実現する機能

パソコンは常に悪意にさらされています。セキュリティ強化のため、セキュリティソフトの導入は当たり前でしょう。これが、サーバー用途だと、セキュリティも次元が違います。侵入させないから、侵入してもそこから先には行かせない、が当たり前です。
インストール後の初期設定は、迅速に行う必要がありますので、備忘録を残して設定漏れが無いよう気をつけています。

事前準備

GNOME端末でviコマンドを使う方法を理解しておくこと。以下の記述ではGNOME端末で表示された内容を表示しています。紫色はキーボードから入力するコマンド(コピペした方が楽ですが、コマンドは覚えられません)、緑はコマンドや処理内容の説明、白は自動表示する部分、赤は注意書きです。

GNOME端末を使っての初期設定手順

1 CentOSのアップデート

#ユーザーをrootに変更
[tu@ufuso ~]$ su –
#rootのパスワードを入力(入力内容は表示されない)
パスワード:

#インストール済パッケージの一括アップデート
[root@ufuso ~]# dnf -y upgrade
アップグレード済み:
anaconda-core-29.19.0.43-1.el8_0.x86_64
anaconda-gui-29.19.0.43-1.el8_0.x86_64
anaconda-tui-29.19.0.43-1.el8_0.x86_64
anaconda-widgets-29.19.0.43-1.el8_0.x86_64
appstream-data-8-20190215.el8_0.noarch
bind-libs-32:9.11.4-17.P2.el8_0.1.x86_64
bind-libs-lite-32:9.11.4-17.P2.el8_0.1.x86_64
bind-license-32:9.11.4-17.P2.el8_0.1.noarch
bind-utils-32:9.11.4-17.P2.el8_0.1.x86_64
blivet-data-1:3.1.0-12.el8_0.noarch
cups-filters-1.20.0-14.el8_0.1.x86_64
cups-filters-libs-1.20.0-14.el8_0.1.x86_64
edk2-ovmf-20180508gitee3198e672e2-9.el8_0.1.noarch
firefox-68.2.0-2.el8_0.x86_64
flatpak-1.0.6-3.el8_0.x86_64
flatpak-libs-1.0.6-3.el8_0.x86_64
ghostscript-9.25-2.el8_0.3.x86_64
gvfs-1.36.2-2.el8_0.1.x86_64
gvfs-afc-1.36.2-2.el8_0.1.x86_64
gvfs-afp-1.36.2-2.el8_0.1.x86_64
gvfs-archive-1.36.2-2.el8_0.1.x86_64
gvfs-client-1.36.2-2.el8_0.1.x86_64
gvfs-fuse-1.36.2-2.el8_0.1.x86_64
gvfs-goa-1.36.2-2.el8_0.1.x86_64
gvfs-gphoto2-1.36.2-2.el8_0.1.x86_64
gvfs-mtp-1.36.2-2.el8_0.1.x86_64
gvfs-smb-1.36.2-2.el8_0.1.x86_64
libgs-9.25-2.el8_0.3.x86_64
libiscsi-1.18.0-7.module_el8.0.0+189+f9babebb.x86_64
libssh2-1.8.0-8.module_el8.0.0+189+f9babebb.1.x86_64
libvirt-daemon-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-config-network-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-interface-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-network-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-nodedev-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-nwfilter-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-qemu-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-secret-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-core-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-disk-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-gluster-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-iscsi-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-logical-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-mpath-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-rbd-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-driver-storage-scsi-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-daemon-kvm-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
