うわっ六ヶ月ぶりの更新だった!!
という訳でみんな大好きなOSの講義が始まったのでレポです. まずは1.3を終わらせた後にKVMに変換してhogehogeっていうところ.とりあえずやってみたので覚えている範囲でのlogです. あってるかどうかは解らないので参考程度が嬉しい.ちなみにminimuminstallなのでその辺からずれてる?かも. それと覚えてないところ(やったけど書いてない)があるかもしれないので…うん…間違ってても怒らないでね…
とりあえずどうにかしてvdiのイメージファイルをos.cr.あいいーに送っとこう。
まずVMイメージを変換.
$qemu-img convert -O qcow2 Fedora24.vdi /media/iscsi/hoge/foo/01.qcow2
次にvirshを呼び出してディレクトリとか作らないと行けないので
$ie-virsh define 01
するとディレクトリが生成される.mkdirすると権限がないとか言われるしsudoは使えないのね.
さっき変換したやつを /media/fcs/students/e15/e1557**/01.img あたりに持ってく. 多分defineしないとこのディレクトリ自体が存在していないはず.パスは調べて
その後
$ie-virsh define students/e15/e155730/01.xml
だと思う.この辺の順序はうろ覚えなので確認して.出来なかったら一度undefineしてやり直すのも良い? 参考リンク1
忘れていた.起動しないと
$ie-virsh start 01
ただここでvirsh console 01しても引けないし,sshも出来ない. とりあえずipアドレスは振っときたいよねっていうことで
$virsh dumpxml students/e15/114514/01| grep “mac address”
するとMAC Addressが手に入るのでそれを使ってip申請. 一度ip申請出来ればローカルからssh出来るよ!やったね!
でやりやすくした後にconsole引きたいのでVMで
$sudo vi /etc/default/grub
をして(えっ?VMにsshの仕方が解らない? 学内ならどこでもいいから$ssh anagura@10.10.なんちゃらすると良いんじゃない?)
6行目あたりを
GRUB_*略*.lv=fedora_(defaultの数字:401とか?)/swap console=ttyS0,115200n8"
になるように rhgb quietを消去+行末にconsole以降を付け加える. それで再読み込み
$sudo grub2-mkconfig -o /boot/grub2/grub.cfg
するとconsoleが引ける.やったね!
でここからはセキュリティ監査を受けるようの下準備
まずは
$adduser hogehoge(作りたいアカウント)
で監査用のユーザーを作る.ただパスワードが無いので rootで
$passwd hogehoge(設定したいアカウント)
でパスワードを作成.これがrootに上がれるパスになるっぽい 後は鍵をDLして
$rsync -avz hogehgoe.pub(送りたいfile) hogehoge(送り先)@ipアドレス:~/
とでもすれば送れるはず. また、とりあえずsudo使えるようにrootで入って
$ visudo user ALL=ALL ALL(ここは適当)
してもらった後はいつもの処理だけどhogehogeアカウントで入り直して
$mkdir .ssh $chmod 700 .ssh $mv hogehgoe.pub authorized_keys $chmod 600 authorized_keys &&mv authorized_keys .ssh
当たりすれば良いはず.
次にsshでrootにログインを拒否りたいので
$sudo vi etc/ssh/sshd_config
して中の
PermitRootLogin no
に変更 ちなみにsudoしないとファイルの中身見れないので注意
ついでにpasswordで入られるのもやっかいなので
PasswordAuthentication no ChallengeResponseAuthentication no
しとこうね.あっコメントアウトは外すなり別行で作るなりしよう
つぎにfirewallの設定だけど,とりあえず
$sudo firewall-cmd --list-all
で今の動いている奴らの確認をする.ただ動いてるって行ってても動いてない(矛盾)の時があるので
$sudo systemctl status http(ターゲット名)
とかして確認しとこう.ちなみにこのへんはsudoじゃないと見れない出来ないドラゲナイ.つらい.suしてrootになっとくのも手か.
webpageなんで必要なのはdhcp,http sshぐらい.mdnsはdnsっぽいけど別にいらない.
消し方は
$sudo firewall-cmd --remove-service=https --permanent
すれは出来るはず. ダメそうだったらゾーンが関係しているかも--zoneしてなんか指定すれば良い
そしてこれを再読み込み
$firewall-cmd --reload
ただdefault設定が影響するので詳しくはぐぐってくれ(丸投げ) この辺とか見れば良さそう
で次は
$sudo visudo
して
Defaults passprompt = "[sudo] <%U@%h> Enter %u's password:"
をsudo許可した部分の後に(Alow user?)らへんにいれる.
次に不必要なユーザーをログイン出来なくする.
$sudo vi /etc/passwd
するとユーザー一覧が手に入るのでその中で shutdown:x:6:0:shutdown:/sbin:/sbin/nologin 的にいらなそうなの(halt)とかを/sbin/nologinにシェルを変えとく.
次にリモートユーザーがsshだけ出来る.しかも学内から限定にしたいので まず
$sudo vi /etc/hosts.allow
して行末に
sshd:133.13. sshd:10. ALL:127.0.0.1
とかしてみるといいと思う.ちなみに上ふたつは学内のアレ.
で,他ユーザーをブロックするので
$sudo vi /etc/hosts.deny
して
ALL:ALL
を付け加える.
ほいでdnfのautoupdateは これとかここでも参考にしてくれ.
ここまですれば多分OKかな. 無事アドレスゲットしてwordpressが開けないのはDBの影響なので ここの通りに直すと良い.名前はwordpress。記事が開けないのはURLに日本語が有るから. wordpress開けたら管理画面からアドレスの設定とかパーマリンク設定で日本語が入らないようにとかもしとこう