変奏現実

パソコンやMMORPGのことなどを思いつくまま・・・記載されている会社名・製品名・システム名などは、各社の商標、または登録商標です。

この画面は、簡易表示です

CentOS

12を使ってみた

学習目的で利用。

ダウンロード先巨大なZIPファイル

インストレーション・ガイド必読書。Windows版の方が多分楽

引用: Oracle Technology Network

起動順

  • リスナーを起動する。
    • lsnrctl start
  • データベースを起動する。
    • sqlplus / as sysdba
    • startup
  • プラガブル・データベースを開く。
    • show pdbs で状態を見て、MOUNTEDだったら
      • alter pluggable database {PDB名} open; する
  • プラガブル・データベースに移動するなら。
    • alter session set container= {PDB名} ;
  • でも毎回 プラガブル・データベースを開くのが面倒いので
    • ALTER PLUGGABLE DATABASE {PDB名} SAVE STATE; する

そんな訳でtnsnames.oraに プラガブル・データベース への接続設定が必要。

  • SRV_PDB=
    • (DESCRIPTION =
      • (ADDRESS =
        • (PROTOCOL = TCP)
        • (HOST = {サーバ名})
        • (PORT = 1521)
      • )
      • (CONNECT_DATA =
        • (SERVER = DEDICATED)
        • (SERVICE_NAME = {PDB名})
      • )
    • )

でも、A5の 直接接続ならサービス名( つまり{PDB名} )で接続するように指定すればいいだけかな?

終了順(適当)

  • リスナーを停止
    • lsnrctl stop
  • データベースを停止する。
    • shutdown

でも、コマンドは面倒なので

  • サービス自動起動化のためコマンド使用可にする
    • vi /etc/oratab
      • $ORACLE_SID:$ORACLE_HOME:N の NをYに変える
  • サービスを作成
  • CentOS6はhttps://docs.oracle.com/cd/E57425_01/121/UNXAR/strt_stp.htmを参照。CentOS7は以下。
    • vi /etc/sysconfig/db01.oracledb
      • oracle ユーザの.bash_profileから設定をコピー
        • ORACLE_BASE、ORACLE_HOME、ORACLE_SID
    • vi /usr/lib/systemd/system/db01@lsnrctl.service
      • [Unit]
        • Description=Oracle12c Net Listener
        • After=network.target
      • [Service]
        • Type=forking
        • EnvironmentFile=/etc/sysconfig/db01.oracledb
        • ExecStart=/u01/app/oracle/product/12.1.0/dbhome_1/bin/lsnrctl start
        • ExecStop=/u01/app/oracle/product/12.1.0/dbhome_1/bin/lsnrctl stop
        • User=oracle
      • [Install]
        • WantedBy=multi-user.target
    • vi /usr/lib/systemd/system/db01@oracledb.service
      • [Unit]
        • Description=Oracle12c Database service
        • After=network.target lsnrctl.service
      • [Service]
        • Type=forking
        • EnvironmentFile=/etc/sysconfig/db01.oracledb
        • ExecStart=/u01/app/oracle/product/12.1.0/dbhome_1/bin/dbstart $ORACLE_HOME
        • ExecStop=/u01/app/oracle/product/12.1.0/dbhome_1/bin/dbshut $ORACLE_HOME
        • User=oracle
      • [Install]
        • WantedBy=multi-user.target
  • 作ったサービスを登録
    • systemctl daemon-reload
    • systemctl enable db01@lsnrctl db01@oracledb

再起動すると、 https://サーバー:5500/em も開けた。

ユーザ作成

ところがメニューはコンテナデータベース( CDB )のまま。CDBではユーザが作れないのでメニューからプラガブル・データベース(PDB)へ切り替えたいが、そんな方法は無いらしい。

ググってみると、PDB用のemが作れる様だ

  • sqlplus / as sysdba から、
  • PDBに遷移
    • ALTER SESSION SET CONTAINER={PDB名};
  • PDBにem用のポートを設定
    • exec dbms_xdb_config.sethttpsport(5504);
  • 要確認
    • SELECT c.name,c.open_mode,e.port FROM v$pdbs c, xdb.xdb$cdbports e WHERE c.con_id = e.pdb (+);

NAMEOPEN_MODEPORT
PDB1READ WRITE5504
PDB2MOUNTED
PDB$SEEDREAD ONLY
  • お約束のファイアーウォール設定
    • firewall-cmd – -permanent –zone=public – -add-port=5504/tcp
    • firewall-cmd – -reload
  • https://サーバー:5504/em のメニューにPDB名が出るようになった。
やっと「表領域」が見えた!

