忍者ブログ

インフラエンジニアのVPS徹底比較

VPSを徹底的に比較するサイトです。 VPSは、FX自動売買環境、WEBシステム、開発環境など最適です。
VPSの
機能比較
用途/目的別
のVPS比較
BCP/DR対策
のVPS比較
VPSの
価格比較
FX用VPS
比較
おすすめ
VPS業者
VPSの
注意点


HOME   »  Webサーバ構築手順

[PR]

広告   

×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

VPS(レンタルサーバー)をサービス・機能で比較

VPS(レンタルサーバー)をサービス・機能で比較 (GMOクラウドVPS,さくらVPS,WebARENA SuitePRO,CloudCore VPS)
VPS(レンタルサーバー)をサービス・機能で比較 (ServersMan@VPS,Conoha,使えるねっとVPS,VitualWeb)
VPS(レンタルサーバー)をサービス・機能で比較 (@YMC,Speever,SEEDS,SPPD)
VPS(レンタルサーバー)をサービス・機能で比較 (ラピッドサイト,お名前.com,ServerQueen,ABLENET)


VPS(レンタルサーバー)を用途/目的で比較

ASP.NETが利用可能なWindowsVPSの比較 (VitualWeb,使えるねっとVPS,GMOクラウド VPS,ABLENET)
FX自動売買環境としてのWindowsVPS(リモートデスクトップ)比較 (お名前.comVPS,使えるねっとVPS,ServersMan@VPS,SPPD)
地域別(電力会社管内別)のVPS 【BCP/DR対策】
東京電力会社管内のVPS (さくらVPS, ServersMan@VPS, VirtualWeb, SEEDS, Conoha)
関西電力会社管内のVPS (さくらVPS, ServersMan@VPS, ABLENET)


VPS(レンタルサーバー)を契約の前に

VPS(レンタルサーバー)で注意すべきこと
VPS(レンタルサーバー)を契約の前に確認すべきこと



web拍手 by FC2 Google+

CentOS基本設定【重要設定】

広告   

CentOS基本設定【重要設定】

VPSを利用する場合、共用サーバと異なり自分でOS設定を行う必要があります。
最低限のセキュリティ設定もせず、大変危険な状態でサービス公開されているサーバを多く見かけます。

是非、下記手順を参考にCentOSサーバを安全かつ安定したシステム構築をしてください。

CentOSサーバの重要設定

最低限のセキュリティを確保するためには、下記の設定は必ず行ってください。
不要デーモン停止
パスワードポリシー設定
sudoコマンド制限
ユーザスイッチ制限
攻撃への対策
SSH設定
ウィルス対策ソフトのインストール
iptables設定

※OSインストールが完了していること前提で説明します。


不要なデーモンを停止

不要なデーモン(Windowsでいうサービス)は、セキュリティホールになりかねないので停止しておくことが必要です。
何が不要か判断が難しいですが、下記デーモンは基本的には利用していないと思いますので、停止しておきましょう。

不要デーモン確認
#chkconfig --list|grep -e avahi-daemon -e apmd -e cups -e pcmcia -e netfs -e nfs -e rpc -e isdn -e apcid -e avahi- -e hidd -e ip6tables -e irda -e netplugd -e rdisc -e pcscd -e wpa_supplicant -e rhnsd -e yum-cron

avahi-daemon    0:off   1:off   2:off   3:on    4:on    5:on    6:off
cups            0:off   1:off   2:off   3:off   4:off   5:off   6:off
ip6tables       0:off   1:off   2:off   3:off   4:off   5:off   6:off
netfs           0:off   1:off   2:off   3:on    4:on    5:on    6:off
nfs             0:off   1:off   2:off   3:off   4:off   5:off   6:off
nfslock         0:off   1:off   2:off   3:off   4:off   5:off   6:off
rdisc           0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcbind         0:off   1:off   2:on    3:on    4:on    5:on    6:off
rpcgssd         0:off   1:off   2:off   3:on    4:on    5:on    6:off
rpcidmapd       0:off   1:off   2:off   3:on    4:on    5:on    6:off
rpcsvcgssd      0:off   1:off   2:off   3:off   4:off   5:off   6:off
wpa_supplicant  0:off   1:off   2:off   3:off   4:off   5:off   6:off

