ぼんずーず

さくらvps標準のCentOS5.5にインストールされているsshのverではchroot対応していません。
sshのchroot環境が必要な場合はこちらのエントリーもご参照ください。
ぼんずーず : さくらvps CentOS5.5 でsshのchroot環境をつくる

それでは本題へ

(1) 作業ユーザの作成と設定

管理用の作業ユーザ作成
仮に centuser とします。
適宜読み替えてください。

1.ユーザ作成

useradd centuser
passwd centuser

2.wheelグループに所属

usermod -G wheel centuser

3.su で wheel グループのユーザをrootになれるようにする

visudo ← ファイルを開く

## Allows people in group wheel to run all commands
#%wheel  ALL=(ALL)       ALL ← コメントアウトを外す
↓
%wheel  ALL=(ALL)       ALL

4.sudo できるユーザを制限

vi /etc/pam.d/su でファイルを開き

# Uncomment the following line to require a user to be in the "wheel" group.
#auth            required        pam_wheel.so use_uid ←コメントアウトを外す
↓
auth            required        pam_wheel.so use_uid

sshd_configの設定変更

Port 変更する （以下，ログイン時のportやiptableで開く場合に変更を反映する）
Protocol 2 （念のため制限しておく）
PermitRootLogin no （rootでのログイン禁止 必要な場合は作業ユーザでsu でrootになる）
MaxAuthTries 3

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
（ここまではセットでコメントアウトする 鍵がない状態でも認証に失敗するだけなのでこのまま）

PasswordAuthentication no （鍵を用意するまではyesにしておき，鍵の設定後即時 no にして再起動する）
PermitEmptyPasswords no
AllowUsers centuser （管理者一人に絞る場合は追加する）

ChallengeResponseAuthentication no
UsePAM no

（補足）
デフォルトで設定されている項目もありますが，確認のため設定をしています。

認証用の鍵ペアの作成と設置

クライアントマシン：windows
鍵生成：puttygen
sshクライアント：putty
の環境だと，refusedされまくりで，上手く行かなかったので引っかかったポイントを解説しながら。

ポイント１）
sshd_config では 鍵のbit数忘れずに！
サーバ認証用の設定だったので今回は関係ありませんでした。

ポイント２）
/home/newuser/.ssh は 600
/home/newuser/.ssh/authorized_keys は700 にchmodする！
（このパーミッションが必須です）

ポイント３）
鍵ペアをwindows+puttygenで作る場合の注意

出来上がる鍵ペアを下記名で保存するとします（別名で保存した場合は適宜読み替えてください）。

id_rsa.ppk 秘密鍵（putty , winSCPで使う形式）
id_rsa.pub 公開鍵→このままサーバにアップしても使えない

さて，puttygenで作られた公開鍵id_rsa.pub には改行が入っているファイルになっています。
さくらvpsのSSHは opensshなのでこれに対応する形式に変換する必要があります。

方法は２通りありますのでやり易い方法で行ってください。

「コピペ式」
CentOS 5 - SSHサーバー - 鍵認証接続 ： Server World
こちらの[5]に完全な説明があります。

「変換式」
アップした id_rsa.pub をサーバ側のssh-keygenで変換することで認証可能になります。

手順
＊＊管理ユーザを centuser とします。
又，puttygenで作成した秘密鍵をid_rsa.ppk ， 公開鍵を id_rsa.pubとして保存しています。

winSCPなどでid_rsa.pubを /home/centuser/.ssh/id_rsa.pub
にアップロードする。（ここまではsshd_configでパスワード認証をonにしておく）

cd /home/centuser/.ssh ←作業のため公開鍵保存ディレクトリへ移動
ssh-keygen -i -f id_rsa.pub >> authorized_keys ←.pubを変換して書き出す
chmod 700 . ←ドットで .sshディレクトリ自身のパーミッションを700に変更
chmod 600 authorized_keys ←公開鍵のパーミッションを600に変更
chown centuser:centuser authorized_keys ←所有者・グループを管理ユーザに
rm -f id_rsa.pub ←残り物を削除
cd ←戻る

