![[PukiWiki]](image/pukiwiki.png "[PukiWiki]"){kind=small}
|
最終更新日 2019/05/20 ※このページは書きかけです さくらのVPS(v3) 2GのCentOS7環境の 目次
|
| Port 3843 | SSHログインのポートを22から3843に変更する(変更後の数値は任意。22のままでも問題ないが、よりセキュリティを高める場合は変更する。) |
| PermitRootLogin no | rootユーザーのログインを禁止する |
| PermitEmptyPasswords no | 空のパスワードを禁止する |
| PasswordAuthentication no | パスワードでのログインを禁止する |
| AllowUsers nanasi | nanasiユーザーのみログイン可能にする |
# service sshd restart
# vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3843 -j ACCEPT # HTTP -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT # HTTPS -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT # FTP1, FTP2 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT # SMTP -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT # MySQL -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT # REJECT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMITポート3843の数値は、前項で設定したSSHの接続ポートにしておくこと。
# service iptables restart
# yum install httpdhttpdを自動起動onにする
# chkconfig httpd onhttpd.confを編集してセキュリティを高める
# vim /etc/httpd/conf/httpd.conf ServerTokens Prod ServerSignature Off Options -Indexes FollowSymLinks
| ServerTokens Prod | 最低限のサーバー情報をレスポンスヘッダーで返すようにする |
| ServerSignature Off | エラーメッセージなどをクライアントに返す際のフッターラインを表示しない |
| Options -Indexes FollowSymLinks | ファイルの一覧を表示させないようにする |
# vim /etc/httpd/conf/httpd.conf KeepAlive On
| KeepAlive On | 長時間持続する HTTP セッションを提供。参考 http://httpd.apache.org/docs/2.2/ja/mod/core.html#keepalive |
# service httpd configtest問題なければ
Syntax OKと表示されるので、httpdを起動する。
# service httpd start httpd を起動中: [ OK ]/var/www/html/の所有権をnanasiにする
# chown -R nanasi:nanasi /var/www/html/適当に、「Hello World!!」などと書いた index.html を作成し、/var/www/html/にアップロードして、ブラウザにサーバーのIPでアクセスすれば、表示される。
# mkdir -p /var/www/hoge.com/public_html(-p は、存在しないフォルダも作成してくれるオプション)
# chown -R nanasi:nanasi /var/www/hoge.comVirtualHostを有効にする
# vim /etc/httpd/conf/httpd.conf NameVirtualHost *:80hoge.comに対するVirtualHostの設定ファイルを作成する
# vim /etc/httpd/conf.d/hoge.com.conf
<VirtualHost *:80>
DocumentRoot /var/www/hoge.com/public_html
ServerName www.hoge.com
ServerAlias hoge.com
DirectoryIndex index.html index.php
ErrorLog /var/log/httpd/hoge.com_error_log
CustomLog /var/log/httpd/hoge.com_access_log combined
AddDefaultCharset UTF-8
<Directory "/var/www/hoge.com/public_html">
AllowOverride All
</Directory>
</VirtualHost>
設定に問題ないか、テストする
# service httpd configtest Syntax OK問題なければ、webサーバーを再起動
# service httpd restart httpd を停止中: [ OK ] httpd を起動中: [ OK ]nanasiユーザーに切り替える
# exit適当にhoge.comのトップページを作ってみる
$ vim /var/www/hoge.com/public_html/index.html <html> hello from hoge.com </html>ドメインを、サーバーのIPに向ける設定を行う
a * サーバーのIPアドレスと入力して保存。
# yum install php php-devel php-mysql php-gd php-mbstringインストール確認
# php -v PHP 5.3.3 (cli) (built: Feb 22 2013 02:51:11) Copyright (c) 1997-2010 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologiesphp.iniの編集
# vim /etc/php.ini error_log = /var/log/php_errors.log mbstring.language = Japanese mbstring.internal_encoding = UTF-8 mbstring.http_input = auto mbstring.detect_order = auto expose_php = Off date.timezone = Asia/Tokyo
| mbstring.internal_encoding = UTF-8 | エンコーディングはUTF-8で |
