Rocky Linux8.6 : 初期設定

Contents

1.SELinuxの無効化
2.システムの最新化
3.セキュリティ対策のため停止するサービス
4.リポジトリーの追加
- 4.1 EPEL repository を追加
- 4.2 Remi's RPM repository を追加
5.ネットワークの設定
- 5.1 ホスト名の変更
- 5.2 固定IPアドレス設定
6.Vimの設定

1.SELinuxの無効化

まず、selinuxを無効化します。selinuxはLinuxの監査やセキュリティを向上させる機能ですが、有効になっているとサービスの動作や、設定内容にかなりの制限が出てきます。そのため、基本的には無効にする場合が多いのが実情です。

# getenforce        ←　SELinux機能の確認
Enforcing              ←　SELinux有効
# setenforce 0     ←　SELinux機能を無効にする
# getenforce        ←　SELinux機能の再確認
Permissive             ←　SELinux機能が無効である

# getenforce ←　SELinux機能の確認

Enforcing ←　SELinux有効

# setenforce 0 ←　SELinux機能を無効にする

# getenforce ←　SELinux機能の再確認

Permissive ←　SELinux機能が無効である

このままでは、サーバーを再起動すればseinuxは有効に戻りますので、永久にselinuxを無効にするには/etc/sysconfig/selinuxファイルを修正します。

# vi /etc/sysconfig/selinux

1	# vi /etc/sysconfig/selinux

「SELINUX=enforcing」を「SELINUX=disabled」に変更する

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are pro
tected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - No SELinux policy is loaded.

#SELINUX=enforcing

SELINUX=disabled

# SELINUXTYPE= can take one of these three values:

# targeted - Targeted processes are protected,

# minimum - Modification of targeted policy. Only selected processes are pro

tected.

# mls - Multi Level Security protection.

SELINUXTYPE=targeted

2.システムの最新化

OSインストール直後にはできるだけ早期にパッケージのアップデートを行います。
しかし、dnf updateを行うと、カーネルアップデートも同時に行われます。
カーネルアップデートを行うと、システムの再起動やサービスの停止が必要だったり、最悪カーネルパニックが発生して、システムが起動しない場合があります。カーネルを除外してアップデートする方が賢明です。
dnf -y updateの後ろに「--exclude=kernel*」を指定して実行することで
カーネルをアップデート対象から除外することできます。

# dnf -y update --exclude=kernel*

1	# dnf -y update --exclude=kernel*

3.セキュリティ対策のため停止するサービス

次の不要と思われるサービスを停止します。

atd	単発的にスケジュール化したコマンドを実行させるデーモン
kdump	システムがクラッシュした時、原因を特定するためのdumpファイルを保存してくれるサービス
lvm2-monitor	論理ボリュームマネージャー(LVM) 利用時の障害監視のためのデーモン
mdmonitor	ソフトウェアRAID 監視サービス
smartd	ハードディクスのS.M.A.R.T.による自己診断機能情報を取得する
tuned	CPUガバナーを利用して強制的にCPUを最大パフォーマンスで動作させる

# systemctl stop atd.service
# systemctl disable atd.service
# systemctl stop kdump.service
# systemctl disable kdump.service
# systemctl stop lvm2-monitor.service
# systemctl disable lvm2-monitor.service
# systemctl stop mdmonitor.service
# systemctl disable mdmonitor.service
# systemctl stop smartd.service
# systemctl disable smartd.service
# systemctl stop tuned.service
# systemctl disable tuned.service
# systemctl stop dm-event.socket
# systemctl disable dm-event.socket

# systemctl stop atd.service

# systemctl disable atd.service

# systemctl stop kdump.service

# systemctl disable kdump.service

# systemctl stop lvm2-monitor.service

# systemctl disable lvm2-monitor.service

# systemctl stop mdmonitor.service

# systemctl disable mdmonitor.service

# systemctl stop smartd.service

# systemctl disable smartd.service

# systemctl stop tuned.service

# systemctl disable tuned.service

# systemctl stop dm-event.socket

# systemctl disable dm-event.socket

4.リポジトリーの追加

4.1 EPEL repository を追加

# dnf -y install epel-release
# vi /etc/yum.repos.d/epel.repo

1 2	# dnf -y install epel-release # vi /etc/yum.repos.d/epel.repo

[epel]
name=Extra Packages for Enterprise Linux $releasever - $basearch
# It is much more secure to use the metalink, but if you wish to use a local mirror
# place its address here.
#baseurl=https://download.example/pub/epel/$releasever/Everything/$basearch
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir
enabled=1　←　リポジトリー有効(0 : リポジトリー無効)
priority=10　←　優先度を1~99の範囲で指定
gpgcheck=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-8
[epel-debuginfo]
name=Extra Packages for Enterprise Linux $releas