.sshディレクトリと鍵のパーミッションが正しくないと，拒否されます。
また，設定ファイルを編集していたりとこの段階で，su でrootになっている場合が多いと思いますので
鍵の所有者をls -la などで確認し，rootの場合には管理ユーザに戻しておかないと拒否されます。

まとめ

・puttygenで作った公開鍵（.pub）はサーバ側でopenSSH2用に変換しないと使えない
・パーミッションと所有者が正しくないと使えない
・サーバ側で作った鍵ペアの秘密鍵をダウンロードするのは宜しくないので
必ずクライアント側で作った鍵ペアの公開鍵をアップロードするべし
（公開鍵は第三者に見られても問題ないためftpでもメール記入でも渡せますが，この段階ではどちらも使えないでしょう）
・秘密鍵のパスフレーズは意味薄い（鍵盗まれている時点でOUT！）のでいらないという意見と，
必ず設定するべきという意見があるので自己責任でお好みに。
ちなみにパスフレーズなしだと，ログインがとても楽ちんです。
私は設定する派です。
・chroot必要な場合はあらかじめopensshをv4.8以降に再インストールする。

（おまけ）

その１．tera term 等で .ppk は使えない
一度 conversions で秘密鍵を読み込んで， opensshkey を export すると
id_rsa 拡張子なし の秘密鍵ができるので，これを使って認証する。

その２．鍵の形式について
puttyで作られる公開鍵 .pub はSSH2形式でOpenSSH互換のものと違うようです。
ssh-keygen の-i オプションで標準出力に変換して読み出せるのでファイルに書き込むことで鍵の変換を行います。

鍵の変換は詳しくはこちらにも載っています
OpenSSH セキュリティ管理ガイド / 補遺
SSH の鍵管理

ssh-keygenのマニュアルでは
SSH-KEYGEN (1)
-i オプションの説明

このオプションは、暗号化されていない秘密鍵 (あるいは公開鍵) ファイルを読み、それを OpenSSH 互換の秘密鍵 (あるいは公開鍵) に変換して標準出力に表示します。鍵の形式は-m オプションによって指定されます。このオプションを使うと、いくつかの商用 SSH 実装で使われている鍵を OpenSSH で使用できます。デフォルトの形式は、”RFC4716″です。

-e オプション

このオプションは OpenSSH 形式の秘密鍵あるいは公開鍵ファイルを読み、-m オプションで指定された形式で標準出力に表示します。デフォルトの形式は”RFC4716″です。このオプションを使うと、OpenSSH の鍵をいくつかの商用 SSH 実装で使われている形式の鍵に変換できます。

-m オプションの説明

鍵を変換する-i オプション (import) あるいは-e オプション (export) で使われる鍵の形式を指定します。サポートされている形式は:”RFC4716″(RFC 4716/SSH2 の公開鍵あるいは秘密鍵)、”PKCS8″(PEM PKCS8 の公開鍵)あるいは”PEM”(PEM の公開鍵) です。デフォルトの形式は、”RFC4716″になっています。

FreeBSDのマニュアルでは，
http://www.jp.freebsd.org/cgi/mroff.cgi?sect=1&cmd=&lc=1&subdir=man&dir=jpman-5.2.0%2Fman&man=ssh-keygen
.pub を SECSH Public Key File Format（SECSH 公開鍵ファイル形式）としてありました。

参考サイト様

基礎
http://unixwiz.net/techtips/putty-openssh.html
http://blog.digital-squad.net/article/116206726.html
http://curiosity-drives.me/linux/sakura-vps-1-ssh/

簡潔
http://www.happytrap.jp/blogs/2010/11/03/4146/

順序立ててあり分かりやすい
http://blog.c-production.com/archives/2010/10/vpsssh.html

ユーザも制限したい
http://www.ksknet.net/cat13/ssh_1.html

sshd_config 詳しく
http://www14.plala.or.jp/campus-note/vine_linux/server_ssh/sshd_config.html

