○ 最初の設定 4 Xen

・CentOS 6.8 の初期設定をCUI環境で行います
・opensshを使い、2ndマシンのgnome-terminalから作業をします
・コピー&ペースト (ショートカットキー) で作業を短縮します
・firefox、gedit コピー (Ctrl+C) ペースト (Ctrl+V)
・gnome-terminal コピー (Shift+Ctrl+C) ペースト (Shift+Ctrl+V)
・文字間のスペースは、半角スペースまたはTabキーで入力します

・前もって必要なファイルをダウンロードしてください
・使用するエディタは個人の使い慣れたものを使用してください
・エディタのコマンドは略します
・Enterキーを省略します
・2ndマシンの操作は略します

・ログイン端末で "#" はroot、"$" は一般ユーザのプロンプトの記号です
・設定ファイルで "#" で始まる行はコメントとして解釈されます

・ドメイン0の設定です
・ドメインUの設定は、それぞれの環境に合わせて下さい

○インストール環境

:OS CentOS 6.8
:selinux disabled
:作業 /etc及び/home/sola/work
:言語 LANG=en_US.UTF-8
:ユーザー  rootで実行

○仮設定

:ドメイン 528p.com
:サーバ 名 earth
:ユーザ 名 sola
:クライアント01  mars



○rootでログインし、ユーザを作成します

login: root
password:← パスワードを入力
[root@earth ~]
# useradd sola
# passwd sola
New UNIX password:← パスワードを入力
Retype new UNIX password:← 再入力

○serviceの自動起動のチェック

[root@earth ~]
# ntsysv --level 3

・下記のデーモンをonにします (自分の計画に合せて)

acpid crond haldaemon lvm2-monitor messagebus network 
rsyslog sshd 

○/etc/selinux/configの修正

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#    enforcing - SELinux security policy is enforced.
#    permissive - SELinux prints warnings instead of enforcing.
#    disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#    targeted - Only targeted network daemons are protected.
#    strict - Full SELinux protection.
SELINUXTYPE=targeted

○ネットワークの修正

○/etc/sysconfig/networkファイルの修正

・ipv6を無効にします (modprobe.dも参照)

NETWORKING=yes
HOSTNAME=venus.528p.com
GATEWAY=192.168.0.1
IPV6INIT=no
IPV6_AUTOCONF=no

○/etc/sysconfig/network-scripts/ifcfg-eth0ファイルの修正

・"NM_CONTROLLED" NetworkManagerのコントロールを無効にします
・NetworkManagerでコントロールしているなら"yes"のまま使用します
・"HWADDR" LANカードに設定されている"MAC アドレス"を入れます

DEVICE=eth0
HWADDR=xx:xx:xx:xx:xx:xx
NM_CONTROLLED=no
ONBOOT=yes
BOOTPROTO=static
BROADCAST=192.168.0.255
IPADDR=192.168.0.2
NETMASK=255.255.255.0
NETWORK=192.168.0.0
TYPE=Ethernet
USERCTL=no
PEERDNS=no

○/etc/modprobe.d/dev-off.confファイルの作成

・ipv6を無効にします

install ipv6 /bin/true
・ipv6を無功にしています
alias block-major-2-* off
・floppyの認識を無功にしています

○/etc/hostsファイルの修正

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.0.2  earth.528p.com  earth

○/etc/resolv.confファイルの修正

search 528p.com
nameserver 192.168.0.1

○再起動します

[root@earth ~]
# shutdown -r now

○追加ファイルのアップロード

・scp(openssh-clients)コマンドでファイルをアップロードします
・サーバ側にscp(openssh-clients)がないと接続できません
・2ndマシンのworkディレクトリに必要なファイルをまとめておきます
・/home/sola/work (一般ファイル用)
・/home/sola/work/c68add (CentOS追加ファイル用)

・2ndマシンから接続

[sola@mars ~]
$ scp -r work sola@192.168.0.2:.
sola@192.168.0.2's password:← パスワードを入力

○opensshでログイン

・rootパスワードログインをします
・外部に公開する場合は、公開鍵認証に切り替えます

・2ndマシンから接続

[sola@mars ~]
$ ssh -2 root@192.168.0.2
root@192.168.0.2's password:← パスワードを入力

○RPMパッケージの再構成

○RPM-GPG-KEYのインストール

[root@venus ~]
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6

・インポートの確認

# rpm -qa | grep gpg-pubkey

○使用しないパッケージの削除 (必須ではない)

