[Memo2021][ITPASS]OSの各種設定
- 構築作業用アカウントの作成
- chikuwaX アカウントの作成
- テストユーザの削除
- アカウントリスト
- sudo の設定
- APT の設定
- APT-LINE の修正
- GPG 鍵の登録
- セキュリティアップデート
- パスワード認証の拒否と root ログインの拒否設定
- /etc/init.d/ 以下の不要なネットワークサービスの停止
- その他の /etc/init.d 以下から起動される不要なネットワークサービスの停止
- /usr/sbin/inetd によって起動されるネットワークサービスの停止
- NetworkManager の停止
- OS が認識しているメモリの確認
- 時刻の設定
- debianパッケージの引き継ぎ
- システムの文字コードの設定
- システムログの保管期間を 3 ヶ月にする
構築作業用アカウントの作成
ITPASS サーバを構築する際には, 普段自分が使用しているアカウント名ではなく, 構築作業用のアカウントを作成する.
chikuwaX アカウントの作成
テストユーザ "test" でログインし, chikuwaX アカウントを作成した. (X は適当な数字).
その後, 作成したアカウントでログインし, test ユーザをログアウトした.
テストユーザの削除
OS のインストール時に作成したテストユーザ "test" を uid も含めて削除した.
chikuwaX でログインし, /etc/deluser.conf を編集する.
$ su root パスワード:適切なパスワードを入力 # vi /etc/deluser.conf
/etc/deluser.conf を以下のように書き換える.
REMOVE_HOME = 1 REMOVE_ALL_FILES = 1
この後,
# /sbin/deluser test
を実行して test を削除した.
アカウントリスト
以下に, 作成した chikuwa アカウントリストを示す.
- chikuwa0 (40000): 高橋
- chikuwa1 (40001): 青木
- chikuwa2 (40002): 伊藤
- chikuwa3 (40003): 黒木
- chikuwa4 (40004): 田村
- chikuwa5 (40005): 入場
- chikuwa6 (40006): 服部
- chikuwa7 (40007): 岩谷
- chikuwa8 (40008): 岡田
- chikuwa9 (40009):
sudo の設定
/etc/sudoers の編集
chikuwaX でログインし, root になる.
# su root パスワード:適切なパスワードを入力
以下のコマンドを入力し, sudoers ファイルを編集する.
# apt install vim # export EDITOR=vim # apt install sudo # visudo
文末に以下を追加した.
chikuwaX ALL=(ALL) ALL
アカウント登録しているユーザーを追加後, 保存した.
root になれるかの確認
sudo で root 権限を得られることを確認した.
APT の設定
APT の設定および, セキュリティアップデートを行う.
APT-LINE の修正
既にある sources.list を sources.list.org としてバックアップした.
# cp /etc/apt/sources.list /etc/apt/sources.list.org
sources.list を編集して下のように記述した.
# vi /etc/apt/sources.list
- sources.list には, このページ を参考にして以下のような内容を記述する. ただし, Debian のバージョンに応じてコード名 (bullseye など) を適切に変更すること.
sources.list に以下の内容を記述した.
deb http://deb.debian.org/debian/ bullseye main contrib non-free deb-src http://deb.debian.org/debian/ bullseye main contrib non-free
deb http://security.debian.org/debian-security bullseye-security main contrib non-free deb-src http://security.debian.org/debian-security bullseye-security main contrib non-free
deb http://www.gfd-dennou.org/library/cc-env/Linux/debian-dennou bullseye main deb-src http://www.gfd-dennou.org/library/cc-env/Linux/debian-dennou bullseye main
GPG 鍵の登録
地球流体電脳倶楽部のパッケージを取得するには apt-key によって鍵を登録する必要がある.
debian-keyring を取得した.
# apt install debian-keyring
その後 keyring から公開鍵を取り出し apt-key へ登録した.
# gpg --keyring /usr/share/keyrings/debian-maintainers.gpg \ --export -a 891D7E07 | sudo apt-key add -
セキュリティアップデート
利用できる Debian のパッケージのリストを更新した.
# apt update
セキュリティアップデートを行った.
# apt upgrade
パスワード認証の拒否と root ログインの拒否設定
ssh サーバの設定を変更した. 公開鍵認証を有効にし, パスワード認証と PAM を無効にした. また root ログインを無効にした.
