CentOS6 インストールメモ KVM

投稿日: 2011年9月20日 作成者: YK

KVMインストールにあたって前提条件を知らずに進めていたため、振出しに戻りました。

「32bitバージョンではKVMは使えません。」

64bitバージョンをインストールして進めていきたいと思います。orz

>早速64ビットバージョンに差し替え完了。

KVMをインストール。

[root@piyo ]# yum -y install qemu-kvm libvirt python-virtinst bridge-utils
[root@piyo ]# modprobe kvm
[root@piyo ]# modprobe kvm_intel
[root@piyo ]# lsmod | grep kvm
kvm_intel 46653 0
kvm 292815 1 kvm_intel
[root@piyo ]# /etc/rc.d/init.d/libvirtd start
Starting libvirtd daemon: [ OK ]
[root@piyo ]# chkconfig libvirtd on

/etc/sysconfig/network-scripts/ifcfg-eth0 をコピーして ifcfg-br0 を作成。

・ifcfg-br0を編集(コピーしたEth0のDEVICE、NAME、TYPEを変更)

DEVICE=br0
TYPE=Bridge

 

・ifcfg-eth0を編集

BRIDGE=br0

を追記。

service network restart

を実施して、ifconfig、反映されているか確認。

イメージ保存用のディレクトリを作成する。

/var/kvm/images/というディレクトリを作成。

qemu-imgコマンドでディスクイメージを作成。

qemu-img create  piyopiyo.img 10G

ここまで来てインストール失敗するのでGUIにて再インストール>セットアップ

カテゴリー: Tips | コメントをどうぞ

ContOS6 インストールメモ – SSH

投稿日: 2011年9月16日 作成者: YK

SSHの設定でつまずいたのでメモ。

そもそも同じ固定IPでマシンを変えていたために発生したエラー。

基本設定は後述。
発生したエラーは下記の通り。

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now
 (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
piyo:piyo:piyo:piyo:piyo:piyo
Please contact your system administrator.
Add correct host key in /ユーザフォルダ/ユーザ名/.ssh/known_hosts to 
get rid of this message.
Offending key in /ユーザフォルダ/ユーザ名/.ssh/known_hosts:3
RSA host key for 固定IPアドレス has changed and you have 
requested strict checking.
Host key verification failed.

というエラーが発生。
よく読めば分かるのだがknown_hostsファイルがかぶっているためパスワードが登録できなくなっている。

(今回は秘密鍵認証を使用していない)

そのため「ユーザフォルダ/ユーザ名/.ssh/known_hosts」ファイル内の該当行を削除することで接続が可能になった。

セキュリティは今回は「/etc/hosts.allow」「/etc/hosts.deny」のTCP Wrapperにて対処。
特定IPアドレスからのみ、アクセス可能とした。 KVM用マシンのため。

カテゴリー: 日常 | コメントをどうぞ

CentOS セットアップメモ3

投稿日: 2011年9月8日 作成者: YK

その後、PHPとMySQL、データアップ用にSambaとインストールが進みましたが、
かなりハマったのでメモ。

データアップロードの際にSambaを使おうと思ったら、
iptablesとSELunux でつまづきました。

Sambaの設定は完了しているものとします。
念のためSambaの設定メモ

[root@piyo ~]# nano /etc/samba/smb.conf

[global]
unix charset=utf8
dos charset=CP932
display charset=utf8
create mask=0644
force create mode=0
security mask=0644
force security mode=0
directory mask=0755
force directory mode=0
directory security mask=0755
force directory security mode=0
#force user = root //rootユーザだけ閲覧可能に。今回はオフ

さらに、シェアするフォルダの設定メモ

public = yes
writable = yes
guest ok = yes

 

ではまず iptables ファイアウォールの設定を書き換えます。

[root@piyo ~]# nano /etc/sysconfig/iptables

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp --sport 53 -j ACCEPT
-A INPUT -p tcp --dport 53 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 139 -j ACCEPT
-A INPUT -p udp --dport 137 -j ACCEPT
-A INPUT -p udp --dport 138 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-P INPUT DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