さくらVPSと puttygenの利用
http://akabeko.sakura.ne.jp/blog/2010/09/%E3%81%95%E3%81%8F%E3%82%89%E3%81%AEvps-%E3%82%92%E4%BD%BF%E3%81%84%E3%81%AF%E3%81%98%E3%82%81%E3%82%8B/

その後の設定など含む
http://wata-jp.ldblog.jp/archives/1606112.html

sshのbrute force attack対策 など
http://oku.edu.mie-u.ac.jp/~okumura/blog/node/829
上記の方の別エントリー（？）のようです（同ページからもリンクがあります）が素敵なiptablesのフィルタリング
DSAS開発者の部屋:ssh の brute force アタックパケットの制限 — DOS 的パケットをフィルタリングする
hashlimitというものを使っています。

recentを使った同様の設定も
ipt_recent - (ひ)メモ
こちらにありますが，この方は先ほどのhashlimitのエントリーの方法を薦められています。

denyhosts
Denyhosts導入メモ - まめ畑
MacOSX・Linux(Fedora・CentOS)でサーバ構築｜スパム対策｜プログラムメモ

検索語句リスト（作業時に実際に検索した語句：次回のヒントに）
ssh-keygen 2048 rsa2
server refused our key
putty さくらvps
sakura vps 2048 windows
teraterm
sakura vps 2048 ssh
putty server refused our key
ssh 2048 putty sshd_config
ssh 2048
sshd_config serverkeybits
ssh ユーザ制限
centos del user
user delete
cent delete users
sshd_config
visudo wheel
password生成
unix password 生成
unix password
パスワード生成
sakura vps
ssh private

やーんの育児日記＋ - CakePHP 1.3.6 PCRE has not been compiled with Unicode support.
こちらの通りで解決しました。

リビルドの際

rpm -Uvh /usr/src/redhat/RPMS/x86_64/pcre-6.6-2.7.x86_64.rpm

の部分は私の環境では

rpm -Uvh /usr/src/redhat/RPMS/i386/pcre-6.6-2.7.i386.rpm

でした。

http://qtown.jugem.jp/?eid=49
こちらのとおり，3つの設定を変更したところ
cakephpのテンプレート（ 拡張子：.ctp）ファイルをDreamweaverでPHPファイルとして認識できました。

Eclipseで複数行まとめてGrep&Replaceができなかったので
Dreamweaverが重宝しました。

尚，WindowsXPとDreamweaver8の場合
各フォルダ名でAdobe となっている部分は Macromedia に置き換えるとうまくゆきました。

今まではIPとかHOSTで分けていて色々と難があったのですが，

これは！！

Apacheの環境変数で設定

httpd.confレベルで、 ディレクティブで設定

<Directory "/path/to/DocumentRoot">
    SetEnv SERVER_STATUS release
</Directory>

環境差異を吸収する方法 - maru.cc@はてな

素晴らしい方法を教えていただきました。
リンク先のvariables_orderとgetenv()の話も勉強になりました。

添付されている画像を取り出したくて
直接ドラッグアンドドロップしたり，
コピーして張り付けたり
エクスポートなども試しましたが取り出すことができませんでした。
検索してみると

excelやwordのファイルから画像を取り出す | ArcGISやAutoCADの使い方

ファイル＞webページとして保存
とすすみ、ファイルを保存します。

なるほどこんな方法があるのですね。
ちなみにOpenOfficeでも同様の操作で可能でした。
「webページとして保存」とは違う言い回しでしたが，
拡張子.htmlを選べばよいのですぐ分かります。

http://www.deformedweb.co.uk/php_variable_tests.php

一覧です。

すごく分かりやすいです。
ファイル共有

基礎からみっちり。
しっかり読めば，ファイル共有でトラブルもなくなります。
Windows Server Insider 連載インデックス － ＠IT#baswinlan

