SSHとファイアーウォールの設定

次にさくらVPSのセキュリティを高めるため、SSHのポート設定とファイアーウォールの設定をします。。。と。

SSHのポート変更

引き続きTera Termでの作業。ここでは、SSHのポートを変更するため、Tera Termに sudo vi /etc/ssh/sshd_config と入力し、Enterキーを押します。。。と。

上から12行目の#Port 22と記載されている箇所の先頭の#をxキーで削除し、22の番号を任意のポート番号に変更します。ここではポート番号61203に設定しています。（Webのとおりマネさせておらおう！ポート番号は61203である必要はありません。1024～65535の間でポート番号を設定してください。）変更後、Escキーを押してから、:wqを押して設定を保存します。

最後にsshを再起動し、設定を反映させます。コンソール画面に sudo /etc/init.d/sshd restart と入力し、Enterキーを押します。

OK！！！

ファイアーウォールの設定

次にファイアーウォールの設定を行ないます。Tera Termに sudo vi /etc/sysconfig/iptablesと入力します。（無いので、新ファイルを作成するようです。）

で、下記をコピペすると。

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH, HTTP, FTP1, FTP2, MySQL
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 61203 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

最後に sudo /etc/rc.d/init.d/iptables restart と入力し、Enterキーを押します。これでファイアーウォールの設定作業は終了。

一応終わった？？かな？

TeraTermにポート22でログインしていましたが、今後は22では接続できなくなります。今後は、任意のポート番号(ここでは61203)で接続することになります。

ここからは、鍵認証の設定。

http://www.さくらvps.com/5.html

を参考にします。

さくらVPSは基本パスワードで認証します。パスワード認証だとセキュリティが弱いので、鍵認証の設定を追加しVPSのセキュリティを高めます。。。と。AWSでもやったね。でも鍵を自分で作るみたい。。

ここからはコンソール画面ではなく、パソコン上での作業となります、、、と。公開鍵と秘密鍵の生成には専用の無料ソフトを利用します。ここでは「PuTTY ごった煮版」というソフトを使って説明します。

PuTTY ごった煮のインストール後、Windowsの スタート → プログラム → PuTTY → PuTTYgenでソフトを立ち上げ、公開/秘密鍵ペアの生成ボタンを押します。

鍵が生成されたら、自分のわかりやすい説明を付けておきましょう！

「sakura-vps-20160724」にしました。

次に鍵のパスフレーズを入力します。任意のパスワードを入力してください。パスワード入力後、生成された公開鍵と秘密鍵を保存しましょう。秘密鍵のファイル名は拡張子を.ppk、公開鍵は.pubとしておくと良いでしょう。

鍵認証用のフォルダを追加

次にTeraTermに戻り、コンソールを使って作業します。ここではrootユーザーではなく、前回作成した sakuravps というユーザーでTeraTermにログインします。

TeraTermにログインしたら、まずはVPSに鍵認証用のフォルダを追加します。ここではホームディレクトリの下に「ssh」というフォルダを作ります。
まずはTeraTermのコンソール画面に cd $HOME と入力し、ルートディレクトリに移動します。次に mkdir .ssh と入力し、Enterキーを押します。これでsshというフォルダが作られます。次に「ssh」というフォルダのパーミッションを「700」に変更します。パーミッションを変更するには「chmod」というコマンドを入力します。コンソール画面に chmod 700 .ssh と入力します。。。。と。

さくらVPSへ公開鍵を登録

次に作成した公開鍵をさくらVPSに登録します。公開鍵の登録にはauthorized_keysコマンドを使います。コンソールに vi .ssh/authorized_keys と入力します。

最後にセキュリティの都合上、sshフォルダのパーミッションを600に変更します。コンソール画面に chmod 600 .ssh/authorized_keys と入力し、Enterキーを押します。

これで一連の公開鍵の設定は終了です。

では、さくらのVPSに挑戦してみようと。レンタルサーバではPHP＋MySQL自然体で使えたけど、JAVA環境ないし、サーバ管理そのものを勉強してみようかと。

さくらのマニュアルの沿ってやってみます。

http://www.sakura-vps.net/

では、まずは申込み！

商品は一番安いやつを。２週間なので。まずは！

VPS仮想共用サーバを。ベアメタルという物理専用サーバでなく。

では、

申し込んじゃった！！！

仮登録メールもきました！

お試し期間      ：2016年08月07日 まで！！！

早速アクセス、   URL      ：https://secure.sakura.ad.jp/vps/

名前も、「さくらVPS_20160724」に修正。

サーバを起動してみる！

起動したので、ここからは、

http://www.さくらvps.com/4.html

を参考に設定をしてみます！！（お世話になります！！）

基本設定

TeraTermというVPSリモートコンソールを使って、アプリケーションの更新とVPSの日本語化をします。1**.16.51.1**へ

で接続。つながりました！

「yum update」！

次にコンソールにyum updateと入力し、Enterキーを押しましょう。
yumというのは、VPSにあるアプリケーションを管理するコマンドになります。 yum updateをすることで、さくらVPSサーバーに入っているアプリケーションを全て最新の状態にしてくれます。。。と。

