さくらの VPS セットアップメモ

申し込み

• ​さくらの VPS

上記サイトより手順に沿って申し込む。ここで取得するのは以下の 2つ。

• さくらインターネット会員 ID
  • 「お申込受付完了のお知らせ」と題されたメール、および登録時の画面にて ID が伝えられる。パスワードは登録時に指定したものをそのまま利用する。
  • ​会員メニューにて、契約情報の確認および変更を行うのに使用する。ID は絶対に紛失しないよう保管すること。
• VPS の IP アドレス、および root 初期パスワード
  • 「仮登録完了のお知らせ」と題されたメールにて、連絡される。このメールは紛失・流出しないよう大切に保管すること。

VPS の起動

VPS は起動していない状態で提供される。そのままの状態で連絡された IP に ssh でつなぎに行ってもうんともすんとも言わない。

VPS の起動方法は以下の通り。

1. ​VPS コントロールパネルにアクセスする。
2. 取得した VPS の IP アドレスと root パスワードを入力する。
3. VPS ホーム画面にて、「仮想サーバ操作」の「起動」ボタンをクリックする。

ソフトウェアの更新と ViM のインストール

ViM が入っていなかったのでインストールする。ついでにソフトウェアを最新版にアップデートしておく。

1. root でログインする。
2. ソフトウェアを最新版にアップデートする。

   $ yum check-update
   $ yum update
   

3. ViM をインストール

   $ yum install vim-enhanced
   

ユーザー登録と ssh 接続のためのセキュリティ設定

初期状態では、 ssh 接続にて root でパスワード認証によりログインする、という決して安全とは言えない状態になっている。これを、 root 以外のユーザーのみが公開鍵認証によりログインできるように設定する必要がある。

この設定方法については、よくまとまった記事があったので、こちらを参照のこと。

• ​myfinder's blog: さくらのVPSを借りたら真っ先にやるべきssh設定

以下、簡単にメモする。

1. root でログインする。
2. ユーザーを作成する。

   $ useradd -m -G wheel hoge
   $ passwd hoge
   

3. sshd の設定を変更する。

   $ vim /etc/ssh/sshd_config
   
   PermitRootLogin no          # root での接続を無効
   PasswordAuthentication no   # パスワード認証を無効
   UsePAM no                   # PAM を無効
   

4. 公開鍵認証用の鍵を作る。これはローカル PC 上で行う。
   • 公開鍵のパスワードと実際のユーザーのパスワードは同じにしないこと。これ、同じにしたらあんまり意味がなくなってしまう。
   • Windows で Putty の場合は puttygen.exe ってので作れる。公開鍵と秘密鍵をファイルに出力し (秘密鍵は拡張子が .puk になる)、Putty からの接続時に秘密鍵ファイルを「接続/SSH/認証」画面の「認証のためのプライベートキーファイル」欄に指定する。
   • それ以外 (Windows で Cygwin 利用、または Mac OS X や Linux など) の場合、 ssh-keygen コマンドを使用する。 -t は rsa か dsa のどちらかにすること (rsa1 は弱いので不可)。

     $ ssh-keygen -t dsa
     $ ls -a .ssh
     

     これにより、 .ssh ディレクトリ下に秘密鍵ファイル (id_rsa または id_dsa) と公開鍵ファイル (id_rsa.pub または id_dsa.pub ファイル) が生成される。
5. 公開鍵認証ファイルをサーバー上に書き込む。

   $ su - hoge
   $ mkdir .ssh
   $ chmod 700 .ssh
   $ vim .ssh/authorized_keys
   
   (公開鍵ファイルの内容をコピペする)
   
   $ chmod 600 .ssh/authorized_keys
   

6. sshd を再起動。

   $ /etc/init.d/sshd restart
   

7. 一旦ログアウトし、作ったユーザーでログインし直す。

   $ exit
   logout
   $ ssh -l hoge xxx.xxx.xxx.xx
   

   • Windows で Putty の場合は、ホスト名を hoge@… とかにして接続する。秘密鍵ファイルの指定を忘れずに!
8. sudo を設定する。

   $ su -
   $ visudo
   
   %wheel  ALL=(ALL)       ALL     # コメントアウトされていたはずなので、コメントを外す
   
   $ exit
   $ sudo su -     # sudo できるか確認
   

9. root パスワード無効化、 sudo ログの設定は、お好みで。

BIND の設定

参考:

• ​＠IT：BIND 9のセキュリティ対策

1. なんと BIND がインストールされていないので、インストールする。

   $ sudo yum install bind
   

2. chroot のためのディレクトリ構成を /var/named/chroot 以下に構築する。

   $ sudo su -
   $ mkdir -p /var/named/chroot/
   $ cd /var/named/chroot
   $ chown root:named .
   $ chmod 760 .
   $ chmod g+s .
   $ mkdir -p dev etc var/log var/named var/run/named
   $ chmod o-rx * var/* var/run/named
   $ chmod g+w var/log var/run/named
   

3. 設定ファイルをコピーし、修正する。また、ゾーンファイルを作成する。

   $ cd etc
   $ cp /etc/named.conf .
   $ cp /etc/localtime .
   $ vim named.conf
   
   (設定内容は省略)
   

   • ゾーンファイルの作成については、​会社サーバーを最初に立てたときのブログ記事を参照。
   • named.root ファイルが必要な場合は、​このファイルを wget してしまえばいいと思う。

     $ cd /var/named/chroot/var/named
     $ wget ftp://ftp.rs.internic.net/domain/named.root
     $ chmod 640 named.root
     

4. デバイスファイルを作成する。

   $ cd /var/named/chroot/dev
   $ mknod null c 1 3
   $ mknod random c 1 8
   $ chmod 666 *
   

5. CentOS なので、 chroot が有効になるよう、 /etc/sysconfig/named ファイルを編集する。

   $ vim /etc/sysconfig/named
   
   ROOTDIR="/var/named/chroot"
   

6. BIND を起動。

   $ /etc/init.d/named start
   

上手く起動すればめでたしめでたし。でもドメイン取得していないうちは起動しても意味ないので、とりあえず止めておきましょう。今回はサーバー移行で移行前のサーバーをまだ使っていたいので、とりあえず止めておきました。

$ /etc/init.d/named stop