2012年4月14日

さくら VPS CentOS 6.2 の基本設定まとめ

さくらのVPSが新しくなりCentOS 5.5 ⇒ CentOS 6.2 への変更でいろいろ変わりました
iptables,logwatch install,postfix設定変更あたりとselinuxは人によってはまるんじゃないかな?

※アフィリエイトはa8.net経由で自己申し込み可能(A8からのメールは退会しないと止めれない)

CentOSをサーバーとして活用するための基本的な設定
http://tanaka.sakura.ad.jp/archives/001065.html
iptablesに関してはさくら社長田中さんのsshはport 10022で210.224.160.0/19のIPよりアクセス許可を例に

-A RH-Firewall-1-INPUT -s 210.224.160.0.0/19 -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT

IPの変更があってもリモートコンソール(WEB管理画面)でログインすれば設定書きかえれるし

ということで私の考えた /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:DROPLOG - [0:0]
# localip drop
-A INPUT -s 10.0.0.0/8 -j DROP
-A INPUT -s 172.16.0.0/12 -j DROP
-A INPUT -s 192.168.0.0/16 -j DROP
# broadcast multicast drop
-A INPUT -d 255.255.255.255 -j DROP
-A INPUT -d 224.0.0.1 -j DROP
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 4 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW ! --syn -p tcp -j DROP
# tcp 445 udp 137,138 drop NETBIOS udp 17500 Dropbox
-A RH-Firewall-1-INPUT -p tcp -m multiport --dports 445 -j DROP
-A RH-Firewall-1-INPUT -p udp -m multiport --dports 137,138,17500 -j DROP
# ssh allow 210.224.160.0.0/19
-A RH-Firewall-1-INPUT -s 210.224.160.0.0/19 -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT
# tcp allow ports 25,80
-A RH-Firewall-1-INPUT -m state --state NEW -m multiport -p tcp --dports 25,80 -j ACCEPT
# other (reject)
-A RH-Firewall-1-INPUT -j DROPLOG
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -d 255.255.255.255 -j DROPLOG
# brodcast drop See /sbin/ifconfig eth0
-A OUTPUT -d xxx.xxx.xxx.xxx -j DROPLOG
# drop
-A DROPLOG -m limit --limit 3/hour -j LOG --log-prefix "DROP:"
-A DROPLOG -j DROP
COMMIT

--dports 25,80 に通過させるポートをカンマ区切りで追加していく(localのみで使うのは入れない -A RH-Firewall-1-INPUT -i lo -j ACCEPT で許可してある)

FTP開けたいなら TCP 21 UDP 20を通すのとiptables-configでモジュールロードする

-A RH-Firewall-1-INPUT -m state --state NEW -m multiport -p tcp --dports 80,25,21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m multiport -p udp --dports 20 -j ACCEPT

/etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"

変更が終わったなら /etc/init.d/iptables restart 繋がらなくなったら管理画面コンソールより接続して /etc/init.d/iptables stop

・logwatch入ってないので yum install logwatch
root宛にくるので変更したいなら /etc/aliases を編集して newaliases
・postfixは最初から入っているので
/etc/postfix/main.cf を編集して /etc/init.d/postfix restart
・apache入ってないので yum install httpd
/etc/httpd/conf/httpd.confを編集して /etc/init.d/httpd start


さくらVPS CentOS6.2で基本設定をする
http://d.hatena.ne.jp/kopug/20120318/1332045240
etckeeper,iptables

さくらVPS リニューアルで1Gに乗り換えたのでCentOS 6.2 初期設定 memo
http://d.hatena.ne.jp/hogem/20120330/1333034124
カスタムインストール

新さくらのVPS + CentOS 6.2 で最初にやったことメモ
http://fixture.jp/blog/2012/03/new-sakura-vps-cent62-getting-started/
tmux,dotfiles,vim

さくらの VPS を借りたらまずやっておきたい15のこと (CentOS 6.2編)
http://d.hatena.ne.jp/Kenji_s/20120405/sakura_vps
iptablesの例が良く見るやつと違う

さくらインターネット VPS(v3) 2G設定メモ
http://radio-age.com/dev/sakura-2.html

<続>さくらインターネット VPS(v3) 2G設定メモ
http://radio-age.com/dev/sakura-2-bis.html

http://b.hatena.ne.jp/t/iptables iptablesの参考に
VPSとか専用サーバーの監視について
http://kuni92.net/article/264979462.html
設定がすんだら監視も

スポンサーリンク



  • follow us in feedly