これで、【セキュリティ】⇒【ユーザ】画面で[ユーザの作成]のウィザードがまともに使えるようになる。ロールはザッくりな感じで。

  • CONNECT ※接続
  • DBM ※Create Table とか
  • Unlimited Tablespace ※INSERTとか

こんなSQLを流してみると、

DROP PUBLIC SYNONYM SAMPLE1;
CREATE TABLE AAAAAA.SAMPLE1 (
ID      VARCHAR(10) not null,
NAME    VARCHAR(30),
ADDRESS VARCHAR(255),
MEMO    VARCHAR(255)
);
SELECT * from AAAAAA.SAMPLE1;
CREATE PUBLIC SYNONYM SAMPLE1 FOR AAAAAA.SAMPLE1;
SELECT * FROM SAMPLE1;
INSERT INTO  SAMPLE1 VALUES('a','b','c','');
INSERT INTO  SAMPLE1 VALUES('A','B','C','');
UPDATE SAMPLE1 SET ID='aAA',NAME='bBB',ADDRESS='cCC',MEMO='***###' WHERE ID='a';
SELECT * FROM SAMPLE1;
DELETE SAMPLE1 WHERE ID='b';
SELECT * FROM SAMPLE1;

シノニムがめんどくさい。

19cの方がインストーラが日本語表示してくれるようだが、
設定方法が悪かったのか、インスト時にデータベースも作ろうとすると
5500ポートが使用中とかで失敗してしまう。
それでプログラムだけインストして、
binのdbcaでデータベースを作るとemが起動しない。
select dbms_xdb_config.getHttpsPort() from dual; が

DBMS_XDB_CONFIG.GETHTTPSPORT()
0

なので、
exec dbms_xdb_config.sethttpsport(5500);
pdb1の分も作ってみる。
ALTER SESSION SET CONTAINER=pdb1;
exec dbms_xdb_config.sethttpsport(5504);
SELECT c.name,c.open_mode,e.port FROM v$pdbs c, xdb.xdb$cdbports e WHERE c.con_id = e.pdb (+);では見えないが、
select dbms_xdb_config.getHttpsPort() from dual;で設定を確認。

firewall-cmd –add-port=5500/tcp –permanent
firewall-cmd –add-port=5504/tcp –permanent
firewall-cmd –reload
見えなかったら rebootしてみるといいかも。
あれ?メニューがPerformanceだけ。
マニュアル読んで、全部やりなおしかな?



【CentOS7】XRDP

あるインストーラがX-Windowで動いちゃうのでメンドクサイと思いながら

yum -y groupinstall “KDE Plasma Workspaces”

しました。

でも、調べ物はWindowsでやっているので、2つのキーボードとマウスを使い分けるのが、やはり面倒。

とは云うものの以前にvncやspiceとか使ってみた感じでは…

CentOS側で事前にX-Windowsが動かしておいて
コッソリ覗き見している感じだったから、
事前準備が全て整っている必要があり
起動までが面倒だった。※サーバーを動きっぱなしにするのは必然。

当然、いくつも繋ぎっぱなしにしようとすると、
ポートの割振りが必要だったり、パッケージのSSLの扱いも豆に変わてたりしてて、暫く使わないと、パッケージの自動アップデートで動作が安定せず 右往左往してしまい、 電源入れっぱなしと云うこともあり次第に使わなくなっていた。

