Der perfekte Server - Fedora 15 x86_64 [ISPConfig 2]

4 Ändern Sie den Namen Ihrer NIC in ethx

Jetzt müssen wir Fedora so konfigurieren, dass es keine BIOS-Gerätenamen mehr für unsere Netzwerkschnittstelle verwendet. Anstelle von p3p1 benötigen wir unser gutes, altes eth0 zurück (denn sonst wird die Firewall von ISPConfig verrückt und blockiert alles, weil sie eth0 anstelle von p3p1 erwartet). Öffnen Sie /etc/grub.conf…

vi /etc/grub.conf

… und fügen Sie biosdevname=0 zur Kernelzeile hinzu:

| # grub.conf generiert von anaconda # # Beachten Sie, dass Sie grub nach Änderungen an dieser Datei nicht erneut ausführen müssen # HINWEIS: Sie haben eine /boot-Partition. Das bedeutet, dass # alle Kernel- und initrd-Pfade relativ zu /boot/ sind, z. B. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/mapper/vg_server1-lv_root # initrd /initrd-[generic-]version.img #boot=/dev/sda default=0 timeout=0 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu title Fedora (2.6.38.6-27.fc15.x86_64) root (hd0,0) kernel /vmlinuz-2.6.38.6-27.fc15.x86_64 ro root=/dev/mapper/vg_server1-lv_root rd_LVM_LV=vg_server1/lv_root rd_LVM_LV=vg_server1/lv_swap rd_NO_LUKS rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=de rhgb quiet biosdevname=0 initrd /initramfs-2.6.38.6-27.fc15.x86_64.img |

Dann starten Sie das System neu:

reboot

Nach dem Neustart sollte Ihre NIC eth0 heißen. Führen Sie…

ifconfig

… zur Überprüfung aus:

[root@server1 ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:15:60:FA
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe15:60fa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48 errors:0 dropped:0 overruns:0 frame:0
TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5226 (5.1 KiB) TX bytes:9682 (9.4 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:100 (100.0 b) TX bytes:100 (100.0 b)

[root@server1 ~]#

5 Passen Sie /etc/hosts an

Als nächstes bearbeiten wir /etc/hosts. Lassen Sie es so aussehen:

vi /etc/hosts

| 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 192.168.0.100 server1.example.com server1 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 |

Es ist wichtig, dass Sie eine Zeile für server1.example.com hinzufügen und server1.example.com sowie server1 aus der 127.0.0.1-Zeile entfernen.

6 Konfigurieren Sie die Firewall

(Sie können dieses Kapitel überspringen, wenn Sie die Firewall bereits am Ende der grundlegenden Systeminstallation deaktiviert haben.)

Ich möchte ISPConfig am Ende dieses Tutorials installieren, das mit seiner eigenen Firewall kommt. Deshalb deaktiviere ich jetzt die Standard-Firewall von Fedora. Natürlich können Sie sie aktiviert lassen und nach Ihren Bedürfnissen konfigurieren (aber dann sollten Sie später keine andere Firewall verwenden, da sie höchstwahrscheinlich mit der Firewall von Fedora in Konflikt gerät).

Führen Sie aus

system-config-firewall

und deaktivieren Sie die Firewall.

Um zu überprüfen, ob die Firewall wirklich deaktiviert wurde, können Sie danach

iptables -L

ausführen. Die Ausgabe sollte so aussehen:

[root@server1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server1 ~]#

7 Deaktivieren Sie SELinux

SELinux ist eine Sicherheits-erweiterung von Fedora, die erweiterte Sicherheit bieten soll. Meiner Meinung nach benötigen Sie es nicht, um ein sicheres System zu konfigurieren, und es verursacht normalerweise mehr Probleme als Vorteile (denken Sie daran, nachdem Sie eine Woche lang Probleme behoben haben, weil ein Dienst nicht wie erwartet funktionierte, und dann stellen Sie fest, dass alles in Ordnung war, nur SELinux das Problem verursachte). Daher deaktiviere ich es (das ist ein Muss, wenn Sie später ISPConfig installieren möchten).

