サーバにファイアウォールを設定します。内容はさくらのサポート情報を参考に、というかほぼそのまま書いてます。

まずは攻撃対策のルールを記述します。

# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

localhostとpingを許可します。

# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p icmp -j ACCEPT

必要なポートを開放します。ポート番号はそれぞれhttp(80)、https(443)、pop3(110)、smtp(25)、submission(587)、ssh(22)です。

# iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

許可済みのパケットのみ通します。

# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT

記述したルールをファイルに保存します。再起動はしなくても反映されるっぽい？

# service iptables save

一応再起動
# service iptables restart

ちなみにルールを修正したい場合は以下のファイルを直接いじります。最初からここに記述していっても良いんだろうけど。

# vi /etc/sysconfig/iptables

設定の確認はこちら。

# iptables -L

さくらのVPSお試し期間中は、ここの設定に関係なくメール送れないけどね。

別サーバでの話だけど、imap許可してたら物凄い勢いでアクセスされてサーバ会社から警告が来て驚いた思い出。即閉じた。

今のサーバを借りてから3年経つので、乗り換えのためにさくらのVPS 2Gを借りました。スペックは以下のように変わっています。

毎回サーバの設定に苦労するので、手順を書き出してみることにしました。いつもはローカルにメモしてるんだけどね。

sshの設定

まずは仮登録後に送られてくるメールからVPSコントロールパネルに入り、サーバを起動させます。次にリモートコンソールからログインしてrootのパスワードを変更します。

# passwd

rootで直接ログインできるのは危険なので、作業用アカウントを作成します。

ユーザーhoge作成
# useradd hoge

hogeのパスワード設定
# passwd hoge

hogeをwheelグループに入れる
# usermod -G wheel hoge

作業用アカウント（wheelグループ）以外ではroot権限を使えないように制限を付けます。

sudoできるユーザ
# visudo

この行を有効化
%wheel ALL=(ALL) ALL

suできるユーザ
# vi /etc/pam.d/su

この行を有効化
auth required /lib/security/$ISA/pam_wheel.so use_uid

rootで直接ログインできないようにします。

# vi /etc/ssh/sshd_config

yesをnoに変更する
PermitRootLogin no

再起動
# service sshd restart

最後にTCP wrapperでsshにログインできるホストを制限します。

拒否リスト
# vi /etc/hosts.deny

以下を追加
sshd : all

許可リスト
# vi /etc/hosts.allow

以下を追加
sshd : localhost
sshd : www????.sakura.ne.jp
sshd : .jp

これでサーバ自身と.jp以外の人はアクセスできなくなりました。ちゃんと自分のプロバイダに合致したホスト名を指定しないと繋がらなくなります。

ほんとは公開鍵を使ったほうが良いんだけどね。

ついでに日本語化。

# vi /etc/sysconfig/i18n

LANG="C"
を
LANG="ja_JP.UTF-8"
に変更

yumでRemiリポジトリを使う

標準のyumだと古いパッケージばかりなので、比較的新しいのがインストールできるRemiリポジトリを使用します。

CentOS6用
# wget http://rpms.famillecollet.com/enterprise/remi-release-6.rpm
# rpm -Uvh remi-release-6.rpm

Remiを指定してインストールする場合には以下のように記述します。

# yum --enablerepo=remi install (パッケージ名)

アップデートは新旧入り混じると面倒なので、Remiで入れたのは個別でやった方が良いのかな。

通常パッケージ全部アップデート
# yum update

Remiで入れたの個別アップデート
# yum --enablerepo=remi update (パッケージ名)

設定ミスが無いか必死にぐぐりながらいじってます（汗）

まあWordPressに限らない方法なんだけどね。

PageSpeed InsightsというGoogle製のサイトの表示速度を調べてくれるサイトを知りました。何年も前からあったみたいだけど。
ともかく、ここにURLを入れたら速度が遅くなってる原因がわかります。便利だね。

