CentOS 6.0 初期設定
| Table of Contents |
はじめに
- CentOS 6.0 のインストールについては下記を参照して下さい。
CentOS 6.0/インストール
初回起動時の設定
初回起動時の設定を行います。
ライセンス情報
- ライセンス内容を確認して同意します。
ユーザーの作成
- hogeユーザを作成します。
日付と時刻
- ntpを設定します。
Kdump
- Kdumpを設定します。(メモリが少ない場合は利用できません)
vimの設定
- viコマンドでvimを起動するようにエイリアスを追加します。
# vi /etc/bashrc # ファイルの最後に下記1行を追加します。 alias vi='vim'
- vimの全体設定を変更して利用しやすくします。
# vi /etc/vimrc # ファイルの最後に下記3行を追加します。 set ts=4 set nu autocmd FileType * set formatoptions-=ro
- 「set ts=4」 :タブの幅をスペース4つ分に設定する
- 「set nu」 :行番号を表示する
- 「autocmd…」:改行時に自動でコメントを挿入しない
SSHの設定
- 設定ファイル「/etc/ssh/sshd_config」を以下のように変更します。
# vi /etc/ssh/sshd_config # 42行目:rootでのログインを禁止する PermitRootLogin no # 65行目:パスワード無しのログインを禁止する PermitEmptyPasswords no # 最終行に追加:ユーザhogeのみ接続許可をする(不特定多数にSSHを利用させない) AllowUsers hoge
- 設定変更を有効にするためサービスを再起動します
# /etc/init.d/sshd restart
ファイアウォールの設定
- 下記ポリシーに沿ってファイアウォールの設定を行います。
- 入力パケットは全て破棄
- 転送パケットは全て破棄
- 出力パケットは全て許可
- LAN(192.168.11.0/24)からのアクセスは全て許可
- ポリシーにマッチしない通信は「/var/log/messages」に記録する
- 上記ポリシーに従い「/etc/sysconfig/iptables」を以下のように設定します。
# vi /etc/sysconfig/iptables *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT ##LANの許可 -A INPUT -s 192.168.11.0/24 -j ACCEPT ##ログ記録 -A INPUT -j LOG --log-level info --log-prefix "[iptables] " -A INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
- ・-j LOG --log-level info --log-prefix "[iptables] "
- プライオリティをinfoとしてログを記録する。記録の際、[iptables] を付加する
- ・-m state --state NEW -s 192.168.11.0/24 -j ACCEPT
- 送信元が192.168.11.0/24のパケットは許可する
- ・-j REJECT --reject-with icmp-host-prohibited
- すべての入力パケットを拒絶
- 設定を有効にするためサービスを再起動します
# /etc/init.d/iptables restart
ipv6の無効化
- ipv6は利用しないため無効にします。「disable_ipv6.conf」は新規で作成します。
# vi /etc/modprobe.d/disable_ipv6.conf options ipv6 disable=1
- 設定は再起動後に有効となるため再起動します。
# shutdown -r now
- ifconfigコマンドでipv6のIPアドレスが表示されなければ、問題ありません。
# ifconfig |grep "inet6 addr" (何も表示されない)
不要サービスの停止
- ntsysvコマンドを利用して不要なサービスの自動起動を停止します。
# ntsysv --level 345 [ ] NetworkManager [*] abrtd [ ] acpid [ ] atd [*] auditd [ ] avahi-daemon [ ] cgconfig [ ] cgred [*] cpuspeed [*] crond [ ] dnsmasq [ ] firstboot [ ] haldaemon [ ] ip6tables [*] iptables [*] irqbalance [ ] kdump [*] lvm2-monitor [*] mdmonitor [*] messagebus [ ] microcode_ctl [ ] netconsole [ ] netfs [*] network [*] ntpd [ ] ntpdate [*] postfix [ ] psacct [ ] rdisc [ ] restorecond [*] rsyslog [ ] saslauthd [*] smartd [*] sshd [*] sysstat [ ] udev-post [ ] wpa_supplicant
- 今回は以下のサービスを停止しました。
