$sudo ufw allow https/tcp Microsoft Internet Explorer 11以上, コントロールパネルのログインには、ご利用のサービスのIPアドレスとパスワードが必要です。VPSコントロールパネル ログイン, サーバーの状態を「稼働中」「停止」「お試し期間中」の3つのステータスで表示します。, 同一会員IDでご契約中のVPSを一覧表示し、複数のサーバーを一括で起動・強制停止が可能です。. さば様からご連絡をいただき解決しました。わたしは、ABLENETのVPSのWindowsプラン(利用プラン Win1 SSD更新12ヶ月)申し込んでいます。 さくらのVPS全プランでご利用いただけるVPSコントロールパネルは、サーバーの設定や一覧表示などの各種操作/確認をブラウザ上で行える機能です。サーバーの再起動やOS再インストールはワンクリック、各種リソースの使用状況なども一目で確認できます。, ・このサービスは、「さくらのVPS」で利用できる標準機能です。 ・VPSコントロールパネルは、以下のブラウザに対応しております。 ネットワークからパソコンさんにお邪魔するときに通るドアのこと。 さくらインターネットのVPS設定マニュアルCopyright © 2020 sakura-vps.net. Help us understand the problem. Logging: on (low) さくらVPSに立てたCentOS 6.6インスタンス用のiptables設定について記載致します。, さくらVPSインスタンスは作成直後、ファイアウォールによる通信制限はかかっていません。, さくらVPSのインスタンスは、インターネット上からアクセス可能なグローバルIPアドレスが付与された状態で起動しますので、最低限の通信制限はかけておいた方が良いかと思います。, 以下の例では、さくらVPSインスタンスに対して、特定のIPアドレス(例えば自分のPC)からのみssh,MySQL通信を許可するようiptablesで設定する例を記載致します。, ・さくらVPS (サービスプラン名 = さくらのVPS(v4) SSD 512 TK02) $sudo systemctl restart sshd, ポートとは 80/tcp (v6) ALLOW IN Anywhere (v6) root権限でコンソールに yum -y install vsftpd と入力し、Enterキーを押します。 さくらのvpsのコントロールパネルをご紹介。サーバー一覧表示、各種操作や確認を、ブラウザ上で行える機能です。サーバーの再起動やosの再インストールはワンクリック、cpuの使用状況なども一目で確認 … Enter passphrase (empty for no passphrase): または何かしら、Windowsプランでのセキュリティがあればお教えください。 また、サーバーの再起動時に自動起動するよう設定します。, ウェブコンテンツを置くディレクトリの所有者をFTP接続で使用するユーザーに変更します。 ## さくらVPSサーバから外部DNSサーバに対するDNS(53番ポート)名前解決許可, ## さくらVPSサーバのMySQLに対するMySQL(3306番ポート)通信許可, Microsoft Ignite 2020の振り返りも「Azure Rock Star Community Day」, https://help.sakura.ad.jp/app/answers/detail/a_id/2429, https://www.lifull.blog/entry/2019/06/21/190753, you can read useful information later efficiently. 例えば、特定の端末・サーバー(VPS)などに自分の端末からssh接続するためには対象のIPアドレス・ユーザ・パスワード、そしてポートを知る必要があります。, VPSで作ったsshのポートは「22番」と固定で設定されていますが、当然これは不正侵入を試みる悪意あるユーザーも知っています。ですので、このsshポート番号を変更しておけば、さらに自分のVPSへ不正侵入されるリスクを減らすことができます。, vimコマンドで「/etc/ssh/sshd_config」を編集できるようになったら、以下項目を変更します。 Enter new UNIX password: Password:Password:rootユーザーのパスワードを入力してください。, なるほど、作ったユーザーでVPSにssh接続した後でもrootユーザーになれるってわけか。