| expose_php = Off | Offにしとかないとセキュリティ的によろしくないらしい |
# service httpd restart
# yum install mysql-server設定を変更。主に日本語設定。
# vim /etc/my.cnfsymbolic-links=0 と [mysqld_safe] の間に以下を挿入
character_set_server=utf8 default-storage-engine=InnoDB innodb_file_per_table [mysql] default-character-set=utf8 [mysqldump] default-character-set-utf8mysqlサービスを開始
# service mysqld start初回のインストール設定を実行
# mysql_secure_installation最初の
Enter current password for root (enter for none):は何も入力せずエンターで次に進む
# chkconfig mysqld onちゃんとインストールできたかを確認
# mysql -u root -p Enter password:rootのパスワードを入力すると、ずらずらっと文字が出力されて
mysql>という状態になれば問題なし。
exitで抜ける。
# yum install expectパスワード生成時は
# mkpasswd -l 46とやると、46ケタのランダムなパスワードを生成してくれる。
# yum install phpmyadminブラウザからアクセスできるように設定ファイルを編集
# vim /etc/httpd/conf.d/phpMyAdmin.conf
<Directory /usr/share/phpMyAdmin/>
<IfModule mod_authz_core.c>
# Apache 2.4
<RequireAny>
Require ip 127.0.0.1
Require ip ::1
</RequireAny>
</IfModule>
<IfModule !mod_authz_core.c>
# Apache 2.2
# 以下4行をコメントアウト
# Order Deny,Allow
# Deny from All
# Allow from 127.0.0.1
# Allow from ::1
# 以下2行を追加
Order allow,deny
Allow from all
</IfModule>
</Directory>
クッキー認証(Cookie認証)に変更する
# vim /etc/phpMyAdmin/config.inc.php $cfg['blowfish_secret'] = '適当なパスフレーズ'; $cfg['Servers'][$i]['auth_type'] = 'cookie';上記、適当なパスフレーズは
# mkpasswd -l 46で生成したものをコピペすると良い。
# service httpd restartあとはブラウザで
(サーバーのIPアドレス)/phpmyadminでアクセスできるはず。
$ git clone git://github.com/creationix/nvm.git ~/.node Initialized empty Git repository in /home/nanasi/.node/.git/ remote: Counting objects: 696, done. remote: Compressing objects: 100% (464/464), done. remote: Total 696 (delta 339), reused 557 (delta 221) Receiving objects: 100% (696/696), 105.69 KiB | 106 KiB/s, done. Resolving deltas: 100% (339/339), done.nvmを有効にして、Node.jsをインストールします。
$ . ~/.node/nvm.sh $ nvm install v0.10.13 /usr/bin/which: no shasum in (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/nanasi/bin) ######################################################################## 100.0% Now using node v0.10.13ちゃんとインストールできたかを確認。v0.10.13と表示されていれば、OK
$ node -v v0.10.13ログイン時に自動でnvmとnodeが起動するようにします。
$ vim ~/.bashrc source ~/.node/nvm.sh nvm use v0.10.13参考サイト
とりあえずrootでログインする
login as:root root@127.0.0.1's password:[パスワード入力]
# yum update
途中、更新して大丈夫?的な確認が出るので、キーボードの y を押して続行します。
rootユーザーを使わなくて済むように、新規ユーザーを追加します。
以下は『nanasi』というユーザーを『wheel』グループに追加する手順です。
# useradd -G wheel nanasi
# passwd nanasi Changing password for user nanasi. New UNIX password: [パスワードを入力] Retype new UNIX password: [上で入力したパスワードを再度入力] passwd: all authentication tokens updated successfully.※ちなみに「wheel」は「big wheel(大物、重要人物、有力者、大立者)」いうスラングが由来らしいです。
追加したユーザーはroot権限を持っていないので特定のコマンドを実行できません。
そこで、一時的にroot権限を取得してコマンドを実行できるようにするのがsudoです。
# visudo
%wheel ALL=(ALL) ALLグループに権限を与えるのではなく、ユーザー単位で権限を与えたい場合は以下のようにします。
