セキュリティ周りの各種設定を行っていきます。
※ $ su – コマンドでrootユーザに切り替えてから操作を行ってください。
SSHの設定
クライアントPCとサーバ間のやり取りを暗号化し、
セキュアな通信が行えるようにする仕組み、SSHの設定を行います。
SSHサーバの設定ファイルを編集します。
# gedit /etc/ssh/sshd_config
ファイルを開いたら変更前を検索し、変更後に書き換えてください。
変更前 | 変更後 | 説明 |
---|---|---|
#Port 22 | Port 10022 | SSHの待ち受けポートをデフォルトの22番にしていると攻撃を受けやすいので、アプリケーションが割り当てられていない任意のポートに変更してください(ポート番号一覧) |
#PermitRootLogin yes | PermitRootLogin no | rootユーザでのログインを禁止 |
SELinuxの設定変更コマンドをインストールします。
# yum -y install policycoreutils-python
SELinuxで先ほど設定したSSHのポートを許可(今回は10022)
# semanage port -a -t ssh_port_t -p tcp 10022
ファイヤーウォールのSSH設定ファイルをコピーしSSHのポートを許可(今回は10022)
# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
# gedit /etc/firewalld/services/ssh.xml
下から2行目の port=”22″ を port=”10022″ に書き換える
1 |
<port protocol="tcp" port="10022"/> |
設定が完了したら第1回で停止したファイヤーウォールとSELinuxを起動
# systemctl start firewalld ←ファイヤーウォール起動
# firewall-cmd –reload ←ファイヤーウォールの設定変更を反映(今回は停止していたので不要)
# setenforce 1 ←SELinuxを起動
SSHサーバを再起動
# systemctl restart sshd.service
次回から、サーバにSSHで接続します。
一旦UltraVNCビューアを終了してください。
SSHクライアント設定
ファイヤーウォールが起動したので、第1回のようにUltraVNCビューアで
接続先IPアドレス:ディスプレイ番号 での接続はできなくなりました。
※5902ポートを許可すれば接続できますが、平文での接続はセキュリティ上良くないのでお勧めできません。
以下の黄色文字部分はポート許可コマンドの参考例です。実行する必要はありません。
# firewall-cmd –permanent –zone=public –add-port=5902/tcp ←5902ポートを許可
# firewall-cmd –permanent –zone=public –remove-port=5902/tcp ←5902ポート許可設定を削除
GUIのデスクトップにSSHで接続するには、
まず、Tera Term等のSSH接続が可能なターミナルエミュレータでSSH接続をしてから、
UltraVNCビューアでGUIのデスクトップへ接続します。
以下のサイトからTera Termをダウンロードし、クライアントPCにインストールして下さい。
インストールオプションは特に変更する必要はありません。
インストールが完了したらTera Termを起動してください。
起動後、新しい接続ダイアログが表示されるのでダイアログを閉じ、
設定>SSH転送 をクリックします。
ローカルポート:1111 ←使用していない任意のポート
リモート側ホスト:接続先サーバのIPアドレス
ポート番号:5902 ←590+ディスプレイ番号
設定>設定の保存をクリックし、現在の設定を保存
接続先が1つしかない場合ファイル名は変更せずに保存。
接続先が複数ある場合は名前を変えて保存し、接続の度に切り替える。
ホスト:接続先サーバのIPアドレス
TCPポート:10022 ←記事の冒頭で設定したSSHの待ち受けポート
初回接続時は警告が出るが、
このホストをKnown hostsリストに追加する のチェックを入れることで、
次回から警告が出なくなります。
続行 をクリック
ユーザ名:nagaya ←VNC接続ユーザ名
パスフレーズ:VNC接続パスワード
入力後 OK をクリック
VNCサーバ:localhost::1111 ←SSHポート転送でローカルポートに設定した値
パスワード:VNC接続パスワード
接続が完了しました。
に localhost::ローカルポート番号 が表示されていれば成功です。
お疲れさまでした。
これにて、【さくらのVPSにCentOS7をインストールしてGUI環境を構築する】についてのまとめを終了します。
次はLAMP環境の構築についてまとめようと思います。機会がありましたらまたお付き合い下さい。
Pingback: さくらのVPSにCentOS7をインストールしてGUI環境を構築する(2)~デスクトップ環境整備 日本語化~ | n-portal