AWSのEC2にAmazon Linux 2のインスタンスを作成し、スタンダードかつセキュリティに配慮したインターネットサーバを構築する手順をまとめました。記事はQiitaに投稿しました。

概要

EC2でAmazon Linux 2のインスタンスを作成し、以下のようなサーバを構築する手順をまとめました。

記事一覧

各記事はQiitaに投稿しました。

https://qiita.com/ryu-blacknd/items/23b86d9ad768d58ff161

https://qiita.com/ryu-blacknd/items/36ccfcf96da7b0c981cf

https://qiita.com/ryu-blacknd/items/77eebe43a18a69e7c1e5

https://qiita.com/ryu-blacknd/items/4049f04e445eb1d60e4d

https://qiita.com/ryu-blacknd/items/03030d11eeef65e3cf67

https://qiita.com/ryu-blacknd/items/8e0c28065af3f9b8a06d

https://qiita.com/ryu-blacknd/items/20e5540195501e16e90e

ポイント

ただ単にインストールして初期設定を行うだけでなく、チューにニグやセキュリティ対策にも注力しました。

脆弱性診断「A+」

2020年前半、SSL/TSL絡みで大きな動きがありました。
ChromeやFirefox等、主要ブラウザがSSL 1～3、TLSv1.0～1.1を無効化したのです。
このためサーバ側で設定を変更しTLSv1.2を有効にする必要がありますが、同時にセキュリティリスクのある上記対象バージョンを無効にするという作業も行わないと、脆弱性診断で危険と診断されるようになりました。

りゅう

多くの顧客を抱える制作業者はプラン変更やサーバ移転に追われました。レンタルサーバでは基本的に機器構成やサーバの設定は変更してもらえないためです。

今回の記事ではこの問題にも対処し、かつせっかくなら脆弱性診断で最高の「A+」を取得することを目標に掲げました。

この記事を書きながら構築したサーバは、SSL Labsの診断で「A+」と診断されました。

常時SSL化対応

無料のSSL証明書を取得できるLet's Encryptを利用し、ApacheやNginxの設定で常時SSL化を行います。
Let's Encryptの証明書は更新期限が3ヶ月と短いため、期限切れになる前に自動で更新するようにも設定します。

ApacheのEvent MPM

MPMとはマルチプロセッシングモジュールの略です。
Apacheは、デォルトではシングルスレッドプロセスであるPrefork MPMで動作します。
記事ではイベント駆動であるEvent MPMを採用します。これにはPHPも関係します。
また環境に合わせてチューニングも行います。

PHP-FPMの採用

Apacheのデフォルトでは、モジュール版のPHPを使用するようになっています。
記事ではEvent MPMとFast CGI方式のPHP-FPMと組み合わせて高速化を図っています。
こちらもチューニングを行います。

MySQLの採用

現在、多くのディストリビューションで標準のデータベースサーバはmariaDBとなっています。
MySQLと互換性があり、PHP等からはMySQLとして操作することができます。
しかし記事では本来のMySQLを使用するようにしています。

通信路の暗号化とパスワード認証の排除

ウェブサーバだけでなく、メールサーバもSSL/TLS経由でアクセスするようにしています。
SSH接続はパスワード認証を使わず、公開鍵認証のみとしています。

なお記事ではFTPサーバを導入していません。これはCircleCIのようなCI/CDツールからSSHとGitを用いてデプロイすることを前提としているためで、この場合FTPサーバは不要です。
平文テキストでパスワードをやり取りするFTPサーバは、起動しているだけでセキュリティリスクにもなります。どうしてもFTPクライアントで操作したい場合はSFTP（SSHを用いたFTP）を採用することをお勧めします。

セキュリティと不正アクセス対策

EC2のセキュリティグループとfirewalldにより、不要なポートを外部に公開しないよう設定します。
例えばimaps/pop3sは公開しても、imap/pop3は公開しないようにしています。

他に、Fail2banによる不正アクセス対策（自動Ban / Unban）や、Logwatchの不具合修正も行います。

まとめ

本記事の目玉はSSL/TLS周りです。脆弱性診断で「A+」、少なくとも「A」を狙えるようにしています。
今はTLSv1.1までが無効になっていますが、いずれはTLSv1.2も無効になることが考えられます。
その際に同じようにレンタルサーバで対応に苦慮するようであれば、今のうちにクラウドへの移行を進めておいたほうが良いと思います。
AWSはIaaSとしては圧倒的シェアを誇るサービスで情報も豊富なため、幅広い層にお勧めできます。
担当者がわけわからんという場合はもちろん保守を含め委託が良いでしょうが、ある程度VPS等でサーバ構築に触れたことのある方であれば、この記事を参考にして構築してみていただければと思います。

