SSHサーバを設定しよう
Posted on 1月, 5 at 6:56 pm
今年はとりあえずサーバシリーズで始めていこうと思います。
では、DebianサーバシリーズSSH編でお送りしたいと思います。
まずは
インストール
# apt-get install ssh
これで完了。SSH、始まりました。
次に
設定
です。これしっかりしないと、えらいことになります。
/etc/ssh/sshd_configを編集します。
# vi /etc/ssh/sshd_config
変更するのは主に下の部分
ChallengeResponseAuthentication no #チャレンジレスポンス認証をしない
PasswordAuthentication no #鍵必須 #パスワードログイン受け付けない←設定する場合要注意 あらかじめ鍵を登録しておかないとSSHログインできなくなります
PermitRootLogin no # rootログインを禁止する
PermitEmptyPasswords no #空のパスワードログインを禁止する
AllowUsers hogehoge # hogehogeユーザしか入れない 必要に応じて設定
DenyUsers hogahoga # hogahogaユーザは入れない 必要に応じて設定
MaxAuthTries 6 # 6回まで間違いを受け付ける 適宜数値を調整
UsePAM no # pam経由で認証を可能にする 鍵認証ならnoが良いと思います
UseLogin no #ログインプログラムを使わない これはno必須です。
MaxStartups 4:80:10 #同時接続4までそれ以降80%の確率で拒否、最大10接続 という設定
LogLevel INFO #ログするレベルです INFOで良いと思います。
編集したら再起動
#/etc/init.d/ssh restart
これで設定が適応されます。
鍵の追加
puttで作成した鍵を登録。
puttyで作成した鍵(putty_id.pub)を登録したいユーザのホームディレクトリに置いて、
$ ssh-keygen -i -f putty_id.pub > linux.pub
$ cat linux.pub >> $HOME/.ssh/authorized_keys
で登録。
Debianで作成する。
$ssh-keygen -t rsa -f filename
$ssh-copy-id -i ~/.ssh/id_rsa.pub debian.example.jp #リモートサーバアドレス
これで鍵が転送されるようです。使ったこと内ので、できるかわかりません。。。
denyhostsインストール
上の設定で、いくら拒否しても何度もアタックされるとサーバ負荷的にも気持ち的にもくるので、そのための対策を。
ブルートフォースアタックしてきたIPをhosts.denyに書きこんでくれるソフト。
インストールは
# apt-get install denyhosts
設定は/etc/denyhosts.conf
DenyHosts で ssh ブルートフォースアタック対策を参考に。
SECURE_LOG = /var/log/auth.log #denyhosts の読み込むログファイルの場所
HOSTS_DENY = /etc/hosts.deny #hosts.deny の場所
PURGE_DENY = #denyhostsが攻撃者と思われるIPを/etc/hosts.deny に登録しておく時間を設定(この設定時間を過ぎると、拒否するホストから削除され、
空白の場合は、ずっと登録したままにになる。–purge オプションを付けてスクリプトを起動しないと実行しない。
)。
#PURGE_THRESHOLD #/etc/hosts.denyから削除する回数を定義する。この回数を超えると、/etc/hosts.deny に登録されたままになる。default 0 (disable)
BLOCK_SERVICE = sshd #/etc/hosts.denyに追加するときのサービス名。
DENY_THRESHOLD_INVALID = 4 #この回数より多くログインに失敗したホストをブロックする。存在しないユーザに適用。
DENY_THRESHOLD_VALID = 5 #この回数より多くログインに失敗したホストをブロックする。存在するユーザに適用。root 以外。
DENY_THRESHOLD_ROOT = 1 #この回数より多くrootログインに失敗したホストをブロックする。
DENY_THRESHOLD_RESTRICTED = 1 #この回数より多くログインに失敗したホストをブロックする。WORK_DIR/restricted-usernames ファイルに書かれている username のみ。
WORK_DIR = /var/lib/denyhosts #WORK_DIR のパス。
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES #YES に設定している場合、許可されたホストからの疑わしいログインを、疑わしいログインとしてレポートする。NOに設定している場合、レポートしない。許可されたホストでない疑わしいログインは、全てレポートする。
HOSTNAME_LOOKUP=YES #YES なら、IP アドレスからホスト名をルックアップする。
LOCK_FILE = /var/run/denyhosts.pid #LOCK_FILE を指定する。
ADMIN_EMAIL = hoge@localhost #新しい拒否するホストと疑わしいログインについてメールする。
SMTP_HOST = localhost #SMTP サーバのアドレス。
SMTP_PORT = 25 #SMTP サーバのポート。
#SMTP_USERNAME=foo #SMTP 認証で使用するユーザ名。
#SMTP_PASSWORD=bar #SMTP 認証のパスワード。
SMTP_FROM = DenyHosts #メールの From: アドレス。
SMTP_SUBJECT = DenyHosts Report #メールの件名。 #SMTP_DATE_FORMAT = %a, %d %b %Y %H:%M:%S %z #メールの Date: の書式。
#SYSLOG_REPORT=NO #syslog へデータを送るかどうか。
#ALLOWED_HOSTS_HOSTNAME_LOOKUP=NO
# /etc/init.d/denyhosts restart
で設定適応。これで、めんどくさいSSH攻撃もマシになるのではないでしょうか。
Posted in Windows, コミット | No Comments »
VMWare Server 2.0 を入れる Debian lenny編
