【net】SaasesVPS構築記録@初期ことはじめ
既に1ヶ月以上経過してるので、かなり抜けてるような気がしますが、何かと記録しておくのは、自分にも他の誰かにも有益なものですので、こつこつエントリーしていきます。
契約後、最初にした事をつらつらを書いていきます。追記7/25
Saasesでは、契約内容のPDFがあるので、そちらをデスクトップに保存しておきます。IPアドレスやパスワードなど、その都度すぐ見れるようにです。印刷は避けたほうがいいでしょうね。
ちなみに自分は、CentOSの32bitにしました。CentOSだとサポートを受けられるというためと、32bitにすると、メモリ消費量を下げられるためです。
初期状態では、(契約時にチェックできますが)WebminとSSHがオープン状態です。基本的なところは、他のサイトで嫌というほど書かれてますので、割愛します。
Saasesでの標準OSのCentOSを選択すると、予めアップデートが適用済みの改変されたCentOSのようです。MANページなども、日本語化もされているようです。困ったら、manでコマンドを調べられます。
- SSHクライアントの用意。当方はPoderosaを愛用してます(Windows用フリー)
- IPv6の無効化(高速化のため、IPv6が広まったらON。sysctrl.cnf,sysconfig/network)
- Apache(HTTPD)サービスの無効化(不正な検知を避けるため。Webmin利用の方は別)
- Apacheの設定(/etc/html/conf/httpd.conf)
- VIMのインストールとaliasにて登録(標準VIでは、編集し難いため)
- ホスト名の変更(/etc/hosts,etc/sysconfig/network)
- 余計なサービスデーモンの終了(少ないが、いくつかある)
- SSH設定(空パスワード無効、rootログイン不可。/etc/ssh/sshd_config)
- phpMyAdmin(MySQL)のアクセス制限(/etc/html/conf.d/phpmyadmin.conf)
- EC-Cubeのアクセス制限(/etc/html/conf.d/eccube.conf)
こんなところじゃないかな。Apacheサーバを止めるやアクセス制限は、サイトの正式な公開までOFFにしているという意味です。
余計なデーモンは、xfs、iscsidとiscsi。これ落とすだけでも20M位確保できる。可能なら、Webminも落とした方が良い(/sbin/service webmin stop )
自分はさらに、
- Sambaのインストール(Windows共有、VPN経由のみ制限)
- WordPressのインストール(Saasesに手順書アリ)
- vsftpdのインストール(非公開FTPサーバ、Wordpress用必須)
- pptpdのインストール(VPN、サーバアクセスはこの方法のみとする)
- sshdの設定(VPNからしか見えないようにする)
- namedのインストール(取得ドメインが見えるようにする、MXはGoogleApps)
- ApacheにProxy機能付与(Radiko用、別エントリーにて説明)
メモリ上、ここまでで精一杯っぽいです。もうちょっといけるかな。
めぼしいところまで行ったら、SSHログインを公開鍵方式に切り替えます。ここで注意するのは、間違った設定しちゃうとアウトって事です。また、サーバ初期化し直す事になります。ちなみに、さくらVPSだと、管理画面にコンソールがあるのでなんとかなるが、Saasesだとログインする手段が無くなっちゃう(Webminが生きてればなんとかなるのかな?)
まず鍵を作らなければならないのですが、標準でインストールされているOpenSSHでは、Poderosaが生成する鍵を認識できません(Puttyで変換できるそうです)
なので、サーバ上で作る事にします。ssh-keygen -t rsa
この先の手順は、色々なところに書かれてますので割愛(秘密鍵のみ、自分で大切に保管)
パスフレーズは、出来るだけ長い方がいい。後で詳しくエントリーするVPN経由でのアクセスのみに限定するのであれば、気に留める事は無い(VPN経由のみで、SSHポートは閉じてしまう)
次回は各種サーバの立ち上げ。