手当たり次第に書くんだ

飽きっぽいのは本能

CentOS6のインストール後に基本的に実装する共通設定のまとめ。

不要なサービスと機能の停止

1. ip6tablesを無効

IPv6系の設定やサービスは基本的に無効する。

[root@centos ~]# service ip6tables stop
[root@centos ~]# chkconfig ip6tables off && chkconfig ip6tables --list

2. iptablesを無効

これは必要に応じて(様々なケースがある為)無効にする。

[root@centos ~]# service iptables stop
[root@centos ~]# chkconfig ip6tables off && chkconfig iptables --list

3. SELinuxを無効

SELinuxはいらない。

[root@centos ~]# vim /etc/sysconfig/selinux
SELINUX=disabled

OSを再起動した後に下記で確認する。

[root@centos ~]# getenforce

4. IPv6を無効

IPv6はいらない。

[root@centos ~]# vim /etc/sysconfig/network
NETWORKING_IPV6=no
[root@centos ~]# vim /etc/modprobe.d/disable-ipv6.conf
options ipv6 disable=1

設定変更後はOSの再起動が必須。

5. その他必要に応じて無効にするもの

無効にしたいサービスは各々の環境によってインストールされているものが異なる為、最小構成でインストールした場合にいつも無効にするもの。

サービス名 サービス概要 必要有無
acpid 電源を管理して省電力の為の休止状態をサポートする サーバー機は電源入れっぱなしなので不要
cpuspeed 動作負荷に応じてCPUの速度を変化させて省電力効果を得る サーバー機は電源入れっぱなしなので不要
haldaemon D-BUS関連 デスクトップ環境では必要
kdump kdump 特に必要ない
mdmonitor ソフトウェアRAID関連 使用していなければ必要なし
messagebus D-BUS関連 デスクトップ環境では必要

運用関連

1. 管理ユーザの作成

管理ユーザを作成してroot昇格できるユーザーを制限し、予期せぬトラブルを未然に防止。

[root@centos ~]# useradd admin
[root@centos ~]# passwd admin
[root@centos ~]# usermod -G wheel admin
[root@centos ~]# vim /etc/pam.d/su
auth required pam_wheel.so use_uid

2. メールエイリアス

root宛のメールをローカルのユーザー(user01)へ転送する。メールシステムが構築済みであることが必須。

[root@centos ~]# vim /etc/aliases
root: user01
[root@centos ~]# newaliases

3. Yum

まずは全てのインストール済みパッケージを更新して最新の状態に。

[root@centos ~]# yum update

4. yum-cron

yum-cronをインストールして自動更新を有効にする。

[root@centos ~]# yum install yum-cron
[root@centos ~]# service yum-cron start
[root@centos ~]# chkconfig yum-cron on && chkconfig yum-cron --list

5. TCP wrapper

iptablesでも結果的に同じ効果を得られるが、同じ目的を果たすならTCP wrapperのほうが動作レイヤが高くて簡単。SSHにはやはりアクセス制限を設けておきたい。

最初にhosts.denyでsshdに対する全てのアクセスを制限し、

[root@centos ~]# vim /etc/hosts.deny
#
# hosts.deny    This file contains access rules which are used to
#               deny connections to network services that either use
#               the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               The rules in this file can also be set up in
#               /etc/hosts.allow with a 'deny' option instead.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#

sshd:   ALL # 追記

最後にhosts.allowでsshdに対して必要なアクセス(送信元が192.168.1.0/24)のみ許可する。

[root@centos ~]# vim /etc/hosts.allow
#
# hosts.allow   This file contains access rules which are used to
#               allow or deny connections to network services that
#               either use the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#

sshd:   192.168.1.0/255.255.255.0 # 追記
CentOS6 共通設定

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トップへ戻る