Идеальный сервер - Fedora 15 x86_64 [ISPConfig 2]

4 Измените имя вашего сетевого интерфейса на ethx

Теперь мы должны настроить Fedora так, чтобы она больше не использовала имена устройств BIOS для нашего сетевого интерфейса. Вместо p3p1 нам нужно вернуть наше старое, доброе eth0 (потому что в противном случае брандмауэр ISPConfig будет сходить с ума и блокировать все, так как он ожидает eth0 вместо p3p1). Откройте /etc/grub.conf…

vi /etc/grub.conf

… и добавьте biosdevname=0 в строку ядра:

| # grub.conf сгенерирован anaconda # # Обратите внимание, что вам не нужно повторно запускать grub после внесения изменений в этот файл # УВЕДОМЛЕНИЕ: У вас есть раздел /boot. Это означает, что # все пути к ядру и initrd относительны к /boot/, например. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/mapper/vg_server1-lv_root # initrd /initrd-[generic-]version.img #boot=/dev/sda default=0 timeout=0 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu title Fedora (2.6.38.6-27.fc15.x86_64) root (hd0,0) kernel /vmlinuz-2.6.38.6-27.fc15.x86_64 ro root=/dev/mapper/vg_server1-lv_root rd_LVM_LV=vg_server1/lv_root rd_LVM_LV=vg_server1/lv_swap rd_NO_LUKS rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=de rhgb quiet biosdevname=0 initrd /initramfs-2.6.38.6-27.fc15.x86_64.img |

Затем перезагрузите систему:

reboot

После перезагрузки ваш сетевой интерфейс должен называться eth0. Выполните…

ifconfig

… чтобы проверить:

[root@server1 ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:15:60:FA
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe15:60fa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48 errors:0 dropped:0 overruns:0 frame:0
TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5226 (5.1 KiB) TX bytes:9682 (9.4 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:100 (100.0 b) TX bytes:100 (100.0 b)

[root@server1 ~]#

5 Настройте /etc/hosts

Далее мы редактируем /etc/hosts. Сделайте его таким:

vi /etc/hosts

| 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 192.168.0.100 server1.example.com server1 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 |

Важно, чтобы вы добавили строку для server1.example.com и удалили server1.example.com и server1 из строки 127.0.0.1.

6 Настройка брандмауэра

(Вы можете пропустить эту главу, если вы уже отключили брандмауэр в конце базовой установки системы.)

Я хочу установить ISPConfig в конце этого руководства, который поставляется со своим собственным брандмауэром. Поэтому я сейчас отключаю брандмауэр по умолчанию Fedora. Конечно, вы можете оставить его включенным и настроить его по своим нуждам (но тогда вам не следует использовать какой-либо другой брандмауэр позже, так как он, скорее всего, будет мешать брандмауэру Fedora).

Выполните

system-config-firewall

и отключите брандмауэр.

Чтобы проверить, что брандмауэр действительно был отключен, вы можете выполнить

iptables -L

после этого. Вывод должен выглядеть так:

[root@server1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server1 ~]#

7 Отключите SELinux

SELinux - это расширение безопасности Fedora, которое должно обеспечивать расширенную безопасность. На мой взгляд, вам не нужно это для настройки безопасной системы, и оно обычно вызывает больше проблем, чем преимуществ (подумайте об этом после того, как вы провели неделю, устраняя неполадки, потому что какая-то служба не работала так, как ожидалось, а затем вы обнаруживаете, что все было в порядке, только SELinux вызывало проблему). Поэтому я отключаю его (это обязательно, если вы хотите установить ISPConfig позже).

Отредактируйте /etc/selinux/config и установите SELINUX=disabled:

vi /etc/selinux/config

| # Этот файл управляет состоянием SELinux в системе. # SELINUX= может принимать одно из этих трех значений: # enforcing - Политика безопасности SELinux применяется. # permissive - SELinux выводит предупреждения вместо применения. # disabled - Политика SELinux не загружается. SELINUX=disabled # SELINUXTYPE= может принимать одно из этих двух значений: # targeted - Защищены целевые процессы, # mls - Защита многоуровневой безопасности. SELINUXTYPE=targeted |

После этого мы должны перезагрузить систему:

reboot

8 Установите необходимое программное обеспечение

Сначала мы импортируем GPG-ключи для программных пакетов:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

Затем мы обновляем наши существующие пакеты в системе:

yum update

Теперь мы устанавливаем некоторые программные пакеты, которые понадобятся позже:

yum install fetchmail wget bzip2 unzip zip nmap openssl lynx fileutils ncftp gcc gcc-c++

9 Журналируемая квота

(Если вы выбрали другую схему разбиения, чем я, вам нужно будет настроить эту главу так, чтобы квота применялась к разделам, где она вам нужна.)

Чтобы установить квоту, мы выполняем эту команду:

yum install quota

Отредактируйте /etc/fstab и добавьте,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 к разделу / ( /dev/mapper/vg_server1-lv_root):

vi /etc/fstab

| # # /etc/fstab # Создано anaconda в среду 25 мая 2011 года 15:57:24 # # Доступные файловые системы, по ссылке, поддерживаются в '/dev/disk' # См. страницы man fstab(5), findfs(8), mount(8) и/или blkid(8) для получения дополнительной информации # /dev/mapper/vg_server1-lv_root / ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 1 1 UUID=366ba6a7-7e68-4ec9-9743-4b02dd105180 /boot ext4 defaults 1 2 /dev/mapper/vg_server1-lv_swap swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 |

Затем выполните

mount -o remount /

quotacheck -avugm
quotaon -avug

чтобы включить квоту.

10 Установите изолированный DNS-сервер (BIND9)

Чтобы установить изолированный BIND9, мы делаем следующее:

yum install bind-chroot

Затем мы изменяем несколько разрешений:

chmod 755 /var/named/
chmod 775 /var/named/chroot/
chmod 775 /var/named/chroot/var/
chmod 775 /var/named/chroot/var/named/
chmod 775 /var/named/chroot/var/run/
chmod 777 /var/named/chroot/var/run/named/
cd /var/named/chroot/var/named/
ln -s ../../ chroot

Затем мы открываем /etc/sysconfig/named и убеждаемся, что в нем есть следующая строка, чтобы сообщить BIND, что он работает в изолированном режиме в /var/named/chroot:

vi /etc/sysconfig/named

| [...] ROOTDIR=/var/named/chroot |

Затем откройте /etc/rsyslog.conf…

vi /etc/rsyslog.conf

… и добавьте строку $AddUnixListenSocket /var/named/chroot/dev/log:

| [...] $AddUnixListenSocket /var/named/chroot/dev/log |

Перезапустите rsyslog:

/etc/init.d/rsyslog restart

Затем мы создаем системные ссылки для запуска BIND:

chkconfig --levels 235 named on

Мы не запускаем BIND сейчас, потому что он не сможет запуститься из-за отсутствия /var/named/chroot/etc/named.conf. Это будет создано позже ISPConfig (если вы используете DNS-менеджер ISPConfig, то есть).

Идеальный сервер - Fedora 15 x86_64 [ISPConfig 2] - Страница 3