~クラウドサービス 時 代 を 支 えるOSS/Linux 人 材 育 成 ~ ス キ ル ブ レ イ ン 株 式 会 社 株 式 会 社 GFD 主 催 LPICレベル2 技 術 解 説 無 料 セミナー LPI-Japanアカデミック 認 定 校 スキルブレイン 株 式 会 社 インストラクター 三 浦 一 志 LPI-Japan 2014. All rights reserved.
LPIC レベル2の 概 要 小 規 模 から 中 規 模 のネットワークシステムを 管 理 できること Linux UNIX Windowsが 混 在 する 小 規 模 なネットワークの 設 計 運 用 保 守 ができ 安 定 かつ 安 全 な 稼 働 を 維 持 し トラブルシューティングがで きること アシスタントを 管 理 できること 自 動 化 および 購 入 に 関 して 管 理 者 に 助 言 できること 2014 年 1 月 1 日 よりver4の 新 試 験 範 囲 が 提 供 されている http://www.lpi.or.jp/lpic2/range/ LPI-Japan 2014. All rights reserved. 2
レベル2 試 験 の 概 要 201 試 験 のポイント サーバのスケーリング メンテナンス そしてトラブ ルシューティングに 焦 点 を 当 てている 202 試 験 のポイント 主 要 なネットワークサービスのほかに システムと ネットワークのセキュリティにも 焦 点 を 当 てている レベル1の 試 験 範 囲 もかなり 出 題 される 復 習 が 必 要 レベル1より 深 い 内 容 が 問 われる LPI-Japan 2014. All rights reserved. 3
使 用 する 環 境 各 主 題 のポイントとなる 部 分 を 紹 介 仮 想 環 境 を 利 用 し デモで 確 認 を 行 う Windows(ホストOS) 仮 想 環 境 VMware Workstation (Playerでも 可 ) sda:linux システム ssh sdb:raid 用 sdc:lvm 用 Teratermを 利 用 してsshで 接 続 CentOS5.8(ゲストOS) LPI-Japan 2014. All rights reserved. 4
201 試 験 ver3.5の トラブルシューティング は 各 主 題 に 分 配 されました LPI-Japan 2014. All rights reserved. 5
主 題 200:キャパシティプランニング 200.1 リソースの 使 用 率 の 測 定 とトラブルシューティング 6 200.2 将 来 のリソース 需 要 を 予 測 する 2 collectd:システムの 各 種 情 報 を 定 期 的 に 収 集 するデーモン Nagios:オープンソースのシステム 監 視 ネットワーク 監 視 を 行 う MRTG:ネットワーク 機 器 のトラフィックをグラフ 化 するプログラム Cacti:MRTGの 代 替 となるソフトウェア 過 去 のグラフを 参 照 できる LPI-Japan 2014. All rights reserved. 6
vmstatコマンドの 見 方 vmstat 表 示 間 隔 ( 秒 ) 回 数 r 実 行 待 ちプロセス 数 bo 送 られたブロック b 割 り 込 み 不 可 能 なプロス 数 in 1 秒 当 たりの 割 り 込 み swpd スワップサイズ cs 1 秒 当 たりのコンテキストスイッチ free 空 きメモリ us ユーザ 時 間 buff バッファメモリ sy システム 時 間 cache キャッシュメモリ id アイドル 時 間 si スワップイン wa 入 出 力 待 ち 時 間 so スワップアウト st ゲストOSがCPUを 割 り 当 ててもらえなかった 時 間 bi 受 け 取 ったブロック LPI-Japan 2014. All rights reserved. 7
リソース 利 用 率 の 把 握 top システムリソースの 使 用 状 況 やプロセスの 実 行 状 態 iostat CPUの 利 用 状 況 とディスクの 入 出 力 sar ディスク 関 連 ネットワーク 関 連 メモリとスワップ 関 連 の 情 報 sysstatパッケージに 含 まれている free メモリの 使 用 率 LPI-Japan 2014. All rights reserved. 8
主 題 201:Linuxカーネル 201.1 カーネルの 構 成 要 素 2 201.2 Linuxカーネルのコンパイル 3 201.3 カーネル 実 行 時 における 管 理 とトラブルシューティング 4 LPI-Japan 2014. All rights reserved. 9
Active kernel releases カーネルの 情 報 およびソースダウンロード 先 http://www.kernel.org カーネルのバージョン Prepatch メインラインカーネルプレリリース 版 Mainline メインラインツリー すべての 新 機 能 が 導 入 される Stable メインラインカーネルが 解 放 された 後 それを 安 定 と する Longterm 長 期 保 守 のカーネルリリース 重 要 なバグが 修 正 さ れる LPI-Japan 2014. All rights reserved. 10
カーネルの 再 構 築 1. 必 要 なパッケージをインストール yum install gcc kernel-devel kernel-headers ncurses-devel 2. カーネルソースを 入 手 cd /usr/src wget ftp://ftp.kernel.org/pub/linux/kernel/v3.x/linux-3.11.10.tar.xz xz dv linux-3.11.10.tar.xz tar xvf linux-3.11.10.tar 3. カーネルのカスタマイズ cp /boot/config-2.6.18-308.el5./.config make menuconfig 3. コンパイル make bzimage 4. カーネルモジュールのインストール make modules_install 5. カーネルのインストール make install 現 在 のカーネルソース 新 しい 設 定 を 組 み 込 む menuconfigを 起 動 す るため 必 要 以 前 のカーネルの 設 定 を 引 き 継 ぐ LPI-Japan 2014. All rights reserved. 11
