電脳業務日誌

CentOS 7 の firewalld

気分が乗ったので、CentOS 7 をインストールした。ファイアウォールの設定が結構手間だったので、備忘録代わりに記録しておく。

まず、定番のサービスポートを開けておく。

sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --permanent --zone=public --add-service=pop3
sudo firewall-cmd --permanent --zone=public --add-service=pop3s
sudo firewall-cmd --permanent --zone=public --add-service=imap
sudo firewall-cmd --permanent --zone=public --add-service=imaps
sudo firewall-cmd --permanent --zone=public --add-service=smtp
sudo firewall-cmd --permanent --zone=public --add-service=smtps
sudo firewall-cmd --permanent --zone=public --add-service=smtp-submission
sudo firewall-cmd --permanent --zone=public --add-service=ftp

sudo firewall-cmd --permanent --zone=public --add-service=http

sudo firewall-cmd --permanent --zone=public --add-service=https

sudo firewall-cmd --permanent --zone=public --add-service=pop3

sudo firewall-cmd --permanent --zone=public --add-service=pop3s

sudo firewall-cmd --permanent --zone=public --add-service=imap

sudo firewall-cmd --permanent --zone=public --add-service=imaps

sudo firewall-cmd --permanent --zone=public --add-service=smtp

sudo firewall-cmd --permanent --zone=public --add-service=smtps

sudo firewall-cmd --permanent --zone=public --add-service=smtp-submission

sudo firewall-cmd --permanent --zone=public --add-service=ftp

自宅は固定アドレスで、かつ ipv6 も割り当てられているので、そこからは全ポートを受け付けてもらえるように開放する。

sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="118.243.217.235" accept'

1	sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="118.243.217.235" accept'

sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv6" source address="2405:6584:7840:800::/64" accept'

1	sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv6" source address="2405:6584:7840:800::/64" accept'

内部通信用のインターフェースは無条件で信頼する。

sudo firewall-cmd --permanent --zone=trusted --add-interface=eth1

1	sudo firewall-cmd --permanent --zone=trusted --add-interface=eth1

設定をリロードして、おしまい。

sudo firewall-cmd --reload

1	sudo firewall-cmd --reload

と思ったら、内部インターフェースが起動されていなかったので、NetworkManager で起動させる。

sudo nmcli c m eth1 connection.autoconnect yes
sudo nmcli c modify eth1 ipv4.addresses 192.168.207.110/24

1 2	sudo nmcli c m eth1 connection.autoconnect yes sudo nmcli c modify eth1 ipv4.addresses 192.168.207.110/24

2018: 01/27
CATEGORY: Server
Unix
VPS
TAGS: CentOS
CentOS 7
Linux
Unix
コメントを書く

Debian Stretch – GRUB 2 のバグ?

KVM のシリアルポート経由で、ブートメッセージをチェックするようにしているのだが、Debian Stretch をゲストにすると、なぜか GRUB 2 がシリアルコンソールにメニューを表示しない問題があった。

実用上さして気にするほどでもなかったので放置してたのだが、他のディストリビューション (CentOS 7, Ubuntu 16) ではちゃんと表示されるので、いっちょ修正するか、と手を出してみた。

~~結論。sid の GRUB 2 と入れ替えたら問題なく表示された。なぜ Stretch では直さないのかよくわからない。バックポートが難しいのだろうか。~~
使用しているスクリプトで kvm の起動待ちをしている部分が悪さをしていることがわかった。起動確認をしている間に grub メニューが表示されるため、シリアルコンソールに制御が移ったときには表示済みのため、一見表示されていないように見えただけだった。反省。

2018: 01/26
CATEGORY: Management
Server
Unix
TAGS: Debian
Linux
コメントを書く

DragonFly BSD の IPv6 設定問題

なぜか、/etc/rc.conf に以下の設定をしても反映されない。

#ipv6_enable="YES" ipv6_network_interfaces="vtnet0" ipv6_ifconfig_vtnet0="inet6 2001:470:d:461::7:1 prefixlen 64" ipv6_defaultrouter="2001:470:d:461::1"

仕方ないので、/etc/rc.local にコマンドを直書きしてごまかした。

#! /bin/sh ifconfig vtnet0 inet6 2001:470:d:461::7:1 prefixlen 64 alias route add -inet6 default 2001:470:d:461::1