このブログのTOPページを試してみたらモバイルが57/100、PCが67/100でした。スコア低いなあ。なので「修正が必要」と書かれている2つの対処法を試してみた。

圧縮を有効にする

これはサーバからブラウザへ転送するデータをGZIPで圧縮しろってことです。Apacheにmod_deflateなるものを入れる必要があるんだけど、うちの環境だと最初から入ってた。なのでネット情報を参考に.htaccessに以下を追加。

<IfModule mod_deflate.c>
SetOutputFilter DEFLATE
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
Header append Vary User-Agent env=!dont-vary
</IfModule>

GZIPに対応していないブラウザなどを除外してるね。

ブラウザのキャッシュを活用する

画像などに有効期限を付ければブラウザキャッシュが効くよということです。これも同じくApacheにmod_expiresが入っていたので、やはりネット情報を参考に.htaccessに追加。

<ifModule mod_expires.c>
ExpiresActive On
ExpiresDefault A1
ExpiresByType image/gif A604800
ExpiresByType image/jpeg A604800
ExpiresByType image/png A604800
ExpiresByType image/x-icon A604800
ExpiresByType text/css A604800
ExpiresByType text/javascript A604800
ExpiresByType application/x-javascript A604800
ExpiresByType application/x-shockwave-flash A604800
</ifModule>

A604800は有効期限をアクセスした時から604800秒（1週間）後にするって意味です。

結果

.htaccessに上の2つを記述しただけでモバイルが73/100、PCが86/100になりました。結構良いスコアになったね。

「修正を考慮」という所に他の対処法も載っていて、その中で「サーバーの応答時間を短縮する」というのが気になりました。サーバが古いので遅いのは仕方ないとして、多分これはWordPressが重いせいだな。

実はWordPressのプラグインでキャッシュ系を幾つか試してみたんだけど、うちの環境ではうまく動かなかった。そんな訳でWordPress以外でも使える手法のみになっちゃいました。

前回の修理の後から、パソコンの電源が突然落ちるようになってしまいました。

色々試してみたら、ニコニコ動画などを20分以上再生すると落ちるっぽい。前回電源ユニットの交換をしたので、それのせいかな。

そんな訳でサポートに連絡したんだけど、BIOSをアップデートしろだのグラフィックドライバを最新にしろだの言ってきて、どうにも核心に近づいてる気がしない。前回の修理ではHDDを外して送ったので、そのせいじゃないのかと言われ、OSの再インストールを試すよう指示される。きがるにいってくれるなあ……

OS再インストールは面倒なので、ブラウザ上での動画再生で電源が落ちるのは再現性があるからと説明したんだけど、ネット由来の現象はサポート外と言われてしまう。仕方ないので他の方法を試していたら、ブルーレイの再生でも電源が落ちるのを確認。それでようやく修理に応じてくれました。長かった……

修理自体は4日で終わって戻ってきました。それで修理報告書を見てみたら……ビデオカードの故障でした。そっち？！

これは予想外だった。

1ヶ月位前から、パソコンのファンが掃除機並にうるさくて困ってました。中を開いてエアダスターでホコリ飛ばしたりしたものの、音は変わらず。さすがにストレスになってきたのでメーカーに問い合わせたら「保証期間内なので修理します」と言ってくれました。

修理に出す際、ハードディスクを取り外して送るというやり方が載ってました。情報漏洩や破損対策か。以前、別のメーカーに修理に出したPCは「落として壊しちゃいました」とかアホな事やられたし、今回はハードディスクを外して送ったよ。

送料無料で梱包も配送業者がやってくれました。楽チンだね。数日後に電話がかかってきて、電源ユニットを交換したとの事でした。ファンだけの問題じゃなかったのか。

そして送り出してから5日後にPCが返ってきました。今のところ騒音は無し。いやぁ延長保証しておいて良かったよ。

ちなみに修理中はノートPCを使ってましたが、グレア液晶で13インチなので目が疲れました。ディスプレイに繋げばよかったんだけどね。