CentOS 6の開発環境を一発で構築するスクリプトを公開しました。NetBeansやRedmineも紹介します。

GitHubのリポジトリ

https://github.com/ryu-blacknd/bootstrap

りゅう

気が向いた時に更新するかもしれません。

想定している開発フロー

1. Redmineでプロジェクト管理
2. NetBeansで開発
3. ローカルのGitリポジトリでコミット
4. リモートのベアリポジトリへプッシュ(Redmineが参照するのはココ)
5. 本番環境リポジトリ(/var/www/html以下)で自動プル

スクリプトの概要

• セキュリティ関係の設定(ローカル開発環境なので甘々に設定)
• yumのリポジトリを追加(epel, remi)
• yum updateと、必要なパッケージのインストール
• 不要なサービスの停止
• LAMP環境のインストールと最低限の設定
• RubyとPassenger周りのインストール
• Gitユーザーの作成と関連する設定
• phpMyAdminのインストール
• Redmine本体、テーマ、プラグインをインストール
• おまけ：ベアリポジトリ用フックスクリプトの雛形

詳細は、シェルスクリプトを読んでみてください。たいしてトリッキーなことはしていません。

動作環境

• LAN内のサーバPC、またはVirtualBox等の仮想マシン(Vagrant可)
• CentOS6 x86/64 minimal isoイメージでのインストール直後であること

インストール

rootでログインし、gitをインストール後、取得したbootstrap.shを実行するだけです。

yum -y install git
cd
git clone https://github.com/ryu-blacknd/bootstrap.git
chmod +x bootstrap/bootstrap.sh
bootstrap/bootstrap.sh

ほぼノンストップで進みますが、Passengerのインストール時のみ画面に表示される通りEnterを押して進んでください。

※2013.10.16 追記：Passengerインストール時にEnterを自動入力することで、ノンストップになりました。

インストール後はシステムを再起動します。

reboot

開発に関する情報

*1 NetBeansでのプッシュ先リポジトリ = Redmineでの参照リポジトリ

*2 開発ユーザー毎にSSH公開鍵を作成し、このファイルに追記していく(後述)

初回の開発フロー

初回のみGit絡みで面倒ですが、以下のフローが済めば、以降は自動化され楽になります。

1. [サーバ] ユーザーgituserでSSHログイン
2. [サーバ] /var/repos/[プロジェクト名]を作成し、ディレクトリ内でgit init --bare
3. [ローカル] NetBeansでローカルのリポジトリにファーストコミット
4. [ローカル] NetBeansから先ほど作成したベアリポジトリにプッシュ
5. [ローカル] Redmineで新規プロジェクトを作成、リポジトリを設定、ユーザー割り当て
6. [サーバ] cd /var/www/htmlしてgit clone /var/repos/[プロジェクト名]
7. [サーバ] /var/repos/[プロジェクト名]/.git/hooks/にpost-updateをコピーして編集

post-updateファイルはユーザーrootのホームディレクトリにあるため、gituserはアクセスできません。

chown gituser. post-update

としておき、gituserのホームディレクトリにでもコピーしておくとよいでしょう。

post-updateのコピーと編集

フックスクリプトpost-updateは、プロジェクトを作成する毎に手動でコピー、****の部分を編集します。

#!/bin/sh
/usr/bin/wget -q -O /dev/null http://localhost/redmine/sys/fetch_changesets?key=****
(cd /var/www/html/**** && git --git-dir=.git pull)

2行目は、Redmineの 管理 → 設定 → リポジトリ で生成したAPIキーを記述します。

3行目は、上記手順のプロジェクト名(=リポジトリのディレクトリ名)を記述します。

これで冒頭に書いたようなフローの準備が整いました。

以後はNetBeansで、ローカルコミットとベアリポジトリへのプッシュを繰り返して開発を進めます。

コミット・メッセージでチケットの状態を更新する

NetBeansからのコミット時は、コミット・メッセージの文末にrefs #1 @1.5h等を付与すると、Redmineのチケットと連携することができます。

このとき、作成者とコミッタをRedmineのユーザー名に合わせるようにしてください。

上記ユーザー名がRedmine側と一致しない場合は、チケット連携が正常に行われません。その場合はプロジェクト毎の 設定 → リポジトリ から、ユーザーの関連付けを行ってください。

※詳しくはこちらを参照してください。

http://blog.redmine.jp/articles/new-feature-1_1/automatic-spent-time-logging/

リポジトリへのアクセスにSSH鍵認証を利用する

ユーザー毎のSSH公開鍵をユーザーgituserのauthorized_keysに追記していきます。

以下の手順でSSH公開鍵と秘密鍵のペアを生成します。

ssh-keygen -C user@example.com

なお、この鍵ペアを外部サーバへの接続用途に使わないのであれば、パスフレーズは無視して構いません。

これでユーザーのホームディレクトリに2つの鍵ファイルが作成されます。

この公開鍵をサーバ管理者に渡し、管理者はgituserユーザーで~/.ssh/authorized_keysに追記します。

cd ~/.ssh
cat id_rsa.pub >> authorized_keys

次にNetBeans側で、「秘密鍵ファイル」に上記の秘密鍵ファイルを指定すれば、リポジトリにアクセスすることができるようになります。