やる気の無いサイトでゴメンナサイ。
Home » 新 ConoHa VPS

新 ConoHa VPS

テンプレートイメージ ( CentOS 7.1 ) で起動したら、用途別の設定をする前にサーバーの基本設定を済ませます。ここでは ConoHa を起動したら用途の如何に関わらず至急設定すべき内容を記述しています。全ての設定が終わったらメニューより目的に合った用途の内容をご覧下さい。

読み替え用索引

ConoHa VPS 関連

貴方の個人情報関連

DNS 関連

その他

Firewalld の設定

SSH は特定 IP からのみ受け付けるように設定します。

# firewall-cmd --permanent --remove-service=ssh
# firewall-cmd --reload
# cd /etc/firewalld/zones
# cp public.xml myhome.xml
# vi myhome.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>MyHome</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client">
</zone>
# firewall-cmd --reload
# firewall-cmd --permanent --zone=myhome --add-service=ssh
# firewall-cmd --permanent --add-source=203.0.113.1 --zone=myhome
# firewall-cmd --permanent --zone=myhome --remove-service=dhcpv6-client
# firewall-cmd --reload

設定の確認をしておきます。

# firewall-cmd --get-active-zones
# firewall-cmd --list-all --zone=public
# firewall-cmd --list-all --zone=myhome

SSH の設定

SSH キーの生成

# rm -f /etc/ssh/ssh_host_*key*
# service sshd restart

テンプレートOSなので他のユーザーとキーが同じ為、キーを再生成します

TCP Wrapper での IP 規制

# vi /etc/hosts.allow
sshd : 203.0.113.1
# 203.0.113.1 には接続元 ( 貴方の PC ) のグローバル IP を。

全内容

# vi /etc/hosts.deny
all : all

全内容。 hosts.allow に記載した IP 以外からは接続できなくなるのでお気をつけを

SSH 接続専用ユーザーアカウントの設定

# useradd -G wheel YourAccount
# passwd YourAccount

YourAccount は貴方用の SSH ログオンユーザー名 を

# su YourAccount
$ ssh-keygen -t rsa
$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ cat ~/.ssh/id_rsa
$ rm -f ~/.ssh/id_rsa
$ exit

YourAccount 用キー生成 → id_rsa を cat 表示してコピー保存 → id_rsa 削除

# cat ~/.ssh/authorized_keys >> /home/YourAccount/.ssh/authorized_keys

YourAccount が root 用キーでもログインできるように追記

# sed -i -e "s/^#\(auth\s\+required\s\+pam_wheel\.so.*\)/\1/g" /etc/pam.d/su
# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs

root になれるユーザーを wheel グループに限定する

# sed -i -e "s/^#\s\+\(%wheel\s\+ALL\=(ALL)\s\+ALL\)/\1/g" /etc/sudoers

wheel が sudo を使えるようにしておく

SSH デーモンの設定

# vi /etc/ssh/sshd_config
PermitRootLogin no
X11Forwarding no
#AddressFamily any
AddressFamily inet # 接続は ipv4 のみ

修正

# systemctl restart sshd.service

内容に間違いがあると接続できなくなるのでお気をつけを

ネットワークの設定と IPv6 の停止

IPv6 を停止

# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
# sysctl -p
# ip a

IPv6 の Listen を停止

ネットワークの設定

# nmcli g hostname ConoHaHost.example.com
# cat /etc/hostname

ConoHaHost に貴方のサーバー名

# vi /etc/hosts
# ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

ipv6 をコメントアウト

# nmcli connection show eth0
# nmcli connection modify eth0 ipv6.method ignore
# nmcli connection modify eth0 ipv4.ignore-auto-dns yes
# nmcli connection modify eth0 ipv4.dns-search example.com
# nmcli connection modify eth0 ipv4.dns "8.8.8.8 198.51.100.1 198.51.100.2"
# systemctl restart NetworkManager
# nmcli connection show eth0
# cat /etc/sysconfig/network-scripts/ifcfg-eth0

