Последнее изменение файла: 2007.12.06
Скопировано с www.bog.pp.ru: 2025.05.29

Bog BOS: Установка CentOS 5.0 (сервер dmz)

Предварительно прочитайте несколько слов о CentOS

Назначение: сервер DMZ (squid/clamav, exim/clamav, http, dhcp/arpwatch, ftp/mirror, ntp). Устанавливал на SuperMicro SuperServer 6025B-8 (шасси SC823S-550LP, материнская плата SuperMicro X7DB8, обязательно поправить настройки BIOS) с CD-ROM, сделанного из ISO-образа CentOS 5.0, ядро 2.6.18-8.el5, gcc 4.1.1, glibc-2.5. Intel Xeon 5110 (Conroe 65nm), 1600 MHz, шина - 1066 MHz, L1 - 64KB (26230 MB/s), L2 - 4096K. Память - 2x1024 MB, FB-DIMM, ECC, DDR2-667, Dual Channel, CAS: ?. memtest не смог отличить L2 от памяти. Дисковая подсистема: ESB2 - PATA DVD-ROM (почему-то slave, slimtype, DVD DS24CZP), 6 каналов SATA (не задействованы), 2 канала SCSI-320 от встроенного контроллера не задействованы, RAID контроллер LSI MegaRAID 320-1 (BIOS G119 от 9 августа 2004, firmware 1L37) на PCI-X - 6 дисков Seagate CHEETAH ST3146707LC (10000 rpm, Ultra320), 3 RAID1 по 2 диска (sda, sdb, sdc). eth0 для сегмента DMZ, eth1 - резерв.

Программа установки anaconda позволяет выбрать устройство загрузки, метод установки и параметры установки и ядра.