, しかし、VPSへ接続するときにパスワードを入力しての認証形式ですと、パスワードさえ分かれば誰でも侵入できることには変わりがありません。, ですので、SSH接続するときにパスワードを入力するのではなく、自分しか持っていない鍵ファイルを作り、その鍵ファイルを持って認証する形式へと設定変更しましょう。, #cd / $sudo vim /etc/ssh/sshd_config https://help.sakura.ad.jp/app/answers/detail/a_id/2429, さくらVPSインスタンスが起動したら、TeraTermを起動してrootユーザでログインします。, さくらVPSインスタンスにrootユーザでログインしたら、以下の/etc/sysconfig/iptablesファイルを作成します。, 以下の/etc/sysconfig/iptablesでは、例として自分のクライアントPCからさくらVPSインスタンス(tk2-XXX-XXXX)に対して、ssh(22番ポート)やMySQL(3306番ポート)への通信を許可しています。自分のクライアントPC以外のIPアドレスからのsshやMySQLポートへの通信は禁止しております。, さくらVPSインスタンスのiptablesを有効化する前に、自分のクライアントPC(192.0.2.100)以外のマシンから、さくらVPSインスタンス(tk2-XXX-XXXX 192.0.2.200)に自由にssh接続出来る状態である事を確認します。, さくらVPSインスタンスで/etc/init.d/iptables startを実行し、さくらVPSインスタンスのiptablesを有効化します。, 先のiptablesでssh接続を許可した自分のクライアントPC(192.0.2.100)から、さくらVPSインスタンス(tk2-XXX-XXXX 192.0.2.200)に対して、ssh接続できる事を確認します。, 念の為、自分のクライアントPC(192.0.2.100)以外のマシンからは、さくらVPSインスタンス(tk2-XXX-XXXX 192.0.2.200)に対して、ssh接続出来ないよう制限がかかった事を確認します。, インフラエンジニアとして、データベースやインフラ構築、オンプレミスからAWSへの移行等を担当。現在はビジネスを加速させるDBやCRM実現に向けて、Salesforce等のシステム開発に取り組んでいます。 To Action From passwd: password updated successfully 画面が切り替わり、上から12行目の #Port 22 と記載されている行頭の「#」を削除し、22のポート番号を任意の番号(1024~65535の間)に変更します。ここでは例として、ポート番号を1111に変更します。 変更後、Escキーで編集を終了し、:wqで設定を保存します。 #Port 22 (↓行頭にある「#」を削除 … vsftpd というソフトウェアを使用して、WebコンテンツをWebサーバーにアップロードできるように設定します。, vsftpdをインストールします。 Google Chrome(最新バージョン) Firefox(最新バージョン) 何をおいても、vpsを借りたら絶対最初にやっておかないといけないことを6つ紹介します。 今回紹介する6つのことをやっておかないとあなたのvpsが誰かに乗っ取られて悪事に使われる可能性もありますよ。 $sudo ufw allow http/tcp https://www.lifull.blog/entry/2019/06/21/190753, 日本最大級の不動産・住宅情報サイト「LIFULL HOME'S」を始め、人々の生活に寄り添う様々な情報サービス事業を展開しています。. 入力したユーザーに対するパスワードを入力してください。 $sudo ufw enable, このような文字列が出たらyキーを押した後、Enterキーを押してください Retype new UNIX password: $sudo /etc/init.d/fail2ban start. リモートデスクトップ接続を使って接続できました。ありがとうございます。 $sudo apt-get update $sudo ufw status verbose, 結果がこのように表示されていればOKです。 最新の記事. #Port 22 PermitRootLogin no ※「Tera Term」や「PuTTY」は無料で利用できます。, ちなみに、「Tera Term」や「PuTTY」などを使って自分の端末からVPSへ接続することを「SSH接続」というんだ。