|
|
Bog BOS: Установка CentOS 5.1 (внешний шлюз)
|
Скопировано с bog.pp.ru: 2026.04.11
Bog BOS: Установка CentOS 5.1 (внешний шлюз)
Предварительно прочитайте несколько слов о CentOS
Назначение: внешний шлюз (два канала в интернет) и экран.
Устанавливал на SuperMicro SuperServer 5015M-MT+
(шасси SC813MFT-300C,
материнская плата SuperMicro PDSMi+,
обязательно поправить настройки BIOS) по PXE,
ядро 2.6.18-53.el5, gcc 4.1.2, glibc-2.5.
Intel XEON 3040 (Core 2 Duo), 1.86 MHz, шина - 1066 MHz, L1 - 32KB, L2 - 2048K.
Память - 2x1024 MB, ECC, DDR2-667.
Дисковая подсистема: ICH7-R - PATA TEAC CD-ROM, 4 канала SATA
(2 штуки: Seagate ES 250GB, ST3250820NS, ;
оставшиеся каналы и боксы зарезервированы),
CD-ROM (TEAC CD-224E-N, /dev/hdb, на этом сервере нет DVD-ROM!).
Дополнительно установлена четырёхпортовая сетевая карта
Intel Pro/1000 GT QUAD port (без PXE)
для внешних каналов,
в результате набортные интерфейсы имеют номера
eth4 предназначен для DMZ (левый, PCI BEV: IBA GE Slot 0D00 v1228),
eth5 - резерв (правый, PCI BEV: IBA GE Slot 0E00 v1230).
Программа установки anaconda позволяет выбрать устройство загрузки,
метод установки и параметры установки и ядра, в данном случае загружаемся по сети
(PXE).
- настраиваем систему загрузки по протоколу PXE
(дерево файлов, сервер tftp, сервер dhcp и pxelinux)
- устанавливаем в BIOS возможность загрузки с сетевой карты PCI BEV: IBA GE Slot 0D00 v1228
- загружаемся
- нажимаем F8
- выбираем установку Linux
- выбираем установку CentOS 5.1 x86_64
- выбираем сетевую карту для загрузки (eth4)
- распознается ATI ES1000
-
- монитор опознать не удалось из-за KVM, поэтому anaconda перешла в текстовый режим
- добавление параметров graphical, vesa, skipddc, resolution=800x600 в настройки pxelinux
не помогает
- из-за graphical не загружаются кириллические шрифты в текстовом режиме,
пришлось его временно удалить
- по нажатию Ctrl-Alt-F2 можно сразу попасть в bash (Alt-F7 обратно)
- язык установки и раскладка заданы в настройках pxelinux
- разбиение диска вручную (RAID-1 над соответствующими разделами sda и sdb)
- md0, /boot, ext3, 102MB MB
- md1, swap, 2000 MB
- md2, /, остальное
- GRUB CentOS-5 x86_64 с корневой системой в /dev/md2 на /dev/md0
(/dev/sda? в kickstart.cfg записывается ----location=partition) без пароля,
конфигурационный файл /boot/grub/grub.conf
- настройка сети вручную (/etc/sysconfig/network-scripts/ifcfg-eth?, redhat-config-network)
- eth4 - поднимать при загрузке, без IPv6; имя, IP адрес, маску, шлюз, DNS по DHCP
- eth0 - не поднимать
- eth1 - не поднимать
- eth2 - не поднимать
- eth3 - не поднимать
- eth5 - не поднимать
- временная зона - Europe/Moscow (время в CMOS хранить в UTC,
не забыть поменять в BIOS, redhat-config-date или timeconfig)
- установка пароля для root
- установка - сервер, уточнить выбор
- выбираем пакеты (в текстовом режиме только упрощённый одноуровневый выбор групп пакетов):
- Редакторы
- Текстовые средства интернет
- Средства разработки
- Системные средства
- молча добавляются пакеты, от которых зависят выбранные нами (их можно посмотреть
на одном из виртуальных терминалов)
- создание файловых систем
- установка пакетов: 549 пакетов, 1605 МБ, журнал в /root/install.log и /root/install.log.syslog,
образец для kickstart в /root/anaconda-ks.cfg, 5 минут
- если есть время, то дождаться завершения синхронизации soft RAID
(mdadm --misc --query --detail /dev/md? или /proc/mdstat)
- первая загрузка свежеустановленной системы:
продолжения настройки в текстовом режиме (упрощённый вариант, оставшийся с прошлых времён)
- режим аутентификации (md5, shadow и т.д.)
- включить сетевой экран с дыркой для ssh (system-config-securitylevel-tui)
- SELinux в полном режиме
- настройка сети (дубль?)
