Contents
1. SELinux の無効化
まず、selinuxを無効化します。selinuxはLinuxの監査やセキュリティを向上させる機能ですが、有効になっているとサービスの動作や、設定内容にかなりの制限が出てきます。そのため、基本的には無効にする場合が多いのが実情です。ウェブサイトを見ながらサーバー構築を行って、思った通りに動作しない場合は、このselinuxが有効化されていることが原因だったりします。その為、インストール後に忘れずに無効化します。
次のようにすると無効化ができます。
一般ユーザーでログイン後、ルートユーザーに権限変更の方法は既知のこととして進めます。
|
1 |
# grubby --update-kernel ALL --args selinux=0 |
変更後確認
|
1 2 |
# getenforce Disabled |
2. システム最新化とセキュリティ対策のため停止したサービス
2.1 システム最新化
|
1 |
# dnf -y upgrade |
2.2 セキュリティ対策のため停止したサービス
|
1 2 3 4 5 6 7 8 9 10 11 12 |
# systemctl stop atd.service # systemctl disable atd.service # systemctl stop kdump.service # systemctl disable kdump.service # systemctl stop lvm2-monitor.service # systemctl disable lvm2-monitor.service # systemctl stop mdmonitor.service # systemctl disable mdmonitor.service # systemctl stop smartd.service # systemctl disable smartd.service # systemctl stop dm-event.socket # systemctl disable dm-event.socket |
3.ネットワークの設定
3.1 ホスト名を設定
OSインストール時にホスト名を設定していない場合は、ホスト名を設定する。
"Lepard"に設定する場合
|
1 |
# hostnamectl set-hostname Lepard |
変更後再ログインで変更したホスト名がプロンプトに反映されます
|
1 2 |
# cat /etc/hostname Lepard |
3.2 ネットワークの設定を固定 IP アドレスに変更
(ネットワークインターフェース名 [ens160] の名称は環境によって異なるため、自身の環境に置き換え)
ネットワークデバイス確認
|
1 2 3 4 |
# nmcli device DEVICE TYPE STATE CONNECTION ens160 ethernet connected ens160 lo loopback unmanaged -- |
ネットワークインターフェース[ens160]のIPアドレスを"192.168.11.83"に変更する
|
1 2 3 4 5 6 7 8 9 10 11 12 |
# 固定 IPv4 アドレス設定 # nmcli connection modify ens160 ipv4.addresses 192.168.11.83/24 # ゲートウェイ設定 # nmcli connection modify ens160 ipv4.gateway 192.168.11.1 # 参照する DNS 設定 # nmcli connection modify ens160 ipv4.dns 192.168.11.1 # DNS サーチベース 設定 (自身のドメイン名) # nmcli connection modify ens160 ipv4.dns-search <自ドメイン名> # IP アドレス固定割り当てに設定 # nmcli connection modify ens160 ipv4.method manual # インターフェースを再起動して設定を反映 # nmcli connection down ens160; nmcli connection up ens160 |
設定確認
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
# nmcli device show ens160 GENERAL.DEVICE: ens160 GENERAL.TYPE: ethernet GENERAL.HWADDR: 00:0C:29:0C:EA:13 GENERAL.MTU: 1500 GENERAL.STATE: 100 (connected) GENERAL.CONNECTION: ens160 GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveC> WIRED-PROPERTIES.CARRIER: on IP4.ADDRESS[1]: 192.168.11.83/24 IP4.GATEWAY: 192.168.11.1 IP4.ROUTE[1]: dst = 192.168.11.0/24, nh = 0.0.0.0, mt> IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 192.168.11.1, mt > IP4.DNS[1]: 192.168.11.1 IP4.SEARCHES[1]: <own domain name> IP6.ADDRESS[1]: fe80::20c:29ff:fe0c:ea13/64 IP6.GATEWAY: -- IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 1024 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# ip address : lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:0c:ea:13 brd ff:ff:ff:ff:ff:ff altname enp3s0 inet 192.168.11.83/24 brd 192.168.11.255 scope global noprefixroute ens160 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fe0c:ea13/64 scope link noprefixroute valid_lft forever preferred_lft forever |
3.3 IPv6 は必要ない場合は、無効化
|
1 2 |
# grubby --update-kernel ALL --args ipv6.disable=1 # reboot |
|
1 2 3 4 5 6 7 8 9 10 11 |
# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever 2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:0c:ea:13 brd ff:ff:ff:ff:ff:ff altname enp3s0 inet 192.168.11.83/24 brd 192.168.11.255 scope global noprefixroute ens160 valid_lft forever preferred_lft forever |
4.NTPサーバーを導入して、時刻同期サービスを設定
4.1 Chrony をインストール
|
1 |
# dnf -y install chrony |
4.2 設定ファイルの編集
|
1 2 3 4 5 6 7 8 9 |
# vi /etc/chrony.conf # 3行目 : 時刻同期する NTP サーバーを変更 # NTP サーバー自身も NTP クライアントとして他の NTP サーバーと時刻同期 # pool 2.fedora.pool.ntp.org iburst pool ntp.nict.jp iburst # 28行目 あたり: NTP クライアントからの時刻同期リクエストを受け付けるネットワークを追記 # 自身のローカルネットワーク等を指定 allow 192.168.11.0/24 |
4.3 chrony を再起動し再起動後も chrony を有効にします
|
1 |
# systemctl enable chronyd.service |
# が表示すば、OKです。
4.4 Firewalld を有効にしている場合は NTP サービスの許可が必要
なお、NTP は [123/UDP] を使用します
Firewalldについては次のセクションで詳しく説明しますので、ここでは次のコマンドでNTPポートの解放だけ行います。
|
1 2 3 4 |
# firewall-cmd --add-service=ntp --permanent success # firewall-cmd --reload success |
4.5 chronyd の動作の確認
|
1 |
# chronyc sources |
下記の様に表示します。
|
1 2 3 4 5 6 |
MS Name/IP address Stratum Poll Reach LastRx Last sample =============================================================================== ^+ ntp-a2.nict.go.jp 1 6 377 39 +12us[ +12us] +/- 5805us ^+ ntp-b3.nict.go.jp 1 6 377 37 -195us[ -195us] +/- 5353us ^* ntp-b2.nict.go.jp 1 6 377 40 +127us[ +128us] +/- 5545us ^+ ntp-a3.nict.go.jp 1 6 377 40 -308us[ -308us] +/- 5538us |
*印がついていたら同期ができています。 (起動してから同期までに10分ぐらいかかります。)
5.サーバーのタイムゾーンを設定
タイムゾーンを日本(Tokyo)に設定する
|
1 |
# timedatectl set-timezone Asia/Tokyo |
|
1 2 3 4 5 6 7 8 9 |
# timedatectl Local time: Sun 2022-10-16 17:15:04 JST Universal time: Sun 2022-10-16 08:15:04 UTC RTC time: Sun 2022-10-16 08:15:05 Time zone: Asia/Tokyo (JST, +0900) System clock synchronized: yes NTP service: active RTC in local TZ: no |