refirio.org

パッケージ管理システム更新制限

※yum-cronでパッケージ自動更新を行う際、 無条件にすべてをアップデートすると、環境が変わって正しくプログラムが動作しなくなることがある。 その対策に、サーバ構築完了後に以下の設定を行う。 ※yum install php-xml など、追加インストールなども行えなくなるので注意。 （専用のオプションを使うか、一時的な解除が必要。） ※自動更新については以下も注意。 「Apache1 → Apache2」「PHP5 → PHP7」のような大きな更新はされない。 カーネルが更新された場合、OSを再起動しないと変更が反映されない。 Webサーバなどデーモンとして動作しているものが更新された場合、デーモンの再起動を推奨。 ライブラリなど、OSやデーモンから参照されているものが更新された場合、OSもしくはデーモンの再起動を推奨。 使用しているプログラミング言語やデータベースが他にもあれば、それも追加しておくといい。 例えばRubyを使用している場合「ruby*」も、PostgreSQLを使用している場合「postgresql*」も追加する。 yum を使って システムアップデートを行う (自動化も) http://server-setting.info/centos/firststep.html 参考:【Linux】 yumのexclude設定の挙動に振り回された話 http://blog.hylogics.com/entry/yum_disableexcludes

PHP設定調整

※要検証。 ※expose_phpもOffにしておくと良さそう。 エラーを専用ファイルに記録する場合、ログローテートの設定も行う。 ファイルアップロードサイズの上限が大丈夫かも確認する。 ※要検証。 参考:【logrotate】PHP エラーログでローテーションを！【できました！】 http://oki2a24.com/2013/03/19/set-logrotate-php-error-log/ PHPのエラーログが肥大してPHPが動かなくなった話 http://zapanet.info/blog/item/2489

Apache設定調整

ロボットのアクセスを許可するか否か考える。 AWSの場合、ロボットのアクセスで維持費が大きく変わることもある。 （とは言え、一般的なロボットは弾くべきではない。） 不正アクセス対策に、HTTPヘッダも設定しておく。 商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum http://etc9.hatenablog.com/entry/2018/01/18/215626 ApacheでPHPを使用する場合の.htaccess - Qiita https://qiita.com/refirio/items/a1d5f2675bb853bba23f

サーバ再起動

緊急でサーバを再起動した時、何らかの問題が発生しないかの確認のために、サーバの再起動を行っておく。 （サービス自動起動の設定を忘れていた、など。） その後、ひととおり動作確認を行う。

緊急対応手段確認

コントロールパネルから直接rootログインできるなど、緊急対策手段が用意されていることがある。（さくらVPSなど。） いざというときすぐに使えるように、動作を確認しておく。

テスト

本格稼働前のテストについては、Test.txt や Tuning.txt についても参考にする。

AWS

【10分で確認】AWSでやりがちなセキュリティ脆弱性を生み出すアンチパターン集（随時追加・更新） - Qiita https://qiita.com/WebEngrChild/items/7a91783c9172fadf3533

その他確認事項

リリース前に、以下などについて確認する。 ・マシンスペックアップ。 ・可用性向上施策。（AWSでのマルチAZなど。） ・マシンイメージ作成。（AWSでのAMIなど。） ・サーバ再起動。（各種サービスの自動起動の設定忘れが無いか、監視が反応するか、などの確認を兼ねて。） ・メール到達。（SPFやKDIMなど。） ・SSL設定。 ・ログの保存期間。（プロバイダ責任制限法での情報開示に応じられるように、3ヶ月以上ログを保存しておく。） ・ウイルス対策。（ソフトの導入など。） ・コンテンツバックアップの仕組み。 ・データベースバックアップの仕組み。 ・Zabbixによる監視。 ・CloudWatchによる監視。（AWSの場合。） ・CloudWatchLogsによるログ保存。（AWSの場合。） ・Basic認証の解除。 ・決済やAPIなどのテストモード解除。