linux

○ 最初の設定 4 Xen

・CentOS 5.6 の初期設定をCUI環境で行います
・opensshを使い、2ndマシンのgnome-terminalから作業をします
・コピー&ペースト (ショートカットキー) で作業を短縮します
・firefox、gedit コピー ([Ctrl]+c) ペースト ([Ctrl]+v)
・gnome-terminal コピー ([Shift]+[Ctrl]+c) ペースト ([Shift]+[Ctrl]+v)
・文字間のスペースは、半角スペースまたはTabキーで入力します

・前もって必要なファイルをダウンロードしてください
・使用するエディタは個人の使い慣れたものを使用してください
・エディタのコマンドは略します
・Enterキーを省略します
・2ndマシンの操作は略します

・ログイン端末で "#" はroot、"$" は一般ユーザのプロンプトの記号です
・設定ファイルで "#" で始まる行はコメントとして解釈されます

・ドメイン0の設定です
・ドメインUの設定は、それぞれの環境に合わせて下さい

○インストール環境

:OS CentOS 5.6
:selinux disabled
:作業 /etc及び/home/sola/work
:言語 LANG=en_US.UTF-8
:ユーザー  rootで実行

○仮設定

:ドメイン 528p.com
:サーバ 名 earth
:ユーザ 名 sola
:クライアント01  mars


○rootでログインし、ユーザを作成します

login: root
password:← パスワードを入力
[root@earth ~]
# useradd sola
# passwd sola
New UNIX password:← パスワードを入力
Retype new UNIX password:← 再入力

○serviceの自動起動のチェック

[root@earth ~]
# ntsysv --level 3

・下記のデーモンをoffにします (自分の計画に合せて)

apmd atd autofs bluetooth cpuspeed firstboot gpm hidd 
ip6tables iptables irqbalance iscsi iscsid kudzu mctrans 
mdmonitor microcode_ctl netfs nfslock pcscd portmap 
readahead_early restorecond rpcgssd rpcidmapd yum-updatesd

○/etc/selinux/configの修正

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#    enforcing - SELinux security policy is enforced.
#    permissive - SELinux prints warnings instead of enforcing.
#    disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#    targeted - Only targeted network daemons are protected.
#    strict - Full SELinux protection.
SELINUXTYPE=targeted

○再起動します

[root@earth ~]
# shutdown -r now

○アップデート用ファイルのアップロード

・scp (openssh) コマンドでファイルをアップロードします
・2ndマシンのworkディレクトリに必要なファイルをまとめておきます
・/home/sola/work (一般ファイル用)
・/home/sola/work/c56add (CentOS追加ファイル用)
・/home/sola/work/c56up (CentOSアップデートファイル用)
・/home/sola/work/c56up/kernel (kernelアップデートファイル用)

・2ndマシンから接続

[sola@mars ~]
$ scp -r work sola@192.168.0.2:.
sola@192.168.0.2's password:← パスワードを入力

○opensshでログイン

・rootパスワードログインをします
・外部に公開する場合は、公開鍵認証に切り替えます

・2ndマシンから接続

[sola@mars ~]
$ ssh -2 root@192.168.0.2
root@192.168.0.2's password:← パスワードを入力

○RPM-GPG-KEYのインストール

[root@earth ~]
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

・インポートの確認

# rpm -qa | grep gpg-pubkey

○使用しないパッケージの削除 (自分の計画に合せて)

[root@earth ~]
# rpm -e NetworkManager NetworkManager-glib apmd \
bluez-gnome bluez-libs bluez-utils ccid coolkey \
dhclient dhcpv6-client dnsmasq eject fbset finger \
firstboot-tui ftp htmlview ibmasm ifd-egate iptstate \
irda-utils irqbalance krb5-workstation ksh lftp \
mdadm microcode_ctl mkbootdisk nfs-utils nfs-utils-lib \
pam_pkcs11 pcmciautils pcsc-lite pcsc-lite-libs pinfo \
pkinit-nss rdate rdist readahead redhat-lsb redhat-menus \
rsh specspo system-config-securitylevel-tui talk telnet \
vconfig wpa_supplicant yp-tools ypbind