「さくらVPSの日本語化」

コンソールに vim /etc/sysconfig/i18n と入力(下図赤線枠参照)し、Enterキーを押しましょう。言語ファイルの設定を日本語にします。

LANG=”C”の C の箇所を ja_JP.UTF-8 に変更します。

「作業用ユーザーの作成・設定」

VPSを設定する際には、rootユーザーではなく、作業用のユーザーを作成して利用していくことが一般的です。新しいユーザーを追加するには「useradd」というコマンドを使います。ここでは仮に「sakuravps」という新規ユーザーを追加します。 コンソールに useradd sakuravps と入力し、Enterキーを押します。

次にパスワードを設定します。パスワードの設定は「passwd」というコマンドを使います。ここでは「sakuravps」というユーザーのパスワードを設定します。コンソールに passwd sakuravps と入力し、Enterキーを押します。

最後に「sakuravps」というユーザーに全ての権限を持たせる設定をします。 全ての権限を持たせるには「usermod -G wheel」というコマンドを使います。ここでは「sakuravps」というユーザーに全ての権限を持たせます。コンソールに usermod -G wheel sakuravps と入力し、Enterキーを押します。

次にvisudoと入力します。これはsudoというコマンドを利用できるようにするためです。「visudo」というコマンドを入力し、Enterキーを押します。

「/wheel」で検索ができます、、と。へええ。

コンソール画面が切り替わるので、# %wheel ALL=(ALL) ALL という箇所を探し、カーソルを移動。 xキーを押して#の文字を削除し「%wheel」が行の先頭にくるようにします。

最後にsuコマンドをグループ内のユーザーだけが使用できるように設定します。コンソール画面に vim /etc/pam.d/su と入力し、Enterキーを押します。

画面が切り替わりますので、#auth required pam_wheel.so use_uid と記載されている箇所の#をxキーで削除し、:wq と入力し、Enterキーを押します。。。と。

次は、鍵認証か、、、、。

Amazonから、強烈なパケットを送ったか、アタックに合ったようだとメール！！

こんなんでお金とられたり訴訟はごめんなので、どうせ勉強のためだけだし、やはり動きのおかしかった？（翌日になったらURLにアクセスもできなくなっていた）のでこのinstanceはStop and Terminated((delete)することにしました。

操作は簡単だが、今後のほかのinstanceも心配だわ。。。。

ちなみに請求料金は？？？？

うーん知らない間に、EC2の無料制限枠をもう超えている。。

おかしいな。やはりアタックを受けた感じ。

ちょっと危険なので残念だけEC2サービスはすべて

stop and Terminate することとします！

現在のところ＄２．６７のようなので。。。

バイなら！！！Amazon！！

（一応記録とっとこ。。）

全件EC2の削除。

で、最終画面。

終わった！！！

ええい、もうRDS（DB）も削除しよう！！

S3も削除しました！

これで、EC2、RDS、S３のすべてサービスは削除したはず。。。

S3のバケットというものも削除した！

うーーん、なんかセキュリティグループが１つとスナップショット１つが消えないけど。。instanceがなければ課金されないようだから、大丈夫かな？？？要注視！！！

完！Amazon

ここいらで、料金をチェック！

おお、置いとくだけで＄０．５かかっている。。

なんか従量制はやだなあ。。。。

早く勉強完了しよっと。。。。

Tomcat8が起動したら、動作確認をします。

コマンドは、

http://ec2-52-197-160-7.ap-northeast-1.compute.amazonaws.com:8080/WebAPSample/top.jsp

すると、、お、、何か出てきた。

あれ？？？でないなあ。。。。

失敗かな？？？？？？再度！！！

(7/16)検証してみるか、、、、

$ cd /usr/share/tomcat8/webapps/WebAPSample

に、connectDBが無い！って怒られたので、、、見ると。。。

あーーー、無いわーーー。これじゃDBにつながらないね。。。

サンプルあるかな？

Tomcatの管理ツールを使うと、WebのGUIからもアプりをデプロイできます、、、と。管理ツールは、次のコマンドでインストールできます、と。

sudo yum -y install tomcat8-admin-webapps

では、やってみましょう！

って、あっというまに終わった、Complete!

