|
Bog BOS: Установка CentOS 4.0 на DMZ-сервер
|
Последнее изменение файла: 2007.12.06
Скопировано с www.bog.pp.ru: 2024.12.14
Bog BOS: Установка CentOS 4.0 на DMZ-сервер
Предварительно прочитайте
несколько слов о CentOS
Назначение: сервер DMZ.
Устанавливал с CD-ROM, сделанного из ISO-образа
CentOS 4.0, ядро 2.6.9-5.0.3, gcc 3.4.3.
Pentium 4 (0.13?) 3000 MHz, шина - 800 MHz, L1 - 8KB (24526 MB/s), L2 - 512K (20924 MB/s).
Память - 2x512 MB, DDR400 (2436 MB/s), PAT: Disabled (?), Dual Channel (128 бит), CAS: 2.5-3-3-8.
Материнская плата Intel D865PERL (версия AAC40926-202),
BIOS - RL86510A.86A.0089.P21. Не просыпается после отключения питания.
Видео - NVIDIA GeForce FX 5200, 128 MB, монитор на время установки.
Дисковая подсистема: ICH5 - 2 канала ATA (Sony CD-RW CRX230E)
и 2 канала SATA (в режиме Legacy задействованы только PATA).
Mylex (в девичестве BusLogic) AcceleRAID 170 на базе Intel 960RM и QLogic ISP 10160A,
PCI 2.2 (33 MHz, 32 бит, устройство 2:1:0, IRQ 10 (виртуально IRQ 209) в Ultra160 SCSI
(LVD, 80 MHz, 16 бит, глубина очереди - 16), firmware 7.00-03, BIOS 6.01-30, EzAssist 3.00-02,
32 MB на неиспользуемый кеш (/proc/rd/status, /proc/rd/c0/current_status, README.DAC960).
Два диска Seagate ST336607LW (34.183 GB) объединены в RAID-1 (0:00 и 0:01 в массив A0 и
логическое устройство 0).
Ethernet Intel PRO/100 (eth0,
Intel Corp. 82562EZ 10/100 Ethernet Controller (rev 01), 0xfeaef000, 0xcc00).
Сенсор мониторинга - LM85B.
Журнал установки записывается в файл
/root/anaconda-ks.cfg в виде, готовом для kickstart.
- возможные опции установки:
text, skipddc, resolution=800x600, rescue, noprobe,
nofb, noht, noapic, apm=off, ide=nodma, mem=640K@0
- загружаемся с CD-ROM и жмем Enter (графический режим)
- тестирование CD
- распознается NVIDIA GeForce FX (generic), Acer L17305, мышка через KVM не распознаётся,
приходится подключать отдельно
- по нажатию Ctrl-Alt-F2 можно сразу попасть в bash (Alt-F7 обратно)
- язык установки - english (достали проблемы при первой загрузке)
- раскладка - english (redhat-config-keyboard)
- мышка - USB, с колесом (redhat-config-mouse)
- установка - сервер
- разбиение диска вручную с помощью DiskDruid (/dev/rd/)
- c0d0p1, /boot (/boot1), 100 MB
- c0d0p2, / (/1), 8000MB
- c0d0p3, /squid, 10000MB
- c0d0p5, (SWAP-rd/c0d0p5), 2000MB
- c0d0p6, /data, 14600MB
- GRUB в MBR (/dev/rd/c0d0) без пароля,
конфигурационный файл /boot/grub/grub.conf
- параметры ядра
- настройка сети eth0: имена, адреса, маски сетей, шлюз, DNS
(redhat-config-network), вторую карту не включать
- firewall: high с дыркой для ssh (redhat-config-securitylevel)
- язык для работы: основной - en_US, дополнительный - русский
(redhat-config-language)
- временная зона - Europe/Moscow (время в CMOS хранить в UTC,
redhat-config-date или timeconfig)
- установка пароля для root
- выбираем пакеты (сервер; многие пакеты устанавливаются в
любом случае; теперь все группы именуются по-русски; новая система менее
утомительна, но получает более громоздкую систему; раньше я пакеты добавлял,
теперь убираю):
- Система X Windows, Gnome, KDE: нет
- Редакторы: emacs, vim
- Инженерные: нет
- Графические средства интернет: нет
- Текстовые средства интернет: elinks
- Оффисные приложения: нет
- Звук и видео: нет (оказывается здесь cdrecord!)
