念の為断っておくが、「初号機」や「弐号機」ってのは、新世紀エヴァンゲリオン由来の呼び名だが、実はエヴァンゲリオンのことはよく知らない。(アメトーークや桜 稲垣早希のネタで見聞きしたことがあるレベル)
なんとなくいい感じの名付け方だったので採用した次第。
2台ともインストールしただけで止まっているので、初期設定作業をしていく。
参考サイト
- https://www.rem-system.com/linux-first-setting/
- https://qiita.com/emabust/items/eb0ece84e074cca8fef1
- https://qiita.com/bezeklik/items/0622fbaf7d33dd95d005
- https://qiita.com/fetaro/items/8cf5169dc4d8a7ac9af6
- http://marimomemo.hatenablog.jp/entry/2017/02/11/233902
- http://masahir0y.github.io/2012/11/13/00-rhel-6.3-setup/
- http://k-labo.work/centos/2016/04/pc_centos7/ (自分の備忘録)
1.パッケージの最新化
$ sudo yum -y update
2.SELinuxの無効化(手順だけ紹介)
$ sudo setenforce 0 $ sudo vi /etc/sysconfig/selinux ---- #SELINUX=enforcing #コメントアウト SELINUX=disabled #追記 ---- $ shotdown -r now #一旦再起動 $ getenforce Disabled と表示されればOK
上記の手順で無効化しようと思ったが、今回はあえてSELinuxにも向き合ってみる。
この辺のサイト(https://eng-entrance.com/linux-selinux)も参考にしながらやってみる。
3.Firewallの停止(も手順だけ)
$ sudo systemctl stop firewalld $ sudo systemctl disable firewalld
こちらも、あえてそのままで行く。(参考:https://qiita.com/kenjjiijjii/items/1057af2dddc34022b09e)
4.sudo 設定
現状だと、一般ユーザーが無制限で su で root になれてしまうので、設定を変更。管理者グループ(=wheel)に属してるユーザだけが、su コマンドで root になれるように設定する。
$ sudo vi /etc/pam.d/su
----
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid
↓
auth required pam_wheel.so use_uid
----
下記が必要という情報もあったが、一般ユーザーは作ってないし、作ったとしても他のユーザーに su 出来る必要性も感じないので、スルーしておく。
echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
5.セキュリティー関連のパッケージのみ自動アップデート
サーバーの公開を見越して、(SELinuxやfirewalldをそのままにしたのもそのため)セキュリティ関連のパッケージのみ自動アップデート出来るようにする。
# 先に yum.conf を編集して、カーネル等が自動でアップデートされないようにしておく。 $ sudo vi /etc/yum.conf ---- [main] exclude=kernel* centos* xorg* # [main]節にこの記述を追加 ---- $ sudo yum -y install yum-cron
とおもったら、ホストの名前解決ができなくなった。(SELinuxをONにした後で再起動したので、その後から)最初の yum update の時は問題なかったのだが・・・
リポジトリのIPアドレスを別PCで調べて、IPで ping を打ったら疎通できたので、名前解決の問題。
/etc/resolv.conf をチェックしてみると、下記のように出る。何だこれは?
インストール時にホスト名につけた、ローカル用のドメイン名(と言っても、DNSサーバーも何も立ててないので、このドメインでは何も探せない)が表示されているというのは分かるが、search??nameserver でも無く??
---- # Generated by NetworkManager search office-iwakiri-local.com ----
NetworkManager というのが自動で生成した記述のようで、それを切って解決したという事例も紹介されているが・・・そういう事してたんじゃ、新しく追加されたサービスなんかが理解できんままになるので、これも切らずに行く。
で、いろいろ調べて、下記のコマンドに行き着いた。
(参考サイト)
- http://www.s-runoa.com/457
- https://qiita.com/taro373/items/eb4c27ecd9c0b6beab14
- https://qiita.com/gomi_ningen/items/baee5fada818a8ba944a
- https://blog.apar.jp/linux/3147/
$ sudo setenforce 0 # SELinuxの影響で、"/etc/resolv.conf"の書き込みができなくなっていたので、一時的に切る。 $ sudo nmcli con mod enp4s0 ipv4.ignore-auto-dns yes # これでDHCPで取得したDNSサーバーを参照しなくなる $ sudo nmcli connection modify enp4s0 +ipv4.dns 8.8.8.8 # このアドレスはGoogleのDNSサーバーらしい $ sudo systemctl restart NetworkManager $ sudo setenforce 1
改めて、 yum-cron のインストールと設定を行う。
$ sudo yum -y install yum-cron $ sudo vi /etc/yum/yum-cron.conf ---- update_cmd = default ↓ update_cmd = security # こっちに変更 apply_updates = no ↓ apply_updates = yes # yesに変更し、自動アップデートを有効に。 ---- $ sudo service yum-cron start