逆に，見えないフォルダを作る。
LANから見えない共有フォルダを作る

eclipse zen-coding で検索すると
EclipseMonkeyをインストールしてZen Coding for Aptanav0.6.0.1をダウンロードする方法が多く書かれている。

しかし2011年3月現在，

Zen Coding for Aptanav0.6.0.1はdeprecatedとなっており，
紹介されているダウンロードページからもリンクが消えている。

さらに，上記の方法だと，

わざわざプロジェクトを作ってscriptsディレクトリを作成して
そこに展開したファイルを突っ込んで，しかも競合するショートカットを変更しないとならない。

しかも，私が試した限りでは
動かない。

と思ったら！
検索結果上位にひっそりと
https://github.com/sergeche/eclipse-zencoding
こんなページが入っているじゃないですか。

インストール方法を紹介しますと

Native Zen Coding plugin for Eclipse

http://zen-coding.ru/eclipse/updates/ （又は http://media.chikuyonok.ru/eclipse/updates/ ）
をeclipseのアップデートサイトに追加し
Zen Coding for Eclipse
を落として
Eclipse再起動

これだけ！

補足

コードの展開はtabで行います。
細かいショートカットは試していません。
Eclipse 3.6 Helios で動作確認済みだそうで， 3.5Galileoでも問題ないはず，とのこと。（私も3.5で使っています）
あと Aptana3 betaを使っている人は，aptana3 でもtabでsnippetsを展開する機能があり，そこと競合すると
正しく動作しないかもしれないそうです。
その場合はaptanaで使わないsnippetsを削除してくださいと。

Error: PUT of 
Error: '/svn/ice/!svn/fugafuga/hogehoge/fuga.hoge': 
Error: could not connect to server (http://dokodoko.nanc.hara)
Finished!:

svnサーバはcentos5.5で
windowsXPのTortoiseSVNからファイルをインポート時に
ファイルが大量だと上記エラーが出たりする。

皆さん通信内容を見てもよく判らなかったり
apache側ではエラーログ残って無かったりと症状は共通している模様。

http://groups.google.com/group/tortoisesvn/browse_thread/thread/96b1d2a68fbefb59/ff13d6317976ca8a
こちらの方が症状をとても詳しく乗せてくれていて，どんぴしゃでした。

しかも自己コメントで解決策を載せてくれています。

keepalive On

でこのエラーは出なくなりました。

スクリプトによる設定

http://vine.1-max.net/iptables.html
vine linux
スクリプトのコメントが初心者には流れがすごく理解しやすかったです。

http://safe-linux.homeip.net/network/Gateway_Server-07.html#sh

マスカレードの説明

http://safe-linux.homeip.net/network/Gateway_Server-09.html
図が分かりやすくて，GUIでの設定時のスクリーンショットもあり理解しやすいです。

(ここから2011-03-07追記)

熟読する

http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/index.html

基礎・フィルタリング

http://tech.feedforce.jp/iptables.html
http://www.crimson-snow.net/hmsvr/centos/memo/iptables.html
http://www.nina.jp/server/index-redhat.html
http://arisonsvr.org/web/maincontents/serverset/iptables/iptable.html
http://japan.zdnet.com/sp/10things/20389167/
http://itpro.nikkeibp.co.jp/article/COLUMN/20070327/266505/
ヨク使うポート一覧と設定
http://ft-lab.ne.jp/cgi-bin/wiki.cgi?page=iptables
http://tech.hitsug.net/?CentOS/iptables

ftp使う場合にモジュールが必要だという話
http://www.ksknet.net/cat13/iptablesftp.html
http://saoshi.gooside.com/

NAT

http://ult.riise.hiroshima-u.ac.jp/~nagato/?iptables%A4%CB%A4%E8%A4%EBNAT

こんな方法も

ssh の brute force attack 対策
http://www2s.biglobe.ne.jp/~nuts/labo/inti/ipt_recent.html

port mapping
http://blog.cles.jp/item/3168