はじめに
CentOS7をインストールした自宅サーバーに関する設定方針を記載する。
構成と各ホストの主な役割
構成図を参照する。
方針
サンプル用の設定値
- ドメイン名は「mydomain.com」とする。
- LDAPのSuffixは「dc=mydomain,dc=com」とする。
仮想化
- KVMを用いて仮想化する。KVMホストはハイパーバイザーとしてのみ機能し、サービスを提供するサーバーはKVMゲストのみとする。
ネットワーク
- NetworkManagerは使用しない。CentOS7ではNetworkManagerを使用してネットワーク設定を行うことを推奨しているが、現段階では非常に中途半端な完成度と思った。CentOS8で更に成熟しているようなら検討しようと思う(VyOSのように設定できれば良いと思っている)。
- NIC名は従来の形式(eth[x])に変更する。
- IPv6は無効化する。
- インターネットに公開するサーバーと内部で使用するサーバーは分離する。
セキュリティ
- selinuxは無効化する。本来であれば無効にしないほうがセキュリティリスクが少ないが、有効にすると管理がとても煩雑となるため無効にする方針とした(将来的には有効にしたい)。
- CentOS7上のファイアウォールは無効化する。各ホストはTCP Wrapper及び各サービスで最低限のアクセス制御を実施しており、且つ途中経路上のファイアウォールでもアクセス制御を行っていることから、無効にする方針とした。
- 内部通信であっても極力暗号化する。
監視
- リソース監視にはZabbixを使用(EPELからインストール)する。
管理
- etckeeperを使用して/etc配下のバージョンを管理する。
- yum-cronを使用してシステムの自動更新を行う。
- シリアルコンソールでの接続を有効にする。
- リポジトリは最小限とする。
CentOS7 設定方針