○CentOS追加ファイルのインストール

パッケージの追加を参照
・専用ディレクトリを作り、rpmパッケージを置きます
・同名のパッケージがある場合はCPUに合わせます
・rpmパッケージ以外、ディレクトリに置かない
・例 /home/sola/work/c56add

[root@earth ~]
# cd /home/sola/work/c56add
[root@earth c56add]
# rpm -Uvh *.rpm

○CentOSのアップデート

・専用ディレクトリを作り、rpmパッケージを置きます
・同名のパッケージがある場合はCPUに合わせます
・rpmパッケージ以外、ディレクトリに置かない
・例 /home/sola/work/c56up
・インストール済のパッケージのみアップデートします
・domainUでのkernelアップデートは仮想環境 (domainUの構築後) で行います
・/boot (hda1) に影響を与えません

[root@earth c56add]
# cd /home/sola/work/c56up
[root@earth c56up]
# rpm -Fvh *.rpm

・kernelは -i オプションでインストールします

# cd kernel
[root@earth kernel]
# rpm -ivh kernel-2.6.18-238.19.1.el5.i686.rpm
# rpm -Fvh kernel-headers-2.6.18-238.19.1.el5.i386.rpm

・旧kernelの削除は?

# rpm -e kernel-2.6.18-238.el5

○/etc/ld.so.conf.dにconfファイルを追加します

・例/etc/ld.so.conf.d/usrlocal.conf
・/usr/local/libを追記します

[root@earth kernel]
# cd /etc
[root@earth etc]
# echo /usr/local/lib >> /etc/ld.so.conf.d/usrlocal.conf
# ldconfig

○lvm cacheファイルの修正

・起動時にエラーがでる場合、"/dev/hdc"を削除します (そのままでも問題ない)

:/etc/lvm/cache/.cache

・省略

                "/dev/ramdisk",
                "/dev/hdc",
                "/dev/XEN/Top01",

・省略


○suログインの制限

:wheelグループにユーザ (sola) を追加します

[root@earth etc]
# gpasswd -a sola wheel
# cat /etc/group | grep wheel

:/etc/pam.d/suファイルの修正 (変更追加分)

#auth    sufficient    pam_wheel.so trust use_uid

・上記を有効にするとwheelグループは"noPassword"でsuになれるので注意

auth     required      pam_wheel.so use_uid

○起動スクリプトの修正

・起動時にraid関連(raid未使用時)でERRORがでる場合

:/etc/rc.d/rc.sysinit

・省略

# RAID setup
update_boot_stage RCraid
# [ -x /sbin/nash ] && echo "raidautorun /dev/md0" | nash --quiet
if [ -f /etc/mdadm.conf ]; then
 /sbin/mdadm -A -s
fi

・省略

    if ! strstr "$cmdline" nodmraid && [ -x /sbin/dmraid.static ]; then
        modprobe dm-mirror >/dev/null 2>&1
#       dmraidsets=$(LC_ALL=C /sbin/dmraid -s -c -i)
        dmraidsets="no raid disks"
        if [ "$dmraidsets" != "no raid disks" ]; then
            for dmname in $dmraidsets; do
                /sbin/dmraid.static -ay -i -p "$dmname" >/dev/null 2>&1
                /sbin/kpartx -a -p p "/dev/mapper/$dmname"

・省略


○ネットワークの修正

:/etc/sysconfig/network

・ipv6を無効にします (modprobe.confも参照)

NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=earth.528p.com
GATEWAY=192.168.0.1