でも今では Windowsのリモートディスクトップ からLinuxのX-Windowに繋いでしまうパッケージXRDPが出ていた。これは楽そうだ。

  • いくつでも接続できそう。※数枚なら並行利用可能。
  • コマンドのコピペが楽なキャラクターモードで接続したいなら、ログインの初期設定はキャラクターモードでもOK。
  • CentOS側はxrdpのサービスを常駐させて置くだけいい。
  • yum install xrdp tigervnc-server と3389ポート開放だけ。
    • 色は事前に/etc/xrdp/xrdp.iniのmax_bppを32から24に変えた方がいいらしい。

但し、同じユーザで複数ログインしても、画面コピーになるので無駄。
※でも、やり様はあるのかもしれない。

無論CentOS側の負担は半端ないけどね。(笑

Cleron G3900にはチョット厳しい様だ。

初期設定はUSだけど
・[アプリケーション]⇒[設定]⇒[システム設定]⇒[国・言語]⇒[ロケール]で日本・日本語に変えて再起動。
・IBus-kkcがインスト済みでタスクバーに[JA]か[あ]表示があるハズ。
無ければ [アプリケーション]⇒[設定]⇒ [入力メソッドのセレクター]でIBusを有効にすれば、Windowsキー+スペースでかな漢字変換をON/OFFできる。
・ターミナルは [アプリケーション]⇒[システム] の中。
・画面の解像度は [アプリケーション]⇒[設定]⇒[システム設定]でスクロールバーを下げていくと[ハードウェア]が出てくるので[ディスプレイとモニタ]でDisplay Configurationを選び画面右のスクリーンの絵中の4つの矢印が描かれたアイコンをクリックすると使える解像度から選べる。

ここまで羅列すれば困らないかなぁ~(不慣れスギ

あ、そうそう、Windowsのリモートディスクトップを閉じてもログアウトしないから、ちゃんとログアウトした方がいいかもしれない。うっかりシャットダウンを選ぶと「30秒後にその様」になります。※キャンセル可。



postgresqlでハマる

postgresqlを普通にyumでインストすると9.2.xなので

本家のRPMを追加して11.xをインストしてみた。

すると、phpPgAdminからログインできなくなった。

どうやら、pg_hba.confに

local  all   all   peer

があると、 su – postgres  以外の接続を嫌うご様子。でも・・・

local  template1 postgres trust

を手前に付けておけばOK。※でも非常に不安~

無事ログインできた?
おや?
白い画面?

このバージョンの PostgreSQL はサポートしていません。バージョン 以上にアップグレードしてください。

ドコにあるんだ!と思ったら、5.6は対応しているらしい。
yumは5.1なので、公式からzipをDLし、/usr/share ※/root下はダメだった。に解凍し、URLを繋ぎ直してみると、

Configuration error: Copy conf/config.inc.php-dist to conf/config.inc.php and edit appropriately.

yum じゃないから設定からはじめないとイケナいが、でもコピるだけ。

ログインが許可されませんでした。

フリダシに戻った気がしたが、

$conf[‘extra_login_security’] = false;

を忘れていただけだったと思ったけど甘かった。
何かクリックするとログインに戻されてしまう。
詰めが甘い?
よーくみると・・・左のツリーメニューに

読み込み中のエラーです。 database.php?subject=database=%3A5432%3Aallow&action=tree&database=postgres(200: OK)

ぐぐってみると、PHPのエラーを全て無視させればOKらしい。

結果: 効果無し。

PHPのログからはロクな情報が得られなかったが、
postgresqlのログファイルに親切な見解が書かれていたので
参考にしながら
pg_hba.confを少しづつ修正して得られた正解は・・・

host all all ::1/128 trust

md5にするとダメなのが困りもの。※trust: パスワード無視

local all all peer

ハマった時のためにコレは残しておいた方が良さそう。

他はコメントアウト!!!