不要デーモン停止
上記確認で「:on」となっているデーモンの自動起動をOFFにする設定を行います。
cupsデーモンを自動起動をOFFにする手順を示します。
# chkconfig cups off
その他のデーモンも同様に自動起動の停止設定してください。



パスワードポリシー設定

パスワード長を8文字以上に変更
対象ファイル:/etc/login.defs
# vi /etc/login.defs
PASS_MIN_LEN    8

パスワードのロック設定、パスワード文字列の強化
対象ファイル:/etc/pam.d/system-auth-ac
:/etc/pam.d/password-auth-ac
# vi /etc/pam.d/system-auth-ac
#パスワードを10回失敗した場合ロックをかける。ロックタイムアウト値を600秒とする
# ロック中にアクセスが来たらそこからロック期間をカウント(秒)し直すので注意が必要。
auth        required      pam_tally2.so onerr=fail deny=10 unlock_time=600


#dovecot 認証では auth の記述だけではリセットが行われないことへの対応
account     required      pam_tally2.so


#パスワードポリシーとして、パスワード最低8文字以上、小英字、大英字、数字が含まれいるかチェックする
# (retryはpasswdコマンドでの失敗許容回数)
#password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    requisite     pam_cracklib.so try_first_pass retry=10 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1

#password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password   sufficient   pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=1
※auth,account行については追加、passwordで始まる行は変更箇所です。
※同様にリモートサービス用の定義ファイル「/etc/pam.d/password-auth-ac」の修正を行う。


sudoコマンド制限

CentOS6以降、sudoの設定を外部ファイルから読み込む事が可能になっています。
デフォルトでは/etc/sudoers.dディレクトリにファイルが読み込まれます。
一般ユーザがuser01であることを前提に説明します。
# vi /etc/sudoers.d/hostmaster
User_Alias HOSTMASTER = user01
HOSTMASTER ALL=(ALL) ALL

■パーミッション変更 ファイルを読み込みさせる場合、ファイルのパーミッションは440にする。
# chmod 400 /etc/sudoers.d/hostmaster



ユーザスイッチ制限

スイッチできるユーザーをwheelグループユーザーのみとする。
※SUDOを使えるユーザは、ここの設定の影響を受けません。
# vi /etc/pam.d/su
auth           required        pam_wheel.so use_uid

su権限ユーザーをwheelグループへ追加する。
# vi /etc/group
wheel:x:10:user01

# vi /etc/login.defs
SU_WHEEL_ONLY yes



攻撃への対策

SYN FLOOD 攻撃への対策
Syncookie機能を有効にすることで、SYN FLODD攻撃を防ぐことができる。
# vi /etc/sysctl.conf
net.ipv4.tcp_syncookies = 1

Smurf攻撃対策
ICMP echo リクエストであて先がブロードキャストだった場合は無視するように設定する。 もしくは、echoに対して応答しないようにすることでSmurf攻撃を防ぐことができる。
# vi /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_broadcasts = 1



SSH設定

下記SSH設定を行います。

・rootアカウントのリモートログイン許可制限
・認証設定
・チューニング


# vi /etc/ssh/sshd_config
#rootアカウントのリモートログイン許可制限
PermitRootLogin no
#認証周りの設定
RhostsRSAAuthentication no
IgnoreRhosts yes
PasswordAuthentication yes
#チューニング
UseDNS no
GSSAPIAuthentication no
AddressFamily inet



ウィルス対策ソフトのインストール

ウィルス対策ソフトの導入は必須ですので、予算がない場合は、オープンソースのClamavを導入することをお勧めします。
Clamav導入手順はこちらへ



iptables設定

管理性を考え、iptablesのスクリプトファイルを作成する。
iptablesスクリプトを作成するとコメントが記述できるので、何のために設定したか後程、確認ができます。
※SSHの接続元を制限することをお勧めします。

# vi /opt/scripts/bin/iptables_set.sh
#!/bin/bash
#------------------------------------------
# IP 定義
#------------------------------------------
# 各ネットワーク
LOOPBACK='127.0.0.1'
DMZ_NW='10.18.50.0/20'
TRUST_NW='172.18.50.0/24'

#メンテナンス環境
MAITENANCE_NW='xxx.xxx.xxx/24'

