標準OSを利用することを前提に、以下の点は最低限検討したほうが良さそうです。
- マウントポイントは現状で問題ないか。
- sshのrootログインを禁止するとともにポート番号を変更。
- FWをしっかり設定。
1番に関してはさくらのVPS 1G以上に当てはまることで、2台目のドライブは標準で/homeにマウントされています。
あとから変更するのはそれなりに大変なのでサーバの設定より先に利用目的に合せてマウントポイントを変更するべきだと思います。
自分の場合はOSを再インストールする課程でVGを使ったので1台目と2台目の区別をざっくり無くして「/」にマウントしました。
2番に関してはコントロールパネルのコンソールから入ってsshdの設定を変更して対応します。
これをやらないと速攻で不正アクセスを受け付ける羽目になるので(体験談)。。。
また、あらかじめログイン用のアカウントをuseraddなどで追加しておきましょう。
具体的には、
# cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_old
# vi /etc/ssh/sshd_config
以下の2行を書き換え or 追加します。
PermitRootLogin no Port ?????
といった感じです。
「?????」には自分で決めたポート番号を入力しますが、10000番以上のportを指定した方が他のサービスとぶつからなくて安心です。
3番に関してはデフォルトでインストールされるパッケージに「iptables」があるので設定しておきます。
# ls -l /etc/sysconfig/iptables
## 初期状態だとないと思います。
# vi /etc/sysconfig/iptables
だいたい以下のような感じに設定しておきます。
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j SAKURAVPS-Firewall-INPUT -A FORWARD -j SAKURAVPS-Firewall-INPUT -A SAKURAVPS-Firewall-INPUT -i lo -j ACCEPT -A SAKURAVPS-Firewall-INPUT -p icmp --icmp-type any -j ACCEPT -A SAKURAVPS-Firewall-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #SSH -A SAKURAVPS-Firewall-INPUT -m state --state NEW -m tcp -p tcp --dport ????? -j ACCEPT # -A SAKURAVPS-Firewall-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
「?????」の部分には2番目に設定したsshdのポート番号を記入します。
保存し終わったら以下のコマンドで設定を有効にします。
# /etc/init.d/iptables restart
# iptables -L
これで外部から「?????」でアクセスするとログインできるはずです。
今回はsshdしか許可していないのでhttpやらpopやらftpやらを必要に応じて追加許可していけばいいと思います。
最後になりましたが作業は自己責任でお願いします。
もっといい方法があれば教えてください。