VPSを移動した
Contents |
はじめに
長らくServersmanのVPSを使っていて特に不満はなかったんだけど、CentOS 6 で立てておりサポート終了が迫ってきているのでぼちぼちアップデートが必要になっていた。というわけでせっかくだし他のVPSに移動するかーと思い作業をした。
移行先はAWS Lightsail, Vultr, Conoha, さくらあたりが候補。いろいろ評判はあるけど、このサイトとメールサーバーぐらいにしか使ってないし、GMOインターネットの株を持っていれば優待で割引になるというのを知ってConohaにしてみた。
あと CentOS じゃなくて Ubuntu にした。
以下自分用に作業ログ。
Conoha で VPS を立てる
GUIをぽちぽちしながらインスタンスを立てる。そのあとログインして最低限の設定をする。
- ユーザー追加
- SSHの設定
PermitRootLogin no
PasswordAuthentication no
# 適当にポートを変える
UFW の設定
sudo ufw logging on
sudo ufw allow いろいろ
sudo ufw status
sudo ufw enable
fail2ban の設定
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
#いい感じに編集
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
その他使うソフトウェアのインストール&設定
logwatch, rbenv, tmux あたり。
postfix, dovecot の設定
https://www.server-world.info/query?os=Ubuntu_18.04&p=mail&f=2を参考に設定をしてメールアカウントを作る。 とりあえずSSL/TLSを使わずに送受信ができることを確認。 そのあと証明書を取得して送受信ができることを確認。
Let’s encrypt を入れる
ググって入れる。 cron で renew の設定も忘れずにする。
nginx
インストールして設定する。サイトの設定は別ファイルでよしなに。
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 768;
}
http {
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
ssl_protocols TLSv1.2;
# SSLセッションキャッシュをすべてのワーカープロセスで共有
ssl_session_cache shared:SSL:30m;
ssl_session_timeout 30m;
# 2048bit以上で作ったDH交換鍵を指定
ssl_dhparam /etc/ssl/private/dhparam.pem;
# OCSP Stapling を有効にする
ssl_stapling on;
ssl_stapling_verify on;
# ルートCA証明書と中間証明書結合した証明書を指定
ssl_trusted_certificate /etc/letsencrypt/live/brookbach.com/fullchain.pem;
# サーバが示した暗号スイートの優先
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
gzip on;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
ブログ移動
こんな感じでPushしたらデプロイされるスクリプトをおいているのでこれをそのまま新しいサーバーに移動する。
!/bin/bash -l
GIT_REPO=$HOME/brookbach.git
TMP_GIT_CLONE=$HOME/tmp/brookbach
PUBLIC_WWW=/var/www/brookbach
git clone $GIT_REPO $TMP_GIT_CLONE
cd $TMP_GIT_CLONE
bundle install
JEKYLL_ENV=production bundle exec jekyll build -s $TMP_GIT_CLONE -d $PUBLIC_WWW
rm -Rf $TMP_GIT_CLONE
exit
確認
- メールサーバーの判定https://mxtoolbox.com/diagnostic.aspx
- 降ってきたIPがBARRACUDAのブラックリストに登録されていたので許してと懇願
- SSLの判定https://www.ssllabs.com/ssltest/analyze.html
- Webページの表示スピードなどhttps://developers.google.com/speed/pagespeed/insights/?hl=JA
おわりに
週末で終わってよかった。 メールとか最近はサービス登録するときにしか使わないし、それすらソーシャルアカウントで代用できたりする。届くメールも9割メルマガだし、要らないのでは?という気持ちもある。自分のサイトとかも別にはてなブログとか Qiita でいいじゃんと言われたらそれはそう。とはいえなんとなく Software engineer として働いているという矜持もあり、まだ持っていたい気持ちの方が大きい。
自分でサーバー持ってて何が怖いってセキュリティで、一応今の所経験はないけど、DDosとかはともかくサーバーが諸々の踏み台にされたりすると辛い。次に辛いのはメールがなぜかわからないけど届かないとか。 自分なりに調べながらやってるので勉強にはなる。