #パスワードでの認証を禁止 UsePAM no #PAM使わない AllowUsers sakurauser #ssh接続可能なユーザーを指定
ログインユーザーに戻ってから、認証キーを登録
$mkdir ~/.ssh $chmod 600 ~/.ssh
~/.ssh/authorized_keys にキーを登録しておく。
ロケールを日本語にする
#dpkg-reconfigure locales
ja_JP.UTF-8 を追加し、デフォルトに設定する。
iptables の設定
/etc/iptables.test.rules を作業ファイルとしていたので、持ってきてある。
#apt-get install iptables-persistent #iptables-restore < /etc/iptables.test.rules #設定をロードする #iptables-save > /etc/iptables/rules.v4 #起動時に自動的に適用されるようにセーブ #service iptables-persistent start #サービスを起動 #sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 #ブロードキャストpingへの応答拒否
カーネル設定は上記だと再起動したら戻ってしまうので、永続化されるように設定を修正する。
#vi /etc/sysctl.conf net.ipv4.icmp_echo_ignore_broadcasts=1
iptables では、ログをいくつかに分かれているのでrsyslogの設定をする
RULES 直下に追加する
#vi /etc/rsyslog.conf :msg, contain, "IPTABLES PINGATTACK" -/var/log/iptables/ping-attack.log :msg, contain, "IPTABLES PINGATTACK" ~ :msg, contain, "IPTABLES DROP INPUT" -/var/log/iptables/input-drop.log :msg, contain, "IPTABLES DROP INPUT" ~
ログのディレクトリとファイルを作っておく
#mkdir /var/log/iptables #touch /var/log/iptables/ping-attack.log #touch /var/log/iptables/input-drop.log
ログがローテートされるようにする
#vi /etc/logrotate.d/iptables
/var/log/iptables/input-drop.log /var/log/iptables/ping-attack.log {
weekly
rotate 4
create
postrotate
/etc/init.d/iptables-persistent reload > /dev/null 2> /dev/null || true
endscript
}
なお、iptables の設定内容については以下のサイトを参考にした。
http://oxynotes.com/?p=6401
ということで今回は基本設定まで。
mysql いれたり、wordpress 実行できるようにしたりとかいろいろやることある。