AlmaLinux 8.6
AlmaLinux 8.6 セットアップメモ
Section 1.2 標準最小構成化
About
最小構成でインストールしていても、不要なパッケージが含まれていたりするので、そういうモノを削除します。最も、ハードウェアによって状況が異なるのでそこはそこで調整してください。仮想マシン上に構築する場合は概ねこの処理で問題無いと思います。
まずは、リモートからputtyを使ってrootでログイン。
login as: root
root@xxx.xxx.xxx.xxx's password: (表示されないけれどパスワード)
[root@localhost ~]#
パッケージ整理
不要になるパッケージを削除していきます。dnf というパッケージ管理ツールを使って行きます。
まずは、wireless アダプターのドライバ。PCに直接インストールしている場合は、これを消すとネットワークが死ぬ可能性もあるのでその場合は削除しないでください。
[root@localhost ~]# dnf remove iwl100-firmware-39.31.5.1-107.el8.1.noarch \
iwl1000-firmware-39.31.5.1-107.el8.1.noarch \
iwl105-firmware-18.168.6.1-107.el8.1.noarch \
iwl135-firmware-18.168.6.1-107.el8.1.noarch \
iwl2000-firmware-18.168.6.1-107.el8.1.noarch \
iwl2030-firmware-18.168.6.1-107.el8.1.noarch \
iwl3160-firmware-25.30.13.0-107.el8.1.noarch \
iwl5000-firmware-8.83.5.1_1-107.el8.1.noarch \
iwl5150-firmware-8.24.2.2-107.el8.1.noarch \
iwl6000-firmware-9.221.4.1-107.el8.1.noarch \
iwl6000g2a-firmware-18.168.6.1-107.el8.1.noarch \
iwl6050-firmware-41.28.5.1-107.el8.1.noarch \
iwl7260-firmware-25.30.13.0-107.el8.1.noarch
(中略)
これでよろしいですか? [y/N]: y
これ以外にも消して構わないものもあるのですが、なにかと使う可能性がありそうなので残しています。
アップデート
インストール直後でもパッケージのアップデートがかかっていると思われるので、パッケージの更新を行います。
運用に入ってからは、試験してから本番もアップデートするほうがいいです。 パッケージングに失敗して、confが飛ぶというバグが含まれていたこともありますので……
[root@localhost ~]# dnf -y update
(中略)
完了しました!
[root@localhost ~]#
ユーザーの追加
いつまでもrootユーザーでSSHログインしているのはセキュリティ的によろしくないので、普段使いのユーザーを追加します。
仮想マシンを使うときは、vagrant を使っているので、この説明の中でも vagrant ユーザーを追加して使っていきたいと思います。
[root@localhost ~]# useradd vagrant -G wheel
[root@localhost ~]#
主にメンテナンスを行うユーザーであるので、wheelグループ にも追加しています。
SSHでログインするための鍵を作成します。
[root@localhost ~]# su - vagrant
[vagrant@localhost ~]$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/home/vagrant/.ssh/id_rsa):(何も入力しない)
Created directory '/home/vagrant/.ssh'.
Enter passphrase (empty for no passphrase):(パスワード)
Enter same passphrase again:(上で入力したのと同じパスワード)
Your identification has been saved in /home/vagrant/.ssh/id_rsa.
Your public key has been saved in /home/vagrant/.ssh/id_rsa.pub.
The key fingerprint is:
(中略)
[vagrant@localhost ~]$ cd .ssh
[vagrant@localhost .ssh]$ ls
id_rsa id_rsa.pub
[vagrant@localhost .ssh]$ mv id_rsa.pub authorized_keys
[vagrant@localhost .ssh]$ mv id_rsa vagrant.localhost.rsa.key
[vagrant@localhost .ssh]$ ls
authorized_keys vagrant.localhost.rsa.key
[vagrant@localhost .ssh]$ cat vagrant.localhost.rsa.key
-----BEGIN RSA PRIVATE KEY-----
(中略)
-----END RSA PRIVATE KEY-----
[vagrant@localhost .ssh]$
表示された秘密鍵の内容を、puttyを起動しているPC上の適当なファイルに保存します。この鍵を使って、puttyで使えるように変換するなどして、鍵を使ってログインできるようにしましょう。
SSHの設定変更
rootログインの制限と、ログイン方式の制限をかけます。これを仮想マシンに設定してしまうといろいろ大変で無駄な労力を割くことになりかねないので、外部に公開する者にはこういう設定をしましょうという事を憶えておけば良いと思っています。
[vagrant@localhost .ssh]$ logout
[root@localhost ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org
[root@localhost ~]# vi /etc/ssh/sshd_config
*** /etc/ssh/sshd_config.org YYYY-mm-dd hh:ii:ss.000000000 +0900
--- /etc/ssh/sshd_config YYYY-mm-dd hh:ii:ss.000000000 +0900
***************
*** 39,51 ****
# Authentication:
! #LoginGraceTime 2m
! PermitRootLogin yes
#StrictModes yes
! #MaxAuthTries 6
#MaxSessions 10
! #PubkeyAuthentication yes
# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
--- 39,51 ----
# Authentication:
! LoginGraceTime 1m
! PermitRootLogin no
#StrictModes yes
! MaxAuthTries 3
#MaxSessions 10
! PubkeyAuthentication yes
# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
ログインを試みることのできる接続時間、rootログインを許すかのフラグ、認証を試みることのできる最大回数、公開鍵認証を許可するかどうか、の設定を変えています。
***************
*** 67,73 ****
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
! PasswordAuthentication yes