, 「SSH接続」はVPSに接続した操作するための機能としてよく使われるから覚えておくといいよ。, 今回は僕がよく使っているTera Termで作ったVPSへ自分の端末からアクセスする方法を紹介します。, 2 ダウンロードしたTera Termのインストールファイルから、Tera Termをインストールします。, 4 上記図のような画面表示されたら、ホストにVPSのIP(v4)アドレスを入力して「OK」ボタンをクリックします。, 5 SSH認証画面が表示されたら各項目を以下のように入力して「OK」ボタンをクリックします。, ①:ユーザー名 Firewall is active and enabled on system startup, 必要なポートだけは例外として通信を許可させる設定をする ※rootユーザーのパスワードを入力してください。, 6 上記図のような画面が表示されれば、Tera TermによるVPSへのSSH接続は成功です。, まず、始めにやってほしいのは、VPS作成したときの細かいOSバージョンまでが最新とは限りません。ですので、OSを最新バージョンしましょう。, OSを最新バージョンにするには以下のコマンドを入力してください。 21/tcp (v6) ALLOW IN Anywhere (v6) ・Retype new UNIX password:「Enter new UNIX password」と同じパスワードを入力してください。, #usermod -aG sudo USER_NAME ホントに素人で申し訳ありません。よろしくお願いします。, 次回のコメントで使用するためブラウザーに自分の名前、メールアドレス、サイトを保存する。, DdoS攻撃を受けることで、みんなで共通して使うネットワーク回線を混雑させて他VPS利用ユーザーに迷惑をかけてしまうこともあります。, rootユーザーでログインするときと同じ手順で自分の端末からVPSへssh接続できるか確認しておいてください。, 自分しか持っていない鍵ファイルを作り、その鍵ファイルを持って認証する形式へと設定変更しましょう。, sshポート番号を変更しておけば、さらに自分のVPSへ不正侵入されるリスクを減らすことができます。, 自動攻撃ツールによる何千回にも渡るSSH接続を試行しての突破(不正侵入)、大量のアクセスを意図的に送りこむことで無理やりサーバー機能を停止に追い込むDDoS攻撃の対策となります。, 悪意ユーザーからの不正侵入やDDoS攻撃による被害確率を100%とまではいきませんが、かなり下げることができます。(被害に合う確率は数%程度). 21/tcp ALLOW IN Anywhere 443/tcp (v6) ALLOW IN Anywhere (v6) これで公開鍵と公開鍵を認証させる秘密鍵が作成されます。 [ ok ] Starting fail2ban (via systemctl): fail2ban.service. $sudo systemctl restart sshd, これで、自分の端末からTeraTermなどを使い、VPSへrootユーザーでのssh接続はできなくなっているので実際に確認してみてください。, 作ったユーザーでしかVPSへssh接続できないとしたら、rootユーザーで操作したい場合はどうすればいいんだ?, その場合は作ったユーザーでVPSにアクセスしてから、rootユーザーへ操作ユーザーを変更すればいいだけの話だよ。, $su 普段はIT系の学校で講師をしているため、学期の始めは仮想環境(VMware)にLinuxをインストールしてもらいます。それに対してPCを買ってくると、Windowsがインストールされていたり、ネットワーク設定もWiFiから勝手に拾うため、PCの箱を開けたらすぐに使えるのに慣れているためか、DVDイメージからLinuxをインストールする作業に生徒さん達は四苦八苦です。興味を持って学べばとても面白い世界とはいえ、最近は蛇口をひなるだけで水が出てくる水道の様につなぐだけでネットワークが使えるため、学生さん達はネットワークにまったく興味が湧かないみたいですね(T_T)……。, さて、連載の2回目はさくらのサービスとは切っても切り離せないネットワークのセキュリティについて再確認と再設定をしていきます。さくらのサービスなど、インターネットにサーバーを置くということは、一日24時間、年間365日、ひとときの休みもなくインターネットの脅威にさらされている訳で、一瞬足りとも油断することはできません。