Contents
1. SELinux の無効化
まず、selinuxを無効化します。selinuxはLinuxの監査やセキュリティを向上させる機能ですが、有効になっているとサービスの動作や、設定内容にかなりの制限が出てきます。そのため、基本的には無効にする場合が多いのが実情です。ウェブサイトを見ながらサーバー構築を行って、思った通りに動作しない場合は、このselinuxが有効化されていることが原因だったりします。その為、インストール後に忘れずに無効化します。
次のようにすると無効化ができます。
一般ユーザーでログイン後、ルートユーザーに権限変更の方法は既知のこととして進めます。
|
1 |
# grubby --update-kernel ALL --args selinux=0 |
システム再起動
|
1 |
# reboot |
変更後確認
|
1 2 |
# getenforce Disabled |
2. システム最新化とセキュリティ対策のため停止したサービス
2.1 システム最新化
|
1 |
# dnf -y upgrade |
2.2 セキュリティ対策のため停止したサービス
|
1 2 3 4 5 6 7 8 9 10 11 12 |
# systemctl stop atd.service # systemctl disable atd.service # systemctl stop kdump.service # systemctl disable kdump.service # systemctl stop lvm2-monitor.service # systemctl disable lvm2-monitor.service # systemctl stop mdmonitor.service # systemctl disable mdmonitor.service # systemctl stop smartd.service # systemctl disable smartd.service # systemctl stop dm-event.socket # systemctl disable dm-event.socket |
3.ネットワークの設定
3.1 ホスト名を設定
ホスト名を"Lepard"に設定する場合
|
1 |
# hostnamectl set-hostname Lepard |
変更後再ログインで変更したホスト名がプロンプトに反映されます
|
1 2 |
# cat /etc/hostname Lepard |
3.2 ネットワークの設定を固定 IP アドレスに変更
(ネットワークインターフェース名 [ens160] の名称は環境によって異なるため、自身の環境に置き換え)
ネットワークデバイス確認
|
1 2 3 4 |
# nmcli device DEVICE TYPE STATE CONNECTION ens160 ethernet connected ens160 lo loopback connected (externally) lo |
ネットワークインターフェース名[ens160]のIPアドレスを"192.168.11.83"に変更する
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
* 固定 IPv4 アドレス設定 # nmcli connection modify ens160 ipv4.addresses 192.168.11.83/24 * ゲートウェイ設定 # nmcli connection modify ens160 ipv4.gateway 192.168.11.1 * 参照する DNS 設定 # nmcli connection modify ens160 ipv4.dns 192.168.11.1 * DNS サーチベース 設定 (自身のドメイン名) # nmcli connection modify ens160 ipv4.dns-search <自ドメイン名> * IP アドレス固定割り当てに設定 # nmcli connection modify ens160 ipv4.method manual * インターフェースを再起動して設定を反映 # nmcli connection down ens160; nmcli connection up ens160 |
設定確認
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
# nmcli device show ens160 GENERAL.DEVICE: ens160 GENERAL.TYPE: ethernet GENERAL.HWADDR: 00:0C:29:94:75:13 GENERAL.MTU: 1500 GENERAL.STATE: 100 (connected) GENERAL.CONNECTION: ens160 GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveC> WIRED-PROPERTIES.CARRIER: on IP4.ADDRESS[1]: 192.168.11.83/24 IP4.GATEWAY: 192.168.11.1 IP4.ROUTE[1]: dst = 192.168.11.0/24, nh = 0.0.0.0, mt> IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 192.168.11.1, mt > IP4.DNS[1]: 192.168.11.1 IP4.SEARCHES[1]: fedora.korodes.com IP6.ADDRESS[1]: fe80::20c:29ff:fe94:7513/64 IP6.GATEWAY: fe80::9296:f3ff:fe21:9900 IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 1024 IP6.ROUTE[2]: dst = ::/0, nh = fe80::9296:f3ff:fe21:9 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# ip address 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:94:75:13 brd ff:ff:ff:ff:ff:ff altname enp3s0 inet 192.168.11.83/24 brd 192.168.11.255 scope global noprefixroute ens160 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fe94:7513/64 scope link noprefixroute valid_lft forever preferred_lft forever |
3.3 IPv6 は必要ない場合は、無効化
