さくらVPSの初期セットアップからWordPressの引っ越しとメールサーバをGmail(GoogleApps)に任せてしまうところまで。

2011.12.05 Technical 

まずはじめにボクはCUIを延々避け続けてきた人間で、
今回の手順を事細かに勉強しながらメモって行ったおかげで、くっそ長いです。ごめんなさい。

経緯

3年前にサーバを借りたんですが(安さと簡単そうって理由だけでlolipopだった気がする)、
今のサーバではできない、どうしてもやりたいことがいくつか出て来てしまったので
今回CUIやサーバ周りの勉強も兼ねて、さくらのVPSに乗り換えてみました。

ちなみにCUIどころかviも何それうまいの?っていうレベルですのであしからず..
また、これはマズいっていう間違いあったら教えて頂けると泣いて喜びます(´;ω;`) ブワッ

とりあえず環境は Mac OSX 10.6.8 で、さくらのVPS 512で行います!
すたーと!

1.さくらVPS コントロールパネル リモートコンソールからroot権限でログインする。

https://secure.sakura.ad.jp/vpscontrol/main/vnc

2.ますはUser/Passを設定

adduser yourUserName
passwd yourUserName
でpassword何にするん?って聞かれるので2回答える。
そすれば、passwd: all authentication tokens updated successfully.
で設定完了。実際のやり取りは以下。

[root@localhost ~]# adduser hogehoge
[root@localhost ~]# passwd hogehoge
Changing password for user hogehoge.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

このついでにrootのpasswdもデフォルトでもらったものから変更しておく。

[root@localhost ~]# passwd

sudoの実行権限をwheelグループに追加することで得るようにする。
rootってのは基本使わずに、ユーザを追加してそいつで操作するらしい。
なのでその為にそいつに権限渡してあげるって感じかね。?
su - とか、sudo コマンドを使う!

$ su -		←root権限での実行が必要なのでsuコマンドでrootに変身!
Password:
# usermod -G wheel XXXX (CentOSでは-aオプションつけなくても大丈夫!)

# id XXXX
uid=500(XXXX) gid=500(XXXX) groups=500(XXXX),10(wheel)	←追加されてるのを確認

# visudo
/usr/sbin/visudo 実行

ここでviエディタなるものを使って編集する。
なるほど、はじめてFFFFOUND!とかのh,j,k,l の意味が分かったよ。。汗

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL	←コメントアウトを外す

これ以降 sudo でroot権限になれる(Passwordはuserのもの)
su – でrootに変身する場合はPasswordはrootのものを使用する。
後から理解したんだけどこの方法にしておけばユーザを追加する時にも
wheelグループに追加するだけでおkってことなんね!(・∀・)

3.セキュリティのためSSHのデフォルト接続ポートを変更する

SSHはデフォルトでは22番ポートで接続を待っているらしいので、これを通常使用されない
1024以上の番号に変更しておく。(入口を分かりにくくする。1024~65535の値で。)
でもずっと後で、結局簡単に調べるコマンドあるらしいから気休め程度ってどこかで見た。。orz

$ sudo vi /etc/ssh/sshd_config

#Port 22	ここの下に追加
Port 1024~65535

4.公開認証鍵で SSH 接続できるようにする

基本Passでログインするのではなく、公開認証鍵使ってログインするように変更する。
さっき作った作業用IDでログイン

cd ~/ ← (ユーザーディレクトリに移動)
mkdir ~/.ssh ← (.sshディレクトリを作成)
chmod 700 ~/.ssh ← (.sshディレクトリの権限を所有者だけに限定)
chown -R sakura:sakura .ssh ← (所有者をrootからユーザに変更)
vi ~/.ssh/authorized_keys ← (公開鍵ファイルを作成、編集)

ちなみに別PCからも鍵認証でログインしたい時は、
別途そのPCで鍵ファイル作って、

cat id_rsa.pub >> .ssh/authorized_keys

みたいな感じで、鍵追記すればおk。
ちなみにこの公開鍵をGUIとかで選択しようとすると不可視ファイルで
探せないのだけれど、選択ウィンドウで
「Command」+「Shift」+「 . 」で表示できるようになる。(知らなかった!)

