まちゅダイアリー
2010-09-01 (水)
■ さくらのVPSを契約した
さくらインターネットから、さくらのVPSが提供されるようになったので、すぐに申し込んだ。 2年前から CPI のVPS を使っていたけど、スペックが上がって値段が安いとなれば、乗り換えるしかない。
軽く使ってみたけど、かなり好印象。
- 初期費用が0円
- 登録してから5分でIPとrootパスワードが発行されてログイン可能に
- シリアルコンソールから接続できるので, CentOS 以外の OS もインストール可能
- いずれは公式に debian, ubuntu のインストールもサポートされるらしい
- スワップ領域が2GBある。メモリ不足でプロセスが落ちることが無くなりそう。
- ネットワーク・CPUともに高速。
今日の作業メモ。
- さくらのVPSにUbuntu 10.04 LTSをインストールしてみたを参考に Ubuntu 10.04.1 LTS をインストール
- /etc/ssh/sshd_config を変更し、パスワードでの ssh 接続を禁止
-------------------------------------------------------------------------- --- sshd_config.20100901 2010-09-01 20:48:54.325672735 +0900 +++ sshd_config 2010-09-01 20:59:16.838157413 +0900 @@ -23,7 +23,7 @@ # Authentication: LoginGraceTime 120 -PermitRootLogin yes +PermitRootLogin no StrictModes yes RSAAuthentication yes @@ -47,7 +47,7 @@ ChallengeResponseAuthentication no # Change to no to disable tunnelled clear text passwords -#PasswordAuthentication yes +PasswordAuthentication no # Kerberos options #KerberosAuthentication no
- 日本語ロケールをインストール。
$ sudo apt-get install language-pack-ja
パッケージで zsh, vim, apache2, ruby1.8.7, git-core, subversion をインストール。 さらに、 rvm を入れて ruby1.8.7 と 1.9.2 をコンパイル。 サービス開始直後だからか、パッケージのダウンロードがあっという間に終わるなど、ネットワークの速度に驚く。
ちょうど今使っている VPS の更新時期なので、月末までにさくらのVPSへ徐々に移行していく予定。
ssh の接続ポートも変えておいた方が良いと思います。
パスワード認証禁止の環境でsshポートを変えるのは、不正なトラフィックによるsshサーバ負荷を抑えるのが目的でしょうか?
負荷もですが、不正アクセスはだいたいがPort22で行われているので、その数字を変えるだけで一つ目のフィルターとしては効果が高いです。
負荷対策としてのSSHポート変更は理解できます。一方で不正アクセス対策としては、ポート22への攻撃手法がパスワード総当たりであれば、パスワード認証を禁止することで必要十分な対策になると考えています。なので、利便性を損なってまでポートを変える利点が分からなかったです。<br>パスワード総当たり攻撃ではなく、別の驚異(SSHサーバの脆弱性が発覚した場合やSSHサーバの設定漏れ)を想定されているのでしょうか?
よくよく考えてみれば、ポートを変えるのは付加対策的な意味の方が強いような聞がしてきたのでまちゅさんの言うとおりだと思います。<br><br>利便性という部分ですが、ほとんどがシェルの history 参照か ssh の alias を使っているので個人的にはポートを変えて不便だなあと感じた時はありません。
こんにちは。<br>僕も敢えてポート番号変えて運用することが多いです。<br>Port22だと、syslog とかに大量の痕跡が残るのでうっとおしいというのが理由ですね。<br><br>利便性については、 ~/.ssh/config に設定を書いておけば気にならないですよ:)
そもそもhosts.allowに<br>sshd: 自分だけ : allow<br>ALL : ALL : deny<br>するだけで防げますよ。