- настройка сервисов: попробовал убрать autofs, avahi*, bluetooth, cups, lvm2-monitor,
nfslock, portmap, rpc*, yum-updatesd; действует только на текущий уровень init
- если мы не любим prelink, то самое время удалить /etc/cron.daily/prelink,
пока он не сделал кишмиш из исполняемых файлов,
так что потом невозможно использовать программы типа tripware;
если опоздал, то вписать PRELINKING=no в /etc/sysconfig/prelink и
при следующем запуске он всё откатит
- useradd -n -c описание -m -r -g sys -u любимый-uid имя
- passwd имя
- полноценная настройка ssh (/etc/ssh/sshd_config,
~/.ssh, /etc/sysconfig/sshd),
дальнейшая настройка производится удалённо (в здешней серверной холодно!)
- настроить файловые системы с помощью tune2fs -m 1 (резервировать 1% вместо 5%)
или -r 25000 (100 MB)
- подождать пока пройдет updatedb или запустить вручную (в этой версии нельзя вставлять
DAILY_UPDATE=yes в /etc/updatedb.conf)
- импортировать ключи в rpm
(rpm --import /etc/pki/rpm-gpg/...)
- настроить yum на местный репозитарий
- из-за ограничений текстового режима установки было поставлено лишнее:
выкинуть cscope, diffstat, doxygen, gcc-gfortran,
NetworkManager, bluez-utils, irda-utils, ksh, nano, nfs-utils,
pam-smb, pcmciautils, rp-pppoe, wireless-tools, ypbind, yum-updatesd,
bluez-gnome, bluez-hcidump, zisofs-tools, zsh,
autofs, dogtail, samba-client, samba-common, xorg-x11-server-Xvfb
- обновиться через yum и заодно установить забытые wireshark, xterm,
arptables_jf, arpwatch, iptraf, lslk, lsscsi, mc, net-snmp-utils, nmap, systat
- перезагрузиться, если обновлялось ядро
- убедиться, что ненужные сервисы xinetd выключены ("disable = yes"),
перезагрузить xinetd при необходимости (service xinetd reload)
- sensors-detect предлагает загрузить модули i2c-i801, i2c-isa, w83781d, lm92, w83627hf
(в rc.local)
- sensors-detect предлагает добавить в /etc/modprobe.conf
# I2C module options
alias char-major-89 i2c-dev
options w83781d ignore=0,0x2d
- sensors по-прежнему показывает какую-то чушь
- пришлось ставить
утилиту от производителя
-
- настройка sendmail (vi /etc/aliases; newaliases; vi /etc/mail/sendmail.cf (Smart)),
тестирование отправки почты
- обеспечение автоматического извещения об обновлениях с помощью yum
(/root/bin/check-update.sh в crontab)
- настройка извещения о перегреве (/usr/local/sbin/temperature_control.sh)
- добавить /usr/local/lib в /etc/ld.so.conf.d/local и сделать ldconfig
- убрать сервисы, которые не нужны
(LANG= chkconfig --list|grep :on;
chkconfig --level 2345 имя-сервиса off; service имя-сервиса stop)
- xfs (сервер шрифтов при удалённом запуске не нужен)
- cups
- avahi-daemon
- pcscd (нет оборудования)
- lm_sensors (не работает)
- lvm2-monitor
- netfs
- portmap
- проверить лишние порты с помощью: lsof -i -n
- настроить grub на обоих дисках (anaconda "забывает" один из них)
/sbin/grub --no-floppy --batch << EOF
device (hd0) /dev/sdb
root (hd0,0)
setup (hd0)
quit
EOF
/sbin/grub --no-floppy --batch << EOF
device (hd0) /dev/sda
root (hd0,0)
setup (hd0)
quit
EOF
- настройка клиентского варианта syslog и перезапуск
- настройка синхронизации времени NTP (клиентский вариант)
- установить пакет ntp
- в /etc/sysconfig/ntpd поменять SYNC_HWCLOCK=yes
- настроить /etc/ntp.conf (список серверов и права доступа, без сбора статистики)
- service ntpd start
- chkconfig --level 345 ntpd on
- через некоторое время проверить с помощью ntpstat
- настройка резервирования данных (bacula)
- настроить iptables в режиме защиты сервера (временно)
- настройка сети в /etc/rc.local
- ip -6 addr flush dev eth4
- echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
- echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
- перенос шлюза (отдельный документ zamena-t02-dmz.utf8)
- сбор статистики по падению каналов
- вход по ssh для избранных
- apcupsd
- статистика сервера
- arpwatch
- внесение изменений в документацию
- маркировка кабелей
- консервация
|
|
Bog BOS: Установка CentOS 5.1 (внешний шлюз)
|
Скопировано с bog.pp.ru: 2026.04.11
Bog BOS: Установка CentOS 5.1 (внешний шлюз)
Copyright © 1996-2026 Sergey E. Bogomolov; bog.pp.ru