カーネルパラメータ カーネルパラメータの 調 整 カーネルの 動 作 をチューニング パケットの 転 送 を 有 効 にする(ルータ 機 能 ) echo 1 > /proc/sys/net/ipv4/ip_forward sysctlコマンド sysctl w net.ipv4.ip_forward =1 ( 再 起 動 するとこれは 無 効 になる) 設 定 方 法 再 起 動 しても 有 効 にするためには/etc/sysctl.confに 記 述 する net.ipv4.ip_forward =1 LPI-Japan 2014. All rights reserved. 12
主 題 202:システムの 起 動 202.1 SysV-initシステムの 起 動 をカスタマイズする 3 202.2 システムのリカバリ 4 202.3 その 他 のブートローダ 2 SYSLINUX:FATファイルシステムからカーネルを 起 動 する ISOLINUX:ISO9660ファイルシステムからカーネルを 起 動 する PXELINUX:PXEを 使 用 してネットワークブートをする (Preboot execution Environment) LPI-Japan 2014. All rights reserved. 13
起 動 スクリプト /etc/ /etc/init.d/ httpd /etc/rc[0-6].d/ ( 起 動 スクリプト) ランレベルごとに ディレクトリがある シンボリックリンク S85httpd Sで 始 まる:ランレベルのときサービスがスタート Kで 始 まる:ランレベルのときサービスが 終 了 数 字 : 小 さい 数 字 から 順 に 実 行 LPI-Japan 2014. All rights reserved. 14
サービスの 制 御 現 状 のサービスを 制 御 /etc/init.d/ - /etc/init.d/httpd start Apacheの 起 動 次 回 起 動 時 のサービスを 制 御 (CentOS) chkconfig httpd on chkconfig --list httpd Debianの 場 合 update-rc.d, sysv-rc-conf OpenSUSEの 場 合 insserv Linux 起 動 時 にApacheの 起 動 サービスの 起 動 確 認 LPI-Japan 2014. All rights reserved. 15
主 題 203:ファイルシステムとデバイス 203.1 Linuxファイルシステムを 操 作 する 4 203.2 Linuxファイルシステムの 保 守 3 S.M.A.R.T.(Self-Monitoring,Analyis and Rporting Technology System) ハードディスクに 組 み 込 まれている 自 己 診 断 機 能 のこと Btrfs(B-tree file system):linux 向 けに 開 発 中 のファイルシステム 203.3 ファイルシステムを 作 成 してオプションを 構 成 する 2 LPI-Japan 2014. All rights reserved. 16
スワップ 領 域 の 利 用 # dd if=/dev/zero of=/tmp/swapfile bs=1m count=10 # mkswap /tmp/swapfile Setting up swapspace version 1, size = 10481 kb # swapon /tmp/swapfile # swapon -s スワップ 領 域 の 確 認 /dev/zero 内 容 が 何 もないファイル Filename Type Size Used Priority /dev/sda3 partition 530136 0-1 /tmp/swapfile file 10232 0-2 LPI-Japan 2014. All rights reserved. 17
オートマウント オートマウントとは? 指 定 したディレクトリにアクセスすると 自 動 的 にマウントする 設 定 ファイル /etc/auto.master 1 2 1マウントベース(ディレクトリがないときは 作 成 する) /mnt/auto /etc/auto.sda5 2マップファイルのパス マップファイル(/etc/auto.sda5) 1 sda5 2 3 -fstype=ext3,rw :/dev/sda5 1マウントベースの 下 に 置 かれるディレクトリ 2マウントオプション 3デバイスファイル 名 オートマウントの 実 行 #/etc/init.d/autofs start (auto.masterを 変 更 したらautomountデーモンを 再 起 動 する) 確 認 :/mnt/auto/sda5に 移 動 する LPI-Japan 2014. All rights reserved. 18
主 題 204: 高 度 なストレージ 管 理 204.1 RAIDを 構 成 する 3 204.2 記 憶 装 置 へのアクセス 方 法 を 調 整 する 2 iscsi(internet Small Computer System Interface) TCP/IP 上 でSCSIプロトコルを 利 用 可 能 にする 仕 組 み 安 価 にSANを 構 築 できる 204.3 論 理 ボリュームマネージャ 3 LPI-Japan 2014. All rights reserved. 19
パーティションタイプの 設 定 # fdisk /dev/sdb コマンド (m でヘルプ): t 領 域 番 号 (1-4): 1 システムタイプ 変 更 16 進 数 コード (L コマンドでコードリスト 表 示 ): fd 8e : LVM fd : RAID コマンド (m でヘルプ): p パーティション 確 認 Disk /dev/sdb: 21.4 GB, 21474836480 bytes 255 heads, 63 sectors/track, 2610 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes ここはレベル1の 内 容 です Device Boot Start End Blocks Id System /dev/sdb1 1 31 248976 fd Linux raid autodetect /dev/sdb2 32 62 249007+ fd Linux raid autodetect /dev/sdb3 63 93 249007+ fd Linux raid autodetect LPI-Japan 2014. All rights reserved. 20