|
1 2 |
# grubby --update-kernel ALL --args ipv6.disable=1 # reboot |
4.NTPサーバーを導入して、時刻同期サービスを設定
4.1 Chrony をインストール
|
1 |
# dnf -y install chrony |
4.2 設定ファイルの編集
|
1 2 3 4 5 6 7 8 9 |
# vi /etc/chrony.conf # 3行目 : 時刻同期する NTP サーバーを変更 # NTP サーバー自身も NTP クライアントとして他の NTP サーバーと時刻同期 # pool 2.fedora.pool.ntp.org iburst pool ntp.nict.jp iburst # 26行目 あたり: NTP クライアントからの時刻同期リクエストを受け付けるネットワークを追記 # 自身のローカルネットワーク等を指定 allow 192.168.11.0/24 |
4.3 chrony を再起動し再起動後も chrony を有効にします
|
1 |
# systemctl enable chronyd.service |
4.4 Firewalld を有効にしている場合は NTP サービスの許可が必要
なお、NTP は [123/UDP] を使用します
Firewalldについては次のセクションで詳しく説明しますので、ここでは次のコマンドでNTPポートの解放だけ行います。
|
1 2 3 4 |
# firewall-cmd --add-service=ntp --permanent success # firewall-cmd --reload success |
4.5 chronyd の動作の確認
|
1 2 3 4 5 6 7 8 |
# chronyc sources MS Name/IP address Stratum Poll Reach LastRx Last sample =============================================================================== ^* ntp-a2.nict.go.jp 1 6 17 0 -356us[ +332us] +/- 6653us ^+ v160-16-113-133.ntp.tky2> 3 6 17 1 +666us[+1354us] +/- 7073us ^+ ipv4.ntp3.rbauman.com 2 6 17 1 +356us[+1044us] +/- 9545us ^- time.cloudflare.com 3 6 17 0 -3011us[-2323us] +/- 72ms |
*印がついていたら同期ができています。
5.サーバーのタイムゾーンを設定
タイムゾーンを日本(Tokyo)に設定する
|
1 |
# timedatectl set-timezone Asia/Tokyo |
設定確認
|
1 2 3 4 5 6 7 8 9 |
# timedatectl Local time: Mon 2023-04-24 10:41:45 JST Universal time: Mon 2023-04-24 01:41:45 UTC RTC time: Mon 2023-04-24 01:41:47 Time zone: Asia/Tokyo (JST, +0900) System clock synchronized: yes NTP service: active RTC in local TZ: no |
6.Vimの設定
①Vimのインストール
|
1 |
# dnf -y install vim-enhanced |
②Vimの適用と反映
|
1 2 3 4 5 |
# vi ~/.bashrc # 最終行にエイリアス追記 alias vi='vim' # source ~/.bashrc |
③ユーザー固有環境として Vim の設定
|
1 |
# vi ~/.vimrc |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 |
" vim の独自拡張機能を使用 (vi との互換性無し) set nocompatible " 文字コードを指定 set encoding=utf-8 " ファイルエンコードを指定 (先頭から順に成功するまで読み込む) set fileencodings=utf-8,iso-2022-jp,sjis,euc-jp " 自動認識させる改行コードを指定 set fileformats=unix,dos " バックアップを取得 set backup " バックアップを取得するディレクトリを指定 set backupdir=~/backup " 検索履歴を残す世代数 set history=50 " 検索時に大文字小文字を区別しない set ignorecase " 検索語に大文字を混ぜると検索時に大文字を区別する set smartcase " 検索語にマッチした単語をハイライト set hlsearch " インクリメンタルサーチを使用 set incsearch " 行番号を表示 set number " 改行 ( $ ) やタブ ( ^I ) を可視化 set list " 括弧入力時に対応する括弧を強調 set showmatch " ファイルの末尾に改行を入れない set binary noeol " 自動インデントを有効にする set autoindent " 構文ごとに色分け表示 syntax on " syntax on の場合のコメント文の色を変更 highlight Comment ctermfg=LightCyan " ウィンドウ幅で行を折り返す set wrap |