[LINUX] ConoHa VPS (ubuntu 18.04) Mémo de réglage initial

ConoHa a un nouveau plan et un autre serveur sera à nouveau lancé depuis Ubuntu 18.04. Positionnement des mises à jour pour cet article. Je voulais vraiment attendre 20.04, mais non.

Contrat VPS ConoHa

Plan de RAM1GB / SSD100GB sous contrat @ région de Tokyo. 880 yens par mois. C'est moins cher qu'il y a 3 ou 4 ans, le SSD est double ...

• Il n'y a aucune restriction de port pour le moment. Défini après la connexion avec ssh.
• Le type d'image est OS. Sélectionnez ubuntu 18.04. Il ne peut pas être démarré même si vous spécifiez une application (par exemple, Docker) au lieu du système d'exploitation. Ça évolue!
• Ne pas enregistrer SSH Pubkey. Lors de la création d'une machine virtuelle, un utilisateur ne peut pas être créé, créez donc un utilisateur avant de vous inscrire.

Paramètres du domaine

La gestion de domaine est maintenue en tant que Sakura Internet.

• Modifiez l'adresse du nom de domaine à partir de l'écran de gestion de domaine de Sakura.
• Sur l'écran de gestion du serveur ConoHa, saisissez le nom de domaine comme nom d'hôte inversé. Au cas où.

Paramètres initiaux de la sécurité

& Ssh créé par l'utilisateur

Créez un utilisateur via une connexion shell en tant que root à partir de SSH ou du panneau de configuration, ajoutez aux sudoers, définissez la clé ssh, copiez et enregistrez la clé publique d'un nouvel utilisateur avec vi, tout à la fois.

# adduser <new user>
# usermod -aG sudo <new user>
# su <new user>
$ mkdir ~/.ssh
$ touch ~/.ssh/authorized_keys
$ vi ~/.ssh/authorized_keys

Changer de port en jouant avec sshd_config, interdire la connexion root / mot de passe et uniquement la connexion par clé publique.

$ sudo vi /etc/ssh/sshd_config
- Port 22
+ Port xxx #Changer de port

- PermitRootLogin yes
+ PermitRootLogin no

- PubkeyAuthentication no
+ PubkeyAuthentication yes #Connexion par clé publique

- PasswordAuthentication yes
+ PasswordAuthentication no

- UsePAM yes
+ usePAM no

$ sudo /etc/init.d/ssh restart

Paramètres ʻIptables`

Amusez-vous avec ʻufw`. Vous n'avez pas à vous soucier d'ouvrir le port 80/443 car le proxy nginx de docker l'ouvrira pour vous.

$ sudo ufw allow <ssh port> # ssh
$ sudo ufw default deny #Tout refuser par défaut
$ sudo ufw enable

Vérification.

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip


To                         Action      From
--                         ------      ----
<ssh port>                 ALLOW IN    Anywhere                  
<ssh port> (v6)            ALLOW IN    Anywhere (v6)             

Paramètres IPv6

Le ConoHa VPS a 17 adresses IPv6 attribuées à chaque serveur. Cependant, seule l'adresse IPv4 est attribuée à l'image créée avec l'image Ubuntu 18.04. Puisque je veux accéder avec IPv6, j'attribue également une adresse IPv6.

/etc/netplan/10-gmovps.yaml

network:
    ethernets:
        eth0:
-           addresses: [] 
+           addresses:
+             - <ipv6_address>/64
            dhcp4: true
            dhcp6: false
            accept-ra: false
            optional: true
+           gateway6: <gateway_address>
    version: 2

Changez comme ci-dessus, ou créez yaml avec 11 préfixes ou plus et insérez comme ci-dessus pour écraser les paramètres (par exemple, / etc / netplan / 20-mynetwork.yaml). Puis exécutez ce qui suit pour réfléchir.

$ sudo netplan apply

Changement de nom d'hôte

Puisque / etc / hosts et / etc / hostname sont incohérents,

/etc/hosts
127.0.0.1 conoha

/etc/hostname
conoha

Je vais le garder comme ça.

NTP ne peut plus être saisi

Il ne semble plus nécessaire de configurer un serveur NTP. Sur Ubuntu, systemd-timesyncd est en cours d'exécution, il semble donc qu'il synchronisera l'heure sans autorisation.

C'est synchronisé comme ça.

$ timedatectl status
                      Local time: Tue 2020-03-17 17:37:26 JST
                  Universal time: Tue 2020-03-17 08:37:26 UTC
                        RTC time: Tue 2020-03-17 08:37:27
                       Time zone: Japan (JST, +0900)
       System clock synchronized: yes
systemd-timesyncd.service active: yes
                 RTC in local TZ: no

Docker Tous les serveurs seront gérés par Docker.

Paramètres du référentiel

$ sudo apt-get update;
$ sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    gnupg-agent \
    software-properties-common
$ curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - #Introduction de la clé GPG Docker
$ sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
   $(lsb_release -cs) \
   stable" #Ajouter un référentiel

Présentation de Docker Community Edition

$ sudo apt-get install docker-ce docker-ce-cli containerd.io
$ sudo docker run hello-world #Contrôle de fonctionnement

Rendre Docker disponible pour les utilisateurs généraux

sudo usermod -aG docker <new user>

Présentation de Docker Compose

$ sudo curl -L https://github.com/docker/compose/releases/download/1.25.4/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
#1 au moment de la rédaction de ce.25.4 est le dernier. Vérifiez github pour le statut. https://github.com/docker/compose/releases

$ sudo chmod +x /usr/local/bin/docker-compose #Accorder l'autorisation d'exécution
$ docker-compose --version #vérifier
docker-compose version 1.25.4, build 8d51620a

référence: Get Docker CE for Ubuntu Install Docker Compose

Lancez un journal sur gmail avec Logwatch.

Au cas où.

$ sudo apt-get install logwatch
$ sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

Modifié sur gmail.

/etc/logwatch/conf/logwatch.conf

- MailTo = root
+ MailTo = [email protected]

Utilisez l'article suivant pour utiliser le serveur de messagerie de Sakura comme serveur de relais et envoyer de postfix à gmail.

https://qiita.com/jqtype/items/cfb03be0efb8eacd8978