완벽한 서버 - 페도라 15 x86_64 [ISPConfig 2]

4 NIC 이름을 ethx로 변경하기

이제 우리는 페도라가 더 이상 네트워크 인터페이스에 BIOS 장치 이름을 사용하지 않도록 구성해야 합니다. p3p1 대신에 우리는 예전의 eth0를 다시 가져와야 합니다(그렇지 않으면 ISPConfig의 방화벽이 미쳐서 모든 것을 차단할 것입니다. 왜냐하면 eth0 대신 p3p1을 기대하기 때문입니다). /etc/grub.conf를 엽니다…

vi /etc/grub.conf

… 그리고 커널 라인에 biosdevname=0을 추가합니다:

| # grub.conf generated by anaconda # # Note that you do not have to rerun grub after making changes to this file # NOTICE: You have a /boot partition. This means that # all kernel and initrd paths are relative to /boot/, eg. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/mapper/vg_server1-lv_root # initrd /initrd-[generic-]version.img #boot=/dev/sda default=0 timeout=0 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu title Fedora (2.6.38.6-27.fc15.x86_64) root (hd0,0) kernel /vmlinuz-2.6.38.6-27.fc15.x86_64 ro root=/dev/mapper/vg_server1-lv_root rd_LVM_LV=vg_server1/lv_root rd_LVM_LV=vg_server1/lv_swap rd_NO_LUKS rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=de rhgb quiet biosdevname=0 initrd /initramfs-2.6.38.6-27.fc15.x86_64.img |

그런 다음 시스템을 재부팅합니다:

reboot

재부팅 후, NIC의 이름은 eth0이어야 합니다. 다음을 실행하여 확인합니다…

ifconfig

… 확인합니다:

[root@server1 ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:15:60:FA
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe15:60fa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48 errors:0 dropped:0 overruns:0 frame:0
TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5226 (5.1 KiB) TX bytes:9682 (9.4 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:100 (100.0 b) TX bytes:100 (100.0 b)

[root@server1 ~]#

5 /etc/hosts 조정하기

다음으로 /etc/hosts를 편집합니다. 다음과 같이 만듭니다:

vi /etc/hosts

| 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 192.168.0.100 server1.example.com server1 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 |

server1.example.com에 대한 줄을 추가하고 127.0.0.1 줄에서 server1.example.com과 server1을 제거하는 것이 중요합니다.

6 방화벽 구성하기

(기본 시스템 설치가 끝날 때 방화벽을 이미 비활성화했다면 이 장을 건너뛸 수 있습니다.)

이 튜토리얼의 끝에서 ISPConfig를 설치하고 싶습니다. ISPConfig는 자체 방화벽을 가지고 있습니다. 그래서 저는 지금 기본 페도라 방화벽을 비활성화합니다. 물론, 방화벽을 켜두고 필요에 맞게 구성할 수 있습니다(하지만 그러면 나중에 다른 방화벽을 사용하지 말아야 합니다. 왜냐하면 그것이 페도라 방화벽과 충돌할 가능성이 높기 때문입니다).

다음 명령을 실행합니다:

system-config-firewall

그리고 방화벽을 비활성화합니다.

방화벽이 정말로 비활성화되었는지 확인하려면 다음을 실행할 수 있습니다:

iptables -L

출력은 다음과 같아야 합니다:

[root@server1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server1 ~]#

7 SELinux 비활성화하기

SELinux는 페도라의 보안 확장으로, 확장된 보안을 제공해야 합니다. 제 생각에는 안전한 시스템을 구성하는 데 필요하지 않으며, 일반적으로 장점보다 더 많은 문제를 일으킵니다(어떤 서비스가 예상대로 작동하지 않아 일주일 동안 문제를 해결한 후, 모든 것이 괜찮았고 오직 SELinux가 문제를 일으켰다는 것을 알게 될 때를 생각해 보세요). 따라서 저는 이를 비활성화합니다(나중에 ISPConfig를 설치하려면 반드시 필요합니다).

/etc/selinux/config를 편집하고 SELINUX=disabled로 설정합니다:

vi /etc/selinux/config

| # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted |

그런 다음 시스템을 재부팅해야 합니다:

reboot

8 소프트웨어 설치하기

먼저 소프트웨어 패키지에 대한 GPG 키를 가져옵니다:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

다음으로 시스템의 기존 패키지를 업데이트합니다:

yum update

이제 나중에 필요한 소프트웨어 패키지를 설치합니다:

yum install fetchmail wget bzip2 unzip zip nmap openssl lynx fileutils ncftp gcc gcc-c++

9 저널 쿼터

(제가 선택한 것과 다른 파티션 구성 방식을 선택했다면, 쿼타가 필요한 파티션에 적용되도록 이 장을 조정해야 합니다.)

쿼타를 설치하려면 다음 명령을 실행합니다:

yum install quota

/etc/fstab를 편집하고 / 파티션에 usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0를 추가합니다 ( /dev/mapper/vg_server1-lv_root):

vi /etc/fstab

| # # /etc/fstab # Created by anaconda on Wed May 25 15:57:24 2011 # # Accessible filesystems, by reference, are maintained under '/dev/disk' # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info # /dev/mapper/vg_server1-lv_root / ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 1 1 UUID=366ba6a7-7e68-4ec9-9743-4b02dd105180 /boot ext4 defaults 1 2 /dev/mapper/vg_server1-lv_swap swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 |

그런 다음 다음을 실행합니다:

mount -o remount /

quotacheck -avugm
quotaon -avug

쿼타를 활성화합니다.

10 chroot된 DNS 서버(BIND9) 설치하기

chroot된 BIND9를 설치하려면 다음을 수행합니다:

yum install bind-chroot

다음으로 몇 가지 권한을 변경합니다:

chmod 755 /var/named/
chmod 775 /var/named/chroot/
chmod 775 /var/named/chroot/var/
chmod 775 /var/named/chroot/var/named/
chmod 775 /var/named/chroot/var/run/
chmod 777 /var/named/chroot/var/run/named/
cd /var/named/chroot/var/named/
ln -s ../../ chroot

그런 다음 /etc/sysconfig/named를 열고 BIND가 /var/named/chroot에서 chroot된 상태로 실행되고 있음을 알리기 위해 다음 줄이 있는지 확인합니다:

vi /etc/sysconfig/named

| [...] ROOTDIR=/var/named/chroot |

다음으로 /etc/rsyslog.conf를 엽니다…

vi /etc/rsyslog.conf

… 그리고 $AddUnixListenSocket /var/named/chroot/dev/log 줄을 추가합니다:

| [...] $AddUnixListenSocket /var/named/chroot/dev/log |

rsyslog를 재시작합니다:

/etc/init.d/rsyslog restart

그런 다음 BIND의 시스템 시작 링크를 생성합니다:

chkconfig --levels 235 named on

지금은 BIND를 시작하지 않습니다. /var/named/chroot/etc/named.conf가 없기 때문에 실패할 것입니다. 이는 나중에 ISPConfig에 의해 생성됩니다(ISPConfig의 DNS 관리자를 사용하는 경우에 해당합니다).

완벽한 서버 - 페도라 15 x86_64 [ISPConfig 2] - 페이지 3