*

CentOS6 初期設定

公開日: : 投稿者:raru Linux

自宅に置いてある安鯖にCentOS6を入れて初期設定を行ないました。

前提条件/設定項目

[今回の環境]
CentOS6.2 i386
minimalインストール

[設定項目]
・ユーザ作成
・suに制限をかける
・iptables設定
・ネットワーク設定
・ssh設定
・パッケージアップデート

ユーザ設定

rootでの直接ログインは行ないたくないので管理用のユーザを作成します。
基本的にrootユーザは使用せずに、そのユーザを介して設定を行なうのが望ましいです。
(とはいいつつもsuでroot使っちゃうんですがね)
また設定前にネットワークに繋ぐのは危ないので、サービスを停止します。

service network stop
useradd [name]
passwd [name]

# suが実行出来るように設定
usermod -G wheel [name]

suに制限をかける

suコマンド自体に制限をかけます。
これで特定ユーザ以外はsuコマンドの実行は出来てもrootになることが出来なくなります。

cp /etc/login.defs /etc/login.defs.org
vi /etc/login.defs 
# SU_WHEEL_ONLY yes を最下部へ追加

cp /etc/pam.d/su  /etc/pam.d/su.org
vi /etc/pam.d/su 
# #auth       required      pam_wheel.so use_uid を
# auth       required      pam_wheel.so use_uid group=wheelに変更

login.defsの設定をしたことで、wheel以外のユーザがパスワードでsuを実行しても他のユーザに成り代われなくなります。
次のpam.d/suの変更でwheelグループのみがrootにsu出来るようになります。

iptables設定

いわゆるファイアウォールというものです。
基本的には全ての外部からのアクセスをシャットアウトし、必要な部分のみ解放する運用方法です。
開いてるところが多いほど攻撃されちゃいますからね。

cp /etc/sysconfig/iptables /etc/sysconfig/iptables.org
vi /etc/sysconfig/iptables 
cat /etc/sysconfig/iptables
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
COMMIT

# 上から
#   iptablesによるfilterです
#   外部からの接続を全て遮断
#   内側から外への通信は許可する
#   確立済みの通信は許可
#   pingを許可
#   ループバックは許可
#   ssh (port 22で)許可
		
/etc/init.d/iptables restart

ネットワーク設定

iptablesの設定が終わったのでネットワークサービスを起動します。

vi /etc/sysconfig/netword-scripts/ifcfg-eth0
cat /etc/sysconfig/netword-scripts/ifcfg-eth0
# ONBOOT="yes"
# BOOTPROTO=static
# IPADDR="自由に"
# BROADCAST="IPADDRの上3つ+255"
# GATEWAY="ルータのIP"

vi /etc/resolv.conf
cat /etc/resolv.conf
# nameserver 192.168.1.1 ルータのipを指定
	
service network start

今回私は特に外部へ公開する気がなく、家庭内のみでの利用でしたのでIPADDRには192.168.1.10を設定しました。
192.168.1の部分まではルータのlocal ipと同じにしときましょう。
global ipを割り振るだけのipを持っているのであれば、そちらを設定するのも良いでしょう。
resolve.confではDNSの設定を行なっています。

設定が終わったらping google.comあたりで通信が出来ていることを確認しておきましょう。

ssh設定

普段からサーバ機を直接操作するのは不便なのと、ディスプレイやキーボードがサーバに繋がっているのは鬱陶しいのでsshの設定を行ないます。
これはサーバで行なう設定とクライアントで行なう設定があります。

サーバ

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org // バックアップ作成
vi /etc/ssh/sshd_config
	#Port 22 -> Port ご自由に
	
/etc/init.d/sshd restart // ssh再起動

su ユーザ名
cd
mkdir .ssh
exit

ポートの設定を変更した場合はiptablesの変更も行ないましょう。
これで完全ではありませんが、一旦サーバはこのように設定します。

クライアント

一旦作業をクライアントへ映し秘密鍵を生成します。
作成された鍵の片割れはsftpでサーバに設置します。

ssh-keygen -t rsa -v
    Generating public/private rsa key pair.
    Enter file in which to save the key (/Users/ユーザ名/.ssh/id_rsa): (path)/id_rsa
# 任意の場所に任意の名前で

sftp -P ポート番号 user_name@IPアドレス でsftpでファイル送信
# scp -P ポート番号 ~/.ssh/id_rsa.pub ユーザー名@IPアドレス:~/.ssh/authorized_keys
ssh -l ユーザ名 -p ポート IP
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

サーバ

再びサーバへ戻り、最後にsshの設定を行ないます

vi /etc/ssh/sshd_config
cat /etc/ssh/sshd_config
# PermitRootLogin no
# PasswordAuthentication no
# PermitEmptyPasswords no

/etc/init.d/sshd restart
chkconfig sshd on

rootでのログインや鍵認証なしでのログインは不可とします。

パッケージアップデート

最後にパッケージをupdateします。
CentOSが6.2の場合、matahari-〜というパッケージが公開終了しているにも関わらずupdate対象となっているためにエラーとなります。該当する方はyum remove matahari-*でそれらのパッケージを削除しましょう。

yum install yum-fastestmirror
yum update yum 
yum -y update
# yum remove matahari-*

これで簡単ですが設定が完了です。
次はredmineを導入してみようと思います。

関連記事

no image

iptablesで特定のIPからの接続を遮断

WordPressを利用して作成しているこのブログなのですが、管理画面へのログインリンクがあるせいな

記事を読む

no image

RaspbianにZabbixをインストール

今回はRaspbianにZabbixをインストールしてみたいと思います。 前回のPidoraでは「

記事を読む

no image

Raspberry Pi 2(Raspbian) 初期設定

性懲りもせずにRaspberry pi2を購入しました。 初代に比べて相当スペックが向上しており、

記事を読む

no image

OpenDKIMを利用したメール認証

今回はOpenDKIMを利用したメール認証設定を行います。 DKIMやらSPFやら、メールは何かと

記事を読む

no image

Firewalldで特定IPからの接続をdrop

このサイトは見ての通りwordpressなのですが、wordpressではloginのurlが推測さ

記事を読む

no image

RaspberryPi2のFedora22にOpenVPN構築

コツコツと以前購入してoverclockしたraspberry pi2にOpenVPNを構築していま

記事を読む

no image

CentOS7 初期設定

しばらく振りになりますが、ひっそりとWordpressの移設を行っていました。 お仕事が多忙を極め

記事を読む

no image

Raspberry Pi2/ラズベリーパイ2にFedoraをインストール

Raspberry pi2にFedoraがインストールできるという情報を入手したので2台目を購入して

記事を読む

no image

CentOSで不要カーネルの削除

サーバを利用して時間が経過すると溜まってくるLinuxのkernelの削除方法の備忘録。 忘れるた

記事を読む

no image

Raspbianでメール送信 ssmtp編

Raspbianで監視などをおこなっているとメールが送信したくなります。 とりあえず何かと管理用に

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

PAGE TOP ↑