この表記ですとSSHも通すようになってます。
設定が終わったらiptablesを再起動。

/etc/init.d/iptables restart

エラーが出なければOK。

この状態では、まだSambaに繋げてもファイルを見ることが出来ません。

SELinuxの状態を確認。

getenforce

Enforceingになっているハズ。有効になっています。

テストとしてPermissiveに設定。

setenforce 0

この状態にしてしまうとSELinuxがオフとなるためファイルを見ることが出来ます。

では、OnにしたままSambaを使用可能にします。

 

sambaでホームディレクトリにアクセス制限があるかを確認

# getsebool samba_enable_home_dirs
samba_enable_home_dirs --> off

この状態でonになっていたら別の問題で繋がらないのでsmb.confを調べる。
(自分の場合は閲覧権限をroot ユーザのみにしていて忘れてたので2度ハマったw)

offの場合は・・・

# setsebool -P samba_enable_home_dirs 1

この後は

# setenforce 1
# getenforce
Enforcing

とした上でsambaのアクセスを確認すれば良い。

しかし、共有したいvar/wwwができないので以下を行った。解説は後日。

 

chcon -t samba_share_t /var/www/html/ -R
chcon -t public_content_t /var/www/ -R
カテゴリー: 日常 | コメントをどうぞ

CentOS6 セットアップメモ 2

投稿日: 2011年9月6日 作成者: YK

3 Apache 設定

8月末にDoS攻撃につながるRangeヘッダ対策されたバージョンが yum でインストールできないので、安定版がレポジトリでリリースされるまで待ち。
とはいえ対策を実施しなくてはならないので色々調査。
対策を発見したのでメモ。

ソース
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3c20110826103531.998348F82@minotaur.apache.org%3e

 

CentOSなので、「 nano /etc/httpd/conf/httpd.conf 」とターミナルに入力。

httpd.confファイルに下記を追加

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range

# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
CustomLog logs/range-CVE-2011-3192.log common env=bad-req-range

書き込んだら「 /etc/rc.d/init.d/httpd restart 」

普通はここまでで終了

別件でエラーが発生。

AddType requires at least two arguments, a mime type followed by one or more file extensions

引き数がたりないのですが、Addtypeで失敗をしていました。

AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz

このあたりをもう一度書き直したら直りました。

急いでいても一つずつ検証するようにしなくては。。。

カテゴリー: Tips | コメントをどうぞ

CentOS6 セットアップメモ

投稿日: 2011年9月6日 作成者: YK

CentOS6によるウェブサーバ構築メモです。

1.インストール

GUIでのインストールだが、構成はWeb サーバを基本に開発ツールを念のためインストール。
PHPやPerlのライブラリがあるかなと思って。

2.ネットワークセットアップ

CUIで起動するとネットワークを認識していなかった。(eth0)
nano /etc/sysconfig/network-scripts/ifcfg-eth0
を開いて中身を編集。
ONBOOT=”yes”
TYPE=Ethernet
BOOTPROTO=none
IPADDR=192.168.hoge.piyo (固定IPなのでhoge,piyoは任意の数字)
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
とする。

が、繋がらなかった!原因究明に2h。
マシンのあるセグメントが隣り合わせの「192.168.1.hogepiyo」にあったため「192.168.0.hogepiyo」のセグメントには繋がらない状況だった。
物理的なケーブルを差し替えることで対応。正しいセグメントにサーバを移動した。Windowsだと繋がってしまうとのこと。

2011/9/16追記

ネームサーバの設定をしないと外に出ることが出来ない。

「/etc/resolv.conf」を編集する。

nameserver 192.168.piyo.piyo

これで外部と接続できた。

カテゴリー: Tips | コメントをどうぞ