Posted on 1月, 5 at 12:01 am
以前組み立てたATOMサーバにVMWare Server2.0を入れてみた。
先にこのサーバにはDebianのLennyが入っている事とします(最小構成インストール済み)。
だって、Etchだとネットワークドライバがうまくいかなかったので。。。
VMWareのサイトからダウンロード(要アカウント取得)
VMware Server 2 for Linux Operating Systems
VIX API 1.6 for Linux
の2つをダウンロード(tarイメージの方です)。
そして、インストールに必要なパッケージをダウンロードします。
#apt-get install build-essential linux-headers-2.6.26-1-686 linux-headers-2.6-686 linux-headers-2.6.26-1-all
ちょっと余計なのが入ってるかもしれないですが、まぁ適当に。
あと、Debianインストール後にいろいろつっこんだので、これ以外にいるのがあるかもしれませんが、適宜入れてください。
まずはVMWare-serverをインストール。ダウンロードしたtarイメージのディレクトリで、
#tar zxvf VMware-server-2.0.0-122956.i386.tar.gz
#cd VMware-server-distrib
#./ vmware-install.pl
あとは、質問に答えながら進めていけばOK。だいたいはそのままYESですすめば大丈夫だと思います。
ただ、問題は、インストールされているgccのバージョンとカーネルをコンパイルしたgccのバージョンが違うと言われるかもしれません。
#gcc --version
でバージョンが4.3ほにゃららだったら、4.1にした方が良いです(上でそう言うエラーが出た場合です)。
#rm /usr/bin/gcc
#ln -s /usr/bin/gcc-4.1 /usr/bin/gcc
直接書き換えていいのかな?まぁ、もともとgccはリンクなので、こういう風に切り替えるんだろうと思ってこうしています。
これで、まぁ、大丈夫でしょう。
あとは、インストール途中で聞かれるVMWareのサイトで取得したアカウントからシリアルキーを入力すればOKです。
多分大丈夫!途中ネットワーク設定とか聞かれますが、多分後で変更できるので、まぁ適当にしてもよろしいかと。
次に、VMWare-vixをインストールします。前とほとんど同じです。
#tar zxvf VMware-vix-1.6.0-122956.i386.tar.gz
#cd vmware-vix-distrib
#./vmware-install.pl
です。聞かれる内容が少ないくらいで、あっさり終わると思います。
これで、インストールは完了です。
あとは
https://サーバのIPアドレス:8333/ui/#
でアクセスしてみて、ログインできればOKです。
ログインにはデフォルトではLinuxのrootアカウントで入れると思います。
あとはWebブラウザ上でできるので便利です。
以前使用していたVMがあるなら、Virtual Hardware Versionを変更しておいた方が良いかもしれません。これもブラウザ上でできるので、楽ちんです。
バージョン2.0になってからXを立ち上げなくても簡単に入るようになった気がするので、すごく便利になったと思います。
Let’s Enjoy!
Posted in device, Linux, Tips, Tool, コミット | No Comments »
amazonプラグイン変更テスト
Posted on 12月, 28 at 2:50 am
WordPressのバージョンアップに伴い、amazonのプラグインが動かなくなった。
使用していたのはWP-Amazon。
投稿ページのレイアウトなどが変わったため、プラグインの表示ができなくなった模様。
しかし、わざわざ自分でタグ打つのも面倒なので、プラグインを探してみた。
そして、みつけたのがwp-tmkm-amazon。
これは本文に埋め込むタイプのプラグインで、商品の検索機能もついている。
ということで、足が冷える僕が欲しい商品を貼ってみた。うまくいっていれば表示されるはず。。
[tmkm-amazon]B000MM0YZW[/tmkm-amazon]
Posted in plugin, Tips, Tool, wordpress, コミット | No Comments »
WordPress設定変更
Posted on 12月, 24 at 11:55 pm
WordPressが新しくなったので、色々設定を見てみました。
一番変わったのが、パーマリンク。
設定 -> パーマリンク設定で変更できます。
これを変更したら、これまでの?p=xxではアクセスできなくなるのかなぁ、と心配していましたが、問題無くアクセスできるようで安心しました。
で、プラグインを見てみたのですが、DBのバックアップをしてくれるプラグインがあるようで試してみました。
WP-DB-Backup
とりあえず、ファイルを保存でバックアップをとってもファイルが生成されなかったので、メール送信に変えたところ、うまくいきました。文字コードの関係か、あふからの解凍はうまくいかなかったので、解凍ソフトを使用しました。
って、あんまり変わっていない…。
まぁ、バックアップができるようになったのが大きいのかな。
Posted in plugin, Tips, Tool, wordpress, コミット | No Comments »
PoderosaとPutty
Posted on 12月, 21 at 10:37 pm
Windowsで使用するSSHクライアントとして、以前はPutty、最近まではPoderosaを使っていました。
しかし、Poderosaはタブや設定の使いやすさは良いのですが、本職のSSHクライアント部分に難が目立ってきました。
例えば、
- lsで表示した際に表示されない部分がある。
- viで編集しているとなぜか表示と実際の編集箇所がずれている。
- 基本的に立ち上がるまでが重い。
というのがあります。上の2つは致命的で、本当になんで我慢していたのかわかりません。
結局Puttyに戻すことにしました。
Puttyの設定は基本的にレジストリに書きこまれるので厄介なのですが、regeditで下記のアドレスをエクスポートすれば良いのでまぁ、良いでしょう。
HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions
エクスポートしたファイルをダブルクリックで適応できます。まぁ、ここは便利ですよね。。
Posted in Tips, Tool, Windows, コミット | No Comments »