・rpm -e --test aic94xx-firmwareのように
・--testオプションをつけて、依存性がないか確認する

[root@venus ~]
# rpm -e aic94xx-firmware atmel-firmware b43-fwcutter \
b43-openfwwf bfa-firmware centos-indexhtml dhclient \
dhcp-common dmraid dmraid-events efibootmgr eject \
ipw2100-firmware ipw2200-firmware iwl1000-firmware \
iwl100-firmware iwl3945-firmware iwl4965-firmware \
iwl5000-firmware iwl5150-firmware iwl6000-firmware \
iwl6000g2a-firmware iwl6050-firmware ledmon pcmciautils \
pinfo ql2100-firmware ql2200-firmware ql23xx-firmware \
ql2400-firmware ql2500-firmware rdate rdma readahead \
rfkill rt61pci-firmware rt73usb-firmware zd1211-firmware \
sg3_utils-libs system-config-firewall-base \
system-config-firewall-tui

○MTAの入替え(postfix → sensmail)

[root@venus ~]
# cd /home/sola/work
[root@venus work]
# rpm -Uvh hesiod-3.1.0-19.el6.i686.rpm
# rpm -Uvh procmail-3.22-25.1.el6_5.1.i686.rpm
# rpm -Uvh sendmail-8.14.4-9.el6.i686.rpm

・変更の確認

# alternatives --config mta

・postfix関連の削除

# rpm -e postfix

○cronの入替え(cronie-anacron → cronie-noanacron)

・追加される/etc/cron.d/dailyjobsで定時(4am)の実行を制御します

# cd /home/sola/work
[root@venus work]
# rpm -Uvh cronie-noanacron-1.4.4-15.el6_7.1.i686.rpm
# rpm -e cronie-anacron

○CentOS追加ファイルのインストール

パッケージの追加を参照
・専用ディレクトリを作り、rpmパッケージを置きます
・同名のパッケージがある場合はCPUに合わせます
・rpmパッケージ以外、ディレクトリに置かない
・例 /home/sola/work/c68add

[root@venus ~]
# cd /home/sola/work/c67add
[root@venus c67add]
# rpm -Uvh *.rpm

○CentOSのアップデート

・外部に接続できる環境で実行します

# yum update

○設定ファイルの修正

○/etc/ld.so.conf.dにconfファイルを追加します

・例 /etc/ld.so.conf.d/usrlocal.conf
・/usr/local/libを追記します

[root@venus kernel]
# cd /etc
[root@venus etc]
# echo /usr/local/lib >> /etc/ld.so.conf.d/usrlocal.conf
# ldconfig

○pkg-configの設定

・/usr/local/lib/pkgconfigをサーチするように"PKG_CONFIG_PATH"を設定します
・デフォルトは"/usr/lib/pkgconfig:/usr/share/pkgconfig"

:/etc/profile.d/pkg-config.sh (root root 644)

PKG_CONFIG_PATH=/usr/local/lib/pkgconfig:/usr/lib/pkgconfig:/usr/share/pkgconfig
export PKG_CONFIG_PATH

○suログインの制限

:wheelグループにユーザ (sola) を追加します

[root@venus etc]
# gpasswd -a sola wheel

・確認

# cat /etc/group | grep wheel

・rootが含まれない場合

# gpasswd -a root wheel

:/etc/pam.d/suファイルの修正 (変更追加分)

#auth sufficient pam_wheel.so trust use_uid

・上記を有効にするとwheelグループは[no Password]でsuになれるので注意

auth required pam_wheel.so use_uid

○at、batch 実行ユーザの制限

・"root"と"sola"にat、batchの実行を許可します
・at.allowが存在する場合 at.denyは無視されます

[root@venus etc]
# echo sola >> /etc/at.allow

○cron実行ユーザの制限

・"root"と"sola"にcronの実行を許可します
・cron.allowが存在する場合 cron.denyは無視されます

[root@venus etc]
# echo sola >> /etc/cron.allow

○/etc/fstabの修正

・uuidの設定をdev設定に変更します
・設定値は"blkid"コマンドで確認します

/dev/mapper/EXP-TOP01   /           ext4    defaults        1 1
/dev/sda1               /boot       ext3    defaults        1 2
/dev/mapper/EXP-TOP02   swap        swap    defaults        0 0
tmpfs                   /dev/shm    tmpfs   defaults        0 0
devpts                  /dev/pts    devpts  gid=5,mode=620  0 0
sysfs                   /sys        sysfs   defaults        0 0
proc                    /proc       proc    defaults        0 0

○libwrapによるアクセス制限の設定

・tcp_wrappersで制御されるコマンドのみ有効です
・hosts.allowの既述以外は全て拒否します
・最終行に改行を入れること

:/etc/hosts.allow

ALL: 127.0.0.1
vsftpd: 192.168.0.
sendmail: 192.168.0.
sshd: ALL

:/etc/hosts.deny

ALL: ALL

○ログインユーザ制限

・suの機能をWHEELグループに限定します

:/etc/login.defs

SU_WHEEL_ONLY    yes

○rootログインできる端末の制限

:/etc/securetty

console
vc/1
vc/2
tty1
tty2

○仮想コンソールを減らす

:/etc/sysconfig/init

・省略

#ACTIVE_CONSOLES=/dev/tty[1-6]
ACTIVE_CONSOLES=/dev/tty[1-2]