結論: やっぱりユーザはちゃんと作った方が良さそう。



【KVM】 公開用の雛形からブログサーバーを作る

公開用からブログサーバーをクローンする

virt-clone -o {公開用} -n {ブログ鯖} -f /var/lib/libvirt/images/{ブログ鯖}.qcow2
qemu-img convert -c -f qcow2 -O qcow2 /var/lib/libvirt/images/{ブログ鯖}{,.compress}.qcow2
rm -f /var/lib/libvirt/images/{ブログ鯖}.qcow2
mv /var/lib/libvirt/images/{ブログ鯖}.compress.qcow2 /var/lib/libvirt/images/{ブログ鯖}.qcow2

tripwireの調整

ホスト名を変えたので調整。

ローカルキーファイルをリネーム。
mv /etc/tripwire/{古いホスト名}-local.key /etc/tripwire/{新しいホスト名}-local.key
新しい環境の環境変数を使って、設定ファイルを再生成
twadmin --print-cfgfile > /etc/tripwire/twcfg.txt
twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
Please enter your site passphrase:
Wrote configuration file: /etc/tripwire/tw.cfg

データベースを作り直す。

tripwire -m i -s -c /etc/tripwire/tw.cfg
Please enter your local passphrase:
チェック。
tripwire --check
・・・
===============================================================================
Error Report:
===============================================================================
No Errors
・・・

/etc/tripwireにあるテキストファイルを消す。

rm -rf /etc/tripwire/*.txt
 <h3>Apatchインストール</h3> <pre>
yum -y install httpd php php-mbstring

設定(/etc/httpd/conf/httpd.conf)

色々(省略)

起動、自動実行

systemctl start httpd.service
systemctl enable httpd.service 

Postfixインストール

yum -y install postfix

設定(/etc/postfix/main.cf)

色々(省略)

ログインとメールで同じパスワードを使うので

yum -y install cyrus-sasl
systemctl start saslauthd
systemctl enable saslauthd

Maildir形式のメールボックスを作成

mkdir -p /etc/skel/Maildir/{new,cur,tmp}
chmod -R 700 /etc/skel/Maildir/

起動、自動実行

systemctl restart postfix
systemctl enable postfix

Dovecotインストール

yum -y install dovecot

設定ファイル(/etc/dovecot/conf.d/10-mail.conf)を修正

・・・省略・・・

起動、自動実行

systemctl start dovecot
systemctl enable dovecot

MariaDBインストール

yum -y install mariadb-server

設定ファイル(/etc/my.cnf.d/server.cnf)に追記

[mysqld]
character-set-server = utf8

起動、自動実行

systemctl enable mariadb.service
systemctl start mariadb.service

phpMyAdminインストール

yum -y install phpMyAdmin

設定ファイル(/etc/httpd/conf.d/)を修正

   &amp;lt;IfModule mod_authz_core.c&amp;gt;
     # Apache 2.4
     &amp;lt;RequireAny&amp;gt;
       Require ip 127.0.0.1 ←LANからも見える様にする
       Require ip ::1
     &amp;lt;/RequireAny&amp;gt;
   &amp;lt;/IfModule&amp;gt;

設定ファイル(/etc/phpMyAdmin/config.inc.php)を修正

$cfg['blowfish_secret'] = '' ←空だったら  mkpasswd -l 46 の結果を貼る

※mkpasswd が無かった yum -y install expect でインスト。

wordpressインストール

リポジトリィにあるwordpressは英語版なので日本語の最新版を使う

wget https://ja.wordpress.org/latest-ja.zip
unzip -q latest-ja.zip
mv wordpress /var/www/wordpress

wordpressのデータベース設定ファイル(/root/wordpress.sql)を作る

/* rootのパスワードを設定 */
set password for root@localhost=password('{パスワード}');
/* wordpressのデータベースのユーザを作成。*/
insert into user set user="{ユーザ名}", password=password("{パスワード}"), host="localhost";
/* wordpressのデータベースを作成 */
create database {データベース名};
/* wordpressのデータベースに ユーザに権限を与える */
grant all on {データベース名}.* to {ユーザ名};
/* 最新に更新 */
FLUSH PRIVILEGES;

設定

cd /root
mysql -uroot -Dmysql -p{パスワード} &amp;lt; wordpress.sql

設定ファイル(/var/www/wordpress/wp-config-sample.php)の作成

cd /var/www/wordpress
cp wp-config-sample.php  wp-config.php

設定ファイル(/var/www/wordpress/wp-config-sample.php)の編集

define('DB_NAME', '作成したデータベース名を設定');
define('DB_USER', '作成したユーザ名を設定');
define('DB_PASSWORD', '作成したパスワードを設定');
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