# vi /etc/ssh/sshd_config PermitRootLogin no : PasswordAuthentication no : UsePAM no
最後に ssh デーモンを再起動した.
# systemctl restart ssh.service
その他の /etc/init.d 以下から起動される不要なネットワークサービスの停止
下のコマンドにより nfs が起動しているかどうか確認する.
# systemctl | lv
"nfs" の文字を含むサービスはなく, 起動していなかった.
/usr/sbin/inetd によって起動されるネットワークサービスの停止
openbsd-inetd をインストールする.
# apt install openbsd-inetd
/etc/inetd.conf を編集して不要なサービスが上がらないようにする.
# vi /etc/inetd.conf
で全てがコメントアウトされているのを確認し, inetd のプロセスを再起動した.
# systemctl restart inetd
NetworkManager の停止
サーバー運用上, NetworkManager では Network の詳細な設定が難しいと考えられるため, NetworkManager を停止して従来の方法で Network の設定を行う. 以下のように NetworkManager を停止させた.
まず, ネットワーク関係の様々なコマンドを使うために, net-tools, resolvconf パッケージをインストールした.
# apt install net-tools resolvconf
そして, ネットワークインターフェース名を確認した.
# ip addr show 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether b4:2e:99:d2:9c:f0 brd ff:ff:ff:ff:ff:ff altname enp0s31f6 3: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 68:05:ca:b9:e5:b0 brd ff:ff:ff:ff:ff:ff inet 133.30.109.21/24 brd 133.30.109.255 scope global noprefixroute enp2s0 valid_lft forever preferred_lft forever inet6 fe80::6a05:caff:feb9:e5b0/64 scope link noprefixroute valid_lft forever preferred_lft forever
以上の準備後に, NetworkManager の設定を変更した.
起動時に NetworkManager が立ち上がらないようにした.
# systemctl disable NetworkManager
次に, NetworkManager を使わずにネットワークに接続するために, /etc/network/interfaces に以下を追記した.
allow-hotplug enp2s0 iface enp2s0 inet static address 133.30.109.21 netmask 255.255.255.0 network 133.30.109.0 broadcast 133.30.109.255 gateway 133.30.109.254 dns-nameservers 133.30.14.2 133.30.14.3 133.30.8.2 dns-search scitec.kobe-u.ac.jp auto eno1 iface eno1 inet static address 10.35.19.151 netmask 255.255.255.0 post-up ip rule add from 10.35.19.0/24 table 100 prio 10000 post-up ip route add default via 10.35.19.254 dev enp8s0 table 100 post-down ip route del default table 100 post-down ip rule del table 100 prio 10000
enp2s0 はグローバルネットワークに繋がるインターフェースで, eno1 はプライベートネットワークに繋がるインターフェースである.
/etc/network/interfaces の編集後に OS を再起動した. 再起動後に, 以下によりネットワークに繋がっていることを確認した.
# ping 133.30.109.22 # ping 133.30.109.203
また, NetworkManager が起動していないことを確認した.
# systemctl
の表示に NetworkManager.service が含まれていないことを確認した.
OS が認識しているメモリの確認
top コマンドを使って OS が認識しているメモリ容量を確認する.
$ top
として,
top - 12:54:17 up 7 min, 3 users, load average: 0.19, 0.17, 0.10 Tasks: 210 total, 1 running, 209 sleeping, 0 stopped, 0 zombie %Cpu(s): 0.0 us, 0.0 sy, 0.0 ni, 99.8 id, 0.2 wa, 0.0 hi, 0.0 si, 0.0 st MiB Mem : 32047.0 total, 30503.3 free, 867.2 used, 676.4 buff/cache MiB Swap: 122070.0 total, 122070.0 free, 0.0 used. 30778.5 avail Mem
より, 32 GB のメモリが認識されている.
時刻の設定
コンピュータ内の時刻を定常的に正しくしておくための設定を行う.
ntpdate パッケージのインストール
以下のコマンドで ntpdate パッケージをインストールした.
# apt install ntpdate
時刻の修正(手動)
次に, 以下のコマンドで時刻を修正した.
# /usr/sbin/ntpdate-debian
下記のように date コマンドで時刻が正しくなっていることを確認した.