[epel]

name=Extra Packages for Enterprise Linux $releasever - $basearch

# It is much more secure to use the metalink, but if you wish to use a local mirror

# place its address here.

#baseurl=https://download.example/pub/epel/$releasever/Everything/$basearch

metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir

enabled=1　←　リポジトリー有効(0 : リポジトリー無効)

priority=10　←　優先度を1~99の範囲で指定

gpgcheck=1

countme=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-8

[epel-debuginfo]

name=Extra Packages for Enterprise Linux $releas

4.2 Remi's RPM repository を追加

# dnf -y install https://rpms.remirepo.net/enterprise/remi-release-8.rpm

1	# dnf -y install https://rpms.remirepo.net/enterprise/remi-release-8.rpm

# vi /etc/yum.repos.d/remi-safe.repo

1	# vi /etc/yum.repos.d/remi-safe.repo

# This repository is safe to use with RHEL/CentOS base repository
# it only provides additional packages for the PHP stack
# all dependencies are in base repository or in EPEL[remi-safe]
name=Safe Remi's RPM repository for Enterprise Linux 8 - $basearch
#baseurl=http://rpms.remirepo.net/enterprise/8/safe/$basearch/
#mirrorlist=https://rpms.remirepo.net/enterprise/8/safe/$basearch/httpsmirror
mirrorlist=http://cdn.remirepo.net/enterprise/8/safe/$basearch/mirror
enabled=1　←　リポジトリー有効(0 : リポジトリー無効)
priority=10　←　優先度を1~99の範囲で指定
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-remi.el8[remi-safe-debuginfo]
name=Remi's RPM repository for Enterprise Linux 8 - $basearch - debuginfo
baseurl=http://rpms.remirepo.net/enterprise/8/debug-remi/$basearch/

# This repository is safe to use with RHEL/CentOS base repository

# it only provides additional packages for the PHP stack

# all dependencies are in base repository or in EPEL[remi-safe]

name=Safe Remi's RPM repository for Enterprise Linux 8 - $basearch

#baseurl=http://rpms.remirepo.net/enterprise/8/safe/$basearch/

#mirrorlist=https://rpms.remirepo.net/enterprise/8/safe/$basearch/httpsmirror

mirrorlist=http://cdn.remirepo.net/enterprise/8/safe/$basearch/mirror

enabled=1　←　リポジトリー有効(0 : リポジトリー無効)

priority=10　←　優先度を1~99の範囲で指定

gpgcheck=1

repo_gpgcheck=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-remi.el8[remi-safe-debuginfo]

name=Remi's RPM repository for Enterprise Linux 8 - $basearch - debuginfo

baseurl=http://rpms.remirepo.net/enterprise/8/debug-remi/$basearch/

5.ネットワークの設定

5.1 ホスト名の変更

試しにホスト名をLepardに変更します

# hostnamectl set-hostname Lepard
# reboot
[huong@Lepard:~]$

# hostnamectl set-hostname Lepard

# reboot

[huong@Lepard:~]$

5.2 固定IPアドレス設定

OSインストール時にデフォルトの DHCP による IP アドレス取得の設定になっている場合は、必要に応じてネットワークの設定を変更し固定IPアドレスにします。

先に自ネットワークインターフェースの名称を下記コマンドで調べる
今回は「ens160」である

# ip addr

# ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:0c:29:3f:48:ad brd ff:ff:ff:ff:ff:ff
inet 192.168.11.83/24 brd 192.168.11.255 scope global noprefixroute ens160
valid_lft forever preferred_lft forever