libvirt-libs-4.5.0-24.3.module_el8.0.0+189+f9babebb.x86_64
mesa-dri-drivers-18.3.1-5.el8_0.x86_64
mesa-filesystem-18.3.1-5.el8_0.x86_64
mesa-libEGL-18.3.1-5.el8_0.x86_64
mesa-libGL-18.3.1-5.el8_0.x86_64
mesa-libgbm-18.3.1-5.el8_0.x86_64
mesa-libglapi-18.3.1-5.el8_0.x86_64
mutter-3.28.3-19.el8_0.x86_64
netcf-libs-0.2.8-11.module_el8.0.0+189+f9babebb.x86_64
nspr-4.21.0-2.el8_0.x86_64
nss-3.44.0-7.el8_0.x86_64
nss-softokn-3.44.0-7.el8_0.x86_64
nss-softokn-freebl-3.44.0-7.el8_0.x86_64
nss-sysinit-3.44.0-7.el8_0.x86_64
nss-util-3.44.0-7.el8_0.x86_64
osinfo-db-20181011-8.el8_0.1.noarch
pango-1.42.4-5.el8_0.x86_64
podman-1.0.5-1.gitf604175.module_el8.0.0+194+ac560166.x86_64
poppler-0.66.0-11.el8_0.12.x86_64
poppler-glib-0.66.0-11.el8_0.12.x86_64
poppler-utils-0.66.0-11.el8_0.12.x86_64
python3-bind-32:9.11.4-17.P2.el8_0.1.noarch
python3-blivet-1:3.1.0-12.el8_0.noarch
python3-kickstart-3.16.4-1.el8_0.noarch
qemu-guest-agent-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-img-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-block-curl-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-block-gluster-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-block-iscsi-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-block-rbd-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-block-ssh-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-common-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
qemu-kvm-core-15:2.12.0-65.module_el8.0.0+189+f9babebb.5.x86_64
seabios-bin-1.11.1-4.module_el8.0.0+189+f9babebb.noarch
seavgabios-bin-1.11.1-4.module_el8.0.0+189+f9babebb.noarch
sgabios-bin-1:0.20170427git-3.module_el8.0.0+189+f9babebb.noarch
wget-1.19.5-7.el8_0.1.x86_64
xorg-x11-server-Xorg-1.20.3-5.2.el8_0.x86_64
xorg-x11-server-Xwayland-1.20.3-5.2.el8_0.x86_64
xorg-x11-server-common-1.20.3-5.2.el8_0.x86_64
bash-4.4.19-8.el8_0.x86_64
bind-export-libs-32:9.11.4-17.P2.el8_0.1.x86_64
bpftool-4.18.0-80.11.2.el8_0.x86_64
cockpit-185.1-1.el8_0.x86_64
cockpit-bridge-185.1-1.el8_0.x86_64
cockpit-system-185.1-1.el8_0.noarch
cockpit-ws-185.1-1.el8_0.x86_64
device-mapper-multipath-0.7.8-7.el8_0.2.x86_64
device-mapper-multipath-libs-0.7.8-7.el8_0.2.x86_64
dracut-049-10.git20190115.el8_0.1.x86_64
