Последнее изменение файла: 2007.12.06
Скопировано с www.bog.pp.ru: 2023.10.03

Bog BOS: Установка CentOS 4.0 на DMZ-сервер

Предварительно прочитайте несколько слов о CentOS

Назначение: сервер DMZ. Устанавливал с CD-ROM, сделанного из ISO-образа CentOS 4.0, ядро 2.6.9-5.0.3, gcc 3.4.3. Pentium 4 (0.13?) 3000 MHz, шина - 800 MHz, L1 - 8KB (24526 MB/s), L2 - 512K (20924 MB/s). Память - 2x512 MB, DDR400 (2436 MB/s), PAT: Disabled (?), Dual Channel (128 бит), CAS: 2.5-3-3-8. Материнская плата Intel D865PERL (версия AAC40926-202), BIOS - RL86510A.86A.0089.P21. Не просыпается после отключения питания. Видео - NVIDIA GeForce FX 5200, 128 MB, монитор на время установки. Дисковая подсистема: ICH5 - 2 канала ATA (Sony CD-RW CRX230E) и 2 канала SATA (в режиме Legacy задействованы только PATA). Mylex (в девичестве BusLogic) AcceleRAID 170 на базе Intel 960RM и QLogic ISP 10160A, PCI 2.2 (33 MHz, 32 бит, устройство 2:1:0, IRQ 10 (виртуально IRQ 209) в Ultra160 SCSI (LVD, 80 MHz, 16 бит, глубина очереди - 16), firmware 7.00-03, BIOS 6.01-30, EzAssist 3.00-02, 32 MB на неиспользуемый кеш (/proc/rd/status, /proc/rd/c0/current_status, README.DAC960). Два диска Seagate ST336607LW (34.183 GB) объединены в RAID-1 (0:00 и 0:01 в массив A0 и логическое устройство 0). Ethernet Intel PRO/100 (eth0, Intel Corp. 82562EZ 10/100 Ethernet Controller (rev 01), 0xfeaef000, 0xcc00). Сенсор мониторинга - LM85B.

Журнал установки записывается в файл /root/anaconda-ks.cfg в виде, готовом для kickstart.

