Contents
1.SELinuxの無効化
まず、selinuxを無効化します。selinuxはLinuxの監査やセキュリティを向上させる機能ですが、有効になっているとサービスの動作や、設定内容にかなりの制限が出てきます。そのため、基本的には無効にする場合が多いのが実情です。
Enforcing ← SELinux有効
# setenforce 0 ← SELinux機能を無効にする
# getenforce ← SELinux機能の再確認
Permissive ← SELinux機能が無効である
このままでは、サーバーを再起動すればseinuxは有効に戻りますので、永久にselinuxを無効にするには/etc/sysconfig/selinuxファイルを修正します。
赤枠の中「SELINUX=enforcing」を「SELINUX=disabled」に変更する
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are pro
tected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
2.システムの最新化
OSインストール直後にはできるだけ早期にパッケージのアップデートを行います。
しかし、dnf updateを行うと、カーネルアップデートも同時に行われます。
カーネルアップデートを行うと、システムの再起動やサービスの停止が必要だったり、最悪カーネルパニックが発生して、システムが起動しない場合があります。カーネルを除外してアップデートする方が賢明です。
dnf -y updateの後ろに「--exclude=kernel*」を指定して実行することで
カーネルをアップデート対象から除外することできます。
3.セキュリティ対策のため停止するサービス
次の不要と思われるサービスを停止します。
atd | 単発的にスケジュール化した コマンド を実行させるデーモン |
kdump | システムがクラッシュした時、原因を特定するためのdumpファイルを保存してくれるサービス |
lvm2-monitor | 論理ボリュームマネージャー(LVM) 利用時の障害監視のためのデーモン |
mdmonitor | ソフトウェアRAID 監視サービス |
smartd | ハードディクスのS.M.A.R.T.による自己診断機能情報を取得する |
tuned | CPUガバナーを利用して強制的にCPUを最大パフォーマンスで動作させる |
# systemctl disable atd.service
# systemctl stop kdump.service
# systemctl disable kdump.service
# systemctl stop lvm2-monitor.service
# systemctl disable lvm2-monitor.service
# systemctl stop mdmonitor.service
# systemctl disable mdmonitor.service
# systemctl stop smartd.service
# systemctl disable smartd.service
# systemctl stop tuned.service
# systemctl disable tuned.service
# systemctl stop dm-event.socket
# systemctl disable dm-event.socket
4.リポジトリーの追加
4.1 EPEL repository を追加
# vi /etc/yum.repos.d/epel.repo
# It is much more secure to use the metalink, but if you wish to use a local mirror
# place its address here.
#baseurl=https://download.example/pub/epel/$releasever/Everything/$basearch
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir
enabled=1 ← リポジトリー有効(0 : リポジトリー無効)
priority=10 ← 優先度を1~99の範囲で指定
gpgcheck=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-8
[epel-debuginfo] name=Extra Packages for Enterprise Linux $releas
4.2 Remi's RPM repository を追加
# it only provides additional packages for the PHP stack
# all dependencies are in base repository or in EPEL[remi-safe] name=Safe Remi's RPM repository for Enterprise Linux 8 - $basearch
#baseurl=http://rpms.remirepo.net/enterprise/8/safe/$basearch/
#mirrorlist=https://rpms.remirepo.net/enterprise/8/safe/$basearch/httpsmirror
mirrorlist=http://cdn.remirepo.net/enterprise/8/safe/$basearch/mirror
enabled=1 ← リポジトリー有効(0 : リポジトリー無効)
priority=10 ← 優先度を1~99の範囲で指定
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-remi.el8[remi-safe-debuginfo] name=Remi's RPM repository for Enterprise Linux 8 - $basearch - debuginfo
baseurl=http://rpms.remirepo.net/enterprise/8/debug-remi/$basearch/
5.ネットワークの設定
5.1 ホスト名の変更
試しにホスト名をLepardに変更します
# reboot
[huong@Lepard:~]$
5.2 固定IPアドレス設定
今回は「ens160」である
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:0c:29:3f:48:ad brd ff:ff:ff:ff:ff:ff
inet 192.168.11.83/24 brd 192.168.11.255 scope global noprefixroute ens160
valid_lft forever preferred_lft forever
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=ens160
UUID=dccaab30-4028-439e-a0ec-b385375811d1
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.11.11 ← 変更する
PREFIX=24
GATEWAY=192.168.11.1
DNS1=192.168.11.1
IPV6_DISABLED=yes
6.Vimの設定
# 最終行にエイリアス追記
alias vi='vim'
# source ~/.bashrc
" vim の独自拡張機能を使用 (vi との互換性無し)
set nocompatible
" 文字コードを指定
set encoding=utf-8
" ファイルエンコードを指定 (先頭から順に成功するまで読み込む)
set fileencodings=utf-8,iso-2022-jp,sjis,euc-jp
" 自動認識させる改行コードを指定
set fileformats=unix,dos
" バックアップを取得
set backup
" バックアップを取得するディレクトリを指定
set backupdir=~/backup
" 検索履歴を残す世代数
set history=50
" 検索時に大文字小文字を区別しない
set ignorecase
" 検索語に大文字を混ぜると検索時に大文字を区別する
set smartcase
" 検索語にマッチした単語をハイライト
set hlsearch
" インクリメンタルサーチを使用
set incsearch
" 行番号を表示
set number
" 改行 ( $ ) やタブ ( ^I ) を可視化
set list
" 括弧入力時に対応する括弧を強調
set showmatch
" ファイルの末尾に改行を入れない
set binary noeol
" 自動インデントを有効にする
set autoindent
" 構文ごとに色分け表示
syntax on
" syntax on の場合のコメント文の色を変更
highlight Comment ctermfg=LightCyan
" ウィンドウ幅で行を折り返す
set wrap