冷静に考えると、ネットの悪い人達がクリスマスだったり、お正月だからと言って攻撃の手を休めてくれる訳でも無いため、常にあなたのスキを突いてきます。サーバーの電源を切ってしまうのはやり過ぎでしたが、ネットワークの脅威から逃れる次の様な魔法の一手があります。, 確かにネットワークにつながなければクラウドの向こう側からは何も見えない訳で、完璧なセキュリティ対策と言えるでしょう。でも待ってください! 本来はWebアプリを公開したいのが目的だったのに、誰もWebアプリが使えなくなってしまいますよね……。とはいえ、全く間違えているとも言い難く、限度を超えない処置であればセキュリティ対策となるのではないでしょうか。前回と同じ様に、中道を求めると今回のテーマへ導ける様な気がします。, サーバーへ不要な通信はさせない→サーバーへ必要な通信だけさせる+その他の通信を除外する・・・❷, この機能はパケットをフィルタするファイアウォール機能としてCentOS(Redhat Enterprise Linux)に実装されています。世の中にあるファイアウォールをここで取り急ぎ解説すると、ファイアウォールは大雑把に3つの種類に分類可能です。, 1つ目はパケットフィルタと呼ばれるタイプで、インターネットでやり取りされるIPアドレスやポート番号を基準にして、通信の許可・拒否を指定します。2つ目はサーキットレベルゲートウェイでやり取りされるパケットのヘッダ(情報)のIPアドレスとポート番号を少し見るSOCKSなどで、ユーザーが使う機能ごとに止めてしまう方式です。そして、3つ目はアプリケーションゲートウェイで、データの中身を見ることもできる、プロキシサーバーと呼ばれるものです。今回の記事で扱うのは1つ目のパケットフィルタです。, CentOS 6まではiptablesサービスでファイアウォール機能を実現していました。CentOS 7でもiptablesサービスは利用可能ですが、firewalldサービスがデフォルトとなっています。iptablesサービスもfirewalldサービスもカーネル(Linuxの核となる機能)に組み込まれているNetfilter機能のフロントエンドなので、だいたい同じ様なことができ、設定の記述形式が違うだけです。今回はデフォルトとなっているfirewalldサービスを利用しましょう。, firewalldサービスではまず、設定ファイルとfirewall-cmdコマンドが用意されており、設定ファイルは /usr/lib/firewalld にあります。ここではまず、サービスの大元であるfirewalldが動作しているかどうかを systemctlコマンドにstatusを指定して確認してみましょう(できれば皆さんもお試しください)。, 結果の3行目くらいに running と表示されていれば、動作しています。デフォルトで動作しているはずなので、止めてないはずなのに動作していない時は、systemctlコマンドにstartを指定してすぐにでも起動しましょう。, また、firewalldの確認・設定をするためのfirewall-cmdコマンドが用意されており、firewalldが動いているか否かはfirewall-cmdコマンドに--stateオプションをつけても確認できます。結果に「running」が出てくれば動作しています。動作していない場合は「not running」と表示されます。, 動作しているのであれば、次は、動作の内容を確認する必要があるでしょう。firewalldはサービスについて許可・拒否などのルールを決め、ルールをゾーンという単位にまとめ、そのゾーンをどのネットワーク・インターフェースに適用するかを決定できます。さくらのサービスでも複数台借りて、複数台の仮想マシンを連携して使うのであれば、インターフェースごとの設定が必要です。ただ、この連載では単体サーバーの動作を考えているのでインターフェースごとでの設定はまたの機会に譲りたいと思います。まずはゾーンについて見てみましょう。, firewalldの現状設定で適用されているゾーンを確認するには、firewall-cmdコマンドに--get-active-zoneオプションを指定します。, 結果としてpublicと表示されたのは、eth0インターフェースにpublicゾーンが設定してある状態です。ゾーンの設定ファイルはxml形式で/usr/lib/firewalld/zonesディレクトリに用意してあります。, xml形式のファイルはホームページを記述するときに使うhtmlの親戚みたいなファイルです。また、ゾーンはpublicの他に次表のゾーンが用意されていますが、複数台の仮想マシンを使うなどの凝った使い方をしないのであれば、外部ネットワーク向けでデフォルト設定されているpublicゾーンに許可を足したり引いたりして使うので十分でしょう。