・省略


○singleユーザモードでパスワード要求

・rootのパスワードを要求されるので注意

:/etc/sysconfig/init

・省略

# Set to '/sbin/sulogin' to prompt for password on single-user mode
# Set to '/sbin/sushell' otherwise
#SINGLE=/sbin/sushell
SINGLE=/sbin/sulogin

○prelinkの無効化

・CentOS 7ではデフォルトで無効

[root@venus etc]
# prelink -au

:/etc/sysconfig/prelink

・省略

PRELINKING=no

・省略


○/etc/sysctl.confを修正します

・ICMPの嘘のエラーメッセージ応答を無視します

net.ipv4.icmp_ignore_bogus_error_responses = 1

・ICMPのブロードキャスト・メッセージに応答しないようにします

net.ipv4.icmp_echo_ignore_broadcasts = 1

・ICMPのリダイレクト要求を拒否します

net.ipv4.conf.all.accept_redirects = 0

・指定されたファイルから読み込んだ内容を sysctl 設定にロードします

[root@venus etc]
# sysctl -p

・現在利用できる全ての値を表示します

# sysctl -a

○ヘッダーファイルの修正

・pppのmakeで要求されるのでシンボリックリンクを作ります

# cd ~
[root@earth ~]
# ln -s /usr/include/pcap-bpf.h /usr/include/net/bpf.h

○作業用ディレクトリとユーザの作成

・rpmbuildはユーザディレクトリで行われます
・src.rpmをインストールした時に自動的に作られます
・mockbuildユーザは警告への対処です (必須ではない)
・-Mオプションでホームディレクトリを作りません

# cd ~
[root@earth ~]
# mkdir src
# mkdir -p rpmbuild/{SOURCES,SPECS}
# useradd -M -s /bin/false mockbuild

○ランレベル3自動起動を修正します (例)

[root@earth ~]
# ntsysv --level 3

・自動起動を設定するもの (自分の計画に合わせて)
・acpid,lvm2-monitor,smartdはドメインUでは自動起動を解除します

acpid crond haldaemon lvm2-monitor messagebus
network rsyslog sendmail smartd sshd 

○grub.confの修正

:/boot/grub/grub.conf

・ (hd0,0) はここではsda1を表わす
・/bootパーティションが独立している場合です
・xenのゲストを単独で起動する部分を追記します
・nomodesetは"Kernel Mode Setting(KMS)"を無効にします
・(KMS)はIntel, Nouveau(NVIDIA), ATI ドライバで有効です

default=0

title CentOS (2.6.32-642.el6.i686)
    root (hd0,0)
    kernel /vmlinuz-2.6.32-642.el6.i686 ro root=/dev/mapper/XEN-Top01 rd_LVM_LV=XEN/Top01 rd_LVM_LV=EXP/Top02 rd_NO_LUKS rd_NO_MD rd_NO_DM crashkernel=auto
    initrd /initramfs-2.6.32-642.el6.i686.img
title CentOS PUBLIC (2.6.32-642.el6.i686)
    root (hd0,0)
    kernel /vmlinuz-2.6.32-642.el6.i686 ro root=/dev/mapper/XEN-Wan01 rd_LVM_LV=XEN/Wan01 rd_LVM_LV=EXP/Wan02 rd_LVM_LV=EXP/Wan03 rd_NO_LUKS rd_NO_MD rd_NO_DM crashkernel=auto
    initrd /initramfs-2.6.32-642.el6.i686.img
title CentOS PRIVATE (2.6.32-642.el6.i686)
    root (hd0,0)
    kernel /vmlinuz-2.6.32-642.el6.i686 ro root=/dev/mapper/XEN-Lan01 rd_LVM_LV=XEN/Lan01 rd_LVM_LV=EXP/Lan02 rd_LVM_LV=EXP/Lan03 rd_NO_LUKS rd_NO_MD rd_NO_DM crashkernel=auto
    initrd /initramfs-2.6.32-642.el6.i686.img       
#title CentOS (2.6.32-642.el6.i686)
#    root (hd0,0)
#    kernel /vmlinuz-2.6.32-642.el6.i686 ro root=/dev/mapper/XEN-Top01 rd_LVM_LV=XEN/Top01 rd_LVM_LV=EXP/Top02 rd_NO_LUKS rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYBOARDTYPE=pc KEYTABLE=jp106 nomodeset crashkernel=auto rhgb quiet
#    initrd /initramfs-2.6.32-642.el6.i686.img

○再起動します

[root@earth ~]
# shutdown -r now

○ Copyright(c) 528p.com All Rights Reserved.