• memtest (в этой версии не забыли положить на диск с архитектурой x86_64)
• загружаемся с CD-ROM и жмем Enter (графический режим)
• тестирование CD, если устанавливаемся с этого диска в первый раз (выдаёт ошибку, но проблем не вызывает)
• распознается ATI ES1000, неизвестный монитор, мышка PS/2 с тремя кнопками
• по нажатию Ctrl-Alt-F2 можно сразу попасть в bash (Alt-F6 обратно)
• язык установки - russian
• раскладка - russian (Shift+Shift, ru, system-config-keyboard)
• разбиение вручную под LVM, физическое разбиение:
  • /dev/sda1, /boot, ext3, 102MB
  • /dev/sda2, физический том группы томов system
  • /dev/sdb, пока пуст
  • /dev/sdc, пока пуст
• логическое разбиение группы томов system (тома делаются в режиме linear без вопросов)
  • /dev/system/root, /, ext3, 20000MB
  • /dev/system/swap, swap, 4000MB
  • остальное - резерв (11306MB)
• GRUB CentOS-5 x86_64 в MBR на sda без пароля, конфигурационный файл /boot/grub/grub.conf
• настройка сети вручную (/etc/sysconfig/network-scripts/ifcfg-eth?, system-config-network)
  • eth0 - установить имя, IP адрес, маску, шлюз, DNS, поднимать при загрузке, без IPv6
  • eth1 - всё задать, но не поднимать
• временная зона - Europe/Moscow (время в CMOS хранить в UTC, не забыть поменять в BIOS, system-config-date или timeconfig)
• установка пароля для root
• установка - сервер, настроить сейчас
• выбираем пакеты (сервер):
  • Графические среды: нет
  • Приложения
    • Редакторы: vim-enhanced
    • Научные и инженерные: нет
    • Графические средства интернет: нет
    • Текстовые средства интернет: elinks, lynx
    • Оффисные приложения: нет
    • Звук и видео: нет
    • Подготовка публикаций: нет
    • Графика: нет
    • Игры: нет
  • Программирование:
    • Библиотеки для разработки: нет
    • Средства разработки: выкинуть cscope, diffstat, doxygen, dogtall, gcc-gfortran
    • Разработка для X: нет
    • Разработка для Gnome: нет
    • Разработка для KDE: нет
    • Разработка для других систем: нет
  • Серверы:
    • Средства настройки серверов: нет
    • Сервер HTTP: нет
    • Сервер почты: нет
    • Сервер samba: нет
    • Сервер DNS: всё
    • Серверы FTP, PostgreSQL, MySQL, новостей: нет
    • Серверы сетевые: DHCP
    • Устаревшие сетевые серверы: нет
  • Базовая система
    • Основа: без NetworkManager, bluez-utils, irda-utils, ksh, nano, pcmciautils, rp-pppoe, wireless-tools, ypbind, yum-updatesd, но с x86info
    • Средства администрирования: нет
    • Системные средства: без bluez-gnome, bluez-hcidump, zisofs-tools, zsh, но с arptables_jf, arpwatch, iptraf, lslk, lsscsi, mc, net-snmp-utils, nmap, systat
    • Удалённый доступ: нет
  • Виртуализация: нет
  • Кластеры: нет
  • Кластерное хранилище: нет
  • Языки: русский (сделать его неосновным нельзя)
• молча добавляются пакеты, от которых зависят выбранные нами (их можно посмотреть на одном из виртуальных терминалов по Ctrl-Alt-F3)
• создание файловых систем
• установка пакетов: 516 пакетов, 1550 МБ, журнал в /root/install.log и /root/install.log.syslog, образец для kickstart в /root/anaconda-ks.cfg (набор пакетов сомнителен), 7 минут
• первая загрузка свежеустановленной системы: продолжения настройки в текстовом режиме (упрощённый вариант, оставшийся с прошлых времён)
  • режим аутентификации (md5, shadow и т.д.)
  • включить сетевой экран с дыркой для ssh (system-config-securitylevel-tui)
  • SELinux в полном режиме
  • настройка сети (дубль?)
  • настройка сервисов
• если мы не любим prelink, то самое время удалить /etc/cron.daily/prelink, пока он не сделал кишмиш из исполняемых файлов, так что потом невозможно использовать программы типа tripware; если опоздал, то вписать PRELINKING=no в /etc/sysconfig/prelink и при следующем запуске он всё откатит
• useradd -n -c описание -m -r -g sys -u любимый-uid имя
• passwd имя
• полноценная настройка ssh (/etc/ssh/sshd_config, ~/.ssh, /etc/sysconfig/sshd), дальнейшая настройка производится удалённо (в здешней серверной холодно!)
• настроить iptables в режиме защиты сервера
• настроить файловые системы с помощью tune2fs -m 1 (резервировать 1% вместо 5%) или -r 25000 (100 MB)
• подождать пока пройдет updatedb или запустить вручную (в этой версии нельзя вставлять DAILY_UPDATE=yes в /etc/updatedb.conf)
• импортировать ключи в rpm (rpm --import /etc/pki/rpm-gpg/...)
• настроить yum на местный репозитарий, проделать дырки в сетевом экране для доступа к репозитарию (и наружу)
• обновиться через yum и заодно установить забытые wireshark, xterm
• перезагрузиться, если обновлялось ядро
• убедиться, что ненужные сервисы xinetd выключены ("disable = yes"), перезагрузить xinetd при необходимости (service xinetd reload)
• sensors-detect предлагает загрузить модули i2c-i801, i2c-isa, w83781d, lm92, w83627hf (в rc.local); sensors по-прежнему показывает какую-то чушь
• пришлось ставить утилиту от производителя
• dmidecode по-прежнему не выдаёт серийный номер
• добавить /usr/local/lib в /etc/ld.so.conf.d/local.conf и сделать ldconfig
• убрать сервисы, которые не нужны (LANG= chkconfig --list|grep :on; chkconfig --level 2345 имя-сервиса off; service имя-сервиса stop)
  • xfs (сервер шрифтов при удалённом запуске не нужен)
  • cups
  • avahi-daemon
  • pcscd
  • autofs
  • lm_sensors
  • nfslock
  • rpcgssd
  • rpcidmapd
  • portmap
  • smartd (дисков под его контролем нет)
  • mdmonitor (дисков под его контролем нет)
• проверить лишние порты с помощью: lsof -i -n
• для управления LSI MegaRAID установить megarc и megamgr
• сразу выключить кеширование записи на дисках, если есть (megarc -pSetCache -ch0 -id0 -a0 -ViewCache; megarc -pSetCache -ch0 -id0 -a0 -WCE0 -SaveCacheSetting)
• настройка сети в /etc/rc.local
  • ip -6 addr flush dev eth0
  • echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
  • echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
  • алиас eth0:1 для возможности выбора исходящего канала (iptables здесь и шлюзе, маршрутизация на шлюзе, DNS)
• настройка sendmail (vi /etc/aliases; newaliases; vi /etc/mail/sendmail.cf (Smart); перезапуск sendmail), тестирование отправки почты (без нормального DNS не работает!)
• обеспечение автоматического извещения об обновлениях с помощью yum (/root/bin/check-update.sh в crontab)
• safte-monitor, мониторинг MegaRAID (/etc/sysconfig/safte-monitor)
• настройка резервирования данных (bacula)
• настройка клиентского варианта syslog (/etc/sysconfig/syslog, /etc/syslog.conf), iptables на экране и сервере
• настройка синхронизации времени NTP (сервер)
  • установить пакет ntp
  • настроить /etc/ntp.conf (список серверов, клиентов, сбор статистики и права доступа)
  • в /etc/sysconfig/ntpd поменять SYNC_HWCLOCK=yes
  • дырку в локальном сетевом экране для серверов делает скрипт /etc/rc.d/init.d/ntpd (только забывает про них при перезапуске iptables), но дырки для клиентов и во внешнем экране надо делать самому
  • положить в /etc/ntp/step-tickers список ntp-серверов через пробел, если он отличается от серверов в /etc/ntp.conf
  • создать директорию для статистики /var/log/ntp, в которую у пользователя ntp есть права записи
  • chkconfig --level 345 ntpd on
  • /etc/rc.d/init.d/ntpd start (service ntpd start)
  • через некоторое время (полчаса) перевести все NTP запросы на него (DNS, экраны, клиенты)
• arpwatch
• подключение к серверу apcupsd (сетевые экраны)
• rrdtool (ssh-ключ для входа; на клиенте: каталог /home/bog/rrdtool и gather_answer.sh; на сервере: зайти на клиент один раз вручную, создать хранилище interface_create.sh, занести клиента в ~/rrdtool/gather_query.sh, interface_update.sh, update_*.sh и interface_graph.sh; на вебсервере отредактировать шаблоны)
• vsftpd для доступа к зеркалу
• сервер dhcp (/etc/sysconfig/dhcpd, /etc/dhcpd.conf)
• mirror
• сайты
• squid (включая squidGuard и sarg)
• clamav
• exim