Der perfekte Server - CentOS 6.0 x86_64 [ISPConfig 2] - Seite 3

4 /etc/hosts anpassen

Als nächstes bearbeiten wir /etc/hosts. Es sollte so aussehen:

vi /etc/hosts

| 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 192.168.0.100 server1.example.com server1 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 |

5 Die Firewall konfigurieren

(Sie können dieses Kapitel überspringen, wenn Sie die Firewall am Ende der grundlegenden Systeminstallation bereits deaktiviert haben.)

Ich möchte ISPConfig am Ende dieses Tutorials installieren, das mit seiner eigenen Firewall kommt. Deshalb deaktiviere ich jetzt die Standard-CentOS-Firewall. Natürlich können Sie sie aktiviert lassen und nach Ihren Bedürfnissen konfigurieren (aber dann sollten Sie später keine andere Firewall verwenden, da sie höchstwahrscheinlich mit der CentOS-Firewall interferieren wird).

Führen Sie aus

system-config-firewall

und deaktivieren Sie die Firewall.

Um zu überprüfen, ob die Firewall wirklich deaktiviert wurde, können Sie anschließend ausführen

iptables -L 

Die Ausgabe sollte so aussehen:

[root@server1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server1 ~]#

6 SELinux deaktivieren

SELinux ist eine Sicherheits-erweiterung von CentOS, die erweiterte Sicherheit bieten soll. Meiner Meinung nach benötigen Sie es nicht, um ein sicheres System zu konfigurieren, und es verursacht normalerweise mehr Probleme als Vorteile (denken Sie daran, nachdem Sie eine Woche lang Probleme behoben haben, weil ein Dienst nicht wie erwartet funktionierte, und dann herausfinden, dass alles in Ordnung war, nur SELinux das Problem verursachte). Daher deaktiviere ich es (das ist ein Muss, wenn Sie später ISPConfig installieren möchten).

Bearbeiten Sie /etc/selinux/config und setzen Sie SELINUX=disabled:

vi /etc/selinux/config

| # Diese Datei steuert den Zustand von SELinux im System. # SELINUX= kann einen dieser drei Werte annehmen: # enforcing - SELinux-Sicherheitsrichtlinie wird durchgesetzt. # permissive - SELinux gibt Warnungen aus, anstatt durchzusetzen. # disabled - Keine SELinux-Richtlinie wird geladen. SELINUX=disabled # SELINUXTYPE= kann einen dieser beiden Werte annehmen: # targeted - Zielprozesse sind geschützt, # mls - Multi Level Security-Schutz. SELINUXTYPE=targeted |

Anschließend müssen wir das System neu starten:

reboot

7 Einige Software installieren

Zuerst importieren wir die GPG-Schlüssel für Softwarepakete:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

Dann aktualisieren wir unsere vorhandenen Pakete im System:

yum update

Jetzt installieren wir einige Softwarepakete, die später benötigt werden:

yum install fetchmail wget bzip2 unzip zip nmap openssl lynx fileutils gcc gcc-c++ telnet flex

8 Quota

(Wenn Sie ein anderes Partitionierungsschema gewählt haben als ich, müssen Sie dieses Kapitel anpassen, damit Quota auf den Partitionen angewendet wird, wo Sie es benötigen.)

Um Quota zu installieren, führen wir diesen Befehl aus:

yum install quota

Bearbeiten Sie /etc/fstab und fügen Sie ,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 zur / Partition ( /dev/mapper/vg_server1-lv_root) hinzu:

vi /etc/fstab

| # # /etc/fstab # Erstellt von anaconda am Mon Jul 11 16:29:27 2011 # # Zugängliche Dateisysteme, nach Referenz, werden unter '/dev/disk' verwaltet # Siehe Man-Seiten fstab(5), findfs(8), mount(8) und/oder blkid(8) für weitere Informationen # /dev/mapper/vg_server1-lv_root / ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 1 1 UUID=6a119ddb-46eb-4054-a17c-8968ea87369f /boot ext4 defaults 1 2 /dev/mapper/vg_server1-lv_swap swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 |

Führen Sie dann aus

mount -o remount /

quotacheck -avugm
quotaon -avug

um Quota zu aktivieren.

9 Einen chrooted DNS-Server (BIND9) installieren

Um einen chrooted BIND9 zu installieren, tun wir dies:

yum install bind-chroot

Dann tun Sie dies:

chmod 755 /var/named/
chmod 775 /var/named/chroot/
chmod 775 /var/named/chroot/var/
chmod 775 /var/named/chroot/var/named/
chmod 775 /var/named/chroot/var/run/
chmod 777 /var/named/chroot/var/run/named/
cd /var/named/chroot/var/named/
ln -s ../../ chroot
cp /var/named/named.localhost /var/named/chroot/var/named/named.localhost
cp /var/named/named.ca /var/named/chroot/var/named/named.ca
cp /var/named/named.empty /var/named/chroot/var/named/named.empty
cp /var/named/named.loopback /var/named/chroot/var/named/named.loopback
chgrp named /var/named/chroot/var/named/named.localhost /var/named/chroot/var/named/named.ca /var/named/chroot/var/named/named.empty /var/named/chroot/var/named/named.loopback
touch /var/named/chroot/etc/named.conf
chkconfig –levels 235 named on
/etc/init.d/named start

BIND wird in einem chroot Jail unter /var/named/chroot/var/named/ ausgeführt. Ich werde ISPConfig verwenden, um BIND (Zonen usw.) zu konfigurieren.