今まで月々490円という価格に惹かれつつ、「OpenVZだから良くない」だの「安かろう悪かろうなのでやめとけ」だの評判にいまいち腰が引けていたのだが、ダメだったらすぐ解約すればいいやの精神で突撃してみた。

意味も無く負荷をかけるのも申し訳ないのでベンチマークとかは取ってないのだが、SSHで二・三個つなげて操作するくらいなら全く問題なさそうだ。これがHTTPD+Tomcat+MySQLとか言ったら悲惨な目にあうかも知れないけど、それで重いとか文句言うならそんな重い用途に月490円を使うなよと言ったところではないかと個人的には思う。
CentOS 6.3にも関わらずpostfixじゃなくてsendmailが入っていたり、VPSなのにsambaが入っていたり初期構成の意図は良く分からんところがある。

まぁバックアップMX用途で借りたのだが、せっかく独自ドメインを取ったもののどうせメールなんてほとんど来ないしバックアップMXなんてそれこそスペックなんかあんまり要らんかろう。快適に使えている。

まぁセキュリティとしてせめてiptablesくらいは設定しておこう。ぎゃー。マヌケにもいきなり

# iptables -P INPUT DROP

としてしもうた。先にSSHDのポートを空けてからこれせんかい。あーどうしよう・・・・。管理用仮想ターミナル的なものも、ゲストOS内部のHTTPDと仮想ターミナルエミュレータ(ajaxtermというらしい)のデーモンに接続する方式のようで、全パケットがDROPされるので当然繋がらない。詰んだか・・・・なんとServersMan@VPSの設定画面にiptablesのリセットというのがある。それを行ったら全部がACCEPTにリセットされた。すげー。
急いでSSHD用のポートを開けてからポリシーをDROPにする。ちなみにServersMan@VPSではSSHDのポートはランダムに選ばれるようだ。22番への攻撃をうまく回避するためなのだと思われるが、ここはあえて22番を開けてみた。SSHDの設定を変えて再起動というのも恐いのでiptablesのPREROUTINGで22番から初期設定されたポートにREDIRECTする。

と、ここで問題発生。iptablesにはrecentやhashlimitなどの連続攻撃を防ぐための仕組みがあるが、それを使おうとすると

iptables: No chain/target/match by that name.

などと言われて設定できない。ぐぐるとOpenVZではホストOS側でモジュールをロードしてかつゲストOS側に使わせる設定をしないとゲストOSでは使えないという事だそうだ。さすがに22番をノーガード戦法でいく勇気はなかったのでとりあえず22番への接続は許さない事で我慢する事にした。