さくらVPS レンタルサーバーの管理運用に関するTiPS

京都大学では、ウェブサイトのためのホスティングサービスを、さくらインターネットのレンタルサーバー(以後、さくらレンタルサーバーと呼ぶ)へ移行しました。しかしながら、自由にカスタマイズ可能な占有サーバーのためのサービス「VMホスティングサービス」はそのままです。

占有サーバーの利用目的はデータベースやその他ウェブホスティングサービスでは動作しないシステム等です。一定規模であればVMホスティングサービスでもよいですが、たとえばプロジェクト管理に redmine (ruby on railsが必要)を使いたい程度であれば、資源的に勿体ない場合もあります。またWAFなども使えないため、セキュリティ対策もより大変です。また今後クラウドサービスへ移行される可能性もあります。

そこで、redmine を学内等特定ネットワーク内でのみ動作させることを目標に、さくらVPSのセットアップについて実証実験した過程で得た知見ついて TiPSという形でまとめました。

今回、CentOS Stream8 で実験しました。まだこのOSに関する情報は少ないこと。CentOSのサポートは終了もしくは終了に向かっており、今後は Stream8 のみになることもあったためです。

実証実験した環境

  1. さくらVPS 1GBコース
  2. OS: CentOS Stream8
  3. さくらコントロールのパケットフィルタ機能で、京都大学ネットワークに限定
  4. Let’s Encrypt + Nginx による Basic 認証(暗号化)による利用ユーザー限定
  5. redmine 4.1.2
  6. ホスト:◯◯.cseas.kyoto-u.ac.jp (DNSのAレコードをさくらVPSのIPアドレスに設定しておく)

初期設定

OSとSSHログインの方法は割愛します。これらは、さくらVPSのマニュアルにも掲載されているためです。逆に言えば、これができなければ占有サーバーをセキュアに管理運用できるスキルがないため、少なくても本番利用のための運用はスキルのある誰かに任せるのがよいです。

  1. OSのインストール(CentOS Stream8を選択)
  2. SSHログイン
    1. 自身の公開鍵でログインできた後に、パスワード認証をオフにしましょう。
      /etc/ssh/sshd_config のPasswordAuthentication yes → PasswordAuthentication no にして、サービスの 再起動(systemctl restart sshd)をするということです。
    2. rootへの直接ログインをこの時点でやめるかどうかは運用ポリシー次第です。セットアップ途上はパケットフィルタで接続を制限した上でセットアップし、完了したら rootへの接続を切るという手もあります。ただしその場合には、事前にログインするユーザーを作成し、そのユーザーで sshログイン(公開鍵・秘密鍵方式)できること、そして su – などで root へのログインができることを確認してください。さもなくばOSの再インストールが必要になるかもしれません
  3. さくらコントロールパネルのパケットフィルタを変更する(10件登録可能)
    京都大学学内限定にするには:http://www.iimc.kyoto-u.ac.jp/ja/services/kuins/external/use/proxy.html#ipaddress

    • 22/tcp, 80/tcp, 443/tcp の3つのみ上記のIPアドレス群を許可します。
      途中、Let’s Encrypt 登録のために、一時的に 80/tcp を全許可する必要がでてきます。
  4. ロケール設定(ファイル名などに日本語を取り扱う場合)
    1. dnf install glibc-langpack-ja で言語パッケージをインストールします。
    2. localectl コマンドを実行すると下記になっていることを確認
      System Locale: LANG=en_US.UTF-8
      VC Keymap: jp
      X11 Layout: jp
    3. localectl set-locale LANG=ja_JP.UTF-8 を実行した後に
      localectl を実行した場合、下記のように言語設定が日本語に変更になっていることを確認。
      System Locale: LANG=ja_JP.UTF-8
      VC Keymap: jp
      X11 Layout: jp
  5. パッケージ管理システム(DNF)の自動アップデート設定(参考:https://aulta.co.jp/archives/7685
    1. dnf install dnf-automatic で自動アップデートツールをインストール
    2. vi /etc/dnf/automatic.conf でファイルを編集
      upgrade_type = default
      apply_updates = yes
    3. systemctl enable dnf-automatic.timer
      systemctl start dnf-automatic.timer という2つのコマンドを実行して、サービスの常駐化とサービスの起動を行う。
  6. Redmine を導入する方法(Postfix, MariaDB, Nginx, Let’s Enctypt)
     *かなりやることがあるので1日がかりになると思います。

  7. Rootによる sshログインを禁止設定する
    • root以外のユーザーによる SSHログインが完了して、su – でrootログインできることを確認後、/etc/ssh/sshd_config の PermitRootLogin yes → PermitRootLogin no にして、サービスの 再起動(systemctl restart sshd)して、rootでのsshログインが拒否されることを確認してください。

関連情報

2021年4月19日

記事を評価する(This article is evaluated): [1 Star2 Stars3 Stars4 Stars5 Stars] 未評価(Not Yet)
読み込み中...