論 理 ボリュームマネージャ(LVM) 物 理 ボリューム (PV) ボリューム グループ (VG) 論 理 ボリューム (LV) 250MB sdc1 束 ねる sdc1 切 り 出 す 200MB 250MB 論 理 ボリューム 名 :lv01 sdc2 sdc2 ボリュームグループ 名 :vg01 LPI-Japan 2014. All rights reserved. 21
LVMの 構 成 # pvcreate /dev/sdc1 /dev/sdc2 物 理 ボリューム 作 成 # vgcreate vg01 /dev/sdc1 /dev/sdc2 ボリュームグループ 作 成 # lvcreate -L 200M -n lv01 vg01 論 理 ボリューム 作 成 # mkfs -t ext3 /dev/vg01/lv01 ファイルシステム 作 成 # mount -t ext3 /dev/vg01/lv01 /mnt マウント 論 理 ボリュームの 確 認 #lvdisplay /dev/vg01/lv01 LPI-Japan 2014. All rights reserved. 22
RAID ソフトウェアRAID(LinuxがRAIDを 管 理 ) /dev/sdb1 /dev/sdb2 /dev/sdb3 250MB 250MB 250MB /dev/md0 (RAID 1) 250MB 予 備 LPI-Japan 2014. All rights reserved. 23
RAIDの 構 成 # mdadm -C /dev/md0 --level=1 --raid-devices=2 --spare-devices 1 /dev/sdb1 /dev/sdb2 /dev/sdb3 mdadm: array /dev/md0 started. # cat /proc/mdstat Personalities : [raid1] md0 : active raid1 sdb3[2](s) sdb2[1] sdb1[0] 248896 blocks [2/2] [UU] RAID1を 作 成 RAIDアレイmd0 RAIDアレイを 確 認 unused devices: <none> # mdadm --query /dev/md0 RAIDアレイmd0の 状 態 を 確 認 /dev/md0: 243.06MiB raid1 2 devices, 1 spare. Use mdadm --detail for more detail. /dev/md0: No md super block found, not an md component. LPI-Japan 2014. All rights reserved. 24
主 題 205:ネットワーク 構 成 205.1 基 本 的 なネットワーク 構 成 3 205.2 高 度 なネットワーク 構 成 4 205.3 ネットワークの 問 題 を 解 決 する 4 LPI-Japan 2014. All rights reserved. 25
tcpdumpの 実 行 例 # tcpdump icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 01:50:45.701512 IP 192.168.130.1 > 192.168.130.134: ICMP echo request, id 1, seq 1, length 40 01:50:45.798984 IP 192.168.130.134 > 192.168.130.1: ICMP echo reply, id 1, seq 1, length 40 192.168.130.1から192.168.130.134 宛 にpingを 実 行 している echo requestを 行 い echo replyが 返 ってくる LPI-Japan 2014. All rights reserved. 26
主 題 206:システムの 保 守 206.1 ソースからプログラムをmakeしてインストールする 2 206.2 バックアップ 操 作 3 206.3 システム 関 連 の 問 題 をユーザに 通 知 する 1 LPI-Japan 2014. All rights reserved. 27
ソースからインストール Apacheソースのダウンロード $wget http://ftp.riken.jp/net/apache/httpd/httpd-2.2.26.tar.gz 1. $tar xzvf httpd-2.2.26.tar.gz 2. $cd httpd-2.2.26 インストール 環 境 の 調 査 Makefileの 生 成 3. $./configure 4. $make コンパイル 5. #make install インストール インストール 時 は root 権 限 が 必 要 LPI-Japan 2014. All rights reserved. 28
ユーザへの 通 知 ユーザーへの 通 知 /etc/issue ログイン 前 にシステム 情 報 やメッセージを 表 示 /etc/motd ログイン 後 にメッセージを 表 示 wall ログイン 中 のユーザへ 通 知 /etc/issue CentOS release 5.8 Kernel 2.6.18-308.8.2.el5 on an i686 centos login: root Password: /etc/motd Last login: Wed Sep 30 20:54:51 2011 from 192.168.130.1 System maintenance: Jun 30 22:00-23:00 LPI-Japan 2014. All rights reserved. 29
202 試 験 LPI-Japan 2014. All rights reserved. 30
