さくらVPSサーバーCentOS7の初期設定 ステップ2

スポンサーリンク

 

本記事はさくらのVPSサーバーのCentOS7に初期設定する方法について記載しています。

ステップ1は作業用ユーザー追加から公開鍵認証でのログイン設定までをメモしました。

 

https://kevins-blog.com/initial-settings-for-a-sakura-vps-server1/

 

本記事では、SSH接続をより安全にできるよう設定したメモします。

ステップ2も、さくらインターネットさんが提供したくださっているチュートリアルにしたがって設定してみました。

 

チュートリアル:CentOS 7(さくらのVPS)サーバ作成直後に設定しておくべき初期セキュリティ設定

 

スポンサーリンク

環境

 

サーバー側

・さくらのVPS
・CentOS7

クライアント側

・iMac 27 inch

 

作成したユーザーがsudoできるように設定します

 

作成したユーザーを、root権限を実行できるwheelグループにいれます。

そのために、suコマンドで、作業用ユーザーが管理者作業をできるようにします。

 

サーバー側(iMacからsshで接続)

$ su

パスワード:

# usermod -G wheel username

 

これで、作業用ユーザーがsudoコマンドを実行できるようになりました。

 

rootのsshログイン不可・パスワード認証不可にします

 

rootユーザーはすべての権限をもっているユーザーなので、セキュリティリスクをへらすためにsshでログインできないようにします。

なお、コンソール画面からのログインは可能です。

作業用ユーザーで、sshの設定ファイル「/etc/ssh/sshd_config」をviエディタで編集します。

 

サーバー側

cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bkup2019mmdd

# vi /etc/ssh/sshd_config

 

「/etc/ssh/sshd_config」の以下を変更します。

 

sshd_configファイル

#PermitRootLogin yes        
PermitRootLoginno          # rootのログインを拒否します
#PasswordAuthentication yes  
PasswordAuthenticationno    # パスワード認証を拒否します

 

「:wq!」でファイルを保存します。

sshd を再起動して設定を有効化します。

 

# sudo systemctl restart sshd

 

これでrootログインとパスワード認証を不可に設定できました。

 

sshで接続するポート番号を変えます

 

デフォルトのポート番号22のままにしておくと、攻撃を受けやすいので、他の空きポートに変えておきます。

ITmediaさんの解説も参考にされてください。
SSHのセキュリティを高めるためのハウツー

 

デフォルトのポート番号22から任意の番号(例は10022)へと変更します。

sshd「/etc/ssh/sshd_config」ファイルを編集します。

 

sshd_configファイル

#Port 22

Port 10022

 

sshdを再起動します。

サーバー側

# sudo systemctl restart sshd

 

次にファイアウォールの設定を変更し、ポート10022を有効化します。

ファイアウォールの設定ファイルは「/usr/lib/firewalld/services/ssh.xml」です。

サーバー側

# sudo vi /usr/lib/firewalld/services/ssh.xml

 

設定を以下のように変更します。

ssh.xml

<?xmlversion="1.0" encoding="utf-8"?><service>
  <short>SSH</short>
  <description>SecureShell (SSH) is a protocolfor loggingintoand executingcommandsonremotemachines. Itprovidessecureencryptedcommunications. If youplanonaccessingyourmachineremotelyviaSSHover a firewalledinterface, enablethis option. Youneedtheopenssh-serverpackage installedfor this optionto beuseful.</description>
  <portprotocol="tcp" port="10022"/>
</service>

 

「:wq!」でファイルを保存、終了したら、ファイアウォールのサービスを再起動します。

 

# sudo firewall-cmd --reload

success

# logout

 

では、もう一度作業用ユーザーでログインし直してみます。

 

$ ssh username@xxx.xxx.xxx.xxx -p 10022

ssh: connect to host xxx.xxx.xxx.xxx port 10022: Connection refused

 

あれ?

接続が拒否されてしまった!

焦ります。

sshが使えなくなってしまった。

ポートの番号変更が効いていないのかと思い、ポートを指定せずにログインを試みますが、、、

 

サーバー側(ssh)

$ ssh username@xxx.xxx.xxx.xxx

ssh: connect to host xxx.xxx.xxx.xxx port 10022: Operation timed out

 

タイムアウトで返されます。。。

ということは、デフォルトポート22は無効化されているということです。

sshをいったん諦め、コンソールからログインして、もう一回sshdを再起動してみます。

 

サーバー側(コンソール)

# sudo systemctl restart sshd

 

あらためてsshでログインしてみます。

できた!

sshdの再起動がうまくおこなえていなかったからかもしれません。

なにかあったときには、コンソールから操作しましょう。

以上で、CentOS 7への初期設定は完了です!

 

次は、さくらのVPSホストサーバーに、Docker CEをインストールしましょう。

 

CentOS7 にDockerをインストールする
本記事では、CentOS7にDockerをインストールする方法について書きます。 環境 サーバー側 ・CentOS Linux release 7.4.1708 クライアント側 ・iMa...
タイトルとURLをコピーしました