0. 前提

一応（さくらの）VPSを基準にしていますが、
物理サーバへのOSインストール後にも応用できるはずです

ディストリはRHEL系（特にCentOS）で書いてますので、
他OSの場合は適切な読み替えを

なお、私はどちらかといえばアプリ側のエンジニアであり、
いろいろ甘い面があるかと思いますので、
「これは(ﾟдﾟ)ﾏｽﾞｰ」というものがあれば突っ込みを(`･ω･´)ノ

1. パッケージポリシー決め

何のルールもなく構築すると、
たいていぐちゃぐちゃになって管理できないので、
最初にルールを策定しています

何度も見直して書き換えてますが、
とりあえず現時点での最新だとこんな感じに(´･ω･)っ

• 前提として、デフォルトの環境を極力「汚さない」
  • 後々管理することを考えると、できるだけmakeとかしたくない
• インストールはyum等のパッケージマネージャを最優先とする
  • こっちの方がセキュリティパッチをあてるのも楽だし
  • まずは公式デフォルトリポジトリ
  • 次点でrpmforgeとかepelとかプロダクト独自のリポジトリのとか
    • JenkinsとかMongoDBとか
  • デフォルトでないリポジトリはenable=0を指定して --enablerepo=hoge を使う
• makeはprefixで"/usr/local"を指定
  • 必ず"--prefix=/usr/local/[名前][必要ならバージョン]"をつける
    • 例1：/usr/local/ruby193
    • 例2：/usr/local/nginx
  • 必要ならそれを/usr/local/[名前]にリンクする
    • 例：ln -s /usr/local/ruby193 /usr/local/ruby
• 実行コマンドは"/usr/local/bin"にリンク
  • 例：ln -s /usr/local/ruby/bin/* /usr/local/bin/

あくまでRubyの話ではありますが、
本番環境にRVM等のバージョン切り替えシステムは入れてません
（複数入れる場合はシンボリックリンクを工夫で）

あれを使うとcron等、バッチの指定ではまることが多いので、
経験上おすすめしませぬ(´-ω-)

2. SSHの構築

telnetやFTPが許されるのは素人までだよ(´･ω･)(･ω･｀)ﾈｰ

・・・というのは半分冗談で半分本気ですが、
今から構築する場合だと、やはりSSHの構築は必須です
しかも、できれば公開鍵方式のみで*4

公開鍵を使えば安全なだけでなく、
いちいちログインパスワードを入力する手間も省けるため、
仕事でさくらのレンタルサーバを使う際にも設定してました*5

逆に、SSHさえ構築してしまえば、
ターミナル操作だけでなく、ファイルの転送もGitリポジトリの操作も、
あるいはローカルポートに対するトンネリングも、全部SSHからできます*6

詳しい解説は探せばいくらでも出てきますし、
GitHub絡みでSSHに慣れている方も多いと思いますが、
大雑把にはこんな感じで(´･ω･)っ

# 鍵の追加
# もちろん鍵を設定するユーザで操作
cd ~
cd .ssh # 権限を間違えるとrejectされる
chmod 700 .ssh
cd .ssh
vi authorized_keys # 公開鍵を登録
chmod 600 authorized_keys # 権限を間違えるとrejectされる

# /etc/ssh/sshd_config で見るべきところ

# 今はほとんどver2でいいはず
Protocol 2
# ポートは変えられるなら変えるべき
Port xxxxx
# rootログインなんていけません
PermitRootLogin no
# 公開鍵を使いましょう
PubkeyAuthentication yes
# パスワードは突破されやすいのでダメです
# 鍵が使えない場合は仕方ないのでyes
PasswordAuthentication no

後はsshdを再起動して鍵を使ったアクセスを試すだけですが、
さくらのVPSならブラウザからターミナルに入れるので、
設定をミスした場合はそこから修正すればOKです

3. 環境設定

さほど重要ではないのですが、
たまにはまるので・・・

PATHの設定とLANGの設定を確認し、
必要ならば更新を

# ~/.bash_profile

PATH=$PATH:$HOME/bin:$HOME/sbin:/usr/local/bin:/usr/local/sbin:/sbin:/usr/sbin

# /etc/sysconfig/i18n

LANG="ja_JP.UTF-8"

4. sudoの設定

suが許されるのは(ry
ということで、suではなくsudoをおすすめします
（Ubuntuは最初からsudo設定済みですが）

su -
visudo


# 真ん中あたりのsecure_pathをコメントアウト
# ラストに以下を追加
parrot ALL = (ALL) ALL, !/bin/su
Defaults env_keep += "PATH"

# user名(parrot)は適当に書き換えを
# env_keep += "PATH" はsudoしてもPATHを引き継ぐ設定


vi /etc/pam.d/su

# 以下のコメントを除去
auth required pam_wheel.so use_uid


# sudo が動作することを確認
# suができないことを確認

# rootをロックして使えなくする（解除は -U）
sudo usermod -L root

最後のrootロックは危険なので、
sudoが完全に動作することを確認してからにしましょう
でないと、最悪OSの入れ直しです(´･ω･`)

5. iptablesの設定

自宅でサーバを立てる場合、
家庭用ルータがほとんどのフィルタリングをしてくれるので、
意図的にiptablesを止めることもあります

でも、VPSの場合は外に対してノーガードなので、
iptablesを適切に設定しないとえらいことに(((((( ;ﾟДﾟ)))))

この辺はあまり詳しくなかったので、
以前いろいろ調べてみたのですが、
こちらの解説がわかりやすいと思います

http://akibe.com/centos-setup-3-iptables/

要は、いったんポートを全部閉じて、
必要なポート（SSH/HTTP/SMTP/etc...）だけ開けろってことです

ただ、これの設定をミスると、ネットワークアクセス不能になり、
当然ながらSSHもつながらなくなります
もちろん、私も初めてのVPSでやらかしましたΣ(・ω・ノ)ノ

ブラウザコンソールってすばらしい・・・

6. [おまけ]Ruby周りの構築

最後に軽くRuby周りのお話を
Rubyのインストールはパッケージポリシーで書いた通りですが、
Ruby直下のgemもあまり汚したくありません

そこで、コマンドとして必要なもの、
例えばpry/rspec/bundler/rails等を共通gemに入れて、
各アプリではローカルインストールをおすすめします

sudo gem install pry rspec bundler rails # あくまで一例
cd hoge_app
# ここにGemfileがあるという前提
bundle install --path vendor/bundle 

でないと、複数のバージョンが入り乱れてややこしく・・・(´-ω-)

メモしてある内容はもっと細かいし、
これ以降もいろいろあるのですが、
応用が利く範囲での最低限だとこんなものだと思います

環境やポリシーによってベターな構築方法は変わってきますので、
これも一つのやり方、ということで(`･ω･´)ノ