5.その他諸々セッティング

sudo vi /etc/ssh/sshd_config

#PermitRootLogin yes
PermitRootLogin no ← rootのログイン禁止(=rootは狙われやすいので)

#RSAAuthentication yes
RSAAuthentication yes ← RSA鍵方式のログインOK(=秘密鍵を持ってる人のみOK)

#PubkeyAuthentication yes
PubkeyAuthentication yes ← 公開鍵方式のログインOK(=秘密鍵を持ってる人のみOK)

#AuthorizedKeysFile .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys ← 公開鍵の置き場

#RhostsRSAAuthentication no
RhostsRSAAuthentication no ← リモートホスト(信頼できるホスト名とユーザー名のリスト)によるログイン禁止

#PasswordAuthentication yes
PasswordAuthentication no ← パスワード方式のログイン禁止(=総当りの阻止)

#PermitEmptyPasswords no
PermitEmptyPasswords no ← 空のパスワード禁止

#UsePAM yes
UsePAM no ← PAM(一括認証)の禁止

で保存してからssh再起動。

sudo /etc/init.d/sshd restart

ここでログアウトする前に、別のターミナルウィンドウ立ち上げてそこからログインなしで入れるか試しておく。(そこミスってるとコンパネから入らないといけない or OS再インストールからやらないといけないらしいよ。。激汗)

さくら VPS(CentOS)でシステムの文字コードを日本語にしておく(ただし、error文言とかをググっても引っかかる率が格段に下がるので自己判断でいいよ!)

sudo vi /etc/sysconfig/i18n で、
LANG="ja_JP.UTF-8" にする。

6.システムアップデートして一旦休憩!

sudo yum update で、だーっと文字が流れて、しばらくすると
Install      ** Package(s)
Upgrade      ** Package(s)
 
Total download size: 999 M
Is this ok [y/N]: y

みたいな感じでこんだけあったぜみたいに聞かれるので、
yes,yesと答えていればいつの間にかダウンロード初めてインスコ完了。

7.SSH接続する時のログイン方法を記録しておく。

ローカルファイルにある、/Users/***/.ssh/config に以下を書いておけば、これまでのようにいちいち
ssh -p 99999 user@host.name みたいに書かなくて済む!!!

Host sakura
	HostName **.***.***.***
	User user
	Port 9999
	IdentityFile ~/.ssh/id_rsa

これで、ssh sakura でログインできるようになった!素敵!(・∀・)
ちなみにhostがいろいろ出てくるようになると以下みたいな対応で複数持たせれるらしい!!

test.orgの場合、「id_rsa.test.org」
hoge.inの場合、「id_rsa.hoge.in」とかで保存して、configは

Host test
    HostName        test.org
    IdentityFile    ~/.ssh/id_rsa.test.org
    User            test_user
Host hoge
    HostName        hoge.in
    IdentityFile    ~/.ssh/id_rsa.hoge.in
    User            hoge_user

とか。

まーこの辺りは自分のローカル環境にバーチャルホスト切る感じと同じやね。
公開鍵の名前って別になんでもいいんね。へー(・∀・)

で、この辺りからGUIでSFTP接続試してみた。
今回はTransmit使って、SFTP接続で、ユーザ名は作業用ユーザ名入れて、
パスワードなしで、横の鍵マークから公開鍵ファイル(id_rsa)の置き場指定して、
ポートをssh用の任意で決めたやつに変更して、接続!
初回だけパスワード聞かれて、公開鍵作った時のパスワード答えて、とーった!!
これでパス使わない(使えない)&このPCからしかssh接続できない!!(`・ω・´)キリッ

8.ファイアーウォール(iptablesでパケットフィルタリング)の設定

sudo iptables -L

で現在のiptablesの設定を確認。何も設定されてないのを確認。うす。

まずiptablesがないのでつくる。

sudo vi /etc/sysconfig/iptables

で、中身は以下。
未設定の状態からSSH、HTTP、FTP、MySQLだけにポート解放する。
SSHは任意の変更したポート、
HTTP → 80、
FTP → 20,21、
MySQL → 3306 を使用。

*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]
:SERVICE – [0:0]

-A INPUT -j SERVICE
-A FORWARD -j SERVICE
-A SERVICE -i lo -j ACCEPT
-A SERVICE -p icmp –icmp-type any -j ACCEPT
-A SERVICE -p 50 -j ACCEPT
-A SERVICE -p 51 -j ACCEPT
-A SERVICE -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A SERVICE -p udp -m udp –dport 631 -j ACCEPT
-A SERVICE -p tcp -m tcp –dport 631 -j ACCEPT
-A SERVICE -m state –state ESTABLISHED,RELATED -j ACCEPT