サービス名 説明 NetworkManager 有線や無線のネットワーク設定がGUIで可能になります。クライアント向け機能 acpid 電源管理(Advanced Configuration and Power Interface)ノートPC以外は不要 atd 指定時刻にコマンドを実行するためのサービス avahi-daemon DNS サーバを使わずにIPマルチキャストで名前やアドレスを参照するサービス cgconfig グループ単位でプロセスのリソース使用量を制御するサービス cgred Cgred は、/etc/cgrules.conf ファイルで設定されたパラメータに従ってタスクを cgroups に移動するデーモン haldaemon ハードウェア情報収集サービス。messagebus を動かす必要がある。halは比較的新しい機構で、Linuxカーネルはこの仕組みを使ってデバイスを管理できるようになっている。PCI, USB, SCSIなどのバスも監視する。ホットプラグの支援も行う。 ip6tables IP v6 用のファイアウォール kdump カーネルクラッシュダンプのサービス microcode_ctl Intel IA32マイクロコードの更新をできるようにするためのドライバ netfs NFSクライアント psacct アカウントの利用統計を取得する rdisc ネットワークルータディスカバリーデーモン。ルータとして動作させないのであれば不要 restorecond SELinux関連のデーモン。inotify(ファイルの作成や更新を監視)を使って、ファイルのラベルを自動更新する。SELinuxを使わないなら不要。 saslauthd sasl認証サービス udev-post ハードウェア自動認識を行うデーモン wpa_supplicant 無線LANクライアントとしてWPAで暗号化する場合に必要なサービス
- 自動起動の設定変更後に再起動します。これで不要サービスが停止した状態になります。
# shutdown -r now
- 最終的なデーモンを確認します。デーモンはSSH、postfix(ローカル配送限定)のみになります。
# netstat -lntup Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 996/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1086/master udp 0 0 192.168.11.50:123 0.0.0.0:* 1008/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 1008/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 1008/ntpd
パッケージのアップデート
- パッケージを最新版にアップデートします。
# yum update
yumコマンドを初めて実行する場合、 GPGキーのインポートが必要になるため以下のような警告が表示されます。警告: rpmts_HdrFromFdno: ヘッダ V3 RSA/SHA256 Signature, key ID c105b9de: NOKEY updates/gpgkey | 3.3 kB Importing GPG key 0xC105B9DE "CentOS-6 Key (CentOS 6 Official Signing Key) <centos-6-key@centos. /pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
GPGキーはRPMパッケージの正当性チェックに利用されますが、インストール直後はGPGキーがインポートされておらず、パッケージのチェックができず、警告が表示されます。
- kernelのアップデートは再起動後に有効となるため再起動します。
# shutdown -r now
yumの設定
- cronで毎日5時にアップデートを実施します。アップデートログは/var/log/yum.logに記録されます。
# crontab -e 0 5 * * * /usr/bin/yum -y update
システム統計情報の取得(sysstat)
システムの正常/異常を切り分けるため、sysstatでシステム統計情報を取得しておきます。
sysstatのインストール
- sysstatが導入されていない場合はインストールします。
# yum install sysstat
- 主なインストールファイルは下記の通りです。
ファイル名 説明 備考 /etc/init.d/sysstat 起動スクリプト /etc/sysconfig/sysstat システム統計情報の保存期間、圧縮に関する設定ファイル /etc/cron.d/sysstat システム統計情報の取得間隔に関する設定ファイル /var/log/sa/sa[日付] システム統計情報(バイナリ形式) /var/log/sa/sar[日付] システム統計情報(テキスト形式)
sysstatの設定
- システム統計情報の取得頻度を5分間隔に変更します。
# vi /etc/cron.d/sysstat # システム統計情報の取得間隔(デフォルトの10分間隔から5分間隔へ変更) */5 * * * * root /usr/lib/sa/sa1 -S DISK 1 1 # システム統計情報のテキスト化 # 1日の最後にシステム情報をテキスト化して保存します。(デフォルトの23:53) 53 23 * * * root /usr/lib/sa/sa2 -A
- cronを再起動します
# /etc/init.d/crond restart
- システム統計情報の保存期間を15日に設定します(デフォルト 7日)
# vi /etc/sysconfig/sysstat HISTORY=15
sysstatの起動設定
- sysstatを起動します。
# /etc/init.d/sysstat start Calling the system activity data collector (sadc):
- 自動起動の設定を行います。
# chkconfig --add sysstat # chkconfig --list sysstat sysstat 0:off 1:off 2:on 3:on 4:off 5:on 6:off
システム統計情報の確認
- CPUに関する統計情報
# sar -u -f /var/log/sa/sa[日付]
- メモリに関する統計情報
# sar -r -f /var/log/sa/sa[日付]
- ページングに関する統計情報を確認
# sar -B -f /var/log/sa/sa[日付]
- スワップに関する統計情報
# sar -W -f /var/log/sa/sa[日付]
- ディスクに関する統計情報
# sar -b -f /var/log/sa/sa[日付]
- 送受信パケットに関する統計情報
# sar -n DEV -f /var/log/sa/sa[日付]
- 送受信エラーパケットに関する統計情報
# sar -n EDEV -f /var/log/sa/sa[日付]
ログ確認
- ログにエラーが出ていない事を確認します。
# vi /var/log/messages
以上で設定は完了です。
