linux

○ 最初の設定 4 Xen

*CentOS 5.5 の初期設定をCUI環境で行います
*opensshを使い、2ndマシンのgnome-terminalから作業をします
*コピー&ペースト (ショートカットキー) で作業を短縮します
*firefox、gedit コピー ([Ctrl]+c) ペースト ([Ctrl]+v)
*gnome-terminal コピー ([Shift]+[Ctrl]+c) ペースト ([Shift]+[Ctrl]+v)
*文字間のスペースは、半角スペースまたはTabキーで入力します

**以降はコメントです
*前もって必要なファイルをダウンロードしてください
*使用するエディタは個人の使い慣れたものを使用してください
*エディタのコマンドは略します
*Enterキーを省略します
*2ndマシンの操作は略します

*ログイン端末で "#" はroot、"$" は一般ユーザのプロンプトの記号です
*設定ファイルで "#" で始まる行はコメントとして解釈されます

*ドメイン0の設定です
*ドメインUの設定は、それぞれの環境に合わせて下さい

○インストール環境

:OS CentOS 5.5
:selinux disabled
:作業 /etc及び/home/sola/work
:言語 LANG=en_US.UTF-8
:ユーザー  rootで実行

○仮設定

:ドメイン 528p.com
:サーバ 名 earth
:ユーザ 名 sola
:クライアント01  mars


○rootでログインし、ユーザを作成します

login: root
password:← パスワードを入力


# useradd sola
# passwd sola


New UNIX password:← パスワードを入力
Retype new UNIX password:← 再入力

○serviceの自動起動のチェック

# ntsysv --level 3

*下記のデーモンをoffにします (自分の計画に合せて)

apmd atd autofs avahi-daemon bluetooth cpuspeed cups firstboot
gpm hidd ip6tables iptables irqbalance kudzu mctrans mdmonitor
microcode_ctl netfs nfslock pcscd portmap readahead_early
restorecond rpcgssd rpcidmapd yum-updatesd

○/etc/selinux/configの修正

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#    enforcing - SELinux security policy is enforced.
#    permissive - SELinux prints warnings instead of enforcing.
#    disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#    targeted - Only targeted network daemons are protected.
#    strict - Full SELinux protection.
SELINUXTYPE=targeted

○再起動します

# shutdown -r now

○アップデート用ファイルのアップロード

*scp (openssh) コマンドでファイルをアップロードします
*2ndマシンのworkディレクトリに必要なファイルをまとめておきます
*/home/sola/work (一般ファイル用)
*/home/sola/work/c55add (CentOS追加ファイル用)
*/home/sola/work/c55up (CentOSアップデートファイル用)
*/home/sola/work/c55up/kernel (kernelアップデートファイル用)

*2ndマシンから接続

$ scp -r work sola@192.168.0.2:.
sola@192.168.0.2's password:← パスワードを入力

○opensshでログイン

*rootパスワードログインをします
*外部に公開する場合は、公開鍵認証に切り替えます

*2ndマシンから接続

$ ssh -2 root@192.168.0.2
root@192.168.0.2's password:← パスワードを入力

○RPM-GPG-KEYのインストール

# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

*インポートの確認

# rpm -qa | grep gpg-pubkey

○使用しないパッケージの削除 (自分の計画に合せて)

# rpm -e NetworkManager NetworkManager-glib apmd avahi \
avahi-compat-libdns_sd bluez-gnome bluez-libs bluez-utils \
ccid coolkey cups dhclient dhcpv6-client dnsmasq eject \
fbset finger firstboot-tui ftp htmlview ibmasm ifd-egate \
iptstate irda-utils irqbalance krb5-workstation ksh lftp \
mdadm microcode_ctl mkbootdisk nfs-utils nfs-utils-lib \
pam_pkcs11 pcmciautils pcsc-lite pcsc-lite-libs pinfo \
pkinit-nss rdate rdist readahead redhat-lsb redhat-menus \
rsh specspo system-config-securitylevel-tui talk telnet \
vconfig wpa_supplicant yp-tools ypbind

○CentOS追加ファイルのインストール

パッケージの追加を参照
*専用ディレクトリを作り、rpmパッケージを置きます
*同名のパッケージがある場合はCPUに合わせます
*rpmパッケージ以外、ディレクトリに置かない
*例 /home/sola/work/c55add

# cd /home/sola/work/c55add
# rpm -Uvh *.rpm

○CentOSのアップデート

*専用ディレクトリを作り、rpmパッケージを置きます
*同名のパッケージがある場合はCPUに合わせます
*rpmパッケージ以外、ディレクトリに置かない
*例 /home/sola/work/c55up
*インストール済のパッケージのみアップデートします
*domainUでのkernelアップデートは仮想環境 (domainUの構築後) で行います
*/boot (hda1) に影響を与えません

# cd /home/sola/work/c55up
# rpm -Fvh *.rpm

*kernelは -i オプションでインストールします

# cd kernel
# rpm -ivh kernel-2.6.18-194.8.1.el5.i686.rpm
# rpm -Fvh kernel-headers-2.6.18-194.8.1.el5.i386.rpm

*旧kernelの削除は?