~~解決法をご存じの方がいらしたら、ぜひコメントをお願いしたい。~~

追記。
メーリングリストで質問したら、ipv6_ifconfig_vtnet0 の設定がよくないと指摘された。

-ipv6_ifconfig_vtnet0="inet6 2001:470:d:461::7:1 prefixlen 64" +ipv6_ifconfig_vtnet0="2001:470:d:461::7:1"

と、アドレスだけ指定するのが、DragonFly での作法とか。指摘してくれた、Aaron に感謝。

2018: 01/22
CATEGORY: Management
Server
Unix
TAGS: DragonFly
DragonFly BSD
Unix
コメントを書く

シリアルコンソール出力あれこれ

KVM で VM を起動するときにシリアルコンソールに起動情報が流れてくれたら起動の様子がわかって大変便利なので、その設定を追加。

1. Debian GNU/Linux

/etc/defaults/grub を以下のように修正。

# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
#   info -f grub -n 'Simple configuration'
GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="quiet"
GRUB_CMDLINE_LINUX='console=tty0 console=ttyS0,115200n8'
# Uncomment to enable BadRAM filtering, modify to suit your needs
# This works with Linux (no patch required) and with any kernel that obtains
# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)
#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"
# Uncomment to disable graphical terminal (grub-pc only)
#GRUB_TERMINAL=console
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"
# The resolution used on graphical terminal
# note that you can use only modes which your graphic card supports via VBE
# you can see them in real GRUB with the command `vbeinfo'
#GRUB_GFXMODE=640x480
# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true
# Uncomment to disable generation of recovery mode menu entries
#GRUB_DISABLE_RECOVERY="true"
# Uncomment to get a beep at grub start
#GRUB_INIT_TUNE="480 440 1"

# If you change this file, run 'update-grub' afterwards to update

# /boot/grub/grub.cfg.

# For full documentation of the options in this file, see:

# info -f grub -n 'Simple configuration'

GRUB_DEFAULT=0

GRUB_TIMEOUT=5

GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`

GRUB_CMDLINE_LINUX_DEFAULT="quiet"

GRUB_CMDLINE_LINUX='console=tty0 console=ttyS0,115200n8'

# Uncomment to enable BadRAM filtering, modify to suit your needs

# This works with Linux (no patch required) and with any kernel that obtains

# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)

#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"

# Uncomment to disable graphical terminal (grub-pc only)

#GRUB_TERMINAL=console

GRUB_TERMINAL=serial

GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

# The resolution used on graphical terminal

# note that you can use only modes which your graphic card supports via VBE

# you can see them in real GRUB with the command `vbeinfo'

#GRUB_GFXMODE=640x480

# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux

#GRUB_DISABLE_LINUX_UUID=true

# Uncomment to disable generation of recovery mode menu entries

#GRUB_DISABLE_RECOVERY="true"

# Uncomment to get a beep at grub start

#GRUB_INIT_TUNE="480 440 1"

これで、ログインプロンプトまで出る。もちろん、修正した後は、update-grub を忘れないように。ただ、うちの環境だと、grub メニューの選択肢が表示されない。まあ、デフォルト以外で起動することはないので、放っておいてます。

2. CentOS 7

/etc/defaults/grub を以下のように修正。

GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console serial"
GRUB_TERMINAL="console serial"
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb console=tty0 console=ttyS0,115200n8"
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_DISABLE_RECOVERY="true"

GRUB_TIMEOUT=5

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"

GRUB_DEFAULT=saved

GRUB_DISABLE_SUBMENU=true

GRUB_TERMINAL_OUTPUT="console serial"

GRUB_TERMINAL="console serial"

GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb console=tty0 console=ttyS0,115200n8"

GRUB_CMDLINE_LINUX_DEFAULT=""

GRUB_DISABLE_RECOVERY="true"