# date Tue Sep 21 12:58:03 JST 2021
cron の設定
次に, 上記のような時刻修正コマンドを毎日実行するように設定した.
# vi /etc/cron.daily/ntpdate
この ntpdate ファイルに以下のように書き込む.
#!/bin/bash /usr/sbin/ntpdate-debian > /dev/null 2>&1
最後に, このファイルのパーミッションを以下のように設定した.
# chmod 755 /etc/cron.daily/ntpdate
debianパッケージの引き継ぎ
ika に導入されている debian パッケージを全て tako に導入する.
準備
dselect パッケージをインストールした.
# apt install dselect
古いマシンでのインストールパッケージリスト作成
ika に install されている debian パッケージの一覧を取得した.
[ika] $ dpkg --get-selections > old_list.txt
リストを参照して, 2021 年度は, nvidia 関連のドライバーを削除した.
リストの新しいマシンへの転送
リストを ika から tako に転送する.
リストを元にインストール
tako において, ika で導入されているパッケージをインストールした.
[tako] # dpkg --set-selections < old_list.txt
ここで,
dpkg: 警告: package not in status nor available database at line xx: (パッケージ名)
という警告が大量に表示された.
そのため,
# dselect update
を実行し, パッケージ情報を更新して, OS を再起動した. その後, 再度
[tako] # dpkg --set-selections < old_list.txt
を実行した.
dpkg: warning: package not in status nor available database at line 2260: tracker-gui dpkg: warning: package not in status nor available database at line 2262: transfig dpkg: warning: package not in status nor available database at line 2277: uim-common dpkg: warning: package not in status nor available database at line 2282: uim-qt
などの警告が出力されたが, インストールを実行した.
[tako] # apt-get dselect-upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done The following packages have unmet dependencies: ruby-numru-met : Depends: ruby-dcl but it is not installable E: Error, pkgProblemResolver::Resolve generated breaks, this may be caused by held packages. E: Internal error, problem resolver broke stuff
ruby-numru-met が ruby-dcl に依存しているようだが, ruby-dcl パッケージが存在しないらしい. 仕方がないので, 放っておく.
GNOME の再インストール (必要に応じて)
パッケージの引き継ぎを行うとき,
[tako] # apt-get dselect-upgrade
上記の作業を行うと, gnome 関連のパッケージが削除されることがある. そのため, 念の為に
# apt install gnome
を行って gnome がインストールしようとしたが, インストールされていた.
GNOME をデフォルトで立ち上げない
ディスプレイマネージャの設定を変更することで, 起動時にテキストログインできるようにする.
まず /etc/X11/default-display-manager を編集する.
# vi /etc/X11/default-display-manager
ファイル中の下の行
/usr/sbin/gdm3
を下のようにコメントアウト (行頭に # を挿入する) した.
#/usr/sbin/gdm3
さらに, 下のようにして, ディスプレイマネージャの起動設定を変更した.
# cd /lib/systemd/system # mv gdm.service gdm.service.bk
システムの文字コードの設定
デフォルトでは文字コードが UTF-8 にしか対応していないため, EUC にも対応する.
下のようにして文字コード (ロケール) の設定の変更する.
# dpkg-reconfigure locales
"ja_JP.EUC-JP EUC-JP" をチェックして有効にした. その後, デフォルトロケールに "ja_JP.UTF-8" を選択した.
システムログの保管期間を 3 ヶ月にする
システムログが 3 ヶ月間保存されるように設定する.
rsyslog の設定
ログが 3 ヶ月間保存されるように, ローテーションを設定する.
/etc/logrotate.d/rsyslog を開き
rotate 4 weekly
の部分を
rotate 12 weekly
に変更した.
apt の設定
12 ヶ月間保存する設定になっているため, 変更は不要であるが, 念のため /etc/logrotate.d/apt を開き
rotate 12 monthly
となっていることを確認した.
dpkg の設定
12 ヶ月 (1 年) 間保存する設定になっているため, 変更は不要であるが, 念のため /etc/logrotate.d/dpkg, /etc/logrotate.d/alternatives を開き, dpkg.log, alternatives.log のどちらも
monthly rotate 12
となっていることを確認した.
Keyword(s):
References:[[ITPASS2021]2021年度サーバ構築ログ]