dracut-config-rescue-049-10.git20190115.el8_0.1.x86_64
dracut-network-049-10.git20190115.el8_0.1.x86_64
dracut-squash-049-10.git20190115.el8_0.1.x86_64
grub2-common-1:2.02-66.el8_0.1.noarch
grub2-pc-1:2.02-66.el8_0.1.x86_64
grub2-pc-modules-1:2.02-66.el8_0.1.noarch
grub2-tools-1:2.02-66.el8_0.1.x86_64
grub2-tools-extra-1:2.02-66.el8_0.1.x86_64
grub2-tools-minimal-1:2.02-66.el8_0.1.x86_64
initscripts-10.00.1-1.el8_0.1.x86_64
iptables-1.8.2-9.el8_0.1.x86_64
iptables-ebtables-1.8.2-9.el8_0.1.x86_64
iptables-libs-1.8.2-9.el8_0.1.x86_64
kernel-tools-4.18.0-80.11.2.el8_0.x86_64
kernel-tools-libs-4.18.0-80.11.2.el8_0.x86_64
kmod-25-11.el8_0.2.x86_64
kmod-kvdo-6.2.0.293-53.el8_0.x86_64
kmod-libs-25-11.el8_0.2.x86_64
kpartx-0.7.8-7.el8_0.2.x86_64
libdnf-0.22.5-5.el8_0.x86_64
libipa_hbac-2.0.0-43.el8_0.3.x86_64
libnfsidmap-1:2.3.3-14.el8_0.2.x86_64
libsss_autofs-2.0.0-43.el8_0.3.x86_64
libsss_certmap-2.0.0-43.el8_0.3.x86_64
libsss_idmap-2.0.0-43.el8_0.3.x86_64
libsss_nss_idmap-2.0.0-43.el8_0.3.x86_64
libsss_sudo-2.0.0-43.el8_0.3.x86_64
microcode_ctl-4:20180807a-2.20190618.1.el8_0.x86_64
net-snmp-libs-1:5.8-7.el8_0.2.x86_64
nfs-utils-1:2.3.3-14.el8_0.2.x86_64
p11-kit-0.23.14-5.el8_0.x86_64
p11-kit-server-0.23.14-5.el8_0.x86_64
p11-kit-trust-0.23.14-5.el8_0.x86_64
platform-python-3.6.8-4.el8_0.x86_64
python3-hawkey-0.22.5-5.el8_0.x86_64
python3-libdnf-0.22.5-5.el8_0.x86_64
python3-libs-3.6.8-4.el8_0.x86_64
python3-perf-4.18.0-80.11.2.el8_0.x86_64
python3-rpm-4.14.2-11.el8_0.x86_64
python3-sssdconfig-2.0.0-43.el8_0.3.noarch
rpm-4.14.2-11.el8_0.x86_64
rpm-build-libs-4.14.2-11.el8_0.x86_64
rpm-libs-4.14.2-11.el8_0.x86_64
rpm-plugin-selinux-4.14.2-11.el8_0.x86_64
rpm-plugin-systemd-inhibit-4.14.2-11.el8_0.x86_64
selinux-policy-3.14.1-61.el8_0.2.noarch
selinux-policy-targeted-3.14.1-61.el8_0.2.noarch
setup-2.12.2-2.el8.noarch
sos-3.6-10.el8_0.3.noarch
sssd-2.0.0-43.el8_0.3.x86_64
sssd-ad-2.0.0-43.el8_0.3.x86_64
sssd-client-2.0.0-43.el8_0.3.x86_64
sssd-common-2.0.0-43.el8_0.3.x86_64
sssd-common-pac-2.0.0-43.el8_0.3.x86_64
sssd-ipa-2.0.0-43.el8_0.3.x86_64
sssd-kcm-2.0.0-43.el8_0.3.x86_64
sssd-krb5-2.0.0-43.el8_0.3.x86_64
sssd-krb5-common-2.0.0-43.el8_0.3.x86_64
sssd-ldap-2.0.0-43.el8_0.3.x86_64
sssd-nfs-idmap-2.0.0-43.el8_0.3.x86_64
sssd-proxy-2.0.0-43.el8_0.3.x86_64
systemd-239-13.el8_0.5.x86_64
systemd-container-239-13.el8_0.5.x86_64
systemd-libs-239-13.el8_0.5.x86_64
systemd-pam-239-13.el8_0.5.x86_64
systemd-udev-239-13.el8_0.5.x86_64
vdo-6.2.0.298-10.el8_0.x86_64