- Подготовка публикаций: нет
- Графика: нет
- Игры: нет
- Средства настройки серверов: нет
- Сервера: веб-сервер и прочее: нет, кроме dhcp, tftp
- Средства разработки: выкинуть ada, java, objc и f77; выкинуть gcc 4
- Разработка для X: нет
- Разработка для Gnome: нет
- Разработка для KDE: нет
- Средства администрирования: по-минимому
- Системные средства: ckermit, ethereal, iptraf, lslk,
mc, net-snmp-utils, nmap, shapecfg, systat, uucp
- Поддержка печати: нет
- молча добавляются пакеты, от которых зависят выбранные нами
- форматирование новых разделов
- установка пакетов: 478 пакетов, 1200 МБ, журнал в /root/install.log, 8 минут
- первая загрузка свежеустановленной системы
- настроить /etc/updatedb.conf, подождать пока пройдет updatedb
- useradd -n -c описание -m -r -g sys -u любимый-uid имя; passwd имя
- настроить ssh, дальнейшие действия через ssh
- настроить файловые системы с помощью tune2fs -m 1 (резервировать 1% вместо 5%)
или -r 25000 (100 MB)
- импортировать ключи в rpm
- настроить yum на локальный FTP архив
- обеспечение автоматического извещения об обновлениях с помощью yum
- обновиться через yum и заодно установить забытый cdrecord, xorg-x11-xauth, xterm,
kernel-sourcecode.noarch (тянет какую-то графику), arpwatch, ntp, lynx
- перезагрузиться с новым ядром
- зато заработал sensors-detect (загрузку модулей i2c-i801, lm85, eeprom
в rc.local) и sensors теперь показывает память, температуры, напряжения
и частоту вращения вентилятора
- борьба с NTPL: LD_ASSUME_KERNEL=2.4.19 (старый Linuxthreads) или
LD_ASSUME_KERNEL=2.2.5 (старый Linuxthreads без floating stacks)
- добавить /usr/local/lib в /etc/ld.so.conf и сделать ldconfig
- проверить, что все сервисы xinetd, которые не нужны при работе в режиме сервера
выключены (/etc/xinetd.d/*: disable = yes); отключить и перезапустить xinetd
(service xinetd reload)
- убрать сервисы, которые не нужны при работе в режиме сервера
(chkconfig --list|grep on;
chkconfig --level 2345 имя-сервиса off; service имя-сервиса stop)
- rhnsd (регулярный опрос Red Hat Network)
- pcmcia, isdn
- apmd (APM не работает на многопроцессорных (HT) компьютерах)
- xfs (сервер шрифтов при удалённом запуске не нужен)
- cups
- nfslock, netfs
- rpcidmapd, rpcgssd, rpcsvcgssd, portmap
- autofs
- smartd (не умеет работать с AcceleRAID)
- gpm (?, остались плохие воспоминания о проблемах с безопасностью)
- sendmail (?, слушает только локальные соединения, но всё же...)
- проверить лишние порты с помощью: lsof -i
- настройка syslog как клиента
- проверить правильность iptables
- настройка синхронизации времени NTP
- настроить /etc/ntp.conf (список серверов, клиентов, сбор статистики и
права доступа)
- дырку в локальном сетевом экране для серверов делает скрипт
/etc/rc.d/init.d/ntpd (только забывает про них при перезапуске iptables),
но дырки для клиентов и во внешнем экране надо делать самому
- положить в /etc/ntp/step-tickers список ntp-серверов через пробел,
если он отличается от серверов в /etc/ntp.conf
- создать директорию для статистики, в которую у пользователя ntp есть права
записи
- chkconfig --level 345 ntpd on
- /etc/rc.d/init.d/ntpd start (service ntpd start)
- через некоторое время перевести все NTP запросы на него
- в поставке нет tripwire, а настраивать его
самому дело долгое
- настройка сети: где net.ip4? (local_range, ip_forward, rp_filter, log_martians, accept_source_route)
- запустить arpwatch без извещения по почте
- backup
- мониторинг
|
Bog BOS: Установка CentOS 4.0 на DMZ-сервер
|
Copyright © 1996-2024 Sergey E. Bogomolov; www.bog.pp.ru