Bearbeiten Sie /etc/selinux/config und setzen Sie SELINUX=disabled:

vi /etc/selinux/config

| # Diese Datei steuert den Status von SELinux im System. # SELINUX= kann einen dieser drei Werte annehmen: # enforcing - SELinux-Sicherheitsrichtlinie wird durchgesetzt. # permissive - SELinux gibt Warnungen aus, anstatt durchzusetzen. # disabled - Keine SELinux-Richtlinie wird geladen. SELINUX=disabled # SELINUXTYPE= kann einen dieser beiden Werte annehmen: # targeted - Zielprozesse sind geschützt, # mls - Multi Level Security-Schutz. SELINUXTYPE=targeted |

Anschließend müssen wir das System neu starten:

reboot

8 Installieren Sie einige Software

Zuerst importieren wir die GPG-Schlüssel für Softwarepakete:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

Als nächstes aktualisieren wir unsere vorhandenen Pakete im System:

yum update

Jetzt installieren wir einige Softwarepakete, die später benötigt werden:

yum install fetchmail wget bzip2 unzip zip nmap openssl lynx fileutils ncftp gcc gcc-c++

9 Journaled Quota

(Wenn Sie ein anderes Partitionierungsschema gewählt haben als ich, müssen Sie dieses Kapitel anpassen, damit die Quota auf die Partitionen angewendet wird, wo Sie sie benötigen.)

Um Quota zu installieren, führen wir diesen Befehl aus:

yum install quota

Bearbeiten Sie /etc/fstab und fügen Sie ,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 zur /-Partition (/dev/mapper/vg_server1-lv_root) hinzu:

vi /etc/fstab

| # # /etc/fstab # Erstellt von anaconda am Wed May 25 15:57:24 2011 # # Zugängliche Dateisysteme werden unter '/dev/disk' verwaltet # Siehe Man-Seiten fstab(5), findfs(8), mount(8) und/oder blkid(8) für weitere Informationen # /dev/mapper/vg_server1-lv_root / ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 1 1 UUID=366ba6a7-7e68-4ec9-9743-4b02dd105180 /boot ext4 defaults 1 2 /dev/mapper/vg_server1-lv_swap swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 |

Führen Sie dann aus

mount -o remount /

quotacheck -avugm
quotaon -avug

um Quota zu aktivieren.

10 Installieren Sie einen chrooted DNS-Server (BIND9)

Um einen chrooted BIND9 zu installieren, tun wir dies:

yum install bind-chroot

Als nächstes ändern wir einige Berechtigungen:

chmod 755 /var/named/
chmod 775 /var/named/chroot/
chmod 775 /var/named/chroot/var/
chmod 775 /var/named/chroot/var/named/
chmod 775 /var/named/chroot/var/run/
chmod 777 /var/named/chroot/var/run/named/
cd /var/named/chroot/var/named/
ln -s ../../ chroot

Dann öffnen wir /etc/sysconfig/named und stellen sicher, dass es die folgende Zeile enthält, um BIND mitzuteilen, dass es chrooted in /var/named/chroot läuft:

vi /etc/sysconfig/named

| [...] ROOTDIR=/var/named/chroot |

Öffnen Sie dann /etc/rsyslog.conf…

vi /etc/rsyslog.conf

… und fügen Sie die Zeile $AddUnixListenSocket /var/named/chroot/dev/log hinzu:

| [...] $AddUnixListenSocket /var/named/chroot/dev/log |

Starten Sie rsyslog neu:

/etc/init.d/rsyslog restart

Dann erstellen wir die Systemstartlinks für BIND:

chkconfig --levels 235 named on

Wir starten BIND jetzt nicht, da es aufgrund einer fehlenden /var/named/chroot/etc/named.conf fehlschlagen wird. Dies wird später von ISPConfig erstellt (wenn Sie den DNS-Manager von ISPConfig verwenden).

Der perfekte Server - Fedora 15 x86_64 [ISPConfig 2] - Seite 3