# 監視サーバ
SYS_MON01='xxx.xxx.xxx.xxx'

#------------------------------------------
# 初期化
#------------------------------------------
iptables -F
#------------------------------------------
# デフォルト設定
#------------------------------------------
# INPUT,FORWARD,OUTPUTはすべて拒否
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 現在セッションを張っているサービスを許可
iptables -A INPUT  -m state --state ESTABLISHE,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

# ループバックアドレスに関してはすべて許可
iptables -A INPUT  -d $LOOPBACK -j ACCEPT
iptables -A OUTPUT -d $LOOPBACK -j ACCEPT
iptables -A INPUT  -s $LOOPBACK -j ACCEPT
iptables -A OUTPUT -s $LOOPBACK -j ACCEPT

#------------------------------------------
# 許可 
#------------------------------------------
# 関連NWに関してはすべて許可
iptables -A INPUT  -s $TRUST_NW -j ACCEPT
iptables -A OUTPUT -d $TRUST_NW -j ACCEPT

# 監視サーバ,メンテナンスサーバはすべて許可
iptables -A INPUT  -s $SYS_MON01 -j ACCEPT
iptables -A OUTPUT  -d $SYS_MON01 -j ACCEPT
iptables -A INPUT  -s $MAITENANCE_NW -j ACCEPT
iptables -A OUTPUT  -d $MAITENANCE_NW -j ACCEPT

# Pingの許可
iptables -A INPUT  -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT  -p icmp --icmp-type echo-reply   -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply   -j ACCEPT

# SSH接続許可
iptables -A INPUT  -s $TCI_GIP1 -p tcp -m state --state NEW --dport 22 -j ACCEPT

# WEBサービス許可
iptables -A OUTPUT -p tcp -m state --state NEW  --dport 80   -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW  --dport 443  -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW  --dport 80  -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW  --dport 443  -j ACCEPT

# DNS
iptables -A OUTPUT -p tcp -m state --state NEW  --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# SMTP (INPUTはWEBのみ)
iptables -A OUTPUT -p tcp -m state --state NEW --dport 25 -j ACCEPT
iptables -A INPUT  -p tcp -m state --state NEW --dport 25 -j ACCEPT

# NTP問い合わせを許可
iptables  -A OUTPUT  -p udp --sport 123 -j ACCEPT
iptables -A INPUT   -p udp --dport 123 -j ACCEPT

#------------------------------------------
# 設定の反映
#------------------------------------------
/etc/rc.d/init.d/iptables save

OS起動時のiptables設定
スクリプトの中でiptables保存をしているので、OS再起動も有効ですが、 念のため/etc/rc.localにも記述しておきます。
# vi /etc/rc.local
# vi /etc/rc.local


VPS(レンタルサーバー)をサービス・機能で比較

VPS(レンタルサーバー)をサービス・機能で比較 (GMOクラウドVPS,さくらVPS,WebARENA SuitePRO,CloudCore VPS)
VPS(レンタルサーバー)をサービス・機能で比較 (ServersMan@VPS,Conoha,使えるねっとVPS,VitualWeb)
VPS(レンタルサーバー)をサービス・機能で比較 (@YMC,Speever,SEEDS,SPPD)
VPS(レンタルサーバー)をサービス・機能で比較 (ラピッドサイト,お名前.com,ServerQueen,ABLENET)


VPS(レンタルサーバー)を用途/目的で比較

ASP.NETが利用可能なWindowsVPSの比較 (VitualWeb,使えるねっとVPS,GMOクラウド VPS,ABLENET)
FX自動売買環境としてのWindowsVPS(リモートデスクトップ)比較 (お名前.comVPS,使えるねっとVPS,ServersMan@VPS,SPPD)
地域別(電力会社管内別)のVPS 【BCP/DR対策】
東京電力会社管内のVPS (さくらVPS, ServersMan@VPS, VirtualWeb, SEEDS, Conoha)
関西電力会社管内のVPS (さくらVPS, ServersMan@VPS, ABLENET)


VPS(レンタルサーバー)を契約の前に

VPS(レンタルサーバー)で注意すべきこと
VPS(レンタルサーバー)を契約の前に確認すべきこと



web拍手 by FC2 Google+
Yahoo!ブックマーク Googleブックマーク はてなブックマーク livedoorClip del.icio.us FC2 ニフティクリップ iza Buzzurl 