# rpm -e kernel-2.6.18-194.el5

○/etc/ld.so.conf.dにconfファイルを追加します

*例/etc/ld.so.conf.d/usrlocal.conf
*/usr/local/libを追記します

# cd /etc
# echo /usr/local/lib >> /etc/ld.so.conf.d/usrlocal.conf
# ldconfig

○lvm cacheファイルの修正

*起動時にエラーがでる場合、"/dev/hdc"を削除します (そのままでも問題ない)

:/etc/lvm/cache/.cache

*省略

                "/dev/ramdisk",
                "/dev/hdc",
                "/dev/XEN/Top01",

*省略


○suログインの制限

:wheelグループにユーザ (sola) を追加します

# gpasswd -a sola wheel
# cat /etc/group | grep wheel

:/etc/pam.d/suファイルの修正 (変更追加分)

#auth    sufficient    pam_wheel.so trust use_uid

*上記を有効にするとwheelグループは"noPassword"でsuになれるので注意

auth     required      pam_wheel.so use_uid

○起動スクリプトの修正

*nashのraidautorunを呼び出さないようにします
*# 記号でraidautorunの部分をコメント扱いにします

:/etc/rc.d/rc.sysinit

# RAID setup
update_boot_stage RCraid
#[ -x /sbin/nash ] && echo "raidautorun /dev/md0" | nash --quiet
if [ -f /etc/mdadm.conf ]; then
 /sbin/mdadm -A -s
fi

○ネットワークの修正

:/etc/sysconfig/network

*ipv6を無効にします (modprobe.confも参照)

NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=earth.528p.com
GATEWAY=192.168.0.1

○at、batch 実行ユーザの制限

*"root"と"sola"にat、batchの実行を許可します
*at.allowが存在する場合at.denyは無視されます

# echo sola >> /etc/at.allow

○cron実行ユーザの制限

*"root"と"sola"にcronの実行を許可します
*cron.allowが存在する場合cron.denyは無視されます

# echo sola >> /etc/cron.allow

○マシンの名前解決

:/etc/hosts ファイルを修正します

127.0.0.1    localhost.localdomain   localhost
192.168.0.2  earth.528p.com  earth

○libwrapによるアクセス制限の設定

*tcp_wrappersで制御されるものでhosts.allowの既述以外は全て拒否します

:/etc/hosts.allow ファイルを編集します

ALL: 127.0.0.1
vsftpd: 192.168.0.
mysqld: 192.168.0.
sendmail: 192.168.0.
sshd: 192.168.0.

:/etc/hosts.deny ファイルを編集します

ALL: ALL

○仮想コンソールを減らす

:/etc/inittabファイルを修正します

*省略

# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6

*省略


○ログインユーザ制限

:/etc/login.defs ファイルを修正します

SU_WHEEL_ONLY    yes
*suの機能をWHEELグループに限定します

○モデュールの設定

:/etc/modprobe.conf ファイルを修正します

alias net-pf-10 off
*ipv6を無功にしています 
alias ipv6 off


options ipv6 disable=1


alias block-major-2-* off
*floppyの認識を無功にしています 
alias eth0 r8169
*自動認識された LANカードの設定

○rootログインできる端末の制限

:/etc/securetty ファイルを修正します

console
tty1
tty2

○/etc/sysctl.conf を修正します

*ICMPの嘘のエラーメッセージ応答を無視します

net.ipv4.icmp_ignore_bogus_error_responses = 1

*ICMPのブロードキャスト・メッセージに応答しないようにします

net.ipv4.icmp_echo_ignore_broadcasts = 1

*ICMPのリダイレクト要求を拒否します

net.ipv4.conf.all.accept_redirects = 0

*指定されたファイルから読み込んだ内容を sysctl 設定にロードします

# sysctl -p

*現在利用できる全ての値を表示します

# sysctl -a

○ヘッダーファイルの修正

*pppのmakeで要求されるのでシンボリックリンクを作ります

# ln -s /usr/include/pcap-bpf.h /usr/include/net/bpf.h

○ランレベル3自動起動を修正します (例)

# ntsysv --level 3

*自動起動を設定するもの (自分の計画に合わせて)
*acpid,lvm2-monitor,smartdはドメインUでは自動起動を解除します

acpid anacron auditd crond haldaemon lvm2-monitor messagebus
network rawdevices sendmail smartd sshd syslog

○grub.confの修正

:/boot/grub/grub.conf

* (hd0,0) はここではhda1を表わす
*/bootパーティションが独立している場合です
*xenのゲストを単独で起動する部分を追記します

default=0


title CentOS (2.6.18-194.8.1.el5)
    root (hd0,0)
    kernel /vmlinuz-2.6.18-194.8.1.el5 ro root=/dev/XEN/Top01 hda=20023,255,63
    initrd /initrd-2.6.18-194.8.1.el5.img
title CentOS PUBLIC (2.6.18-194.el5)
    root (hd0,0)
    kernel /vmlinuz-2.6.18-194.el5 ro root=/dev/XEN/Wan01 hda=20023,255,63
    initrd /initrd-2.6.18-194.el5.img
title CentOS PRIVATE (2.6.18-194.el5)
    root (hd0,0)
    kernel /vmlinuz-2.6.18-194.el5 ro root=/dev/XEN/Lan01 hda=20023,255,63
    initrd /initrd-2.6.18-194.el5.img

○再起動します

# shutdown -r now

○ Copyright(c) 528p.com All Rights Reserved.