主 題 207:ドメインネームサーバ 207.1 DNSサーバの 基 本 的 な 設 定 3 207.2 DNSゾーンの 作 成 と 保 守 3 207.3 DNSサーバを 保 護 する 2 LPI-Japan 2014. All rights reserved. 31
DNSの 基 本 名 前 解 決 の 種 類 正 引 き:ホスト 名 IPアドレス 逆 引 き:IPアドレス ホスト 名 BIND ver9 DNSサーバーのアプリケーション ゾーン centos.example.net 192.168.130.128 192.168.130.128 centos.example.net DNSサーバーが 管 理 する 名 前 空 間 の 範 囲 ( 例 :example.net) FQDN(Fully Qualified Domain Name: 完 全 修 飾 ドメイン 名 ) ホスト 名 +ドメイン 名 の 形 式 で 表 す インストール #yum install bind bind-chroot chrootを 使 用 する 場 合 LPI-Japan 2014. All rights reserved. 32
BINDの 設 定 ファイル / (ルート) chrootを 使 用 すると /var/named/chrootがルートになる /etc/ named.conf 管 理 するゾーン BINDの 基 本 設 定 な どを 記 述 /var/named ゾーンファイルの 置 き 場 所 example.net.zone 正 引 き 設 定 130.168.192.in-addr.arpa 逆 引 き 設 定 そのほか ループバック 用 ファイル ルートDNSサーバ 用 ファイルが 必 要 LPI-Japan 2014. All rights reserved. 33
named.confの 設 定 例 /etc/namedの 基 本 設 定 と 管 理 するゾーンを 記 述 設 定 例 options { directory "/var/named"; }; zone "example.net" { type master; 管 理 するゾーン file "example.net.zone"; }; zone 130.168.192.in-addr.arpa" { type master; file 130.168.192.in-addr.arpa"; }; ゾーンファイルのディレクトリ 正 引 きゾーンファイルの 名 前 逆 引 きゾーンファイルの 名 前 LPI-Japan 2014. All rights reserved. 34
ゾーンファイル( 正 引 き) 設 定 例 :/var/named/example.net.zone $TTL 86400 @ IN SOA centos.example.net. root.example.net. ( ゾーン 名 DNSサーバのホスト 2014022301 86400 21600 864000 86400 ) 管 理 者 のメールアドレス シリアル 値 スレーブサーバに 対 する 設 定 IN NS centos.example.net. IN MX 10 mail.example.net. DNSサーバ メールサーバ プリファレンス 値 : 優 先 度 centos IN A 192.168.130.128 www IN CNAME centos.example.net. ホストのIPアドレスを 指 定 別 名 LPI-Japan 2014. All rights reserved. 35
ゾーンファイル( 逆 引 き) 設 定 例 :/var/named/130.168.192.in-addr.arpa $TTL 86400 @ IN SOA centos.example.net. root.example.net. ( 2014022301 86400 21600 864000 86400 ) IN NS centos.example.net. 128 IN PTR centos.example.net. 逆 引 き 設 定 128.130.168.192.in-addr.arpa となる LPI-Japan 2014. All rights reserved. 36
TSIG dnssec-keygenで 鍵 を 生 成 dnssec-keygen -a HMAC-MD5 -b 512 -n HOST example.net 生 成 した 鍵 により スレーブサーバーを 認 証 設 定 例 マスターサーバーのnamed.conf key "example.net" { algorithm hmac-md5; secret "n2w xgujhugdacyg=="; ]; options { allow-transfer { key example.net; }; }; zone "example.net" { type master; file "example.net.zone"; }; スレーブサーバーのnamed.conf key "example.net" { algorithm hmac-md5; secret "n2w xgujhugdacyg=="; ]; server 192.168.130.1{ keys "example.net"; ]; zone "example.net" { type slave; file "example.net.zone"; masters { 192.168.130.1; }; }; LPI-Japan 2014. All rights reserved. 37
主 題 208:Webサービス 208.1 Apacheの 基 本 的 な 設 定 4 208.2 HTTPS 向 けのApacheの 設 定 3 208.3 キャッシュプロキシとしてのSquidの 実 装 2 208.4 WebサーバおよびリバースプロキシとしてのNginxの 実 装 2 LPI-Japan 2014. All rights reserved. 38
Apache httpd Webサーバー 用 アプリケーション 設 定 ファイル /etc/httpd/conf/httpd.conf ディレクティブ 名 値 という 形 で 設 定 設 定 例 :/etc/httpd/conf/httpd.conf ServerRoot /etc/httpd 設 定 ファイルの 起 点 となるディレクトリ Listen 80 待 ち 受 けポート 番 号 ServerAdmin webmaster@example.net 管 理 者 のメールアドレス DocumentRoot /var/www/html htmlファイルを 置 く 場 所 LPI-Japan 2014. All rights reserved. 39
UserDir ユーザーごとにページ 公 開 領 域 を 設 定 設 定 /etc/httpd/conf/httpd.conf ファイル 内 <IfModules mod_usermod.c> UserDir public_html </IfModule> /home/centuser(ホームディレクトリ) アクセス 権 を755にしておく public_html http://ホスト 名 /~ユーザ 名 / でアクセス index.html ( 例 )http://www.example.com/~centuser/ LPI-Japan 2014. All rights reserved. 40
ディレクトリごとの 設 定 情 報.htaccessというファイルに 設 定 を 記 述 し ディレクトリごと 設 定 を 上 書 き することができる 設 定 可 能 な 範 囲 はAllowOverrideで 許 可 されている 範 囲 /etc/httpd/conf/httpd.confに 記 述 <Directory /home/*/public_html/> /home/centuser(ホームディレクトリ) AllowOverride AuthConfig Indexes </Directory> AccessFileName.htaccess public_html.htaccess AuthConfig: 認 証 を 有 効 にする Indexes:DirectoryIndexを 有 効 基 本 認 証 DirectoryIndex index.html index.htm AuthType Basic AuthName Enter Password AuthUserFile /etc/httpd/conf/.htpasswd Require valid-user LPI-Japan 2014. All rights reserved. 41
HTTPSの 設 定 opensslを 利 用 する 事 前 の 設 定 1 公 開 鍵 と 暗 号 鍵 を 作 成 2 証 明 書 発 行 要 求 書 を 認 証 局 (CA)へ 送 る 3 認 証 局 からサーバ 証 明 書 を 受 け 取 る 4 サーバ 証 明 書 をWebサーバに 設 定 する 自 分 自 身 でCAを 作 成 して 自 分 自 身 で 証 明 書 を 発 行 することもでき る( 自 己 署 名 証 明 書 ) SSLのモジュールをインストールしておく #yum install mod_ssl LPI-Japan 2014. All rights reserved. 42
SSLの 設 定 /etc/httpd/conf.d/ssl.confに 設 定 LoadModules ssl_module modules/mod_ssl.so Listen 443 <VirtualHost _default_:443> ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLでアクセスするとき のポート 番 号 SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key </VirtualHost> サーバ 証 明 書 サーバ 秘 密 鍵 LPI-Japan 2014. All rights reserved. 43
squid Webプロキシ キャッシュサーバー 設 定 ファイル:/etc/squid/squid.conf http_accessディレクティブで 許 可 されていないと 接 続 できない aclディレクティブで 接 続 元 アドレスなどを 指 定 設 定 例 acl mynetwork src 192.168.130.0/255.255.255.0 http_access allow mynetwork aclで 自 身 のネットワークを 設 定 自 身 のネットワークから 接 続 を 許 可 squidの 起 動 /etc/init.d/squid start LPI-Japan 2014. All rights reserved. 44
Nginx Webサーバおよびリバースプロキシサーバ 等 の 機 能 がある Apacheよりパフォーマンスが 高 い Apacheほど 高 機 能 ではない Apacheは 高 機 能 だが 使 用 しない 機 能 が 多 いとも 言 える リバースプロキシとは サイト HTTPリクエスト HTTPレスポンス 要 求 転 送 クライアント リバース プロキシサーバ Webサーバ (バックエンド) LPI-Japan 2014. All rights reserved. 45
Nginxの 設 定 例 Webサーバとして 動 作 させる 場 合 設 定 ファイル:/etc/nginx/nginx.conf(パッケージからインストール) 設 定 例 server { listen 80; 待 ち 受 けポート 番 号 server_name centos.example.net; http://centos.example.netでアクセス } location / { root /usr/share/nginx/html; index index.html index.htm; } DirectoryIndexと 同 じ http://cnetos.example.net/に 適 用 DocumentRootと 同 じ LPI-Japan 2014. All rights reserved. 46
Nginxの 設 定 例 リバースプロキシとして 動 作 させる 場 合 設 定 ファイル:/etc/nginx/nginx.conf 設 定 例 server{ server_name.example.net; root /home/eample.com/www; ( 省 略 ) location / { proxy_pass http://192.168.130.129:8080; } } バックエンドのWebサーバ LPI-Japan 2014. All rights reserved. 47