○at、batch 実行ユーザの制限

・"root"と"sola"にat、batchの実行を許可します
・at.allowが存在する場合at.denyは無視されます

[root@earth etc]
# echo sola >> /etc/at.allow

○cron実行ユーザの制限

・"root"と"sola"にcronの実行を許可します
・cron.allowが存在する場合cron.denyは無視されます

[root@earth etc]
# echo sola >> /etc/cron.allow

○マシンの名前解決

:/etc/hosts ファイルを修正します

127.0.0.1    localhost.localdomain   localhost
192.168.0.2  earth.528p.com  earth

○libwrapによるアクセス制限の設定

・tcp_wrappersで制御されるものでhosts.allowの既述以外は全て拒否します

:/etc/hosts.allow ファイルを編集します

ALL: 127.0.0.1
vsftpd: 192.168.0.
mysqld: 192.168.0.
sendmail: 192.168.0.
sshd: 192.168.0.

:/etc/hosts.deny ファイルを編集します

ALL: ALL

○仮想コンソールを減らす

:/etc/inittabファイルを修正します

・省略

# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6

・省略


○ログインユーザ制限

:/etc/login.defs ファイルを修正します

SU_WHEEL_ONLY    yes
・suの機能をWHEELグループに限定します

○モデュールの設定

:/etc/modprobe.conf ファイルを修正します

alias net-pf-10 off
・ipv6を無功にしています 
alias ipv6 off


options ipv6 disable=1


alias block-major-2-* off
・floppyの認識を無功にしています 
alias eth0 r8169
・自動認識された LANカードの設定

○rootログインできる端末の制限

:/etc/securetty ファイルを修正します

console
tty1
tty2

○/etc/sysctl.conf を修正します

・ICMPの嘘のエラーメッセージ応答を無視します

net.ipv4.icmp_ignore_bogus_error_responses = 1

・ICMPのブロードキャスト・メッセージに応答しないようにします

net.ipv4.icmp_echo_ignore_broadcasts = 1

・ICMPのリダイレクト要求を拒否します

net.ipv4.conf.all.accept_redirects = 0

・指定されたファイルから読み込んだ内容を sysctl 設定にロードします

[root@earth etc]
# sysctl -p

・現在利用できる全ての値を表示します

# sysctl -a

○ヘッダーファイルの修正

・pppのmakeで要求されるのでシンボリックリンクを作ります

# cd ~
[root@earth ~]
# ln -s /usr/include/pcap-bpf.h /usr/include/net/bpf.h

○ランレベル3自動起動を修正します (例)

[root@earth ~]
# ntsysv --level 3

・自動起動を設定するもの (自分の計画に合わせて)
・acpid,lvm2-monitor,smartdはドメインUでは自動起動を解除します

acpid anacron auditd crond haldaemon lvm2-monitor messagebus
network rawdevices sendmail smartd sshd syslog

○grub.confの修正

:/boot/grub/grub.conf

・ (hd0,0) はここではhda1を表わす
・/bootパーティションが独立している場合です
・xenのゲストを単独で起動する部分を追記します

default=0


title CentOS (2.6.18-238.19.1.el5)
    root (hd0,0)
    kernel /vmlinuz-2.6.18-238.19.1.el5 ro root=/dev/XEN/Top01 hda=20023,255,63
    initrd /initrd-2.6.18-238.19.1.el5.img
title CentOS PUBLIC (2.6.18-238.el5)
    root (hd0,0)
    kernel /vmlinuz-2.6.18-238.el5 ro root=/dev/XEN/Wan01 hda=20023,255,63
    initrd /initrd-2.6.18-238.el5.img
title CentOS PRIVATE (2.6.18-238.el5)
    root (hd0,0)
    kernel /vmlinuz-2.6.18-238.el5 ro root=/dev/XEN/Lan01 hda=20023,255,63
    initrd /initrd-2.6.18-238.el5.img

○再起動します

[root@earth ~]
# shutdown -r now

○ Copyright(c) 528p.com All Rights Reserved.