さくらVPSの初期設定

前回サーバを起動するところまで行きました。

MacでさくらVPSを使ってサーバ構築
frute.hatenablog.com


今回は初期設定を行っていきます。

パスワードの変更

基本的にはこちらを参考に行いました。
qiita.com

作業用ユーザの作成と設定までならって進めて下さい。

途中に出てくるサーバのログアウトの仕方ですが、exitとコマンドを打てばできます。


またvim(エディタ)のコマンドに関しては
haya14busa.com
こちらのサイト様が参考になります。


公開鍵認証の設定

さくらVPSは基本的にパスワードで認証します。

しかしパスワード認証はパスワードが流出してしまった場合簡単に侵入できてしまうのでセキュリティ上弱いです。

そのため公開鍵認証という認証の仕方に変更します。

これは鍵を持った人のみサーバにアクセスできるようになることを意味します。

この鍵は2つ存在していて、パソコンに置いておく「秘密鍵」とサーバ側に置いておく「公開鍵」があります。

秘密鍵さえ流出しなければ、他の人からアクセスされることはなくなります。

では実際に公開鍵認証の設定を行っていきます。

Mac側の設定

まずMac側でターミナルを開いて、ホーム(/Users/ユーザ名)にいることを確認した後に以下を入力して下さい。

mkdir .ssh
chmod 700 .ssh

mkdirはmake directoryの略で.sshというフォルダを作っています。

.sshディレクトリがあれば1行目は行わなくても良いです。ls -laというコマンドで確かめられます。

2行目のchmodはchange modeの略で権限の変更を行うコマンドです。

700で.sshディレクトリは本人しか読み書きできなくしています。

cd .ssh
ssh-keygen

cdはchange directoryの略で.sshディレクトリに移動します。

次に2行目で先ほど述べた秘密鍵と公開鍵を作ります。

Enter file in which to save the key (/Users/xxxx/.ssh/id_rsa):

と出て来るところでどのサーバの鍵かわかるように名前を付けます。今回はsakuraとしました。名前を入力してリターンを押します。

その後に秘密鍵に設定するパスフレーズの入力が求められますが、特に設定しなくてもいいので何も入力せずリターンその後再確認を求められるのでもう一度リターンを押します。

lsで確認すると、sakuraとsakura.pubがあると思いますが、それぞれ秘密鍵と公開鍵です。

この公開鍵はサーバ側においておく必要があるので

cat sakura.pub

で表示される内容をコピーしておいて下さい。

サーバ側の設定

今度はサーバ側で先ほど設定したadminでログインします。

mkdir .ssh
chmod 700 .ssh
cd .ssh

同様に.sshディレクトリを作ります。

vim authorized_keys

vimを開いてiキーでインサートモードにして、先ほどコピーした公開鍵の文字列を貼り付けます。

:wqコマンドで終了し、以下のchmodコマンドで、このファイルを自分のみ読み書き可能にしておきます。

今後別のパソコンからもサーバにアクセスしたくなった場合はここにそのパソコンで生成した公開鍵を追記していきます。

chmod 600 authorized_keys

再度Mac側の設定


続いて簡単にアクセスできるようにするためにssh configの設定をします。

qiita.com
こちらを参考に行っていきます。

Mac側でホームディレクトリから

cd .ssh
vim config

vimを開きます。そして以下をiでインサートモードにして入力して:wqで閉じます。

あくまで今回用いている設定なので自分の環境に合わせて変える部分は変えて下さい。

Host 任意の接続名(sakura)
HostName IPアドレス
User admin
Port 22
IdentityFile ~/.ssh/sakura

そうすると任意の接続名(今回はsakura)で以下のように簡単にサーバにアクセス出来ます。

ssh sakura

パスワード認証を禁止

公開鍵認証ができることを確認したら、通常のパスワード認証が出来る状態では意味ないのでこれを禁止します。

先ほど参考にさせていただいたサイト様をもう一度参考にします。
qiita.com

上記サイトのポート番号の変更、rootによるログイン禁止、パスワードでのログイン禁止の章を見て下さい。

そこのポート番号の変更は行わなくても良いので、他2つのrootによるログイン禁止、パスワードでのログイン禁止を設定して下さい。

ファイアウォールの設定

次にサーバはまだセキュリティが何もない状態なので、ファイアウォールの設定をします。

これはiptablesというものから設定します。詳細は長くなりますのでさくらのサイトに譲ります。

help.sakura.ad.jp

こちらをそのまま行って下さい。

STEP4の許可する通信の設定ではポート番号はsshで使う番号のみ(今回は22)開放して下さい。



以上で初期設定はおしまいです。お疲れ様でした。