nanasi ALL=(ALL) ALL
# sudoのタイムアウト時間を60分に設定(デフォルトは5分) Defaults timestamp_timeout=60
# visudo -c以下の様なテキストが出力されていれば問題なしです。
/etc/sudoers: parsed OKエラーが出ていた場合はvisudoで編集した箇所に問題がないかどうか確認してください。
# localectl set-locale LANG=ja_JP.UTF-8
# source /etc/locale.conf
# date 2018年 8月 18日 土曜日 17:41:02 JST
※参考にしたサイトにはIBUSとフォントのインストールが必要と書いてあったが問題なく動いているようなのでスルーした。
インストールする場合は以下。
IBUS(Intelligent Input Bus)をインストール
# yum install ibus-kkc
日本語フォント(VLゴシック)をインストール
# yum install vlgothic-*
デフォルトでもvimは最小構成でインストールされていますが、自前でビルドして最新版をインストールします。
# yum list installed | grep vim vim-minimal.x86_64 2:7.4.160-4.el7 @anaconda上記ではvimがすでに最小構成でインストールされていますが、
# yum install ncurses-devel
# cd ~
# git clone https://github.com/vim/vim.git
# cd vim
# git pull
$cd src
# make distclean
# make
# sudo make install
# vim --version VIM - Vi IMproved 8.1 (2018 May 18, compiled Aug 17 2018 01:13:49)
公式サイトの解説(英語)
https://www.vim.org/git.php
全ユーザー同じ設定で構わない場合は /usr/local/share/vim/vimrc もしくは /etc/vimrc を編集します。
(vimで『:echo $VIM』を実行して表示されたディレクトリ直下のvimrcです)
ユーザー個別で設定したい場合は、 ~/.vimrc を編集(存在しなければ新規作成)します。
以下おすすめ設定です。※ファイルがすでに存在していた場合は追記します。
# vim /usr/local/share/vim/vimrc
"----- 基本 -----
set fenc=utf-8 " エンコード
"set nobackup " バックアップファイル作らない
set noswapfile " スワップファイル作らない
set showcmd " 入力中のコマンドをステータスに表示する
"set mouse=a " マウス有効に
"set clipboard=unnamedplus,autoselect " クリップボード有効に
set wildmenu " コマンドライン補完を拡張モードにする
"----- 見た目関連 -----
" set number " 行番号を表示
set title " 編集中ファイル名の表示
set showmatch " 対応するカッコを強調
"set matchtime=2 " 対応するカッコを強調する時間
"set list " タブ空白改行を可視化
set visualbell " ビープ音を可視化
set cursorline " 現在の行を強調表示
"set cursorcolumn " 現在の列を強調表示
set tabstop=4 " タブ幅を4にする
set noexpandtab " タブの代わりに空白を使わない
set autoindent " オートインデント有効
set smartindent " スマートインデント有効
"set ruler " カーソルが何行目何列目に置かれているかを表示
syntax on " シンタックスハイライト
set virtualedit=onemore "カーソルを行末の一つ先まで移動可能にする
set whichwrap=b,s,h,l,<,>,[,],~ "行頭、行末で行のカーソル移動を可能にする
set backspace=indent,eol,start "バックスペースでの行移動を可能にする
"let &t_ti.="\e[5 q" "カーソルの形状を変更
"----- ステータスライン関連 -----
set statusline& " リセット
set statusline+=%< " 行が長すぎるときに切り詰める位置
set statusline+=%F " ファイル名
set statusline+=%m " 変更チェック
set statusline+=[%n] " バッファ番号
set statusline+=%r " 読み込み専用
set statusline+=%h " ヘルプページなら[HELP]表示
set statusline+=%w " プレビューなら[Preview]表示
set statusline+=[%{&ff}] " フォーマット
set statusline+=[%Y] " ファイルタイプ
set statusline+=%= " これ以降は右寄せ
set statusline+=%l/%L行 " 現在行数/全行数
set statusline+=\ " 空白(\ )
set statusline+=%c列 " 現在列数
set statusline+=\ " 空白(\ )
set statusline+=%{&fileencoding} " エンコード
set laststatus=2 " ステータスを表示
"----- 検索関連 -----
set ignorecase " 大文字小文字の区別なく検索
set smartcase " 大文字が含まれていた場合は区別して検索
set incsearch " インクリメンタルサーチ
set wrapscan " 最後まで行ったら最初に戻る
set hlsearch " 検索語をハイライト表示
"----- 配色関連 -----
set background=dark " ダーク系のカラースキームを使う
colorscheme desert " 配色
"----- 全角表示を可視化 -----
function! ZenkakuSpace()
highlight ZenkakuSpace cterm=underline ctermfg=lightblue guibg=darkgray
endfunction
if has("syntax")
augroup ZenkakuSpace
autocmd!