# SSH, HTTP, FTP1, FTP2, MySQL
-A SERVICE -m state --state NEW -m tcp -p tcp --dport ****  -j ACCEPT
-A SERVICE -m state --state NEW -m tcp -p tcp --dport 80    -j ACCEPT
-A SERVICE -m state --state NEW -m tcp -p tcp --dport 20    -j ACCEPT
-A SERVICE -m state --state NEW -m tcp -p tcp --dport 21    -j ACCEPT
-A SERVICE -m state --state NEW -m tcp -p tcp --dport 3306  -j ACCEPT

-A SERVICE -j REJECT --reject-with icmp-host-prohibited
COMMIT

で、

sudo /etc/rc.d/init.d/iptables restart

でiptablesを再起動。

再度iptablesを確認してみる。

sudo iptables -L

できてるぽい。(・∀・)

9.デーモン止めてパフォーマンスあっぷ。

もうこのレベルのことは初回でやる必要ないんじゃないかと思いつつ
記事を見つけてしまったので、とりあえずやっておこうか。(オイ

/sbin/chkconfig --list | grep ":on"

で、起動してるデーモンの状態を確認できるみたい。

acpid          	0:off	1:off	2:on	3:on	4:on	5:on	6:off
atd            	0:off	1:off	2:off	3:on	4:on	5:on	6:off
cpuspeed       	0:off	1:on	2:on	3:on	4:on	5:on	6:off
crond          	0:off	1:off	2:on	3:on	4:on	5:on	6:off
ip6tables      	0:off	1:off	2:on	3:on	4:on	5:on	6:off
iptables       	0:off	1:off	2:on	3:on	4:on	5:on	6:off
irqbalance     	0:off	1:off	2:on	3:on	4:on	5:on	6:off
iscsi          	0:off	1:off	2:off	3:on	4:on	5:on	6:off
iscsid         	0:off	1:off	2:off	3:on	4:on	5:on	6:off
lvm2-monitor   	0:off	1:on	2:off	3:off	4:off	5:off	6:off
network        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
ntpd           	0:off	1:off	2:on	3:on	4:on	5:on	6:off
readahead_early	0:off	1:off	2:on	3:on	4:on	5:on	6:off
readahead_later	0:off	1:off	2:off	3:off	4:off	5:on	6:off
sendmail       	0:off	1:off	2:on	3:on	4:on	5:on	6:off
sshd           	0:off	1:off	2:on	3:on	4:on	5:on	6:off
syslog         	0:off	1:off	2:on	3:on	4:on	5:on	6:off

で、さくらVPS 512 での仮想ドライブは1台なのでlvm2-monitorって監視するやつがいらない?
みたいなのでoffっとくことに。

/sbin/chkconfig --level 0123456 lvm2-monitor off

こうやってランレベルを明示的に指定してoffってやらないと生き返ってくるみたい。
ちなみにランレベルってのはシステムの動作モードを表す言葉らしくて
0 : シャットダウン ( システム停止中 )
1 : シングル ユーザー モード ( root のみ )
2 : マルチ ユーザー モード ( ネットワークなし )
3 : マルチ ユーザー モード ( テキスト )
4 : 未使用
5 : マルチ ユーザー モード ( グラフィカル )
6 : システム再起動
なんだって。ランレベル3ではCUIでサーバの設定が、ランレベル5ではGUIを使ったデスクトップマシンとして使える(!)。
このあたりでほんの少しだけサーバーに近づけた気がしたお(・∀・)

10.Apache(httpd)インストール

remiリポジトリの設定

cd /etc/yum.repos.d
sudo rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm
sudo wget http://rpms.famillecollet.com/remi-enterprise.repo

Apache・PHP・MySQLをインストール

sudo yum --enablerepo=remi install httpd httpd-devel
sudo yum --enablerepo=remi install mysql-server
sudo yum --enablerepo=remi install php php-devel php-mbstring php-mysql php-pdo php-mcrypt php-pear php-xml  php-gd pcre-devel

Apache,MySQLを起動する。

sudo service httpd start
sudo service mysqld start

自動起動ONにする。

sudo chkconfig mysqld on
sudo chkconfig httpd on

MySQLのrootパスワードを変更する

mysql -u root
UPDATE mysql.user SET Password = PASSWORD('設定するパスワード')  WHERE User = 'root';
FLUSH PRIVILEGES;
quit	← quitでByeって言われてmysql抜けられる。かわいい。(・∀・)
sudo /etc/init.d/mysqld restart	← んでリスタート!

