暁なIT備忘録

AKATSUKI Information Technology Memorandum.

Linux 導入後の初期設定:システム最新化(yum)関係

Tags: ,

サーバ用途であれば、どの update がどのサービスに影響を与えるか未知数と考え、リスクマネジメントの観点から自動 update を無効とするのがスタンダードだと思っています。

昔は RPM や apt or yum や ports(FreeBSD) は環境依存するからエンジニアとしての知識経験積みたければ、全部 Source から make しろ!と言われたものです…主に当方の上司(師匠)から(笑)
CentOS-4 まではその通りにしていたんですけどねー管理の工数など考えると時代は yum かなーと。
でも結局、RPM(yum)が用意されていない環境を手がけると立ち往生してしまうのは確かな話なので、一通りライブラリに関する make の知識などは付けておくに越したことはありませんね。

このページでは CentOS/Scientific Linux で全体的に必要な作業量が変わってきます。

[Linux 導入後の初期設定:システム最新化(yum)関係] の Read the rest of this entry »

Linux 導入後の初期設定:サービス関係

Tags: ,

ここで上げている停止サービスはあくまで一例です。
環境によって起動の要否は様々ですので、適宜調整していってください。

但し、Port を Bind する類のサービスについては、本当に必要最小限、としておくことがセキュアな環境構築にも繋がります。
乱暴なやり方としては、上流の FW で Port を閉じているので OK とする場合もありますが…

[Linux 導入後の初期設定:サービス関係] の Read the rest of this entry »

Linux 導入後の初期設定:ネットワーク関係

Tags: ,

APIPA や IPv6 を無理矢理止めなくても…という意見もあるかと思いますが…
Redhat7.0 の頃は手動で都度設定していた syncookies などもデフォルト組み込みされてきましたし、便利な世の中になったものです(笑)

[Linux 導入後の初期設定:ネットワーク関係] の Read the rest of this entry »

Linux 導入後の初期設定:セキュリティ関係

Tags: ,

前述の通りに su が可能なユーザを制限すると共に ssh 経由でログインできる host を制限します。
可能であれば、iptable や上位の FW で Port:22 を必要な Source-IP のみに制限することがベターです。
FW などのロギングをしているとわかるのですが、Port:22 でのアタックはそれなりな数に上りますので、無用なセッションは上流で遮断することで、微々たるモノですがサーバのリソースも確保できるハズです。

また、DMZ/Internal/External なネットワーク構成を持っているのであれば、後述の用に内部セグメントのみ全て許可してしまうのも管理の簡素化として有用だと思います。

[Linux 導入後の初期設定:セキュリティ関係] の Read the rest of this entry »

Linux 導入後の初期設定:管理ユーザ関係

Tags: ,

ここで作成するユーザは、今後の管理アカウントとして用いる認識で良いかと思います。
リモート作業での ssh 経由を含め、直接 root のログインを拒否しておく(または、行わない)ことなどは、デファクトスタンダードになりつつあると思います。
root 権限での作業が必要な場合でも別アカウントからの su や sudo を用いるのが慣例としておくことで、セキュアな環境へと繋がってきます。

[Linux 導入後の初期設定:管理ユーザ関係] の Read the rest of this entry »

© 2009 暁なIT備忘録. All Rights Reserved.

This blog is powered by the Wordpress platform and beach rentals.