インストールが完了したら、管理ユーザを作成します。

/usr/share/tomcat8/conf配下に、

設定ファイルtomcat-users.xmlがあるので、

管理ユーザの認証情報を追加します、、、と。

（もう、言われるまま、、、、、悲）

あーーあった！

では、viエディタで修正。

どうやら、

<user username=”tomcat” password=”s3cret roles=””manager-gui”/>

を追加するみたい。。。。

あれ、、でも管理者でないとダメ！だって。。。。

どうすっかな？？？

めんどいから、このままやっちゃうか。（編集できないけど。。）

いや、だめだ。。GUIの画面でID、Passを聞かれるって。。

じゃ調べるか。。。

$ sudo vi ファイル名

で良い？？？？なんだよ、、、あっさり行ったよ！

では、追加を。

編集したら、、、

編集されたようだ！

tomcat8を再起動する、、、、と。

$ sudo service tomcat8 restart

OK!?かな？？？

じゃ、EC２インスタンスのPublicDNSの８０８０ポートにアクセスします。今回のオレのは、

http://ec2-52-197-160-7.ap-northeast-1.compute.amazonaws.com:8080/manager

おお、認証を聞いてきた！確か、、、、

tomcat, s3cretだったな？

入れてみると、、、入れた！っぴーーーーーうれぴー！

では、いよいよTomcat8サーバを起動します。。

緊張するなあ。起動しなかったらどうしよう。。。。

コマンドプロンプトへ。

$ sudo service tomcat8 start

あれ？？動いたのかな？？？OKはでたけど。。。。

次に、EC2ンスタンスを再起動したときにもTomcat８を自動起動させるため、次のコマンドを。。。。

$ sudo chkconfig tomcat8 on

？？

チェックできるみたい。

$ chkconfig –list |grep tomcat

すると、、、

おお、ON/OFFが教科書どおりになっとる。（いいのかな？）

続きでーす。はたしてうまくいくかの？？

前回より、

Tomcatの場合は、作成したwarファイルを実行フォルダに置くことでデプロイできますって！

TeraTermでTomcat8をインストールしたEC2インスタンすにログインします。。。。

なので、

Tomcat8をインストールしたEC2インスタンすは、[62]を読み返すと

グループ名：WebAPSample20160712

なので、これにShellを右クリックで立ち上げる！

秘密鍵で入れました！（よく覚えとるん？）

で、コマンドだけど、TeraTermのメニューで、

「ファイル」「SSH SCP」を選択し、

①fromに作成したサンプルのWebAPSampleを指定し、

②「Send」ボタンをクリックして

アップロードを行う、、、、と。

ここでは、ずるして、もともとのサンプルファイルを指定。

なんか、一瞬何かやった感じだけど。。。。。

まいいか！？

次に、EC2インスタンスでコマンド実行らしい。。。。

EC2のホームディレクトリにアップローどしたWebAPSample.warをTomcat8インストールフォルダのwebapps配下にコピーすると。。

なので、コマンドは、

$ sudo cp /home/ec2-user/WebAPSample.war /usr/share/tomcat8/webapps

とな？？？？やってみるか？

あれ？？終わった？

おおー。コピーされとる。。。

これで、デプロイは完了した、、、、らしい。。

実感なし。。。。

次は、Tocmcat８の起動。。。。

WebアプリをTomcatに配置していく、、、と。

まずは、DLしたwarファイルをEclipseで開く、、と。どうやんだろ。。

サンプルwarファイルのインポート！！だと。

Eclipseの「ファイル」「Web」「次へ」、、、と。

インポートするwarファイルを指定する。

インポート中！

サンプルのWebアプリは、JNDIでDBサーバにアクセスします、と。そこでサンプルのWebアプリにRDSの接続情報を設定します、、と。

何のこっちゃ？？？

まあ、マニュアル本どおりに！

プロパティを修正する、、、とな。。

WebContentのWEB-INFのcontext.xmlを修正、、、と。

うまくできるかな？。。。

なんかいじらなくとも、そのままでいいかも？？？？

Eclipseで今度はエクスポート？？

エクスポートされた？？

サンプルアプリのデプロイ、、、

修正したアプリをEC2インスタンスにデプロイします。。

デプロイは、開発環境で作成したアプリを実行環境に配置することですって！

Tomcatの場合は、作成したwarファイルを実行フォルダに置くことでデプロイできますって！

TeraTermでTomcat8をインストールしたEC2インスタンすにログインします。。。。