実現する機能

パソコンは常に悪意にさらされています。セキュリティ強化のため、セキュリティソフトの導入は当たり前でしょう。これが、サーバー用途だと、セキュリティも次元が違います。侵入させないから、侵入してもそこから先には行かせない、が当たり前です。
インストール後の初期設定は、迅速に行う必要がありますので、備忘録を残して設定漏れが無いよう気をつけています。

事前準備

GNOME端末でviコマンドを使う方法を理解しておくこと。以下の記述ではGNOME端末で表示された内容を表示しています。紫色はキーボードから入力するコマンド(コピペした方が楽ですが、コマンドは覚えられません)、緑はコマンドや処理内容の説明、白は自動表示する部分、赤は注意書きです。

GNOME端末を使っての初期設定手順

1 CentOS-Streamのアップデート

#ユーザーをrootに変更
[tu@ufuso ~]$ su –
#rootのパスワードを入力(入力内容は表示されない)
パスワード:

#インストール済パッケージの一括アップデート
[root@ufuso ~]# dnf -y upgrade
依存関係が解決しました。
行うべきことはありません。
完了しました!

2 通常はインターネットプロバイダから支給されたルーターにファイアウォールが設定されているので、サーバーのファイアウォールは停止

#プロバイダ提供のルーターのファイアウォールを使うのでソフトは停止
[root@ufuso ~]# systemctl stop firewalld

#ファイアウォール自動起動停止
[root@ufuso ~]# systemctl disable firewalld

Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

3 管理者rootになれるユーザを制限する

#rootユーザーをtuに限定する
[root@ufuso ~]# usermod -G wheel tu

#ユーザー認証ファイルの編集
[root@ufuso ~]# vi /etc/pam.d/su

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth           required     pam_wheel.so use_uid ← #を削除してroot
ユーザーになる者を限定
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so

4 EPELリポジトリ導入

#epel-releaseインストール
[root@ufuso ~]# dnf -y install epel-release
トランザクションを実行中
準備 : 1/1
インストール中 : epel-release-8-11.el8.noarch 1/2
インストール中 : epel-next-release-8-11.el8.noarch 2/2
scriptletの実行中: epel-next-release-8-11.el8.noarch 2/2
検証 : epel-next-release-8-11.el8.noarch 1/2
検証 : epel-release-8-11.el8.noarch 2/2

インストール済み:
epel-next-release-8-11.el8.noarch epel-release-8-11.el8.noarch

完了しました!
#自動起動しないようにする
[root@ufuso ~]# vi /etc/yum.repos.d/epel.repo
[epel]
name=Extra Packages for Enterprise Linux $releasever – $basearch
# It is much more secure to use the metalink, but if you wish to use a local mirror
# place it’s address here.
#baseurl=https://download.example/pub/epel/$releasever/Everything/$basearch
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir
enabled=0
gpgcheck=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-8

※epelを使う場合には、dnf --enablerepo=epelinstallのように、朱書部分を加える。

5 ELRepoリポジトリ導入

#elrepo repositoryをインストール
[root@ufuso ~]# dnf -y install elrepo-release
トランザクションを実行中
準備 : 1/1
インストール中 : elrepo-release-8.1-1.el8.elrepo.noarch 1/1
検証 : elrepo-release-8.1-1.el8.elrepo.noarch 1/1

インストール済み:
elrepo-release-8.1-1.el8.elrepo.noarch

完了しました!

#自動起動しないようにする
[root@ufuso ~]# vi /etc/yum.repos.d/elrepo.repo
[elrepo]
name=ELRepo.org Community Enterprise Linux Repository – el8
baseurl=http://elrepo.org/linux/elrepo/el8/$basearch/
http://mirrors.coreix.net/elrepo/elrepo/el8/$basearch/
http://mirror.rackspace.com/elrepo/elrepo/el8/$basearch/
http://repos.lax-noc.com/elrepo/elrepo/el8/$basearch/
mirrorlist=http://mirrors.elrepo.org/mirrors-elrepo.el8
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-elrepo.orgi:

※elrepoを使う場合には、dnf --enablerepo=elrepo installのように、朱書部分を加える。

6 REMIリポジトリ導入

#Remi’s RPM repositoryをインストール
[root@ufuso ~]# dnf -y install https://rpms.remirepo.net/enterprise/remi-release-8.rpm
トランザクションを実行中
準備 : 1/1
インストール中 : remi-release-8.5-2.el8.remi.noarch 1/1
検証 : remi-release-8.5-2.el8.remi.noarch 1/1

インストール済み:
remi-release-8.5-2.el8.remi.noarch

完了しました!

※remiを使う場合には、dnf –enablerepo=remi installのように、リポジトリ一覧からrepoを選んで朱書部分を加える。

7 SELinuxが有効であることを確認

#SELinuxが起動しているか確認。「Enforcing」と表示されればOK
[root@ufuso ~]# getenforce
Enforcing

※起動していない場合には、setenforce 1と入力して「Enter」キーを押す。停止する場合には、「setenforce 0 を入力して「Enter」キー押下。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください