CentOS 7.x要点
- LinuxカーネルがCentOS5/6の2.6.xから3.10.xになりました。
- デフォルトのファイルシステムがXFSになりました。ext4ではありません。併せてLVMのスナップショットをサポートしました。
- システム管理やOSやデーモンの起動プロセスがSysV initからsystemdに置き換わりました。分散していた設定の一元化や並列処理による起動の高速化、ログのジャーナルファイル化が特徴です。
- ファイアウォールの管理設定がiptablesからfirewalldに置き換わりました。iptablesはバックエンドとして使われていますがiptables自体は起動されず、共存も出来ません。
- ネットワーク設定がNetworkManagerに一元化されました。設定のセットを「コネクション」としてまとめ、インタフェースごとに付け替えるような設定が可能です(本番用のネットワーク設定、開発用のネットワーク設定等)。
- ネットワーク関係のツールコマンドがiproute2に置き換わりました。従来のnet-toolsは推奨されず、初期状態ではインストールもされません。 具体的にはifconfig、route、netstat、arpコマンドが無くなり、代わりにipコマンドとssコマンドを使います。
- 時刻合わせのデーモンはntpdではなくchronydが動きます。ntpdよりも高速かつ正確に同期するようです。
- タイムゾーンの変更はtimedatectlコマンドです。
- ロケールの変更はlocalectlコマンドです。
- ホスト名の確認、変更はhostnamectlコマンド、もしくはsystemdと同期しているNetworkManagerのnmcliコマンドを利用します。/etc/sysconfig/network を編集しても反映されません。
- Linux Containerのサポート。Dockerも標準リポジトリから利用できます。
- ブートローダーがGRUBからGRUB2に変更。
- CentOS公式としてはipv6の無効化は非推奨です。
- UEFI Secure Bootのサポート。
- その他いろいろなライブラリのバージョンが変わっていたり。
公式レポジトリのメジャーどころパッケージバージョン
- PHPは 5.4 PHP公式のサポートが終わっていてもCentOSによるサポート対象となる。
- MariaDB 5.5
- Postgresql 9.2
- Apache 2.4
systemd
コマンドとしては主にsystemctl、journalctlを利用します。従来の /etc/init.d/etc.. では操作できない物も多く、利用できないものと思った方がいいです。また、chekconfigでも表示されない項目が多々存在します。同様にsystemctlを使ってください。
systemctl
systemctl
サービス名指定の .serviceは省略可。
サービス起動
# systemctl start dhcpd.service
サービス停止
# systemctl stop dhcpd.service
サービス状態確認
# systemctl status dhcpd.service
サービス状態確認(起動しているかどうかだけ欲しい)
# systemctl is-active httpd.service
自動起動させる場合
# systemctl enable dhcpd.service
自動起動させない場合
# systemctl disable dhcpd.service
自動起動確認
# systemctl list-unit-files
OS再起動
# systemctl reboot
OSシャットダウン
# systemctl poweroff
Q. Apacheをgracefulしたいんだけど
A. reloadでいい模様
# systemctl reload httpd.service
http://blog.cles.jp/item/7392
Q. list-unit-filesした際のページングが要らない
A. –no-pagerを付ける
# systemctl list-units –no-pager
journalctl
systemctlコマンドでサービスを起動しようと思ったが失敗した時等に、journalctlコマンドで見てとそのまま実行できるコマンドを提示してくれます。親切。
今まで /var/log/messages に出ていた内容がこちらに出ている事も有るので、問題調査時も要チェック。
何かしらsystemctlコマンドで失敗した起動の確認
# journalctl -xn
timedatectl
タイムゾーンを確認する。
# timedatectl
localectl
ロケールを確認する。
# localectl
hostnamectl
ホスト名を確認する。
# hostnamectl
firewalld
インタフェース毎に仮想的なファイアウォールを構築します。コマンドとしてはfirewall-cmdを利用します。
- 許可するサービスをまとめたゾーンを作成する。
- 接続元IP(ソース)ごとにどのゾーンを割り当てるか指定。
- インタフェースに適用するゾーンを指定。
の3段階で制御します。ネットワークインタフェースが1つだけの環境の場合は3番目は行わなくてもOKです。他にもIPマスカレードやポートフォワード等いろいろ出来ますが上記3点のみ説明します。変更系のコマンドは後述する –permanent を付けないと恒久的な変更とならないので注意。
ゾーン回りの設定・確認
現在のゾーン設定を確認
# firewall-cmd –list-all
指定したゾーンの設定を確認
# firewall-cmd –list-all –zone=work
全てのゾーン設定を確認
# firewall-cmd –list-all-zones
現在のデフォルトゾーンを確認
# firewall-cmd –get-default-zone
デフォルトゾーンを変更
# firewall-cmd –set-default-zone=dmz
ゾーンのインタフェースを変更
# firewall-cmd –zone=dmz –change-interface=ens192
ゾーンにインタフェースを割り当てない場合はデフォルトゾーンが割り当てられます。
ゾーンは新しく追加する事もできます。また、デフォルトで用意されているゾーン設定は、 /usr/lib/firewalld/services/
に配置されています。
ゾーンへ許可するサービスを追加・削除
定義済みサービスの一覧表示
# firewall-cmd –get-services
publicゾーンで許可されているサービスを確認