11.MySQLの設定もろもろ

MySQLの文字コードを修正。 /etc/my.cnf に以下を追記。
ただし、MySQL5.5からMySQLサーバの文字コードの指定方法が変わってるみたいで、

default-character-set=utf8 → character-set-server=utf8

に変更しないと(再)起動で引っかかる。エラーログにそんなんねーよって怒られる。
(エラーログの見方 sudo tail /var/log/mysqld.log)
で、MySQLのクライアント側での指定はそのまま。これかなりハマった。。

# character-set
character-set-server=utf8
skip-character-set-client-handshake

[client]
default-character-set=utf8

[mysql]
default-character-set=utf8

[mysqldump]
default-character-set=utf8
sudo /etc/rc.d/init.d/mysqld restart
mysqld を停止中:      [  OK  ]
mysqld を起動中:      [  OK  ]

さっきrootのパスワードかけたけど、
一応ちゃんと有効になってるかを確認。

mysql -u root -p

でパスを聞かれるのでそのままEnter!
ERROR 1045 (28000): Access denied for user ‘root’@’localhost’ (using password: NO)

怒られたのでおk。で、パス入れたら入れた。おk。

次に不要なユーザ消す。まず以下でユーザ確認。

$ mysql -u root -p mysql
mysql> SELECT user, password, host FROM user;

なんか同じようなやついっぱいいるけど、
一番上のrootでパスワード持ってて、localhostのやつだけでいいみたいなので、以下で消去!

DELETE FROM user WHERE user = '' OR ( user = 'root' AND host != 'localhost' );

で、も1回確認。

SELECT user, password, host FROM user;

1匹になってる。おk。

12.phpMyAdmin入れる。

以下のverは古いので最新のものを使って、コード内も適宜修正してね。

めんどくさいのでsu -で。(この辺りになったらさすがにちょっと慣れてきてる)

su -
cd /var/lib
wget http://sourceforge.net/projects/phpmyadmin/files/phpMyAdmin/2.11.11.1/phpMyAdmin-2.11.11.1-all-languages.tar.gz
tar zxvf phpMyAdmin-2.11.11.1-all-languages.tar.gz
rm -rf phpMyAdmin-2.11.11.1-all-languages.tar.gz
mv phpMyAdmin-2.11.11.1-all-languages /var/lib/phpmyadmin

セットアップ!

cd /var/lib/phpmyadmin
cp config.sample.inc.php config.inc.php
vi config.inc.php

13.ようやくhttpdアクセスでブラウザ確認!

httpd.confの設定

/etc/httpd/conf/httpd.conf

ServerNameの設定したり、DocumentRoot設定したり。
この辺りは各々自由にどうぞ。(無責任w)

いや、ここを端折ってる理由は実は、公開ディレクトリ持つ場所について
運用のしやすさとセキュリティ面でめちゃくちゃ悩んだんだけど、
この辺りはちょっと経験値がなさすぎて、まずは自分一人しか触らないので
運用のしやすさを取りますた。あと、ディレクトリのpermission問題でまた
めちゃめちゃ引っかかった。この辺りもどの程度までセキュリティ的におkとされてるのか
みたいなさじ加減がいまいちよく分からない。。むー。。

で、まー、リスタート!

service httpd restart

14.DNSの設定してー、mailサーバgoogleAppsにしてー、
wordpress引っ越ししてー、とかもろもろ。

この辺りは本当に人それぞれなので省略w
やったのはドメインとDNS紐づけて、メールサーバを全部googleAppsでGMailに任せちゃって(MXレコードの登録)とか、blogデータをMySQLとWordPress使って引っ越しさせてとか、
いろいろごにょごにょ。

このあたりでDNSの設定とか、IPアドレスのこととか、
ネームサーバのゾーン編集とかとかMXレコードやらサブドメインの解釈とか、
.htaccessでの細かいファイル指定とか、いろいろ分かってスッキリしたよ。:-)

これで一旦サーバ移行は終しまいー!!
あとはやりながら少しずつ慣れて行きますよっと。:-)

