coding anyway: お名前VPS上でCentOS7を初期設定する

お名前VPS上のCentOS7を初期設定メモ

CentOS7のインストール

コントロールパネルのOS再インストールで「カスタムOS CentOS 7.0」を選択してインストール
ネットワークは「ON」にしておく
パッケージは「インフラストラクチャサーバー」を選択する

作業ユーザの設定

rootユーザでログイン

$ ssh root@IP-ADDRESS

作業ユーザを作成

# useradd worker

作業ユーザのパスワードを設定

# passwd worker

wheelグループに追加して作業ユーザがsudoできるようにする

usermod -G wheel worker

wheelグループのsudo設定

visudo

パスワードありの場合：

## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL # 変更前
%wheel ALL=(ALL) ALL                # 変更後

パスワードなしの場合：

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL # 変更前
%wheel        ALL=(ALL)       NOPASSWD: ALL   # 変更後

wheelグループのユーザだけがsuコマンドを実行できるようにする

# vi /etc/pam.d/su

# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid # 変更前
auth           required        pam_wheel.so use_uid  # 変更後

SSHの設定

SSHのセキュリティ設定をする

# vi /etc/ssh/sshd_config

SSHのポート変更

#Port 22   # 変更前
Port 54321 # 変更後

rootでログインできないようにする

#PermitRootLogin yes # 変更前
PermitRootLogin no   # 変更後

sshd再起動

# systemctl restart sshd.service

sshdのポートが変わっていることを確認

# lsof -i:54321

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    12491 root    3u  IPv4  76798      0t0  TCP *:54321 (LISTEN)
sshd    12491 root    4u  IPv6  76800      0t0  TCP *:54321 (LISTEN)

ファイアウォールの設定

sshのポートIDを変更

# cp /usr/lib/firewalld/services/ssh.xml /usr/lib/firewalld/services/ssh.xml.org
# vi /usr/lib/firewalld/services/ssh.xml

<port protocol="tcp" port="22"/>    # 変更前
<port protocol="tcp" port="54321"/> # 変更後

ファイアウォールを再起動

# firewall-cmd --reload

設定確認

rootでログインできないことを確認する

$ ssh root@IP-ADDRESS -p 54321

作業ユーザでログインする

$ ssh worker@IP-ADDRESS -p 54321

公開鍵認証でログインするようにする

公開鍵と秘密鍵を生成する

$ ssh-keygen -t rsa

公開鍵を作業ユーザのauthorized_keysに登録する

$ scp -P 54321 ~/.ssh/id_rsa.pub worker@IP-ADDRESS:/home/worker/id_rsa.pub.mac
$ ssh worker@IP-ADDRESS -p 54321

$ mkdir ~/.ssh
$ chmod 700 .ssh/
$ touch ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys
$ cat ~/id_rsa.pub.mac >> ~/.ssh/authorized_keys
$ rm ~/id_rsa.pub.mac

公開鍵認証でログイン

$ ssh worker@IP-ADDRESS -p 54321

「SSH キー”id_rsa”のパスワードを入力してください。」と聞かれる
キーチェーンに保存しておけばその後はパスワードなしでアクセス可能になる

パッケージアップデート

EPELリポジトリのインストール

$ sudo yum install -y epel-release

パッケージのアップデート

$ sudo yum update-y