リブート時に resolv.conf を上書きしない & IPv6 停止
IPV6INIT="no" と PEERDNS="no" を確認

# cat /etc/resolv.conf
search example.com
nameserver 8.8.8.8
nameserver 198.51.100.1
nameserver 198.51.100.2
# 198.51.100.1198.51.100.2 には貴方の DNS の IP を。
# 8.8.8.8 は Google Public DNS のアドレスです。

yum の設定 ( 自動アップデート )

# yum install -y yum-cron
# systemctl enable yum-cron.service
# vi /etc/yum/yum-cron.conf
apply_updates = yes
# systemctl start yum-cron.service
# yum upgrade -y

ログとメールの設定

root 宛メールの宛先変更

# vi /etc/aliases

メールの宛先を変更

YourAccount: root
root: YourMail@example.net

最下に追記 ( SSH アカウントとメールアドレスはご利用のものを )

# newaliases

エイリアスを書き換え

LogWatch のインストール

# yum install -y logwatch

イメージの保存

一旦サーバをシャットダウンし ConoHa のコントロールパネルでイメージファイルに保存します。複数サーバを立てる際はこのイメージを利用することで、ここまでの流れを省略できます。
hostname はサーバごとに書き換えます。

# nmcli g hostname ConoHaHost.example.com
# cat /etc/hostname

DKIM & SPF

DKIM の設定

# yum install -y opendkim
# mkdir /etc/opendkim/keys/ConoHaHost.example.com

複数ドメインに対応する為ドメイン名のディレクトリ作成

# opendkim-genkey -D /etc/opendkim/keys/ConoHaHost.example.com -d ConoHaHost.example.com -s 20141207

鍵ファイル ( 秘密鍵と公開鍵 ) を作成します

# chown opendkim:opendkim /etc/opendkim/keys/ConoHaHost.example.com/20141207.*

鍵ファイルのオーナーを「opendkim」に変更します。

# vi /etc/opendkim.conf
Mode sv
#KeyFile /etc/opendkim/keys/default.private
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
# vi /etc/opendkim/KeyTable
20141207._domainkey.ConoHaHost.example.com ConoHaHost.example.com:20141207:/etc/opendkim/keys/ConoHaHost.example.com/20141207.private
# vi /etc/opendkim/SigningTable
*@ConoHaHost.example.com 20141207._domainkey.ConoHaHost.example.com
# vi /etc/opendkim/TrustedHosts
127.0.0.1
# vi /etc/sysconfig/opendkim
AUTOCREATE_DKIM_KEYS=NO
# systemctl enable opendkim.service
# systemctl start opendkim.service
# vi /etc/postfix/main.cf
# myhostname = ConoHaHost.example.com

#inet_protocols = all
inet_protocols = ipv4

# 下記を最終行に追加

#
# DKIM設定
#
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
# systemctl enable postfix

Postfix 起動登録

# cat /etc/opendkim/keys/ConoHaHost.example.com/20141207.txt

公開鍵ファイルを表示してコピー ( プライマリ DNS に登録する為 )

サーバーを再起動して全設定の反映を確認

# shutdown -r now

お疲れ様でした...

以下はプライマリ DNS にて行う作業 ( DKIM と SPF の登録 )

# vi /var/named/chroot/var/named/masters/example.com.zone
ConoHaHost.example.com.     IN     TXT     "v=spf1 ip4:192.0.2.1 ~all"
; 192.0.2.1 には貴方の ConoHa サーバーの IP を
20141207._domainkey.ConoHaHost.example.com. IN TXT "v=DKIM1; k=rsa; p=表示してコピーした公開鍵"
_adsp._domainkey.ConoHaHost.example.com. IN TXT "dkim=unknown"

公開鍵レコードの書式
セレクタ名._domainkey.ドメイン名. IN TXT "v=DKIM1; k=rsa; p=公開鍵のデータ"

ADSPレコードは、受信側でのDKIM認証結果をどのように扱うかを示す。

ココまでの設定が全て完了したら、メニューより用途別の設定をご覧下さい。

ペットのおうち

保護犬、保護猫の譲渡 里親マッチングサイト Veterinary Adoption
三井住友VISAカード