ライン

ポイント:*

ライン

 はじめに

CentOS Linux release

 グローバルな環境にCentOS7系のサーバを配置してみることにしました。
RHEL7系なOSを触るのは久しぶりなのでメモを残します。

 設定

 とりあえず、OSは準備してもらえるので、導入系は割愛です。
気になったのは、デバイス名がこれまでのままでens3Xとかではなく、ethXのようになっていたこと。
なるほど、/etc/default/grubにnet.ifnames=0 biosdevname=0と加え、grub2-mkconfig -o /boot/grub2/grub.cfgで反映するという手順。

 さて、見ていくと /home以下も空っぽな状態。rootしかない…というか、sshでrootで入れる状態はやだな、ってことでその辺りから開始することに。

ユーザの追加

まず、ユーザの準備。newusersコマンドで準備するので、こんな感じ。

# vi user.lst
user01:user01:701:701::/home/kimura:/bin/bash
.
.
# newusers user.lst
# cp -r /etc/skel/.bash* /home/user01/
# chown user01:user01 /home/user01/.bash*
# passwd user01
# usermod -G wheel user01

できあがり、と。使ってみたかっただけで、普通使わないよなぁ…newusersなんてとは思いつつ。
この後、ログインがsshでできることを確認。問題なし。

sshの設定変更

sshでrootログインをやめさせる設定に変更します。
/etc/ssh/sshd_config を以下のようにしました。2行目は、おまけ。
うちは一般ユーザはsshログインさせない方針なので、wheelグループになっていない人は禁止にしています。
sudoersの設定は既にwheel以外は利用できないようになってるな。すごい。
/etc/pam.d/suのauth行は同様箇所をコメントをはずしておく。

PermitRootLogin no
AllowGroups	wheel

サービスのリスタートは以下のようにする。何もメッセージが出なくてきもいけど。

# systemctl restart  sshd.service

最後の.serviceはなくても大丈夫。reloadでも良いかと思う。
rootでログインできなくなったことを確認して完了。

SElinux

これは、バージョン6とおなじでいいらしいです。

# vi /etc/selinux/config

でも、VPSで準備されていたものは既に無効化されていたのでそのままでした。
やるな…。

chkconfigがなくなって…

サービス1つ起動・停止できなくて、戸惑いますけど、とりあえず場所ぐらいは確認したい。

# cd /etc/systemd/system/multi-user.target.wants
# ls -la
total 8
drwxr-xr-x. 2 root root 4096 Oct 31 16:24 .
drwxr-xr-x. 9 root root 4096 Sep 15  2016 ..
lrwxrwxrwx. 1 root root   46 Sep 14  2016 NetworkManager.service -> /usr/lib/systemd/system/NetworkManager.service
lrwxrwxrwx. 1 root root   41 Sep 14  2016 abrt-ccpp.service -> /usr/lib/systemd/system/abrt-ccpp.service
lrwxrwxrwx. 1 root root   41 Sep 14  2016 abrt-oops.service -> /usr/lib/systemd/system/abrt-oops.service
lrwxrwxrwx. 1 root root   43 Sep 14  2016 abrt-vmcore.service -> /usr/lib/systemd/system/abrt-vmcore.service
lrwxrwxrwx. 1 root root   41 Sep 14  2016 abrt-xorg.service -> /usr/lib/systemd/system/abrt-xorg.service
lrwxrwxrwx. 1 root root   37 Sep 14  2016 abrtd.service -> /usr/lib/systemd/system/abrtd.service
lrwxrwxrwx. 1 root root   35 Sep 14  2016 atd.service -> /usr/lib/systemd/system/atd.service
lrwxrwxrwx. 1 root root   38 Sep 14  2016 auditd.service -> /usr/lib/systemd/system/auditd.service
lrwxrwxrwx. 1 root root   39 Sep 14  2016 chronyd.service -> /usr/lib/systemd/system/chronyd.service
lrwxrwxrwx. 1 root root   37 Sep 14  2016 crond.service -> /usr/lib/systemd/system/crond.service
lrwxrwxrwx. 1 root root   40 Sep 14  2016 fail2ban.service -> /usr/lib/systemd/system/fail2ban.service
lrwxrwxrwx. 1 root root   42 Sep 14  2016 irqbalance.service -> /usr/lib/systemd/system/irqbalance.service
lrwxrwxrwx. 1 root root   46 Sep 14  2016 libstoragemgmt.service -> /usr/lib/systemd/system/libstoragemgmt.service
lrwxrwxrwx. 1 root root   41 Sep 14  2016 mdmonitor.service -> /usr/lib/systemd/system/mdmonitor.service
lrwxrwxrwx. 1 root root   39 Sep 14  2016 postfix.service -> /usr/lib/systemd/system/postfix.service
lrwxrwxrwx. 1 root root   40 Sep 14  2016 remote-fs.target -> /usr/lib/systemd/system/remote-fs.target
lrwxrwxrwx. 1 root root   36 Sep 14  2016 rngd.service -> /usr/lib/systemd/system/rngd.service
lrwxrwxrwx. 1 root root   39 Sep 14  2016 rsyslog.service -> /usr/lib/systemd/system/rsyslog.service
lrwxrwxrwx. 1 root root   38 Sep 14  2016 smartd.service -> /usr/lib/systemd/system/smartd.service
lrwxrwxrwx  1 root root   36 Oct 31 16:24 sshd.service -> /usr/lib/systemd/system/sshd.service
lrwxrwxrwx. 1 root root   39 Sep 14  2016 sysstat.service -> /usr/lib/systemd/system/sysstat.service
lrwxrwxrwx. 1 root root   37 Sep 14  2016 tuned.service -> /usr/lib/systemd/system/tuned.service