autocmd ColorScheme * call ZenkakuSpace()
autocmd VimEnter,WinEnter,BufRead * let w:m1=matchadd("ZenkakuSpace", " ")
augroup END
call ZenkakuSpace()
endif
Logwatchはログを収集して毎日定時にメールで概要を報告してくれます。
# yum install logwatch
# /etc/logwatch/conf/logwatch.conf MailTo = hoge@hoge.com # メール送信先アドレス (rootにするとrootユーザー宛に送信される) Detail = High # レポートの詳細度 (Low Mid High) Output = mail # レポートの出力先 (stdout mail) Format = html # レポートのフォーマット (text html)
# logwatch --output mail※メールは、デフォルトの設定だと深夜(4時くらい?)に送られてきます。
FTPはSCPを使用するため特に何も導入しません。
クライアントはWinSCPを使います。
最新のSubversion1.8系をインストールします。
yumで管理したいので、WANdiscoという会社が公開しているリポジトリを使わせてもらいます。
# rpm -qa | grep subversion subversion-1.6.11-9.el6_4.x86_64
# yum remove subversionと打ち込んで、ずらーっとログが出て
================================================================================ Package Arch Version Repository Size ================================================================================ Removing: subversion x86_64 1.6.11-9.el6_4 @updates 12 M Transaction Summary ================================================================================ Remove 1 Package(s) Installed size: 12 M Is this ok [y/N]:なアンインストール確認が出たら、yを押して続行
Is this ok [y/N]: yまたずらーっとログが出て、
Removed: subversion.x86_64 0:1.6.11-9.el6_4 Complete!なログが出ればアンインストール成功です。
# vim /etc/yum.repos.d/WANdisco.repoで、ファイル編集を開始して
[wandisco] name=WANdisco Repository - svn-1.8 centos6 baseurl=http://opensource.wandisco.com/centos/6/svn-1.8/RPMS/$basearch/ enabled=0 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-WANdiscoという内容して、
:wqで保存してvimを終了します。
# rpm --import http://opensource.wandisco.com/RPM-GPG-KEY-WANdisco
# yum install --enablerepo=wandisco --disablerepo=base,updates subversionWANdisco.repoの設定で、普段は無効にしているので、--enablerepoで有効にしてやる必要があります。
================================================================================ Package Arch Version Repository Size ================================================================================ Installing: subversion x86_64 1.8.5-1 wandisco 2.2 M Installing for dependencies: serf x86_64 1.3.2-2 wandisco 43 k Transaction Summary ================================================================================ Install 2 Package(s) Total download size: 2.2 M Installed size: 7.6 M Is this ok [y/N]:な、インストール確認が出たら、yを入力して
Is this ok [y/N]: yインストールを確定します。
Installed: subversion.x86_64 0:1.8.5-1 Dependency Installed: serf.x86_64 0:1.3.2-2 Complete!なログが出ればインストール成功です。
# rpm -qa | grep subversion subversion-1.8.5-1.x86_64
# svn --version svn, version 1.8.5 (r1542147) compiled Nov 19 2013, 15:28:00 on x86_64-unknown-linux-gnu (略)
普段は無効にしているので、yum updateでは更新されません。
# yum update --enablerepo=wandisco --disablerepo=base,updates
でアップデート確認、実行を行ってください。
セキュリティは無視して、単純にhttp経由でアクセスできるようにしてみます。
# yum install mod_dav_svn
# vim /etc/httpd/conf/httpd.confでconfを開いて
LoadModule dav_module modules/mod_dav.so LoadModule dav_svn_module modules/mod_dav_svn.soを、LoadModule がずらーっと書いてある箇所の末尾に追記する。(すでに存在していた場合は追記しなくてよいです)
Unknown DAV provider: svnのエラーが出てしまいます。
# mkdir /var/svn
# chown -R apache:apache /var/svn
# svnadmin create /var/svn/testrepos
# svn mkdir file:///var/svn/testrepos/trunk file:///var/svn/testrepos/tags file:///var/svn/testrepos/branches -m "init repository."
#vim /etc/httpd/conf.d/subversion.conf <Locasion /svn> DAV svn SVNParentPath /var/svn </Location>
# /etc/init.d/httpd restart httpd を停止中: [ OK ] httpd を起動中: [ OK ]
http://[サーバーのアドレス]/svn/testrepos
前項で作成したリポジトリにBasic認証をかけてみます。
# cd /var/svnパスワードファイルを新規作成&最初のユーザー追加
# htpasswd -c .htpasswd nanasiユーザー追加する場合
# htpasswd .htpasswd nanasi2ユーザー削除する場合
# htpasswd -D .htpasswd nanasi2
# cd /var/svn.svnaccessファイルを作成
# vim .svnaccess以下ファイルの中身
# testrepos リポジトリ [testrepos:/] * = nanasi = rw nanasi2 = r
| * = | 認証されていないユーザーはアクセス不可 |
| nanasi = rw | ユーザーnanasiは、読み込みと書き込み可 |
| nanasi2 = r | ユーザーnanasi2は、読み込みのみ可 |
# vim /etc/httpd/conf/httpd.confでconfを開いて
LoadModule authz_svn_module modules/mod_authz_svn.soを、LoadModule がずらーっと書いてある箇所の末尾に追記する。(すでに存在していた場合は追記しなくてよいです)
httpd を起動中: Syntax error on line 11 of /etc/httpd/conf.d/subversion.conf: Invalid command 'AuthzSVNAccessFile', perhaps misspelled or defined by a module not included in the server configurationなエラーが出ます。
#vim /etc/httpd/conf.d/subversion.conf
<Locasion /svn> DAV svn SVNParentPath /var/svn Require valid-user AuthType Basic AuthName "Subversion Repository" AuthUserFile /var/svn/.htpasswd AuthzSVNAccessFile /var/svn/.svnaccess </Location>
# /etc/init.d/httpd restart httpd を停止中: [ OK ] httpd を起動中: [ OK ]
http://[サーバーのアドレス]/svn/testrepos
|
|
Modified by えす.
Powered by PukiWiki Plus! 1.4.7plus-u2-eucjp. HTML convert time to 0.097 sec. |
|