思いのほか、Oracle Cloudの記事を見て頂いたようで、
実際に試してみて頂いた方も複数名いらっしゃるようです。ありがとうございます。
今回は、私の経験上、「これは設定しておいた方が良いよ」という設定を2点お伝えします。
swapメモリ設定
OSをUbuntu minimalイメージでインストールされた方は、swap領域が設定されていません。(それ以外のOSイメージでどうかは分からないのでお確かめください)
swap領域が無いと、物理メモリが枯渇した際にVMがフリーズしたりします。
スワップアウトが発生するとパフォーマンスが悪化しますが、フリーズするよりはマシなので設定しておいた方が良いです。
ちなみに私の環境では swap領域を設定していなかった2日間でフリーズが2回ありました。
swap領域の確認方法
swapon -s⇒ swap領域があれば表示される、無ければ何も表示されない
free
total used free shared buff/cache available
Mem: 1005744 241100 245528 968 519116 613928
Swap: 0 0 0
⇒ swapのカウンタが 0なので swap領域がない
Ubuntu minimalイメージでVM作成された方は、swap領域がありませんので
下記に従ってswap領域の設定をしましょう。
swap用ファイルの作成
sudo fallocate -l 2G /swapfile
権限設定
sudo chmod 600 /swapfile
swap用ファイルをswap領域に設定
sudo mkswap /swapfile
swap領域の有効化
sudo swapon /swapfile
設定の永続化(再起動しても消えないように)
sudo cp -p /etc/fstab /etc/fstab.org #(バックアップです)
sudo sed -i ' 3i/swapfile none swap sw 0 0' /etc/fstab
再起動などは必要ありません。
リモートログインをさらに強固にする設定
作成したVMはSSH接続とリモートデスクトップ接続が、世界のどこからでもできます。
SSHは鍵認証にしているので、まず心配ありませんが
リモートデスクトップ接続はユーザ名・パスワードが破られると接続できてしまいます。
今回は自分でパスワードを設定したこともあり、弱いパスワードを使用していると非常に危険です。実際に海外のbotからのアタックは常時発生しています。
ということで、パスワードの他にワンタイムパスワードを使用することにします。
必要なもの(準備)
スマートフォンのアプリはあらかじめインストールしておいてください。
Google Authenticator
Google AuthenticatorのPAMモジュールをインストール
sudo apt install libpam-google-authenticator
google-authenticatorの設定
コマンド実行
google-authenticator
いくつか質問がありますが、すべて y (yes) で回答します。
画面にQRコードが表示されるので、アプリでこれをスキャンします。
またQRコードの下にアプリが使えない場合の緊急コードが表示されるので、控えておいてください。
PAM(Pluggable Authentication Modules)の設定
PAMはユーザー認証のためのモジュールですが、これにGoogle認証を使用する設定をします。
/etc/pam.d/common-auth に設定追加
/etc/pam.d/common-auth の15行目に下記を追加します。
auth required pam_google_authenticator.so
エディタで追加して欲しいですが、よく分からなければ下記を実行しても多分大丈夫です。
sudo sed -i '15iauth required pam_google_authenticator.so' /etc/pam.d/common-auth
/etc/pam.d/xrdp-sesman に設定追加
既存の設定をコメントアウトして、下記を追加します。
auth required pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass
こちらもよく分からなければ下記を実行しても多分大丈夫です。
sudo sed -i 's/@include/#&/g' /etc/pam.d/xrdp-sesman
sudo sed -i '$a auth required pam_google_authenticator.so forward_pass\nauth required pam_unix.so use_first_pass' /etc/pam.d/xrdp-sesman
接続方法
パスワード欄に パスワードとアプリに表示された6桁の数字を入力してください
例) パスワードが password 、 アプリに表示された数字が 123456 であれば
password123456 をパスワード欄に入力することになります。
0 件のコメント:
コメントを投稿