で、動作しているの?を確認するには、

# systemctl --type service|grep sshd
  sshd.service                       loaded active running OpenSSH server daemon
# systemctl --type service
  UNIT                               LOAD   ACTIVE SUB     DESCRIPTION
  abrt-ccpp.service                  loaded active exited  Install ABRT coredump hook
  abrt-oops.service                  loaded active running ABRT kernel log watcher
  abrtd.service                      loaded active running ABRT Automated Bug Reporting Tool
  atd.service                        loaded active running Job spooling tools
  auditd.service                     loaded active running Security Auditing Service
  chronyd.service                    loaded active running NTP client/server
  crond.service                      loaded active running Command Scheduler
  dbus.service                       loaded active running D-Bus System Message Bus
  fail2ban.service                   loaded active running Fail2Ban Service
  firewalld.service                  loaded active running firewalld - dynamic firewall daemon
  getty@tty1.service                 loaded active running Getty on tty1
  irqbalance.service                 loaded active running irqbalance daemon
  kmod-static-nodes.service          loaded active exited  Create list of required static device nodes for the current kernel
  libstoragemgmt.service             loaded active running libstoragemgmt plug-in server daemon
  lvm2-lvmetad.service               loaded active running LVM2 metadata daemon
  lvm2-monitor.service               loaded active exited  Monitoring of LVM2 mirrors, snapshots etc. using dmeventd or progress polling
  network.service                    loaded active exited  LSB: Bring up/down networking
  NetworkManager.service             loaded active running Network Manager
  polkit.service                     loaded active running Authorization Manager
  postfix.service                    loaded active running Postfix Mail Transport Agent
  rhel-dmesg.service                 loaded active exited  Dump dmesg to /var/log/dmesg
  rhel-import-state.service          loaded active exited  Import network configuration from initramfs
  rhel-readonly.service              loaded active exited  Configure read-only root support
* rngd.service                       loaded failed failed  Hardware RNG Entropy Gatherer Daemon
  rsyslog.service                    loaded active running System Logging Service
  serial-getty@ttyS0.service         loaded active running Serial Getty on ttyS0
  smartd.service                     loaded active running Self Monitoring and Reporting Technology (SMART) Daemon
  sshd.service                       loaded active running OpenSSH server daemon
  sysstat.service                    loaded active exited  Resets System Activity Logs
  systemd-journal-flush.service      loaded active exited  Flush Journal to Persistent Storage
  systemd-journald.service           loaded active running Journal Service
  systemd-logind.service             loaded active running Login Service
  systemd-machine-id-commit.service  loaded active exited  Commit a transient machine-id on disk
  systemd-random-seed.service        loaded active exited  Load/Save Random Seed
  systemd-remount-fs.service         loaded active exited  Remount Root and Kernel File Systems
  systemd-sysctl.service             loaded active exited  Apply Kernel Variables
  systemd-tmpfiles-setup-dev.service loaded active exited  Create Static Device Nodes in /dev
  systemd-tmpfiles-setup.service     loaded active exited  Create Volatile Files and Directories
  systemd-udev-settle.service        loaded active exited  udev Wait for Complete Device Initialization
  systemd-udev-trigger.service       loaded active exited  udev Coldplug all Devices
  systemd-udevd.service              loaded active running udev Kernel Device Manager
  systemd-update-utmp.service        loaded active exited  Update UTMP about System Boot/Shutdown
  systemd-user-sessions.service      loaded active exited  Permit User Sessions
  systemd-vconsole-setup.service     loaded active exited  Setup Virtual Console
  tuned.service                      loaded active running Dynamic System Tuning Daemon
  wpa_supplicant.service             loaded active running WPA Supplicant daemon

