os: CentOS 6 x86_64

(RHEL6系からtext modeを選ぶとパーティションをカスタマイズできないので注意)

Install CentOS

keyborad type : jp106

Enable IPv4 support
manual configuration
Enable IPv6 support なし

さくらの管理画面のインストール情報のIPを入力

root password 入力

partitionは

• Use All Space
• Review and modify partitioning layout チェック

適当にパーティション設定

• /boot 500M
• swapを4G
• あとはlvmの/

5分ぐらい待つ。インストール終了後、vncが切れるのでコントロールパネルのVPSホームから仮想サーバを起動して、コンソール or ssh からrootログインする。

sshdの設定

sshdのrootログインを拒否、パスワード認証を拒否する。port番号は気休めで変更している。 (変更してもport scanされたらどうせバレるけど)

# cd /etc/ssh/
# cp sshd_config sshd_config.org
# vim sshd_config
PermitRootLogin no
PasswordAuthentication no
Port "適当なport"

su の設定

操作用のユーザ作成(wheelグループに所属させる)。suが実行できるのをwheelグループに制限。

# useradd -G wheel hogem
# passwd hogem
### 適当に設定
# vim /etc/pam.d/su
### 以下の設定がコメントされているのを外す
auth           required        pam_wheel.so use_uid

sshの鍵を作成

ssh 認証用の鍵を作る。めんどくさいからサーバでssh-keygen してるけど、あらかじめlocalのPCでやっておいて、公開鍵をssh-copy-id してuploadするほうが正解かも。

# su - hogem
$ ssh-keygen
### 鍵の名前、passphraseは適当に設定
$ cd .ssh
$ mv id_rsa.pub authorized_keys
### コピペするなりなんなりしてid_rsa を自分のPCに保存
$ cat id_rsa
### 保存後はサーバに秘密鍵は不要なので消す
$ rm id_rsa

iptables で22番ポートへの通信をdrop

これも気休め。sshdを22222番に変更して22番を閉じるけど執拗にアクセスしてくるipがいるので一応log を取ってdrop。

# iptables -A INPUT --protocol tcp --dport 22 -j LOG
# iptables -A INPUT --protocol tcp --dport 22 -j DROP
# /etc/init.d/iptables save

yumのサードパーティリポジトリの設定

epel をinstall ... しようとしたけど最初から入ってた。。。ただ、enabled=1 になっているので、defaultではepelを使用しないように変更する。

# sed -i 's/enabled=1/enabled=0/g' /etc/yum.repos.d/epel*

epelを使うときはyum --enablerepo=epel で。kernel等は最新のものらしいので、yum update は不要だった。

環境変数等の設定

ここからは各自好きな設定で。最低限bash のrm, mv, cp に確認をうながす-i をつけておこう。

• .bash_profile

alias rm='rm -i --preserve-root'
alias mv='mv -i'
alias cp='cp -i'

rmの--preseve-root(rm -rf / を実行できなくする)はRHEL6、debain等ではdefaultなので明示的に書かなくてもいいけど。