お名前.com VPSへ移転 その5: ネットワーク関係の設定

リフォーム

前回はお名前.com VPSにインストールしたDebian 7で最低限のユーザを作りSSHの設定を行いました。

今回はこれに引き続いてネットワーク関係の設定をしていきます。前回SSHの設定を行ったので、以降はSSHで接続して行います。

IPv6の無効化

いまのところはIPv6は使う予定がないのでいったん無効化しておきます。/etc/sysctl.dに下記の内容でdisable_ipv6.confというファイルを作成します。

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1

作成したら次のコマンドで反映します。

sudo sysctl -p /etc/sysctl.d/disable_ipv6.conf

ifconfigコマンドで「inet6アドレス」が表示されなければOKです。次回からは起動時にこの設定が有効になるため、IPv6は無効になります。

iptableによるファイヤウォールの設定

まず、Linuxのiptableという機能を使って外からのアクセスを遮断します。いわゆるファイアウォール機能です。

このiptableの設定については以前ServersMan@VPSで設定したときのメモが残っていたので、それに従って行いました。

今回はiptablesコマンドを使ってファイアフォールの設定を行います。 ファイアフォールのログを見てみればわかりますが、不正アクセスの試みはかなりの頻度で発生します。このサイトの場合は1日あたり500回以上です。どんな目的であれVPSを利用する場合はiptableの設定は行って行っておいた方がよいでしょう。

ただし、すでにIPv6は無効化しているのでIPv6(ip6tables)の部分はやっていません。ip6tablesの設定をしてしまうと、無駄なカーネルモジュールがロードされてしまうので、IPv6をつかなわい方は設定しない方がよいでしょう。IPv6を有効化している場合はip6tablesの設定は当然必要です。

なお、この設定を行った後は/var/log/syslogにiptablesが遮断したパケットが出力されます。どんどん出力されますので、ファイヤウォールを設定してよかったと思うはずです。

NTPによる時刻合わせ

サーバを構築する以上、時刻は正確に合わせておいた方がよいです。私のサーバはなぜか日本時間から15時間も遅れた状態になっていました。

時刻合わせをするソフトウェアとしてはNTPが事実上標準なので、これをインストールして使いましょう。

sudo apt-get install ntp

お名前.comでは公開NTPサーバは用意していないそうなので、こちらを参考にして公開NTPサーバを設定します。

今回は下記の四つを設定することにしました。

  • ntp.nict.jp
  • ntp1.jst.mfeed.ad.jp
  • ntp2.jst.mfeed.ad.jp
  • ntp3.jst.mfeed.ad.jp

/etc/ntp.confというファイルのserverで始まる行にあるホスト名を、上記に書き換えればOKです。

IPv6を無効にしている場合は設定ファイルの書き換えはこれでOKです。

IPv6を有効にしている場合は、IPv6が悪さをするようなのでNTPに関してはIPv4だけを使って同期するようにします。このためには、再び/etc/ntp.cofを編集して次の行を削除します(あるいは先頭に「#」を挿入します)。

restrict -6 default kod notrap nomodify nopeer noquery restrict ::1

さらに/etc/default/ntpを次ののように編集します。

NTPD_OPTS='-g -4'

IPv6を無効にした場合にも、IPv6を有効にしている場合にも、設定ファイルの編集が終わったらNTPサーバを再起動しましょう。

sudo service ntp restart

これで時間が自動的に調整されます。動作は次のコマンドで確認します。IPv6を有効にしている場合は「sudo ntpq -4 -p localhost」としてください。

sudo ntpq -p
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ntp-a3.nict.go. .NICT.           1 u   16   64  377    1.328    0.197   0.103
ntp1.jst.mfeed. 172.29.1.100     2 u   12   64  377    2.507    0.177   0.046
ntp2.jst.mfeed. 172.16.176.60    2 u   14   64  377    2.455    0.166   0.088
ntp3.jst.mfeed. 172.29.3.100     2 u   13   64  377    2.561    1.323   0.584

NTPサーバを再起動してから10分程度経つと、先頭に「*」や「+」がついて、同期していることがわかります。

NFSの停止

お名前.com VPSでOSをインストールした直後にカーネルの状態を確認したところ、NFSのモジュールがロードされていることに気づきました。

今回はお名前.com VPSを初期化してDebian 7(64bit)をインストールしなおします。 インストールはGUIでも行えますし、ネットワークのスピードも速いのであっという間に終わります。パーティションの設定をもっと簡素にすれば数分で終わってしまうかもしれません。

NFSはUNIX間でファイルシステムを共有する際に便利ですが、VPSで使うことはなさそうなので削除してしまいます。

apt-get remove --purge nfs-common rpcbind

この後に再起動すればNFS関連のカーネルモジュールはロードされなくなります。手動でカーネルモジュールを削除したい場合は下記を実行します。

sudo modprobe -r nfsd nfs

まとめ

今回はお名前.com VPSをインストールした直後に行うネットワーク関係の設定を紹介しました。

前回のSSHの設定とこの設定を行えば、外部からの不正アクセスもかなりやりにくくなるので、とりあえずは安全にVPSを使うことができるでしょう。

次回はその他の細かい設定を行っていきます。