Rocky Linux8.6 : 初期設定

2022.06.07

1.SELinuxの無効化

まず、selinuxを無効化します。selinuxはLinuxの監査やセキュリティを向上させる機能ですが、有効になっているとサービスの動作や、設定内容にかなりの制限が出てきます。そのため、基本的には無効にする場合が多いのが実情です。

# getenforce       ← SELinux機能の確認
Enforcing              ← SELinux有効
# setenforce 0     ← SELinux機能を無効にする
# getenforce       ← SELinux機能の再確認
Permissive             ← SELinux機能が無効である

このままでは、サーバーを再起動すればseinuxは有効に戻りますので、永久にselinuxを無効にするには/etc/sysconfig/selinuxファイルを修正します。

# vi /etc/sysconfig/selinux

赤枠の中「SELINUX=enforcing」を「SELINUX=disabled」に変更する

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are pro
tected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

2.システムの最新化

OSインストール直後にはできるだけ早期にパッケージのアップデートを行います。
しかし、dnf updateを行うと、カーネルアップデートも同時に行われます。
カーネルアップデートを行うと、システムの再起動やサービスの停止が必要だったり、最悪カーネルパニックが発生して、システムが起動しない場合があります。カーネルを除外してアップデートする方が賢明です。
dnf -y updateの後ろに「--exclude=kernel*」を指定して実行することで
カーネルをアップデート対象から除外することできます。

# dnf -y update --exclude=kernel*

3.セキュリティ対策のため停止するサービス

次の不要と思われるサービスを停止します。

atd 単発的にスケジュール化した コマンド を実行させるデーモン
kdump システムがクラッシュした時、原因を特定するためのdumpファイルを保存してくれるサービス
lvm2-monitor論理ボリュームマネージャー(LVM) 利用時の障害監視のためのデーモン
mdmonitor ソフトウェアRAID 監視サービス
smartd ハードディクスのS.M.A.R.T.による自己診断機能情報を取得する
tunedCPUガバナーを利用して強制的にCPUを最大パフォーマンスで動作させる
# systemctl stop atd.service
# systemctl disable atd.service
# systemctl stop kdump.service
# systemctl disable kdump.service
# systemctl stop lvm2-monitor.service
# systemctl disable lvm2-monitor.service
# systemctl stop mdmonitor.service
# systemctl disable mdmonitor.service
# systemctl stop smartd.service
# systemctl disable smartd.service
# systemctl stop tuned.service
# systemctl disable tuned.service
# systemctl stop dm-event.socket
# systemctl disable dm-event.socket

4.リポジトリーの追加

4.1 EPEL repository を追加

# dnf -y install epel-release
# vi /etc/yum.repos.d/epel.repo
[epel] name=Extra Packages for Enterprise Linux $releasever - $basearch
# It is much more secure to use the metalink, but if you wish to use a local mirror
# place its address here.
#baseurl=https://download.example/pub/epel/$releasever/Everything/$basearch
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir
enabled=1   ← リポジトリー有効(0 : リポジトリー無効)
priority=10 ← 優先度を1~99の範囲で指定
gpgcheck=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-8
[epel-debuginfo] name=Extra Packages for Enterprise Linux $releas

4.2 Remi's RPM repository を追加

# dnf -y install https://rpms.remirepo.net/enterprise/remi-release-8.rpm
# vi /etc/yum.repos.d/remi-safe.repo
# This repository is safe to use with RHEL/CentOS base repository
# it only provides additional packages for the PHP stack
# all dependencies are in base repository or in EPEL[remi-safe] name=Safe Remi's RPM repository for Enterprise Linux 8 - $basearch
#baseurl=http://rpms.remirepo.net/enterprise/8/safe/$basearch/
#mirrorlist=https://rpms.remirepo.net/enterprise/8/safe/$basearch/httpsmirror
mirrorlist=http://cdn.remirepo.net/enterprise/8/safe/$basearch/mirror
enabled=1   ← リポジトリー有効(0 : リポジトリー無効)
priority=10 ← 優先度を1~99の範囲で指定
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-remi.el8[remi-safe-debuginfo] name=Remi's RPM repository for Enterprise Linux 8 - $basearch - debuginfo
baseurl=http://rpms.remirepo.net/enterprise/8/debug-remi/$basearch/

5.ネットワークの設定

5.1 ホスト名の変更

試しにホスト名をLepardに変更します

# hostnamectl set-hostname Lepard
# reboot
[huong@Lepard:~]$

5.2 固定IPアドレス設定

OSインストール時にデフォルトの DHCP による IP アドレス取得の設定になっている場合は、必要に応じてネットワークの設定を変更し固定IPアドレスにします。
先に自ネットワークインターフェースの名称を下記コマンドで調べる
今回は「ens160」である
# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:0c:29:3f:48:ad brd ff:ff:ff:ff:ff:ff
inet 192.168.11.83/24 brd 192.168.11.255 scope global noprefixroute ens160
valid_lft forever preferred_lft forever
ネットワークの設定ファイルを編集し、固定IPアドレスを「192.168.11.11」に変更します。
# vi /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=ens160
UUID=dccaab30-4028-439e-a0ec-b385375811d1
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.11.11    ← 変更する
PREFIX=24
GATEWAY=192.168.11.1
DNS1=192.168.11.1
IPV6_DISABLED=yes
設定を反映させるには次のいずれかを実行する
# /etc/init.d/network restart
or
# service network restart
or
# systemctl restart network

6.Vimの設定

①Vimのインストール
# dnf -y install vim-enhanced
②Vimの適用と反映
# vi ~/.bashrc
# 最終行にエイリアス追記
alias vi='vim'
# source ~/.bashrc
③ユーザー固有環境として Vim の設定
# vi ~/.vimrc

" vim の独自拡張機能を使用 (vi との互換性無し)
set nocompatible
" 文字コードを指定
set encoding=utf-8
" ファイルエンコードを指定 (先頭から順に成功するまで読み込む)
set fileencodings=utf-8,iso-2022-jp,sjis,euc-jp
" 自動認識させる改行コードを指定
set fileformats=unix,dos
" バックアップを取得
set backup
" バックアップを取得するディレクトリを指定
set backupdir=~/backup
" 検索履歴を残す世代数
set history=50
" 検索時に大文字小文字を区別しない
set ignorecase
" 検索語に大文字を混ぜると検索時に大文字を区別する
set smartcase
" 検索語にマッチした単語をハイライト
set hlsearch
" インクリメンタルサーチを使用
set incsearch
" 行番号を表示
set number
" 改行 ( $ ) やタブ ( ^I ) を可視化
set list
" 括弧入力時に対応する括弧を強調
set showmatch
" ファイルの末尾に改行を入れない
set binary noeol
" 自動インデントを有効にする
set autoindent
" 構文ごとに色分け表示
syntax on
" syntax on の場合のコメント文の色を変更
highlight Comment ctermfg=LightCyan
" ウィンドウ幅で行を折り返す
set wrap

Go to top
タイトルとURLをコピーしました