• возможные опции установки: text, skipddc, resolution=800x600, rescue, noprobe, nofb, noht, noapic, apm=off, ide=nodma, mem=640K@0
• загружаемся с CD-ROM и жмем Enter (графический режим)
• тестирование CD
• распознается NVIDIA GeForce FX (generic), Acer L17305, мышка через KVM не распознаётся, приходится подключать отдельно
• по нажатию Ctrl-Alt-F2 можно сразу попасть в bash (Alt-F7 обратно)
• язык установки - english (достали проблемы при первой загрузке)
• раскладка - english (redhat-config-keyboard)
• мышка - USB, с колесом (redhat-config-mouse)
• установка - сервер
• разбиение диска вручную с помощью DiskDruid (/dev/rd/)
  • c0d0p1, /boot (/boot1), 100 MB
  • c0d0p2, / (/1), 8000MB
  • c0d0p3, /squid, 10000MB
  • c0d0p5, (SWAP-rd/c0d0p5), 2000MB
  • c0d0p6, /data, 14600MB
• GRUB в MBR (/dev/rd/c0d0) без пароля, конфигурационный файл /boot/grub/grub.conf
• параметры ядра
• настройка сети eth0: имена, адреса, маски сетей, шлюз, DNS (redhat-config-network), вторую карту не включать
• firewall: high с дыркой для ssh (redhat-config-securitylevel)
• язык для работы: основной - en_US, дополнительный - русский (redhat-config-language)
• временная зона - Europe/Moscow (время в CMOS хранить в UTC, redhat-config-date или timeconfig)
• установка пароля для root
• выбираем пакеты (сервер; многие пакеты устанавливаются в любом случае; теперь все группы именуются по-русски; новая система менее утомительна, но получает более громоздкую систему; раньше я пакеты добавлял, теперь убираю):
  • Система X Windows, Gnome, KDE: нет
  • Редакторы: emacs, vim
  • Инженерные: нет
  • Графические средства интернет: нет
  • Текстовые средства интернет: elinks
  • Оффисные приложения: нет
  • Звук и видео: нет (оказывается здесь cdrecord!)
  • Подготовка публикаций: нет
  • Графика: нет
  • Игры: нет
  • Средства настройки серверов: нет
  • Сервера: веб-сервер и прочее: нет, кроме dhcp, tftp
  • Средства разработки: выкинуть ada, java, objc и f77; выкинуть gcc 4
  • Разработка для X: нет
  • Разработка для Gnome: нет
  • Разработка для KDE: нет
  • Средства администрирования: по-минимому
  • Системные средства: ckermit, ethereal, iptraf, lslk, mc, net-snmp-utils, nmap, shapecfg, systat, uucp
  • Поддержка печати: нет
• молча добавляются пакеты, от которых зависят выбранные нами
• форматирование новых разделов
• установка пакетов: 478 пакетов, 1200 МБ, журнал в /root/install.log, 8 минут
• первая загрузка свежеустановленной системы
• настроить /etc/updatedb.conf, подождать пока пройдет updatedb
• useradd -n -c описание -m -r -g sys -u любимый-uid имя; passwd имя
• настроить ssh, дальнейшие действия через ssh
• настроить файловые системы с помощью tune2fs -m 1 (резервировать 1% вместо 5%) или -r 25000 (100 MB)
• импортировать ключи в rpm
• настроить yum на локальный FTP архив
• обеспечение автоматического извещения об обновлениях с помощью yum
• обновиться через yum и заодно установить забытый cdrecord, xorg-x11-xauth, xterm, kernel-sourcecode.noarch (тянет какую-то графику), arpwatch, ntp, lynx
• перезагрузиться с новым ядром
• зато заработал sensors-detect (загрузку модулей i2c-i801, lm85, eeprom в rc.local) и sensors теперь показывает память, температуры, напряжения и частоту вращения вентилятора
• борьба с NTPL: LD_ASSUME_KERNEL=2.4.19 (старый Linuxthreads) или LD_ASSUME_KERNEL=2.2.5 (старый Linuxthreads без floating stacks)
• добавить /usr/local/lib в /etc/ld.so.conf и сделать ldconfig
• проверить, что все сервисы xinetd, которые не нужны при работе в режиме сервера выключены (/etc/xinetd.d/*: disable = yes); отключить и перезапустить xinetd (service xinetd reload)
• убрать сервисы, которые не нужны при работе в режиме сервера (chkconfig --list|grep on; chkconfig --level 2345 имя-сервиса off; service имя-сервиса stop)
  • rhnsd (регулярный опрос Red Hat Network)
  • pcmcia, isdn
  • apmd (APM не работает на многопроцессорных (HT) компьютерах)
  • xfs (сервер шрифтов при удалённом запуске не нужен)
  • cups
  • nfslock, netfs
  • rpcidmapd, rpcgssd, rpcsvcgssd, portmap
  • autofs
  • smartd (не умеет работать с AcceleRAID)
  • gpm (?, остались плохие воспоминания о проблемах с безопасностью)
  • sendmail (?, слушает только локальные соединения, но всё же...)
• проверить лишние порты с помощью: lsof -i
• настройка syslog как клиента
• проверить правильность iptables
• настройка синхронизации времени NTP
  • настроить /etc/ntp.conf (список серверов, клиентов, сбор статистики и права доступа)
  • дырку в локальном сетевом экране для серверов делает скрипт /etc/rc.d/init.d/ntpd (только забывает про них при перезапуске iptables), но дырки для клиентов и во внешнем экране надо делать самому
  • положить в /etc/ntp/step-tickers список ntp-серверов через пробел, если он отличается от серверов в /etc/ntp.conf
  • создать директорию для статистики, в которую у пользователя ntp есть права записи
  • chkconfig --level 345 ntpd on
  • /etc/rc.d/init.d/ntpd start (service ntpd start)
  • через некоторое время перевести все NTP запросы на него
• в поставке нет tripwire, а настраивать его самому дело долгое
• настройка сети: где net.ip4? (local_range, ip_forward, rp_filter, log_martians, accept_source_route)
• запустить arpwatch без извещения по почте
• backup
• мониторинг