は https://api.wordpress.org/secret-key/1.1/salt/ の結果を順に貼る

define('AUTH_KEY',         '**************');
define('SECURE_AUTH_KEY',  '**************');
define('LOGGED_IN_KEY',    '**************');
define('NONCE_KEY',        '**************');
define('AUTH_SALT',        '**************');
define('SECURE_AUTH_SALT', '**************');
define('LOGGED_IN_SALT',   '**************');
define('NONCE_SALT',       '**************');

設定ファイルの再読み込み

systemctl reload httpd.service

to be continue・・・



【KVM】 CentOS7.2のKVMゲストの雛形から公開用を作る

雛形から公開用のクローンを作る。

virt-clone -o CentOS7_2 -n {公開用} -f /var/lib/libvirt/images/{公開用}.qcow2

割り当て中 ‘{公開用}.qcow2’ | 20 GB 00:05
‘{公開用}’のクローニングに成功しました。

{公開用}は任意のゲスト名を指定する。

/etc/libvirt/qemu/{公開用}.xmlの内容を確認する。

<channel type=’unix’>
<source mode=’bind’ path=’/var/lib/libvirt/qemu/channel/target/domain-CentOS7_2/org.qemu.guest_agent.0’/>

<target type=’virtio’ name=’org.qemu.guest_agent.0’/>
<address type=’virtio-serial’ controller=’0′ bus=’0′ port=’1’/>

上の様にCentOS7_2と雛形の名前のままの場合には、virsh start {公開用}でエラーになるので、

  1. このxmlファイルを/rootにバックアップし、CentOS7_2の部分を{公開用}に変更。
  2. クローンしたゲストの登録を解除
    • virsh undefine {公開用}
  3. クローンしたゲストを再登録
    • virsh define /root/{公開用}.xml

※本当に20GBの仮想ディスクファイルが出来てしまっている場合は圧縮する。

qemu-img convert -c -f qcow2 -O qcow2 /var/lib/libvirt/images/{公開用}{,.compress}.qcow2
rm -f /var/lib/libvirt/images/{公開用}.qcow2
mv /var/lib/libvirt/images/{公開用}.compress.qcow2 /var/lib/libvirt/images/{公開用}.qcow2

ブログサーバーのXMLの設定をファイルシステムにも反映

virt-edit -d {公開用} /etc/sysconfig/network-scripts/ifcfg-eth0

UUID=適当に修正
HWADDR=適当に修正
IPADDR=適当に修正
/etc/libvirt/qemu/{公開用}.xmlを見ながら適当に修正。

virt-edit -d {公開用} /etc/hostname

ホスト名を修正

virt-edit -d {公開用} /etc/sysconfig/network

ホスト名があれば修正
※virt-editが無ければ、yum install libguestfs libguestfs-tools libguestfs-tools-c
※virt-editがviを開くまでは結構長いので気長に待つ。

{公開用}を再起動

virsh start {公開用}

一通りパッケージを入れる。

yum -y groupinstall base "Development tools"

epel インストール

yum -y install epel-release

Tripwireインストール

yum -y install tripwire

Tripwireの設定は http://yokensaka.com/centos/?p=318 を参照。
※とりあえず残っているものを消す

yum remove tripwire
find /* | grep tripwire
rm -rf  見つかったもの全て

インスト開始

yum install tripwire

初期設定

tripwire-setup-keyfiles
・・・
Enter the site keyfile passphrase: ← サイトパスフレーズを設定
Verify the site keyfile passphrase: ← サイトパスフレーズを再度入力
・・・
Enter the local keyfile passphrase: ← ローカルパスフレーズを設定
Verify the local keyfile passphrase: ← ローカルパスフレーズを再度入力
・・・
Enter the site keyfile passphrase: ← サイトパスフレーズを設定
・・・
Enter the site keyfile passphrase: ← サイトパスフレーズを設定

設定ファイル(/etc/tripwire/twcfg.txt)の編集

LOOSEDIRECTORYCHECKING =false

LOOSEDIRECTORYCHECKING =true
REPORTLEVEL            =3

REPORTLEVEL            =4

設定ファイル(/etc/tripwire/twcfg.txt)を暗号化

twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
Please enter your site passphrase: ← サイトパスフレーズを設定
rm -f /etc/tripwire/twcfg.txt

復活の呪文

twadmin --print-cfgfile > /etc/tripwire/twcfg.txt

ポリシーファイルの最適化スクリプト(/etc/tripwire/twpolmake.pl)を作る

省略

ポリシーファイル(/etc/tripwire/twpolmake.pl)を最適化

perl /etc/tripwire/twpolmake.pl /etc/tripwire/twpol.txt > /etc/tripwire/twpol.txt.new

ポリシーファイル(/etc/tripwire/twpolmake.pl)を暗号化

twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new
Please enter your site passphrase: ← サイトパスフレーズを入力
rm -f /etc/tripwire/twpol.txt*

復活の呪文

twadmin -m p -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key > /etc/tripwire/twpol.txt

データベース作成

tripwire -m i -s -c /etc/tripwire/tw.cfg
Please enter your local passphrase: ← ローカルパスフレーズを入力

※うまくいかない場合は、ポリシーファイルを復活させ編集し暗号化してもう一度やってみる。
動作確認

tripwire -m c -s -c /etc/tripwire/tw.cfg

クローンで定時動作(/etc/cron.daily/tripwire-check)

#!/bin/sh
# デフォルトの部分をコメントアウト
#HOST_NAME=`uname -n`
#if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ] ; then
#        echo "****    Error: Tripwire database for ${HOST_NAME} not found.    ****"
#        echo "**** Run "/etc/tripwire/twinstall.sh" and/or "tripwire --init". ****"
#else
#        test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check
#fi
# パスフレーズ設定
LOCALPASS='****' ← ローカルパスフレーズを設定
SITEPASS='****'  ← サイトパスフレーズを設定
cd /etc/tripwire
# Tripwireチェック実行
tripwire -m c -s -c tw.cfg|mail -s "Tripwire(R) Integrity Check Report in `hostname`" root
# ポリシーファイル最新化
twadmin -m p -c tw.cfg -p tw.pol -S site.key > twpol.txt
perl twpolmake.pl twpol.txt > twpol.txt.new
twadmin -m P -c tw.cfg -p tw.pol -S site.key -Q $SITEPASS twpol.txt.new > /dev/null
rm -f twpol.txt* *.bak
# データベース更新
rm -f /usr/local/tripwire/lib/tripwire/*.twd*
tripwire -m i -s -c tw.cfg -P $LOCALPASS

実行属性を付加

chmod 700 /etc/cron.daily/tripwire-check

chkrootkitインストール

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
mkdir ~/bin
mv chkrootkit-0.50/chkrootkit ~/bin
rm -rf chkrootkit-0.50/ rm -f chkrootkit.tar.gz

※2016/10/30の更新で、chkrootkit.tar.gzやchkrootkit-051.tar.gzは使えない(テキストっぽい)ので、chkrootkit-050.tar.gzをDLかな?
内容を確認

chkrootkit | grep INFECTED

Searching for Suckit rootkit… Warning: /sbin/init INFECTED

原因を確認

rpm -V `rpm -qf /sbin/init`

差分が出なければ誤検知なので、
/root/chkrootのINFECTEDの部分から/sbin/initを除外する

echo "Warning: ${ROOTDIR}sbin/init INFECTED"

    if ! rpm -V `rpm -qf /sbin/init` > /dev/null 2>&1
    then
      echo "Warning: ${ROOTDIR}sbin/init INFECTED"
    fi

に変更
コマンドをバックアップ

mkdir chkrootkitcmd
cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed ssh uname` chkrootkitcmd/
chkrootkit -p /root/chkrootkitcmd|grep INFECTED
zip -r chkrootkitcmd.zip chkrootkitcmd/

