ServersMan@VPSを借りて最初にやった設定

VPS

ServersMan@VPSを借りてみました。
いろいろはまったので忘れないようにメモ。

環境

とりあえず試してみたかったので、
借りたのは、月額490円のEntryプラン。


ついでに、ローカルの環境はMac OS X 10.6です。
SSHの設定でいろいろ調べたとき、
PuttyTeraTermのやり方が多かったので、念のため。

まずはrootでログイン

$ ssh -l root ***.***.***.***

ユーザーの追加、パスワードの設定

# passwd
# useradd -G  wheel user
# passwd user

本家のマニュアルだと、wheelグループに参加してないけど、
suを実行できるユーザーを制限するため、wheelに参加させておく。
http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec04/unix_sec01.html
http://www.atmarkit.co.jp/flinux/rensai/linuxtips/086suwheel.html

rootログインの禁止

設定ファイルを変更するときは、バックアップを忘れずに!

# vi /etc/ssh/sshd_config
PermitRootLogin no

sshdを再起動

# /etc/init.d/sshd restart

SSHの設定(ローカル)

認証用の鍵を生成する
$ ssh-keygen

上記コマンドで、~/.ssh下にid_rsa.pubとid_rsaができるので、
以下のコマンドで、公開鍵のid_rsa.pubをサーバー側に転送する。

鍵を転送する
$ scp ~/.ssh/id_rsa.pub user@***.***.***.***:

SSHの設定(サーバー)

上記の手順で転送した公開鍵がカレントディレクトリに届いてるはず。

公開鍵を所定の位置に
$ mkdir .ssh
$ chmod 700 .ssh  !ここ重要
$ cat id_rsa.pub > .ssh/authorized_keys
$ chmod 600 .ssh/authorized_keys

.sshディレクトリの権限を設定しなかったために、
サーバーを初期化を3回ほどやり直し…orz

sshd_configを再設定
# vi /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile	.ssh/authorized_keys
PasswordAuthentication no
またsshdを再起動
# /etc/init.d/sshd restart

ログイン、設定完了!

$ ssh -l user ***.***.***.***

無事ログイン成功、パスワード無しでログインできるようになりました!


これでセキュリティが万全!なんて全く思ってませんが、
デフォルトの状態よりはちょっとマシになったかと思います。


全然出来てないところや間違ってるところ等々、あると思いますが、
コメントなど頂けたらうれしいです。

サーバーを初期化したとき

SSHの設定が出来てないにも関わらず、
パスワード認証をnoに設定してしまったたり、
バックアップを取らずに誤って設定ファイルを編集したりして、
サーバーの初期化を何回もやり直したわけですが、
初期化後にログインしようとすると、
以下のメッセージが表示されてログインできません。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
// 以下略

なので、以下のコマンドでローカルのホスト情報をリセットします。

$ ssh-keygen -R ***.***.***.***:

コチラを参考にさせていただきました。
http://d.hatena.ne.jp/PRiMENON/20090418/1240062291

わからなかったこと

sshd_configの設定で、
「UsePAMやRhostsAuthenticationの設定もnoにすべき」
というページもあって、いろいろ調べたけど、
何をnoしてるのかよく分かりませんでした。

参考リンク

  • VPSの設定について

(他のVPSの設定も参考になりますね)
http://maeda.farend.ne.jp/blog/2010/04/29/serversman-centos-initial-setup/
http://blog.myfinder.jp/2010/09/vpsssh.html

  • SSHの設定について

SSHのバージョン?が違うので適宜ファイル名を読み替える)
http://www.sh.turbolinux.com/support/document/knowledge/152.html

  • SSHでログインできなかったとき

http://d.hatena.ne.jp/h-yano/20080225/1203952174