SGSの宝くじやゴーストで使用しているSakuraVPSの再設定を行った。

サーバーを停止していたのは、誰かにサーバーを乗っ取られて、管理会社から連絡が来たので止めていたのですが
OSインストールから設定をすべてやり直すが面倒で、長いこととめてました。
やっと環境を再設定しました。

もう誰も使ってないらしいKyotoTycoonを使っていたり、過去の遺物のなりつつあるPerlでCGIを使っているので
ググっても情報が古すぎて、かなり失われている
OSがCentOS7になったことで、cpan関係のモジュール入れも非常に難航した

rootでcpanを入れると/root以下にモジュールが入りapacheから読めなくなる
一般ユーザーでログインしてsudoでcpanモジュールを入れる必要がある
/home/ユーザー名の.bashrcに/root/perl5にモージュールを入れる環境変数がセットされていたら
コメントにする必要がある

このへんはWEBから情報が失われつつあるので、自分で残して置かないと今度サーバーを乗っ取られたら復活できなくなる

ま、PHPなりPythonを覚えればいいんでしょうが、もう職業プログラマーになることはないので
いまさらWEB系を勉強し直すのもかったるい

というわけで、宝くじなどが復活したみたいですが、
また乗っ取られては困るので、セキュリティ関係をおさらいしてみた

まず重要なのは、yum updateを定期的に行ってOSのモジュールを最新に保つこと。これをサボると脆弱性バグが狙われる
あと、firewallで適切のポートを開いて管理すること。
SakuraVSP側もポート設定があるが、centos側もfirewallで管理する
以前は、iptablesで管理していたが、centOS7ではiptablesは廃止されて、firewalldになったらしい。
このへんも浦島太郎だった

/var/log/secureのログを見ると不正ログインの履歴が確認できるらしいので、見てみると
うわっ
一日中sshにログインしようとローテーションしている人がいるじゃないか
前回ののっとりもこの手法でやられたのかもしれない
IPの履歴を確認すると、中国とドイツ（ミュンヘンに住んでるウイルヘルムさんとwhoisにはあるが本人かどうかは不明）から何者かがログインしようとしている
パスワード以前にログインできるidが解らないだろうから、それを探しているようだ

まずはsshのポート番号をデフォルトから変更してみた
これでは犯人はポート番号がまず解らない状態になる
普段使わない場合は、sakuraVPS管理画面からSSHのポートは閉じておくべきだろう
使う時だけ開けば安全度は高まる

とりあえず/var/log/secureに不正ログインの履歴が残るは止まったようだ
セキュリティ系はほとんど知識がないので、実践あるのみかもしれない