Clam AntiVirusインストール

http://impov.hatenablog.com/entry/2016/08/22/002350を参考にする様にする

yum -y install clamav clamav-scanner-systemd clamav-update

設定ファイル(/etc/clamd.d/scan.conf)を編集

# Comment or remove the line below.
# Example ←コメントアウトする
# 以下はお好みで、該当部分を探しコメントを外して有効化
LogFile /var/log/clamd.scan
LogFileMaxSize 2M
LogRotate yes
# ローカルソケットの設定を探しコメントを外して有効化
LocalSocket /var/run/clamd.scan/clamd.sock
# ユーザーをコメントアウトして root で動作させる
#User clamscan
# スキャンしないディレクトリを設定しておく(必要に応じて適宜ディレクトリ追加)
# Don't scan files and directories matching regex
# This directive can be used multiple times
# Default: scan all
ExcludePath ^/proc/
ExcludePath ^/sys/
ExcludePath ^/home/share/
ln -s /etc/clamd.d/scan.conf /etc/clamd.conf

データベース更新用の設定ファイル(/etc/freshclam.conf)を編集

# Comment or remove the line below.
# Example ←コメントアウト
# 以下はお好みで、該当部分を探しコメントを外して有効化
UpdateLogFile /var/log/freshclam.log
LogFileMaxSize 2M
LogRotate yes

データベース更新用の設定ファイル(/etc/sysconfig/freshclam)を編集

# FRESHCLAM_DELAY=disabled-warn # REMOVE ME 最終行をコメントアウト

実行、自動実行

systemctl start clamd@scan
systemctl enable clamd@scan

データベース更新

freshclam

NTPサーバーインストール

インストしていない場合のみ

yum -y install chrony
vi /etc/chronyd.conf
#server 0.centos.pool.ntp.org iburst ←コメントアウト
#server 1.centos.pool.ntp.org iburst ←コメントアウト
#server 2.centos.pool.ntp.org iburst ←コメントアウト
#server 3.centos.pool.ntp.org iburst ←コメントアウト
server ntp1.jst.mfeed.ad.jp  ←追加
server ntp2.jst.mfeed.ad.jp  ←追加
server ntp3.jst.mfeed.ad.jp  ←追加
systemctl restart chronyd
systemctl enable chronyd

ps.2016.10.31  Syntax Highlighter と エディタが相性が悪く、ソース部分の文字化けが酷いので手修正。一部間違っているかもしれない。



【KVM】 CentOS7.2.1511 のKVMゲストの雛形作成

※7.1ではキックスタートファイルを使わないとうまくいかない。

【KVM】キックスタートを使ったCentOS7.1のゲストのインストール

 
今のゲスト・イメージで作ったブログ・サーバーが不調気味。
https://www.centos.org/download/ からミラーのファイル名を見ると、
日付は10(or 14)-Dec-2015 去年の12月。
ファイル名は CentOS-7-x86_64-******-1511.iso  と 7.2になっていたので、またKVMゲストを作ろうかな。
※すぐに7.3が出そうな悪寒がするけどキニシナイ。
ISOイメージをダウンロードしようとしたら2~5時間ぐらいかかるみたいなので、ISOファイルを使わずにALLネットインスト。
でもミラーサーバーの旧バージョンにはREADMEしか見当たらなかったので一応ISOイメージをDLしておいた方がよさそう。
1./rootにキックスタートファイル(centos7_2.ks.cfg)を作る。
※中身は7.1の時に使ったファイルを修正(/7/⇒/7.2.1511/)。
※–hostnameのドメイン付のホスト名は何かに変えておくこと。後でも変えれるけどね。
※管理者のユーザIDは何かに変えておくこと。後で変えられない。

