[LINUX] ConoHa VPS (Ubuntu 18.04) Memo zur Ersteinstellung

ConoHa hat einen neuen Plan und ein weiterer Server wird ab Ubuntu 18.04 erneut gestartet. Positionierung von Updates für diesen Artikel. Ich wollte unbedingt auf den 20.04 warten, aber nein.

ConoHa VPS Vertrag

Vertraglich vereinbarter RAM1GB / SSD100GB-Plan in der Region Tokio. 880 Yen pro Monat. Es ist billiger als vor 3 oder 4 Jahren, SSD ist doppelt ...

• Derzeit gibt es keine Portbeschränkungen. Nach dem Anmelden mit ssh einstellen.
• Der Bildtyp ist OS. Wählen Sie Ubuntu 18.04. Sie können es nicht starten, selbst wenn Sie eine Anwendung (z. B. Docker) anstelle des Betriebssystems angeben. Es entwickelt sich weiter!
• Registrieren Sie SSH Pubkey nicht. Beim Erstellen einer virtuellen Maschine kann kein Benutzer erstellt werden. Erstellen Sie daher vor der Registrierung einen Benutzer.

Domäneneinstellungen

Die Domänenverwaltung wird als Sakura Internet verwaltet.

• Ändern Sie die Adresse des Domainnamens im Domain-Verwaltungsbildschirm von Sakura.
• Geben Sie im ConoHa-Serververwaltungsbildschirm den Domänennamen als umgekehrten Hostnamen ein. Nur für den Fall.

Grundeinstellungen rund um die Sicherheit

Benutzer erstellt & ssh

Erstellen Sie einen Benutzer, indem Sie sich über SSH oder das Control Panel als Root anmelden, zu sudoers hinzufügen, den ssh-Schlüssel festlegen, den öffentlichen Schlüssel eines neuen Benutzers mit vi kopieren und gleichzeitig registrieren.

# adduser <new user>
# usermod -aG sudo <new user>
# su <new user>
$ mkdir ~/.ssh
$ touch ~/.ssh/authorized_keys
$ vi ~/.ssh/authorized_keys

Ändern Sie den Port, indem Sie mit sshd_config spielen, die Root- / Passwort-Anmeldung und nur die Anmeldung mit öffentlichem Schlüssel verbieten.

$ sudo vi /etc/ssh/sshd_config
- Port 22
+ Port xxx #Port wechseln

- PermitRootLogin yes
+ PermitRootLogin no

- PubkeyAuthentication no
+ PubkeyAuthentication yes #Anmeldung mit öffentlichem Schlüssel

- PasswordAuthentication yes
+ PasswordAuthentication no

- UsePAM yes
+ usePAM no

$ sudo /etc/init.d/ssh restart

iptables Einstellungen

Mit ufw genießen. Sie müssen sich nicht die Mühe machen, Port 80/443 zu öffnen, da der Nginx-Proxy des Dockers ihn für Sie öffnet.

$ sudo ufw allow <ssh port> # ssh
$ sudo ufw default deny #Standardmäßig alle ablehnen
$ sudo ufw enable

Bestätigung.

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip


To                         Action      From
--                         ------      ----
<ssh port>                 ALLOW IN    Anywhere                  
<ssh port> (v6)            ALLOW IN    Anywhere (v6)             

IPv6-Einstellungen

ConoHa VPS verfügt über 17 IPv6-Adressen, die jedem Server zugewiesen sind. Dem mit dem Ubuntu 18.04-Image erstellten Image wird jedoch nur die IPv4-Adresse zugewiesen. Da ich mit IPv6 zugreifen möchte, weise ich auch eine IPv6-Adresse zu.

/etc/netplan/10-gmovps.yaml

network:
    ethernets:
        eth0:
-           addresses: [] 
+           addresses:
+             - <ipv6_address>/64
            dhcp4: true
            dhcp6: false
            accept-ra: false
            optional: true
+           gateway6: <gateway_address>
    version: 2

Ändern Sie wie oben beschrieben oder erstellen Sie yaml mit 11 oder mehr Präfixen und fügen Sie es wie oben ein, um die Einstellungen zu überschreiben (z. B. / etc / netplan / 20-mynetwork.yaml). Führen Sie dann Folgendes aus, um zu reflektieren.

$ sudo netplan apply

Änderung des Hostnamens

Da / etc / hosts und / etc / hostname inkonsistent sind,

/etc/hosts
127.0.0.1 conoha

/etc/hostname
conoha

Ich werde es so halten.

NTP kann nicht mehr eingegeben werden

Es scheint nicht mehr nötig zu sein, einen NTP-Server einzurichten. Unter Ubuntu wird "systemd-timesyncd" ausgeführt, sodass die Zeit anscheinend ohne Erlaubnis synchronisiert wird.

Es ist so synchronisiert.

$ timedatectl status
                      Local time: Tue 2020-03-17 17:37:26 JST
                  Universal time: Tue 2020-03-17 08:37:26 UTC
                        RTC time: Tue 2020-03-17 08:37:27
                       Time zone: Japan (JST, +0900)
       System clock synchronized: yes
systemd-timesyncd.service active: yes
                 RTC in local TZ: no

Docker Alle Server werden von Docker ausgeführt.

Repository-Einstellungen

$ sudo apt-get update;
$ sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    gnupg-agent \
    software-properties-common
$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - #Docker GPG-Schlüssel eingeführt
$ sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
   $(lsb_release -cs) \
   stable" #Repository hinzufügen

Einführung in die Docker Community Edition

$ sudo apt-get install docker-ce docker-ce-cli containerd.io
$ sudo docker run hello-world #Funktionsprüfung

Stellen Sie Docker allgemeinen Benutzern zur Verfügung

sudo usermod -aG docker <new user>

Einführung in Docker Compose

$ sudo curl -L https://github.com/docker/compose/releases/download/1.25.4/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
#1 zum Zeitpunkt des Schreibens dieses.25.4 ist die neueste. Überprüfen Sie den Status von Github. https://github.com/docker/compose/releases

$ sudo chmod +x /usr/local/bin/docker-compose #Ausführungsberechtigung erteilen
$ docker-compose --version #prüfen
docker-compose version 1.25.4, build 8d51620a

Referenz: Get Docker CE for Ubuntu Install Docker Compose

Werfen Sie mit Logwatch ein Protokoll in Google Mail.

Nur für den Fall.

$ sudo apt-get install logwatch
$ sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

In Google Mail bearbeitet.

/etc/logwatch/conf/logwatch.conf

- MailTo = root
+ MailTo = [email protected]

Verwenden Sie den folgenden Artikel, um den Mailserver von Sakura als Relay-Server zu verwenden und ihn von Postfix an Google Mail zu senden.

https://qiita.com/jqtype/items/cfb03be0efb8eacd8978