, 現在のゾーンを詳しく見るには、firewall-cmdコマンドに--list-allオプションを指定してください。, ここでは、eth0インターフェースへの設定で、サービスとしてはsshとdhcpv6-clientを許可してそれ以外のサービスを拒否。ICMP(通信確認に使う取り決め:pingコマンドなどで利用)をブロックする設定はno(無し)です。他に、masqueradeは、自宅LANなどの複数のIPアドレス(インターネットでは使えない特殊なアドレス)から1つのグローバルIPアドレス(インターネット用アドレス)を経由でインターネットをアクセスするIPマスカレード機能がno(オフ)となります。, firewall-cmdコマンドに--list-allオプションを指定した結果としては2つのサービスが使える様になっていました。これだけではWebアプリさえ公開できず、更に利用したいサービスは増えていくはずです。なので、利用したいサービスが増えたらpublicゾーンに追加し、逆に利用しなくなったサービスがあったらpublicゾーンから取り除きます。また、ICMPに関しては使わない機能を追加していきます。サービスは/usr/lib/firewalld/servicesに、ICMPは/usr/lib/firewalld/icmptypesにそれぞれxml形式のファイルで用意されています。どの様なサービスが用意されているのかみてみましょう。, どの様なサービスが用意されているかはfirewall-cmdコマンドに--get-servicesオプションを付けて確認できます。ちなみに、icmpの定義を見るにはfirewall-cmdコマンドに--get-icmptypesオプションを指定してください。ついでに、各設定ファイルを一覧表示すると次の様になります。, さくらのサービスでCentOS 7を使い始めたばかりの場合、sshとdhcpv6-clientだけが許可されています。実際に皆さんは、ホームページやWebアプリを公開したいでしょうから、httpsとhttpのサービスを追加してみましょう。これらの様な一般的なサービスはCentOS 7のパッケージに用意されているため、次の様に既存の設定を使いますと指定するだけで済みます。, firewall-cmdコマンドでサービスを追加するには「--add-service=サービス名」オプションと、追加したサービスを永続化させる--permanentオプションを使います。--permanentオプションを付けないと一時的に追加するだけで、再起動したときに設定が消えてしまいます。--permanentオプションを付けると、フィルタの再読み込み、またはfirewalldサービスの再起動から有効となります。firewall-cmdコマンドに--reloadオプションを付けるとフィルタを読み込み直します(--permanentオプションと--reloadオプションはセットで覚えましょう)。最後のfirewall-cmdコマンドに「--zone=ゾーン名」オプションはpublicゾーンを指定し、--list-servicesオプションで許可されているサービス一覧を表示します。, 逆に、使わなくなったサービスを削除することもあるでしょう。dhcpv6-clientサービスを削除してみます。, firewall-cmdコマンドでサービスを取り除くのには「--remove-service=サービス名」オプションと削除したサービスを永続化させる--permanentオプション を使います。--permanentオプションを指定したら、必ず--reloadオプションを付けてフィルタを読み込み直す癖をつけましょう。, 今までにないサービスを提供するときはどうするかというと、/etc/firewalld/servicesにxmlファイルを作成すれば良いとはいえ、だいたいのサービスは提供されています。パッと見たところ、前回出てきたtomcatサービス(Javaのサーバー)がないですが、tomcatサービスが使う8080番ポートを利用しているxmlファイルがないかとgrepコマンド探してみると、jenkins.xmlに定義があるのでjenkinsを追加してもよし、コピーして表題(shortタグ)と説明(descriptionタグ)を変更するのでも良しです。もし、新たにtomcat.xmlファイルを作るのであれば、次の様にすると簡単です。, 注)catコマンドを入力すると > が表示されますが、構わずに「