CentOS memo
CentOS7環境における雑多な覚書です。必要に応じて適宜内容は追記されますが、網羅的ではありません。
ドメイン名の設定
domainnameコマンドを使用します。引数なしで実行した場合は下記の通りの結果となります。
# domainname (none)
ドメイン名を引数として与えると反映されます。なお、実行時にはroot権限が必要です。
# domainname mr-nini.jp
改めて引数なしで実行すれば設定内容が反映されている事が確認出来ます。
なお、これはnslookup等で使用されるドメイン名とは関係ありません。nslookupでドメイン名を省略した時に自動的に補完されるものに関してはnmtuiコマンド等を使用して「検索ドメイン」を設定し、resolv.confに「search DOMAINNAME」が足されるようにする必要があります。
※CentOS7のデフォルト環境ではNetworkManagerにより設定ファイルが管理されているので、直接編集しても再起動毎に上書きされてしまいます
BIND起動時のエラー抑制
named起動時に「network unreachable resolving~」というエラーが多量に/var/log/messagesに出力されるのを何とかしたい場合は、IPv6に対する適切な設定をするか、若しくは「/etc/sysconfig/named」に「OPTIONS=”-4″」と記述してからnamedを再起動します。
他にもログ自体を出力させないとか、IPv6ポートを使用禁止にするとかありますが、手元の環境ではIPv6を使用しないことで特段不都合は無いので解説は割愛です。
複数IPアドレスの設定
時として、ひとつのサーバに複数のIPアドレスを必要とする事があります。複数のNICに単一の~ではなく、単一のNICに複数のIPアドレスを~です。
その場合、nmtuiコマンドで該当NICの設定を開き、IPアドレスの「追加」で実施します。設定後は「systemctl network restart」を実施して反映させます。
ちなみにifconfigコマンドはobsoletedになっていますので「ip a」コマンドを用いて追加されたIPアドレスが反映されているかを確認します(yumを用いてifconfigコマンドを追加導入する事が出来ますが、ifconfig -aコマンドを実行しても追加されたIPアドレスは表示されません)。
AllowZoneDriftingの無効化
最近のCentOSの更新を適用すると、起動時に下記のようなエラーが出力されます。
WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now
パケットが複数のゾーンに入る事を許可する設定はinsecureなので将来的なリリースでは削除されますので、デフォルトで有効になっているものを無効化してくださいという趣旨です。
/etc/firewalld/firewalld.conf内に「AllowZoneDrifting=yes」という行があるので「yes」を「no」に書き換えて保存し、「systemctl firewalld restart」しましょう。
なお、念のため想定される通信を一通りテストして、今回の変更でブロックされないかも確認してください。
ClamAVの導入
ClamAVとは、アンチウイルスプロジェクト「Clam AntiVirus」または、プロジェクトが提供しているアンチウイルスソフトウェアのことです。
Linux環境はWindowsよりもウイルスないしマルウェア、トロイの木馬が少ないと言われていますが、決してその数はゼロではありませんし、また、ターゲットを指定しない形での攻撃は日常的に行なわれていますので、外部公開サーバであれば導入しておくべきでしょう。
epelレポジトリを導入していれば、yumから導入が可能です。そしてepelレポジトリは標準の状態からyumで導入可能です。
# yum install epel-release
epelレポジトリを使用する場合は「–enablerepo=epel」を指定します。
# yum install --enablerepo=epel clamav clamav-data clamav-devel clamav-filesystem clamav-update clamd
導入後はfreshclamコマンドを使用して、ウイルス定義を更新します。
更新後、実際にウイルス検知を実施する場合は「clamscan」コマンドを実行します。
# clamscan --infected --recursive /home
上記のコマンドの場合、「/home」配下を再帰的にチェックします(–recursive)。–infectedオプションを指定すると、ウイルスと思しきファイル群のみ出力されます。「–remove」オプションを付与すると、ウイルスと思しきファイルを自動削除しますが、削除しても問題無いという場合の除き指定はしません。
ClamAVはデーモンモードで常駐させる事が出来ます。
※編集中