PR

最新記事
(07/18)
(10/12)
(09/27)
(09/20)
(09/13)
(09/12)
(09/06)
(08/30)
(08/30)
(03/01)
(02/21)
(11/29)
(09/18)
(06/14)
(05/25)
(05/25)
(05/17)
(05/11)
(02/23)
(02/22)
(02/02)
(12/08)
(11/16)
(11/16)
(11/04)
最古記事
(06/30)
(07/01)
(07/04)
(07/07)
(07/16)
(07/18)
(07/21)
(07/21)
(07/25)
(07/29)
(08/19)
(08/27)
(08/31)
(09/09)
(09/16)
(09/22)
(09/22)
(09/28)
(04/06)
(04/20)
(04/29)
(04/30)
(06/21)
(06/23)
(06/26)

Copyright © インフラエンジニアのVPS徹底比較 : All rights reserved

TemplateDesign by KARMA7

忍者ブログ [PR]

管理人限定

広告検索

Custom Search

おすすめ記事一覧

VPSのサービス/機能比較

VPSのサービス比較(大手VPS)
VPSのサービス比較(EC or 拡張性)
VPSのサービス比較(注目のVPS)
VPSのサービス比較(運用サービス充実VPS)

おすすめVPS紹介

個人向けベストTOP3 VPS
法人向けベストTOP3 VPS
法人向けVPSで確認すべきこと
個人向けVPSで確認すべきこと

VPSの用途/目的別比較

ASP.NETが利用可能な
 WindowsVPSの比較

MS SQL SERVERが利用可能な
 WindowsVPSの比較

安定した仮想化エンジンで比較するVPS
初心者でも管理可能なVPS
VPSのマネージドサービス比較
セキュリティサービス(IPS,FW)が充実したVPS
監視サービスで選ぶVPS
拡張性で選ぶVPS
Linux系OSで複数台構成ができるVPS
Windowsで複数台構成ができるVPS
VPSのサーバ構成
開発環境/コンテンツ確認用としてのVPS活用

クラウドサービス関連記事

クラウドコンピューティングWindows Azure
ハウジング、ホスティング(VPS)とIaaSの比較
日本国内のAWS互換クラウド マルチクラウド比較


VPSでのセキュリティ

セキュリティ重視したVPS
セキュリティ診断ASPで脆弱性を無くす

サーバ運用・管理

初心者でも管理可能なVPS
WEB操作でサーバ管理
VPSのマネージドサービス比較

FX用VPS(リモートデスクトップ)

FX自動売買環境としてのWindowsVPS
 (リモートデスクトップ)比較

FX用VPS環境を安くする

BCP/DRサイトとして利用するVPS

電力会社管内別のVPS 【BCP/DR対策】
東京電力会社管内のVPS
関西電力会社管内のVPS

VPSの価格比較

Linux系VPSの価格比較
月額ワンコインで借りられるVPS
ASP.NETが利用可能なVPSの価格比較

VPS注意点

VPSで注意すべきこと
VPSの契約前に確認すること
SWAP領域が扱えるVPS

各VPS業者のお得情報

各VPS業者のキャンペーン情報
FXシステムトレード用VPSを無料にする

おすすめVPS業者

conoha VPSの詳細と評価/評判
お名前.com VPS(KVM)の詳細と評価/評判
さくらVPSの詳細と評価/評判
ServersMan@VPの詳細と評価/評判
@YMCのVPSの詳細と評価/評判
WebARENA SuiteProの詳細と評価/評判
WebARENA VPSクラウドの詳細と評価/評判
VirtualWebの詳細と評価/評判
ABLENETのVPSの詳細と評価/評判
 ・ABLENETのコントロールパネル
 ・ABLENETの申請手順
 ・ABLENETでのOSインストール手順
SpeeverのVPSの詳細と評価/評判
GMOクラウドVPSの詳細と評価/評判
使えるねっとVPSの詳細と評価/評判
SEEDS VPSの詳細と評価/評判
SPPD VPSの詳細と評価/評判
ServerQueen(Linux)の詳細と評価/評判

おすすめクラウドサービス

WebARENA VPSクラウドの詳細と評価/評判
GMOクラウドPublicの詳細と評価/評判
NTTCom CloudNの詳細と評価/評判

設定手順

初心者でもできるApache設定
初心者でもできるPHP設定
初心者でもできるMySQL設定

広告

広告2



バーコード

広告2