タグ: DTI

DTIサーバー構築7 「セキュリティ向上委員会」

最低限のセキュリティ対策はやっておく。基本は大事。

ServersMan@VPSのセキュリティ設定
http://dream.jp/vps/esp/manual/mnl_security_01.html

公式サポートの情報を元に、

# useradd newusername
# passwd newusername
ユーザー newusername のパスワードを変更。
新しいパスワード:***
新しいパスワードを再入力してください:***
passwd: 全ての認証トークンが正しく更新できました。
SSHで接続しなおして、
新しいユーザーでログインできたら、rootになれるかを確認!

[newusername@newhost ~]$ su –
パスワード:***
[root@newhost ~]#
なれたら、rootになれるユーザーを限定するために、rootになれるユーザーをwheelグループに入れる。

# usermod -G wheel newusername
sudoが使えるユーザーをwheelグループのユーザーだけに制限する。
visudoは、sudoが使えるユーザーを変更するためのエディタ。
“sudo vi /etc/sudoers”と同じこと。

$ visudo
 次の行のコメント(#)を外して、保存(:wq)。

%wheel   ALL=(ALL)      ALL
wheelグループのユーザーは、sudoが使えるかを確認。

[newusername@newhost ~]$ sudo ls /

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for newusername:***
aquota.group  bin   dev  home  lib64  mnt  proc  sbin     srv  tmp  var
aquota.user   boot  etc  lib   media  opt  root  selinux  sys  usr
[newusername@newhost ~]$
その他のユーザーは使えないかを確認。

[notwheeluser@newhost ~]$ sudo ls /
[sudo] password for notwheeluser:***
notwheeluser is not in the sudoers file.  This incident will be reported.
[notwheeluser@newhost ~]$
確認が終わったら、次はrootになれるユーザーも制限する。

$ sudo vi /etc/pam.d/su
次の行のコメント(#)を外して保存。
auth       required     pam_wheel.so use_uid

wheelグループのユーザーは、rootになれるかを確認!

[newusername@newhost ~]$ su –
パスワード:***
[root@newhost ~]#

その他のユーザーは、rootになれない事を確認!

[notwheeluser@newhost ~]$ su –
パスワード:***
su: パスワードが違います
[notwheeluser@newhost ~]$
最後に、SSHにrootで直接ログイン出来ない様に設定変更。

# vi /etc/ssh/sshd_config
ちなみに、”/”の後に検索したい文字列を入れると検索が可能
次の行を入れる。

PermitRootLogin no
PermitEmptyPasswords no
SSHを再起動して、rootでログインできないか試しましょう。

# service sshd restart

でも、rootで入れなくなると、制限を気にしないといけないから不便なんですよね~。

DTIサーバー構築6 「もうそろそろ日本語で」

日本人で日本語が堪能なので、サーバーにも日本語を話してもらう。

#vi /etc/sysconfig/i18n

と、使いづらいviで、システム設定ファイルを編集。 

LANG=”en_US.UTF-8″
SYSFONT=”latarcyrheb-sun16″

を、

LANG=”ja_JP.UTF-8″
SYSFONT=”latarcyrheb-sun16″

に変更。
元は、

# ls -l /etc/sysconfig/
total 96
drwxr-xr-x 2 root root 4096 Aug  7  2012 cbq
 :
更新後、ログインしなおすと、

# ls -l /etc/sysconfig/
?荐 96
drwxr-xr-x 2 root root 4096  8?  7 16:50 2012 cbq
 :
PuTTYの設定忘れてた。。。


設定の[ウィンドウ]-[変換]-[文字コードの設定]を
“UTF-8/Auto-Detect Japanese”
に変更。

# ls -l /etc/sysconfig/
合計 96
drwxr-xr-x 2 root root 4096  8月  7 16:50 2012 cbq
 :

おっけ~!
しかし、この日時の表示、どこかにフォーマットの設定があるのかな?

DTIサーバー構築5 「今日から俺と一緒の苗字だな」

SSHにログインすると、次のように、ホスト名も表示される。

[root@dti-vps-srv99 ~]#

ちなみに、意味は、

[ユーザー名@ホスト名 カレントディレクトリ]プロンプト
プロンプトはユーザーによって次のように異なる。

$ → 一般ユーザー
# → root
このホスト名が、DTIのもので気に食わない!
ってほどでもないが、ドメインを所有しているので、ちゃんと変更しておこう。

[root@dti-vps-srv99 ~]# vi /etc/sysconfig/network
viというテキストエディタを使うのだが、使い方が特殊なので調べながら使って下さい。
最小限の使い方としては、
[i]キーで編集できるモードに入って、編集後[esc]キーでコマンドモードに戻る。
“:wq”(先頭はコロン)と入力してリターンで、保存終了される。

NETWORKING=”yes”
HOSTNAME=”newhost.your.domain.com” ←この部分を追加
GATEWAY=”192.0.1.1″
NETWORKING_IPV6=”yes”
IPV6_DEFAULTDEV=”venet0″
さらに、ついでにhostsファイルも変更しておく。

[root@dti-vps-srv99 ~]# vi /etc/hosts
 以下のように、行末にホスト名を追加。

127.0.0.1 localhost.localdomain localhost newhost.your.domain.com ←この部分を追加
編集が終わったら、サーバーを再起動。

[root@dti-vps-srv99 ~]# shutdown -r now

少し待ってから再度SSHでログインすれば、

[root@newhost ~]#

満足!

DTIサーバー構築4 「ダイエットしなきゃね」

サーバー契約後、こんなメールが送られてくる。

ServersManのご利用方法
ServersManのご利用方法

DTIのVPSには、ServersMan@VPSという名前のとおり、ServersManというオンラインストレージが入っている。

ServersMan Admin Tool
ServersMan Admin Tool

でも、私個人は使わないので、消してしまう。

# yum erase smadmin serversman
 :(色々表示されて)
Is this ok [y/N]: y ←[y]キーで実行
 :(また、色々表示されて)
Removed:
  serversman.i386 0:1.0-009                smadmin.i386 0:2.0-001

Complete!
あと、なぜかSambaも入っているので、消してしまう。

# yum erase samba
 :(色々表示されて)Installed size: 17 M
Is this ok [y/N]: y ←[y]キーで実行
 :(また、色々表示されて)
Removed:
  samba.x86_64 0:3.5.10-125.el6

Complete!
パソコンも、サーバーも軽い方が良いよね。

DTIサーバー構築3 「ここには来るなと言っただろ」

DTIには「AirDisplay@VPS」というものがあり、Webブラウザーからも接続が可能。

AirDisplay@VPS
AirDisplay@VPS

でも、SSHのクライアントソフトやアプリがあるから、個人的には不要。

というわけで「AirDisplay@VPS」を削除する。

ちなみに、この作業をAirDisplay@VPSでやらないでね。

AirDisplayの正体は、Ajaxtermというものらしい。
なので、それらを消しまくる。

まず、停める。

# /sbin/service ajaxterm stop
Stopping ajaxterm:                                         [  OK  ]
次に、自動起動の設定自体を削除。

# /sbin/chkconfig –del ajaxterm
そして、不要になるファイルを削除。

# rm -rf /usr/local/bin/ajaxterm
# rm -rf /usr/local/share/ajaxterm/
# rm -rf /usr/local/share/man/man1/ajaxterm.1.gz
# rm -rf /etc/httpd/conf.d/proxy_ajaxterm.conf
最後に、HTTPサーバーを再起動

# /sbin/service httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd:                                              [  OK  ]
ほら、もうAirDisplay@VPSは使えない。