主 題 209:ファイル 共 有 209.1 Sambaサーバの 設 定 5 209.2 NFSサーバの 設 定 3 LPI-Japan 2014. All rights reserved. 48
Samba Windowsネットワークにおけるファイルサーバー 機 能 を 提 供 サービス smbd nmbd winbindd 設 定 ファイル /etc/samba/smb.conf smb.confの 構 文 にミスがないか 確 認 testparm Sambaユーザの 追 加 #pdbedit a centuser smbclientで 接 続 を 確 認 する #smbclient U centuser //samba3/public //netbios 名 / 公 開 ディレクトリ LPI-Japan 2014. All rights reserved. 49
Sambaの 設 定 例 設 定 例 :/etc/smb.conf workgroup = workgroup netbios name = samba3 ワークグループ 名 netbios 名 hosts allow = 127. 192.168.130. 192.168.0. アクセス 制 御 [public] comment = Public Stuff browseable = Yes path = /home/samba/public public = yes writable = yes 共 有 するディレクトリの 設 定 LPI-Japan 2014. All rights reserved. 50
NFS UNIX / Linuxネットワークにおけるファイルサーバー 機 能 を 提 供 インストール #yum install nfs-utils nfs-utils-lib portmap サービス portmap nfsd mountd 起 動 方 法 1 /etc/init.d/portmap start 2 /etc/init.d/nfs start 設 定 ファイル /etc/exports ユーザー 管 理 クライアント 側 でログインしたUIDを 利 用 必 ずportmapから 起 動 する クライアントもportmapを 起 動 LPI-Japan 2014. All rights reserved. 51
NFSの 設 定 と 接 続 設 定 例 :/etc/exports /share 192.168.130.0/255.255.255.0(rw) 公 開 するディレクトリ 公 開 するクライアントのネットワーク クライアントからの 接 続 #mount t nfs centos:/share /mnt/nfs/share /mnt centos /share nfs NFSクライアント NFSサーバ マウントする share LPI-Japan 2014. All rights reserved. 52
主 題 210:ネットワーククライアントの 管 理 210.1 DHCPの 設 定 2 210.2 PAM 認 証 3 210.3 LDAPクライアントの 利 用 方 法 2 210.4 OpenLDAPサーバの 設 定 4 LPI-Japan 2014. All rights reserved. 53
DHCPサーバ1 設 定 ファイル:/etc/dhcpd.conf ファイルは/usr/share/doc/dhcp*/dhcp.conf.sampleをコピーして 使 用 ddns-update-style interim; ignore client-updates; subnet 192.168.130.0 netmask 255.255.255.0 { option routers 192.168.130.1; option subnet-mask 255.255.255.0; option domain-name example.net"; option domain-name-servers 192.168.130.1; デフォルトゲートウェイ サブネットマスク ドメイン 名 DNSサーバ } range 192.168.130.128 192.168.130.254; default-lease-time 21600; max-lease-time 43200; デフォルトリース 期 間 最 大 リース 期 間 割 当 て 可 能 な IPアドレスの 範 囲 LPI-Japan 2014. All rights reserved. 54
DHCPサーバ2 固 定 のIPアドレスを 割 当 てる subnet 192.168.130.0 netmask 255.255.255.0 { host debian6 { hardware ethernet 00:0C:29:96:EE:5D; fixed-address 192.168.130.129; } } MACアドレス 固 定 のIPアドレス DHCPサーバの 起 動 /etc/init.d/dhcpd start LPI-Japan 2014. All rights reserved. 55
PAM PAM(Pluggable Authentication Modules) 各 アプリケーションに 認 証 機 能 を 提 供 /etc/pam.d/ディレクトリに 各 種 アプリケーション 用 の 設 定 ファイルが 用 意 されている su FTP SSH POP3 IMAP PAMライブラリー モジュール モジュール モジュール モジュール モジュール ユーザ 情 報 LPI-Japan 2014. All rights reserved. 56
PAMの 設 定 設 定 例 :/etc/pam.d/su auth sufficient pam_rootok.so 1 auth required pam_wheel.so use_uid 2 auth include system-auth 3 モジュールタイプ コントロール モジュールのパス 引 数 コントロール sufficient:モジュールの 実 行 に 成 功 すると 上 位 でrequiredがすべて 成 功 であれば 認 証 成 功 required:モジュールの 実 行 に 失 敗 したら 同 じタイプのモジュールの 実 行 がすべて 完 了 した 時 点 で 認 証 を 拒 否 1 rootユーザは 認 証 なしでsuできる 2 wheelグループに 所 属 するユーザはsuでrootになるとき 認 証 する その 他 のユーザはrootになるのを 認 証 が 拒 否 3 wheelのユーザだけsystem-authが 認 証 する 1から3まで 順 に 実 行 していく LPI-Japan 2014. All rights reserved. 57
LDAP 標 準 仕 様 のディレクトリサービス 識 別 名 (DN:Distinguished Name) 例 dn: cn=suzuki Ichiro, ou=people, dc=example, dc=net 相 対 識 別 名 (RDN:Relative Distinguished Name) 例 cn=suzuki Ichiro 設 定 ファイル : /etc/openldap/slapd.conf dc=net dc:ドメイン 要 素 dc=example ou=people ou=develop cn: 組 織 単 位 名 cn=suzuki Ichiro cn=yamada Taro cn: 一 般 名 LPI-Japan 2014. All rights reserved. 58
LDIF 形 式 とエントリの 追 加 LDIF(LDAP Data Interchange Format) 形 式 : sample.ldif dn: cn=takahashi Jiro, ou=people, dc=example, dc=net objectclass: person cn: Takahashi Jiro sn: Takahashi sample.ldif telephonenumber: +81 3 1234 5678 エントリの 追 加 #ldapadd x D cn=manager, dc=example, dc=net W f sample.ldif LPI-Japan 2014. All rights reserved. 59
LDAPのコマンド クライアントコマンド ldapadd エントリの 追 加 ldapsearch ldapmodify ldapdelete ldappasswd エントリを 検 索 する エントリを 変 更 する エントリを 削 除 する エントリのパスワードを 変 更 する 管 理 コマンド slapadd エントリの 追 加 slapcat slappasswd slapindex slaptest データをLDIF 形 式 で 出 力 パスワード 値 を 生 成 する インデックスを 再 構 築 する slapd.confを 構 文 テスト LPI-Japan 2014. All rights reserved. 60
主 題 211: 電 子 メールサービス 211.1 電 子 メールサーバの 使 用 4 211.2 ローカルの 電 子 メール 配 信 を 管 理 する 2 211.3 リモートの 電 子 メール 配 信 を 管 理 する 2 Sendmailの 比 率 が 減 LPI-Japan 2014. All rights reserved. 61
メールシステム MTA (Mail Transfer Agent) : メールの 転 送 Sendmail, Postfix, qmail MDA (Mail Delivery Agent) : メールの 配 信 Procmail MUA (Mail User Agent) : メールクライアント mailコマンド MRA( Mail Retrieval Agent ) : メール 受 信 サービス dovecot, courrier IMAP MTA MTA MDA ユーザの メールボックスへ MRA MUA MUA LPI-Japan 2014. All rights reserved. 62
postfix sendmailとの 互 換 性 と 意 識 しながら sendmail, qmailの 長 所 を 採 用 して 作 られたMTA 主 な 設 定 ファイル /etc/postfix/main.cf /etc/postfix/master.cf 関 連 ディレクトリ メールスプール - /var/spool/mail/ (メールボックス 形 式 1ユーザーにつき1ファイル) - ~/Maildir/ (メールディレクトリ 形 式 1 通 につき1ファイル) メールキュー - /var/spool/postfix/ (postfix) LPI-Japan 2014. All rights reserved. 63
postfixの 設 定 設 定 例 :/etc/postifx/main.cf myhostname = centos.example.net ホスト 名 mydomain = example.net ドメイン 名 myorigin = $mydomain @ 以 降 に 補 完 する 名 前 inet_interfaces = all 接 続 を 待 ち 受 けるインターフェース mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain 宛 先 として 使 用 できる 名 前 mynetwork = 192.168.130.0/24, 127.0.0.0/8 メールを 中 継 するクライアント home_mailbox = Maildir/ メールディレクトリ 形 式 の 配 送 先 mailbox_command = /usr/bin/procmail MDAの 設 定 LPI-Japan 2014. All rights reserved. 64
Procmail 定 義 したレシピに 従 い メール 配 送 を 行 うMDA レシピファイル ~/.procmailrc /etc/procmailrc ~/.procmailrcの 記 述 例 PATH=/bin:/usr/bin:/usr/sbin MAILDIR=$HOME/Maildir/ LOGFILE=$HOME/.procmaillog DEFAULT=$MAILDIR ユーザごとに 設 定 システム 全 体 に 設 定 レシピの 記 述 ルール :0 フラグ * 条 件 アクション :0 * ^Subject:.*SPAM.* /dev/null レシピ (フィルタリングのルール) Subjectに SPAM という 記 述 があると メールを 破 棄 する LPI-Japan 2014. All rights reserved. 65