# firewall-cmd –list-service –zone=public
ゾーンに許可サービスを追加する
# firewall-cmd –add-service=http –zone=public
ゾーンに恒久的に許可サービスを追加する
# firewall-cmd –add-service=http –zone=public –permanent
ゾーンから許可サービスを削除する
# firewall-cmd –remove-service=ssh –zone=public
恒久的でない変更はOSやfirewalldの再起動によって初期化される。
ゾーンへ許可するICMPタイプの追加・削除
定義済みICMPタイプの一覧を表示
# firewall-cmd –get-icmptypes
ゾーンで禁止されているICMPタイプを表示
# firewall-cmd –list-icmp-blocks –zone=public
ゾーンに禁止するICMPタイプを追加
# firewall-cmd –add-icmp-block=echo-request –zone=public
ゾーンから禁止するICMPタイプを削除
# firewall-cmd –remove-icmp-block=echo-request
恒久的に変更する場合は–permanentを付ける
ゾーンへ許可するポートを追加・削除
サービスとして定義されているものはサービスで制御する事。よく使うものであれば自分でサービスとして定義を追加してもいいかもしれない。
ゾーンで許可されているサービスの一覧を確認
# firewall-cmd –zone=public –list-ports
ゾーンにポート TCP:8080 の許可を追加
# firewall-cmd –zone=public –add-port=8080/tcp
ゾーンにポート TCP: 8080 ~ 9090 の許可を追加
# firewall-cmd –zone=public –add-port=8080-9090/tcp
ゾーンでポート TCP:8080 が許可されているか確認
# firewall-cmd –zone=public –query-port=8080/tcp
ゾーンからポート TCP:8080 の許可を削除
# firewall-cmd –zone=public –remove-port=8080/tcp
恒久的に変更する場合は–permanentを付ける
接続元IPアドレスによるゾーン振り分け
接続元IPアドレス(ソース)によって振り分け先のゾーンを変える事で、許可サービスの制御をします。ソース設定で振り分けられなかった接続はデフォルトゾーンに振り分けられます。デフォルトゾーンのpublicではhttpだけを許可し、特定のIP(ソース)をworkゾーンに振り分け、workではhttpとsshを許可する、といった指定で制御します。
ゾーンに設定されている許可ソースを確認
# firewall-cmd –list-sources –zone=work
ソースに指定のゾーンが設定されているかを確認
# firewall-cmd –query-source=1xx.1xx.xx.xxx –zone=work
ソースに指定されているゾーンを確認
# firewall-cmd –get-zone-of-source=1xx.1xx.xx.xxx
特定のソースを特定のゾーンに振り分ける
# firewall-cmd –add-source=1xx.1xx.xx.xxx –zone=work
特定のソースの振り分け先ゾーンを変更
# firewall-cmd –change-source=1xx.1xx.xx.xxx –zone=public
ソースの振り分け設定を削除
# firewall-cmd –remove-source=1xx.1xx.xx.xxx
恒久的に変更する場合は–permanentを付ける
反映
この辺りの設定は/etc/firewalld/zones/の中にxml形式で作られている。
デフォルトで用意されているゾーンについて
- drop:全ての受信パケットを破棄する。
- block:全ての受信パケットに受信拒否を返す。内部から開始した通信の返信パケットは受信できる。
- trusted:すべての受信パケットを受け入れる。
- 上記3つのゾーンについては設定を変更できない。
参考:http://www.slideshare.net/enakai/firewalld-study-v10
上記以外のファイアウォール設定
とりあえず表示するコマンドのみを記載。
より柔軟な設定が設定できるリッチルール:確認
# firewall-cmd –list-rich-rules
iptablesと同じ書式で設定するダイレクトルール:確認
# firewall-cmd –direct –get-all-rules
NetworkManager
コマンドとしてはnmcliを利用します。またコンソール上でTUIベースの設定が行える、nmtuiコマンドが有ります。
nmcli
connectionはcon、またはc、modifyはmod、またはmといった形で簡略化できるパラメータも多いです。
現在のコネクションを表示
# nmcli connection
コネクションを有効化
# nmcli connection up ens160
なお、設定変更の反映もupを使います。
コネクションを無効化
# nmcli connection down ens160
コネクションの状態を表示
# nmcli connection show
connection showはかなりたくさんの情報が出てくるので、特定のフィールドだけ確認したい時は–fieldsを使う。以下はipv4関連情報の確認例
# nmcli –fields ipv4 connection show ens160
各パラメータの内容は
# man nm-settings
で確認できる。
設定値の変更はmodify。ipv4.addressesは、”アドレス/プレフィックス長 デフォルトゲートウェイ”のフォーマットで指定する。
# nmcli connection modify ens160 ipv4.method manual ipv4.addresses 192.168.0.196/24 ipv4.gateway 192.168.0.1
パラメータの追加は+。以下はIPエイリアスの追加。
# nmcli connection modify ens160 ipv4.method manual +ipv4.addresses “192.168.0.197/24 192.168.0.1”
デバイスの一覧を表示
# nmcli device
デバイスに紐づいた情報の表示
# nmcli device show ens160