Top-ads

Powered by Blogger.

さくらVPSでWebサーバを構築するテンプレ

By | 火曜日, 5月 10, 2011 1 comment

さくらインターネットのVPSでWebサーバ(LAMP)を構築する際のテンプレートを公開します。VPSは高負荷でないサイト運用でしか使ってないので、アプリケーションの導入はyumで簡単に済ませています。

管理者アカウントの作成

$ useradd -G wheel userName
$ passwd userName

suをwheelグループに限定
$ vi /etc/pam.d/su

以下の行のコメントアウトを外す

# auth required pam_wheel.so use_uid


SSH設定
$ mkdir .ssh

クライアント側で公開鍵を作成し、サーバに公開鍵を転送
$ ssh-keygen -t rsa
$ scp .ssh/id_rsa.pub userName@host:/home/userName/.ssh

再びサーバ側の処理
$ cat .ssh/id_rsa.pub >> .ssh/authorized_keys
$ chmod 700 .ssh
$ chmod 600 .ssh/*
$ vi /etc/ssh/sshd_config

Port sshPortNumber (標準の22だと危ないので、10022とか何か別の番号で)
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no


$ /etc/init.d/sshd restart

接続元ホストの許可・拒否

$ vi /etc/hosts.allow

ALL: 127.0.0.1
sshd: .jp (hogehoge.ne.jpみたいに使ってるプロバイダで指定する方がより安全)


$ vi /etc/host.deny

sshd: ALL


iptablesの設定

$ vi /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport sshPortNumber -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

  • コンテンツの転送にはSFTPを使うので、FTPポートは空けない
  • sshPortNumberは、SSH設定で設定したポート番号を指定

$ /etc/rc.d/init.d/iptables restart

Apacheの導入

$ yum install httpd
$ ln -s /usr/bin/perl /usr/local/bin/perl
$ chown -R apache:apache /var/www
$ chmod 2775 /var/www/cgi-bin
$ rm -f /etc/httpd/conf.d/welcome.conf
$ rm -f /var/www/error/noindex.html
$ rm /etc/httpd/conf.d/welcome.conf
$ vi /etc/httpd/conf/httpd.conf

ServerTokens Prod (「OS」のままだと危ないので、必ず変更)
ServerName serverName

<Directory "/var/www/html">
Options FollowSymLinks
AllowOverride All
</Directory>

DirectoryIndex index.php index.html
ServerSignature Off (「On」のままだと危ないので、必ず変更)


リポジトリの変更
MySQLやPHPなど、新しいバージョンが使えるようリポジトリを変更

$ cd /etc/yum.repos.d
$ wget http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm
$ wget http://rpms.famillecollet.com/enterprise/remi-release-5.rpm
$ rpm -Uvh remi-release-5*.rpm epel-release-5*.rpm

MySQLの導入

$ yum --enablerepo=remi,epel install mysql.x86_64 mysql-devel.x86_64 mysql-server.x86_64 (64ビットOSの場合)
$ vi /etc/my.cnf

以下の行を追加

[mysqld]
character-set-server=utf8
[client]
default-character-set=utf8
[mysql]
default-character-set=utf8
[mysqldump]
default-character-set=utf8

  • セキュリティ上望ましくないので、skip-character-set-client-handshakeは使っちゃダメ

$ /sbin/chkconfig mysqld on
$ /etc/init.d/mysqld start

MySQLの初期設定
$ mysql_secure_installation

PHPの導入

$ yum --enablerepo=remi,epel install php
$ yum --enablerepo=remi,epel install php-mbstring php-mcrypt php-mysql php-pear php-pecl-apc

$ vi /etc/php.ini

expose_php = off (「On」のままだと危ないので、必ず変更)
error_log = /var/log/php-errors.log

mbstring.language = Japanese (コメントアウトを解除)
mbstring.internal_encoding = UTF-8
mbstring.http_input = pass
mbstring.http_output = pass
mbstring.encoding_translation = Off (コメントアウトを解除)


$ pear channel-update pear.php.net
$ pear upgrade --force PEAR
$ pear upgrade-all

PEAR:Cache_Liteの導入(使うなら)

$ pear install Cache_Lite
$ mkdir /tmp/cache
$ chown -R apache:apache /tmp/cache
$ chmod 777 /tmp/cache

APCの設定

$ mkdir /var/www/apc
$ cp /usr/share/doc/php-pecl-apc-version/apc.php /var/www/apc/apc.php

$ vi /var/www/apc/apc.conf.php

<?php
defaults('ADMIN_USERNAME','user');
defaults('ADMIN_PASSWORD','password');


$ vi /etc/httpd/conf.d/apc.conf

Alias /apc "/var/www/apc"
<Location "/apc">
Order deny,allow
Deny from all
Allow from 127.0.0.1
Allow from .jp(hogehoge.ne.jpみたいに使ってるプロバイダで指定する方がより安全)
</Location>


$ /etc/init.d/httpd restart
次の投稿 前の投稿 ホーム