#参考 url
#http://ngyuki.hatenablog.com/entry/2013/10/16/233656
#http://qiita.com/ngyuki/items/fd469fec1cea873de0bf
#version=RHEL7
install
text
cmdline
skipx
#とりあえず画面もキーボードも日本語で設定。
lang ja_JP.UTF-8
keyboard jp106
timezone Asia/Tokyo --isUtc --nontp
#--noipv6は好み次第、Win10では青い画面の原因。
network --hostname=ドメイン付のホスト名 --onboot yes --device eth0 --bootproto dhcp --noipv6
zerombr
bootloader --location=mbr
#ラフなパーテーション設定なので要確認
clearpart --all --initlabel --drives=vda
part /boot --fstype=xfs --size=500 --asprimary
part swap --size=1024
part / --fstype=xfs --size=1 --grow --asprimary
#仮のパスワードはpassword。
rootpw password
user --name=管理者のユーザID --password=password
auth --enableshadow --passalgo=sha512
#邪魔なものは全て外しておきますので、適宜調整してください。
selinux --disabled
firewall --disabled
firstboot --disabled
reboot
#
repo --name="CentOS" --baseurl=http://ftp.riken.jp/Linux/centos/7.2.1511/os/x86_64/
#以下は最小限程度です。必要なパッケージは適宜追加してください
%packages
@base
@core
%end

2./rootにKVMクライアントのインストールファイル(create_kvm_centos7_2_guest.sh)を作る。
※中身は7.1の時に使ったファイルを修正(/7/7⇒/7.2.1511/、CentOS7_1⇒CentOS7_2、centos7.ks.cfg ⇒centos7_2.ks.cfg )。
※KVMホスト側でネットワークブリッジを設定していない場合は–network network=default にする。でも後で変えるのはとても大変。

#ネットワークインストールするリポジトリURL指定
REPOS=http://ftp.riken.jp/Linux/centos/7.2.1511/os/x86_64/
#KVM上での名前(CentOS7_2)を指定
 IMAGE_NAME=CentOS7_2
 IMG_PATH=/var/lib/libvirt/images
#virt-installでインストールする ※ディスクサイズは20GBになっています。
 virt-install \
 --name ${IMAGE_NAME} \
 --ram 1024 \
 --disk path=${IMG_PATH}/${IMAGE_NAME}.qcow2,size=20,format=qcow2 \
 --vcpus=1 \
 --hvm \
 --os-type linux \
 --os-variant=rhel7 \
 --nographics \
 --location="${REPOS}" \
 --cpu host-passthrough,+lahf_lm \
 --network bridge=br0 \
 --initrd-inject=/root/centos7_2.ks.cfg \
 --extra-args='inst.ks=file:/centos7_2.ks.cfg console=ttyS0'

3.sh ./create_kvm_centos7_2_guest.sh でインスト開始。
4.暫く待つ。(数十分)
※OSImeage作成後のリブート時にdracut-initqueue・・・が時々でてきて延々と待たされることがある。(今までの最大待ち時間39分
原因:DHCPサーバーがなかなかIPアドレスを割り振ってくれない。
5.(・_・)フツウにrootでログイン。パスワードはキックスタートファイルに書いてある様にあくまでも仮。
6.ip a  でIPアドレスを調べる。
7.一旦poweroffし、KVMホストから virsh start CentOS7_2で再起動。
8.試しにTeraTermで先のIPアドレスに接続してみる。失敗した場合は、KVMホストから virsh console CentOS7_2で接続。
※初回の接続までかなり時間がかかるらしい。
9.とりあえずパッケージを更新

yum -y update

10.自動更新設定

yum -y install yum-cron
vi /etc/yum/yum-cron.conf
apply_updates = yes
systemctl start yum-cron
systemctl enable yum-cron

11.ホスト停止時にゲストを停止できる

yum -y install acpid
systemctl start acpid
systemctl enable acpid

10.他の設定の確認

getenforce

Disabled
12.KVMゲストを終了

poweroff

ls -h /var/lib/libvirt/images/CentOS7_2.qcow2 でみると20GBもある・・・
中身は圧縮形式だけどね。
13.qcow2形式ファイルを圧縮

qemu-img convert -c -f qcow2 -O qcow2 /var/lib/libvirt/images/CentOS7_2{,.compress}.qcow2

※とても長い

rm -f /var/lib/libvirt/images/CentOS7_2.qcow2
mv /var/lib/libvirt/images/CentOS7_2.compress.qcow2  /var/lib/libvirt/images/CentOS7_2.qcow2



top