主 題 212:システムのセキュリティ 212.1 ルータを 構 成 する 3 212.2 FTPサーバの 保 護 2 212.3 セキュアシェル (SSH) 4 212.4 セキュリティ 業 務 3 212.5 OpenVPN 2 LPI-Japan 2014. All rights reserved. 66
FTPサーバの 保 護 vsftpdの 設 定 /etc/vsftpd/vsftpd.conf 設 定 例 local_enable=yes write_enable=yes ローカルユーザのログインを 許 可 書 き 込 みを 許 可 anonymous_enable=yes anon_upload_enable=yes anon_mkdir_write_enable=yes 起 動 /etc/init.d/vsftpd start 匿 名 FTPを 許 可 匿 名 FTPのアップロードを 許 可 匿 名 FTPによるディレクトリ 作 成 を 許 可 LPI-Japan 2014. All rights reserved. 67
OpenVPN 通 信 するホスト 間 を 暗 号 化 して セキュアな 通 信 を 実 現 デフォルトのポート 番 号 :1194 サーバ 用 設 定 ファイル /etc/openvpn/server.conf 設 定 例 server 10.8.0.0 255.255.255.0 push route 192.168.1.0 255.255.255.0 push dhcp-options DNS 192.168.130.128 この 他 にもSSLの 設 定 をする 必 要 があります VPNクライアントに 割 り 当 てる 範 囲 クライアントに 経 路 情 報 を 設 定 クライアントにDNSサーバを 設 定 クライアント 用 設 定 ファイル /etc/openvpn/client.conf 設 定 例 remote 192.168.130.128 1194 サーバのIPアドレス ポート 番 号 を 指 定 LPI-Japan 2014. All rights reserved. 68
参 考 資 料 Linux 教 科 書 LPICレベル2 version4 対 応 リナックスアカデミー 中 島 能 和 ( 著 ), 濱 野 賢 一 朗 ( 監 修 ) 2014/5/10 発 行 出 版 社 : 翔 泳 社 597ページ 定 価 4,320 円 ISBN-10: 4798137510 / ISBN-13: 978-4798137513 徹 底 攻 略 LPI 問 題 集 Level2/Version 4 対 応 中 島 能 和 ( 著 ), ソキウス ジャパン ( 編 集 ) 2014/4/4 発 行 出 版 社 :インプレスジャパン 360ページ 定 価 3,456 円 ISBN-10: 4844335758 / ISBN-13: 978-4844335757 Linux 教 科 書 LPIC レベル3 中 島 能 和 ( 著 ), 高 橋 基 信 ( 著 ), 濱 野 賢 一 朗 ( 著 ) 単 行 本 (ソフトカバー): 480ページ 出 版 社 : 翔 泳 社 (2010/2/19) 言 語 : 日 本 語 ISBN-10: 4798116556 ISBN-13: 978-4798116556 徹 底 攻 略 LPI 問 題 集 Level3 中 島 能 和 ( 著 ), ソキウス ジャパン ( 編 集 ) 単 行 本 : 256ページ 出 版 社 : インプレスジャパン (2008/4/24) 定 価 3,360 円 ISBN-10: 4844325647 ISBN-13: 978-4844325642 Linuxサーバー 構 築 標 準 教 科 書 (Ver2.0.1) 詳 しくは 下 記 URLで http://www.lpi.or.jp/linuxservertext/ 発 行 :エルピーアイジャパン LPI-Japan 2014. All rights reserved. 69
質 疑 応 答 についてはお 気 軽 にお 声 掛 けください ご 清 聴 ありがとうございました LPI-Japan 2014. All rights reserved. 70
スキルブレインは 法 人 向 けに 各 種 研 修 をご 提 供 しています LPI-Japan 2014. All rights reserved. 71
経 験 スキルともに 豊 富 な 講 師 陣 が 技 術 や 資 格 取 得 をサポート 三 浦 一 志 サーバ 管 理 者 として8 年 以 上 の 実 務 経 験 を 積 み 講 師 としても10 年 以 上 のキャリアを 持 つ 法 人 向 けにLPIC 研 修 Linuxサーバ 構 築 セキュリティ 研 修 やITIL 研 修 を 主 として 担 当 ITIL 認 定 講 師 情 報 セキュリティスペシャリスト 担 当 講 習 Linux/UNUX LPIC 試 験 対 策 セキュリティ Java PHP OSS-DB HTML5 河 原 木 忠 司 Linux Windowsを 使 ったインフラ 環 境 の 構 築 運 用 セキュアなインターネットサーバーの 構 築 など 企 業 官 公 庁 向 けの 技 術 研 修 を 担 当 MCT(マイクロソフト 認 定 トレーナー) VoIP 認 定 講 師 担 当 講 習 Linux Windows VoIP セキュリティ 仮 想 化 LPIC 試 験 対 策 OSS-DB 大 崎 茂 OSS 研 修 専 任 講 師 として 大 手 電 機 メーカー 通 信 キャリア 大 手 プロバイダー 等 IT 企 業 の LPIC 対 策 研 修 ならびにOSSを 中 心 とした 技 術 研 修 などを 専 門 に 担 当 担 当 講 習 Linux C 言 語 PHP Jaxa Ajax LAMP 関 連 LPIC 試 験 対 木 村 祐 ITILV3 Expert ITILV2 Manager ISO20000 Consultant/Manager 担 当 講 習 ITILファウンデーション ITILV2 OSA RCV SOA PPO EXIN 認 定 インストラクター ITILエキスパート ITILプラクティショナー LPI-Japan 2014. All rights reserved. 72