LOAD   = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB    = The low-level unit activation state, values depend on unit type.

46 loaded units listed. Pass --all to see loaded but inactive units, too.
To show all installed unit files use 'systemctl list-unit-files'.

とかになるらしいので、grepを組み合わせて確認するって感じ。
ほー、fail2banとか初期導入されていて自動で動いているんだ。
systemctl list-unit-files|grep enabledなどで動作するものを確認することもできるらしい。
まじに、7系のコマンドは馴染みがないので不便。

さて、rngdというのが失敗しているっぽい。

# systemctl disable rngd.service

突っ込んだけど、状態は変わっていない感じ。
まぁ、いいのか? わからないけど。

どこをListenしているのかはこれまでに同じ。

# netstat -lntu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
tcp6       0      0 ::1:25                  :::*                    LISTEN
udp        0      0 127.0.0.1:323           0.0.0.0:*
udp6       0      0 ::1:323                 :::*

rpki-rtr 323/udpってなんだろう?まぁ、ローカルに空いているだけならいいか。
あれ? NTPとかどうなっているんだっけ。

# rpm -qa|grep ntp
ntpdate-4.2.6p5-22.el7.centos.2.x86_64

おー、はいってねーな。

# yum install ntp
.
.
Dependencies Resolved

==================================================================================
 Package               Arch         Version                          Repository     Size
==================================================================================
Installing:
 ntp                   x86_64       4.2.6p5-25.el7.centos.1          updates       547 k
Installing for dependencies:
 autogen-libopts       x86_64       5.18-5.el7                       base           66 k
Updating for dependencies:
 ntpdate               x86_64       4.2.6p5-25.el7.centos.1          updates        85 k

Transaction Summary
==================================================================================
Install  1 Package  (+1 Dependent package)
Upgrade             ( 1 Dependent package)

Total download size: 699 k
Is this ok [y/d/N]:

お、英語だ。全然、そのままでいいので構わないけど。
ntp.confを修正。

# systemctl list-unit-files|grep ntpd.service
ntpd.service                                disabled

む、サービスは勝手にやってくれないんだっけ。

# systemctl enable ntpd.service
# systemctl start ntpd.service

これで開始したつもり。

 ネットワーク関連

既に設定されていたものを見る

 VPSの自動設定だったので、特に設定していないができている状態を確認する。

# ls /etc/sysconfig/network-scripts/
ifcfg-eth0       ifdown-eth     ifdown-tunnel  ifup-ipv6    ifup-tunnel
ifcfg-eth1       ifdown-ippp    ifup           ifup-isdn    ifup-wireless
ifcfg-eth2       ifdown-ipv6    ifup-Team      ifup-plip    init.ipv6-global
ifcfg-lo         ifdown-isdn    ifup-TeamPort  ifup-plusb   network-functions
ifdown           ifdown-post    ifup-aliases   ifup-post    network-functions-ipv6
ifdown-Team      ifdown-ppp     ifup-bnep      ifup-ppp
ifdown-TeamPort  ifdown-routes  ifup-eth       ifup-routes
ifdown-bnep      ifdown-sit     ifup-ippp      ifup-sit

なるほど、今まで通りにネーミングするようにしているんだ。
グローバルは、ifcfg-eth0にしているので、これを見る。

DEVICE="eth0"
IPADDR="#.#.#.#"
NETMASK="#.#.#.#"
GATEWAY="#.#.#.#"
ONBOOT="yes"
TYPE="Ethernet"
DNS1="#.#.#.#"
IPV6INIT="yes"
IPV6_ROUTER="no"
IPV6ADDR="~"

これは変わらないのだね。


【改訂履歴】作成:2016/03/12 全改訂:2017/04/08


【参照ページ】

 
Copyright © 1996,1997-2006,2007- by F.Kimura,