おし、ということでこれで好き勝手に自分のサーバいじれるようになったので
このサーバ用にサイト作り直したりとか、(今何も上げてないからリンク切ればっかりw)
lab作ったりとか、ネットワーク使ったアイデアに進めたりとか、
DB使ったアイデアとか枠組み広がってwktkしてきたよ!!(・∀・)

あとlolipopさんこれまでどうもありがとうございました!!!!泣
卒業だー(・∀・)ワーイ

以下 CUIとかvi の 使い方コマンドメモ。w

cd (カレントディレクトリを移動)
ls (ファイルリストを表示)
ls -la (所有権確認)
cp (ファイルをコピー)
mv (ファイルを移動、名前の変更)
rm (ファイルを削除)
mkdir (ディレクトリを作成)
chmod (パーミッションを変更)-Rでそのディレクトリ以下全部!
chown (所有者を変更)

whoami = ユーザー名を確認

/Users/<ユーザー名>(ホームディレクトリ)
pwd  = 現在地(カレントディレクトリ)

cd ~ = /Users/<ユーザー名>の略
cd	 = ホームディレクトリに移動

mkdir = ディレクトリ作成
mv    = ファイルの移動・リネーム
mv test test2	(test2フォルダがあれば移動、なければリネーム)

echo > test.txt = test.txtファイル作成

rm     = ファイル消去
rm -rf = ディレクトリ消去 ("-rf"オプションつける)

cp -r  = コピー
cp test test2 (testディレクトリをtest2ディレクトリにコピー)
cp test/ test2(testディレクトリの中身をtest2ディレクトリにコピー)

dig domain (現在紐づけられてるDNSとかMXレコードとか表示)
echo $PATH 環境変数の確認

man コマンド (マニュアル読める!!-h とか --help オプションもある!)
tail /var/log/mysqld.log (エラーログの確認)

以下も始めに読みましたw
http://homepage.mac.com/notex/osx/02/index.html
シェルとは
これでかなりターミナルでの作業が効率的になったと思います。さて、先程からシェルというキーワードが出てきていますが、このシェルとはなんなんでしょうか。 シェルとは、ユーザーが入力したコマンド行を読み込み、解釈し、実行までを導くプログラムです。例えばユーザーが”ls<リターン>“と入力した時、”ls”コマンドを実行し、結果(ファイルのリスト)をターミナル画面に表示させているのはシェルが行っているのです。ターミナルというアプリケーション自体は、キー入力とウィンドウへのテキスト表示を行っているだけにすぎないとでも思って下さい。実際はシェルがユーザーインターフェイス(CUI)を提供しているのです。ターミナル意外のアプリケーションでも、シェルを実行できれば、ターミナル同様にファイル操作などを行えます。

http://homepage.mac.com/notex/osx/02/img/02.png
図2 ターミナルとシェルの関係
シェルの最も重要な機能は、文字の入出力(標準入出力、エラー出力)の制御です。通常はキー入力が標準入力、画面への出力が標準出力となり、これらをシェルが制御しています。この機能をうまく利用すると、標準入出力をファイルに割り当てることができます。前回、空のテキストファイルを作成するのに、”echo > test.txt”としましたが、これは”echo”(何も出力しない)を”test.txt”に標準出力せよ、ということです。”>”をリダイレクションと言い、標準出力をファイルに切り替えます。結果として空のテキストファイル”test.txt”が作成されます。

参考サイト

ちなみにアカベコマイリさんに超絶親切丁寧に書かれてるのでこちらを読んだ方がいいよ!!(遅
本当に他にもたくさん皆様の情報を助けに頑張れました、ありがとうございました。。m(_ _)m

以下、覚えている限りですが、、(●が特に初心者の自分にも分かりやすかったです。:-)

はじめてのさくら VPS + CentOS の初期設定からチューニングなどの作業まとめ | ウェブル
CentOSをサーバーとして活用するための基本的な設定 – さくらインターネット創業日記
さくらのVPS インストールまとめ:浜村拓夫の世界
さくらインターネットVPSの初期設定をまとめてみた | まったりプログラミングしたい><
さくらの格安VPSを借りたらいつもやっている設定いろいろ | IDEA*IDEA
さくらVPSを借りたら絶対にやるべき11のタスク
さくらのVPS入門
さくらのVPS « mimumemo

you

© rettuce.com