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
--- 67,73 ----
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
! PasswordAuthentication no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
パスワード認証でのログインを無効に。
***************
*** 103,109 ****
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
! X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
--- 103,109 ----
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
! X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
最後は使わないので、X11フォワーディングを無効にしています。
保存したらサービスを再起動してください。
[root@localhost ~]# systemctl restart sshd
[root@localhost ~]#
サービス再起動後にrootでログインできない事と、鍵方式でログインできる事を確認しましょう。
PAMの設定変更
上記で、wheelグループを使うことにしていますので、pamの設定を変更してrootになる事のできるユーザを制限します。
[root@localhost ~]# cp /etc/pam.d/su /etc/pam.d/~su.org
[root@localhost ~]# vi /etc/pam.d/su
*** /etc/pam.d/~su.org YYYY-mm-dd hh:ii:ss.000000000 +0900
--- /etc/pam.d/su YYYY-mm-dd hh:ii:ss.000000000 +0900
***************
*** 4,10 ****
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
! #auth required pam_wheel.so use_uid
auth substack system-auth
auth include postlogin
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
--- 4,10 ----
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
! auth required pam_wheel.so use_uid
auth substack system-auth
auth include postlogin
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
[root@localhost ~]#
時刻同期設定
Chrony というパッケージを使って同期を行うので、その設定を行います。
インストール済みだと思うので確認ついでにinstallコマンドを実行します。
[root@localhost ~]# dnf -y install chrony
時刻同期は、GPSや原子時計を使って時刻を正確に刻んでいるntpサーバー(Stratum1)などから、ネットワーク経由で時刻情報を得て自分の時間を合わせるという仕組みを持っています。
[root@localhost ~]# cp /etc/chrony.conf /etc/chrony.conf.org
[root@localhost ~]# vi /etc/chrony.conf
*** /etc/chrony.conf.org YYYY-mm-dd hh:ii:ss.000000000 +0900
--- /etc/chrony.conf YYYY-mm-dd hh:ii:ss.000000000 +0900
***************
***************
*** 1,6 ****
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
! pool 2.cloudlinux.pool.ntp.org iburst
# Record the rate at which the system clock gains/losses time.
driftfile /var/lib/chrony/drift
--- 1,7 ----
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
! #pool 2.cloudlinux.pool.ntp.org iburst
! pool ntp.jst.mfeed.ad.jp iburst
# Record the rate at which the system clock gains/losses time.
driftfile /var/lib/chrony/drift
[root@localhost ~]#
大きくずれていると問題が出そうなので、コマンドを使って一度、時刻同期します。
[root@localhost ~]# chronyc makestep
200 OK
[root@localhost root]#
後はサービスの有効化と、サービスを起動しておきましょう。
[root@localhost ~]# systemctl enable chronyd
[root@localhost ~]# systemctl start chronyd
SELinuxの無効化
どうしても有効化して欲しいのかだんだんと強制力が高まってきていますが、慣れていたとしてもいろいろ試す状況下では辛いだけなので無効化しておきます。
有効になっているかどうかはgetenforce
コマンドでわかるのですが、簡単なのは ls だと思っている……
[root@localhost ~]# getenforce
Enforcing
[root@localhost ~]# ls -Z
system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
ls に Z オプションをつけると、SELinuxのラベルが見れます。無効化されると出てこなくなるのでgetenforce
コマンドが思い出せないときはZつけて確認していたり……
さておき、無効化の設定をします。
[root@localhost ~]# cp /etc/selinux/config /etc/selinux/config.org
[root@localhost ~]# cat /etc/selinux/config.org | sed -E "s/^(SELINUX=)(.*$)/\1disabled/" > /etc/selinux/config
どう書き換わったかというとdiffの通り。
*** /etc/selinux/config.org YYYY-mm-dd hh:ii:ss.000000000 +0900
--- /etc/selinux/config YYYY-mm-dd hh:ii:ss.000000000 +0900
***************
*** 4,10 ****
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
! SELINUX=enforcing
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
--- 4,10 ----
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
! SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
これで先どうすればSELinuxが無効化されます。
とりあえず、ここまでで最小構成化が完了となります。