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever

2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000

link/ether 00:0c:29:3f:48:ad brd ff:ff:ff:ff:ff:ff

inet 192.168.11.83/24 brd 192.168.11.255 scope global noprefixroute ens160

valid_lft forever preferred_lft forever

ネットワークの設定ファイルを編集し、固定IPアドレスを「192.168.11.11」に変更します。

# vi /etc/sysconfig/network-scripts/ifcfg-ens160

1	# vi /etc/sysconfig/network-scripts/ifcfg-ens160

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=ens160
UUID=dccaab30-4028-439e-a0ec-b385375811d1
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.11.11    ←　変更する
PREFIX=24
GATEWAY=192.168.11.1
DNS1=192.168.11.1
IPV6_DISABLED=yes

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=none

DEFROUTE=yes

IPV4_FAILURE_FATAL=no

IPV6INIT=no

IPV6_DEFROUTE=yes

IPV6_FAILURE_FATAL=no

NAME=ens160

UUID=dccaab30-4028-439e-a0ec-b385375811d1

DEVICE=ens160

ONBOOT=yes

IPADDR=192.168.11.11 ←　変更する

PREFIX=24

GATEWAY=192.168.11.1

DNS1=192.168.11.1

IPV6_DISABLED=yes

設定を反映させる

# systemctl restart network

1	# systemctl restart network

6.Vimの設定

①Vimのインストール

# dnf -y install vim-enhanced

1	# dnf -y install vim-enhanced

②Vimの適用と反映

# vi ~/.bashrc
# 最終行にエイリアス追記
alias vi='vim'
# source ~/.bashrc

# vi ~/.bashrc

# 最終行にエイリアス追記

alias vi='vim'

# source ~/.bashrc

③ユーザー固有環境として Vim の設定

# vi ~/.vimrc

1	# vi ~/.vimrc

" vim の独自拡張機能を使用 (vi との互換性無し)
set nocompatible
" 文字コードを指定
set encoding=utf-8
" ファイルエンコードを指定 (先頭から順に成功するまで読み込む)
set fileencodings=utf-8,iso-2022-jp,sjis,euc-jp
" 自動認識させる改行コードを指定
set fileformats=unix,dos
" バックアップを取得
set backup
" バックアップを取得するディレクトリを指定
set backupdir=~/backup
" 検索履歴を残す世代数
set history=50
" 検索時に大文字小文字を区別しない
set ignorecase
" 検索語に大文字を混ぜると検索時に大文字を区別する
set smartcase
" 検索語にマッチした単語をハイライト
set hlsearch
" インクリメンタルサーチを使用
set incsearch
" 行番号を表示
set number
" 改行 ( $ ) やタブ ( ^I ) を可視化
set list
" 括弧入力時に対応する括弧を強調
set showmatch
" ファイルの末尾に改行を入れない
set binary noeol
" 自動インデントを有効にする
set autoindent
" 構文ごとに色分け表示
syntax on
" syntax on の場合のコメント文の色を変更
highlight Comment ctermfg=LightCyan
" ウィンドウ幅で行を折り返す
set wrap

" vim の独自拡張機能を使用 (vi との互換性無し)

set nocompatible

" 文字コードを指定

set encoding=utf-8

" ファイルエンコードを指定 (先頭から順に成功するまで読み込む)

set fileencodings=utf-8,iso-2022-jp,sjis,euc-jp

" 自動認識させる改行コードを指定

set fileformats=unix,dos

" バックアップを取得

set backup

" バックアップを取得するディレクトリを指定

set backupdir=~/backup

" 検索履歴を残す世代数

set history=50

" 検索時に大文字小文字を区別しない

set ignorecase

" 検索語に大文字を混ぜると検索時に大文字を区別する

set smartcase

" 検索語にマッチした単語をハイライト

set hlsearch

" インクリメンタルサーチを使用

set incsearch

" 行番号を表示

set number

" 改行 ( $ ) やタブ ( ^I ) を可視化

set list

" 括弧入力時に対応する括弧を強調

set showmatch

" ファイルの末尾に改行を入れない

set binary noeol

" 自動インデントを有効にする

set autoindent

" 構文ごとに色分け表示

syntax on

" syntax on の場合のコメント文の色を変更

highlight Comment ctermfg=LightCyan

" ウィンドウ幅で行を折り返す

set wrap

ページのトップへ