その後、sudo grub2-mkconfig -o /boot/grub2/grub.cfg を実行。

3. FreeBSD 11.1

まず、/boot.config を作成して、以下の内容を設定。

% cat /boot.config
-Dh -S115200

1 2	% cat /boot.config -Dh -S115200

次に、/etc/ttys の ttyu0 以下のように修正。

ttyu0   "/usr/libexec/getty std.115200" vt100   on  secure

1	ttyu0 "/usr/libexec/getty std.115200" vt100 on secure

これで再起動をかけると、起動メッセージがだーっとシリアルポートから出力される。その上、ログインプロンプトまで出てくれる。便利。

4. OpenBSD 6.2

/etc/boot.conf を作成して以下の内容を追加。

stty com0 115200
set tty com0

1 2	stty com0 115200 set tty com0

次に、/etc/ttys の tty00 の行を変更。

tty00   "/usr/libexec/getty std.115200" vt220    on secure

1	tty00 "/usr/libexec/getty std.115200" vt220 on secure

5. DragonFly BSD 5.0.2

/boot/loader.conf に以下の行を追加。

console=comconsole

1	console=comconsole

次に、/etc/ttys の ttyd0 の行を変更。

ttyd0   "/usr/libexec/getty std.115200" cons25  on secure

1	ttyd0 "/usr/libexec/getty std.115200" cons25 on secure

2018: 01/22
CATEGORY: Management
Server
Unix
TAGS: BSD
Debian
DragonFly
DragonFly BSD
FreeBSD
Linux
Unix
コメントを書く

DragonFly BSD 5.0.2 をインストールしてみた。

DragonFly BSD RELEASE 5.0.2 をインストールして、はまった点を備忘録代わりに書く。Debian も FreeBSD も慣れちゃって、ちょっと新鮮な雰囲気を味わいたかったので。DragonFly BSD を選択した次第。

1. HAMMER2 が不安定?

HAMMER2 というより、インストーラがバグってるのか、120GB の空き容量に対して、5G しかスライスを切ってくれない。いくらなんでもこれではテストもできません。ってことで、HAMMER でインストールし直した。

2. ネットワークインターフェースの設定にコツがいる。

外部向きと内部向きの二つのインターフェースが載ってるわけだが、内部向けには当然、デフォルトゲートウェイなんぞ設定しない。最初、外部I/F→内部I/Fと設定したら、デフォルトゲートウェイが空の設定ができあがってしまい、通信できなかった。内部I/Fを設定してから、外部I/Fにデフォルトゲートウェイを含めて設定するのが正しい手順のよう。

3. /etc/ssh/sshd_config が公開鍵認証前提でインストールされる。

ssh で入れないと思って、設定ファイルをよく見たら、PasswordAuthentication が、no になっていた。仕方ないので、コンソールから一時的に、yes に変更して対処。インストールしたのは、レンタルサーバー（専用サーバー上に KVM で作成）だったので、VNC コンソールで作業はやりにくい。ここはすぱっと ssh でパスワード認証して入れるようにしてほしかった。

あとは、sudo と logwatch を入れて、ファイアウォールの設定をすませてインストール完了。

2018: 01/22
CATEGORY: Server
Unix
TAGS: BSD
DragonFly
DragonFly BSD
Unix
コメントを書く

2 / 21«123 4 5...10 20...»最後 »

巷のプログラマは電気羊の夢を見たりしないの巻

CentOS 7 の firewalld

Debian Stretch – GRUB 2 のバグ?

DragonFly BSD の IPv6 設定問題

シリアルコンソール出力あれこれ

1. Debian GNU/Linux

2. CentOS 7

3. FreeBSD 11.1

4. OpenBSD 6.2

5. DragonFly BSD 5.0.2

DragonFly BSD 5.0.2 をインストールしてみた。

1. HAMMER2 が不安定?

2. ネットワークインターフェースの設定にコツがいる。

3. /etc/ssh/sshd_config が公開鍵認証前提でインストールされる。

DropBox

Archives

Categories

Links

Meta

巷のプログラマは電気羊の夢を見たりしないの巻

CentOS 7 の firewalld

Debian Stretch – GRUB 2 のバグ?

DragonFly BSD の IPv6 設定問題

シリアルコンソール出力あれこれ

1. Debian GNU/Linux

2. CentOS 7

3. FreeBSD 11.1

4. OpenBSD 6.2

5. DragonFly BSD 5.0.2

DragonFly BSD 5.0.2 をインストールしてみた。

1. HAMMER2 が不安定?

2. ネットワークインターフェースの設定にコツがいる。

3. /etc/ssh/sshd_config が公開鍵認証前提でインストールされる。

DropBox

Archives

Categories

Tags

Links

Meta