インストール済み:
kernel-4.18.0-80.11.2.el8_0.x86_64
kernel-core-4.18.0-80.11.2.el8_0.x86_64
kernel-modules-4.18.0-80.11.2.el8_0.x86_64
xorg-x11-drv-fbdev-0.5.0-2.el8.x86_64
xorg-x11-drv-vesa-2.4.0-3.el8.x86_64
grub2-tools-efi-1:2.02-66.el8_0.1.x86_64

完了しました!

2 通常はインターネットプロバイダから支給されたルーターにファイアウォールが設定されているので、サーバーのファイアウォールは停止

#プロバイダ提供のルーターのファイアウォールを使うのでソフトは停止
[root@ufuso ~]# systemctl stop firewalld

#ファイアウォール自動起動停止
[root@ufuso ~]# systemctl disable firewalld

Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

3 管理者rootになれるユーザを制限する

#rootユーザーをtuに限定する
[root@ufuso ~]# usermod -G wheel tu

#ユーザー認証ファイルの編集
[root@ufuso ~]# vi /etc/pam.d/su

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth           required     pam_wheel.so use_uid ← #を削除してroot
ユーザーになる者を限定
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so

4 EPELリポジトリ導入

#epel-releaseインストール
[root@ufuso ~]# dnf -y install epel-release
トランザクションを実行中
準備 : 1/1
Installing : epel-release-8-5.el8.noarch 1/1
scriptletの実行中: epel-release-8-5.el8.noarch 1/1
検証 : epel-release-8-5.el8.noarch 1/1
インストール済み:
epel-release-8-5.el8.noarch

完了しました!
#自動起動しないようにする
[root@ufuso ~]# vi /etc/yum.repos.d/epel.repo
[epel]
name=Extra Packages for Enterprise Linux $releasever – $basearch
#baseurl=https://download.fedoraproject.org/pub/epel/$releasever/Everything/$basearch
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir
failovermethod=priority
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-$releasever

※epelを使う場合には、dnf --enablerepo=epelinstallのように、朱書部分を加える。

5 ELRepoリポジトリ導入

#elrepo repositoryをインストール
[root@ufuso ~]# dnf -y install elrepo-release
インストール済み:
elrepo-release-8.0-2.el8.elrepo.noarch

完了しました!

#自動起動しないようにする
[root@ufuso ~]# vi /etc/yum.repos.d/elrepo.repo
[elrepo]
name=ELRepo.org Community Enterprise Linux Repository – el8
baseurl=http://elrepo.org/linux/elrepo/el8/$basearch/
http://mirrors.coreix.net/elrepo/elrepo/el8/$basearch/
http://jur-linux.org/download/elrepo/elrepo/el8/$basearch/
http://repos.lax-noc.com/elrepo/elrepo/el8/$basearch/
mirrorlist=http://mirrors.elrepo.org/mirrors-elrepo.el8
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-elrepo.org
protect=0

※elrepoを使う場合には、dnf --enablerepo=elrepo installのように、朱書部分を加える。

6 REMIリポジトリ導入

#Remi’s RPM repositoryをインストール
[root@ufuso ~]# dnf -y install https://rpms.remirepo.net/enterprise/remi-release-8.rpm
インストール済み:
remi-release-8.0-4.el8.remi.noarch

完了しました!

#収録リポジトリ一覧
[root@ufuso ~]# rpm -ql remi-release
/etc/pki/rpm-gpg/RPM-GPG-KEY-remi
/etc/pki/rpm-gpg/RPM-GPG-KEY-remi.el8
/etc/pki/rpm-gpg/RPM-GPG-KEY-remi2017
/etc/pki/rpm-gpg/RPM-GPG-KEY-remi2018
/etc/pki/rpm-gpg/RPM-GPG-KEY-remi2019
/etc/yum.repos.d/remi-modular.repo
/etc/yum.repos.d/remi-safe.repo
/etc/yum.repos.d/remi.repo

※remiを使う場合には、dnf –enablerepo=remi installのように、リポジトリ一覧からrepoを選んで朱書部分を加える。

7 SELinuxが有効であることを確認

#SELinuxが起動しているか確認。「Enforcing」と表示されればOK
[root@ufuso ~]# getenforce
Enforcing

※起動していない場合には、setenforce 1と入力して「Enter」キーを押す。停止する場合には、「setenforce 0 を入力して「Enter」キー押下。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください