Linux/Distribution/openSUSE の履歴(No.6)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Linux/Distribution/openSUSE へ行く。
  • 1 (2016-03-27 (日) 20:16:10)
  • 2 (2016-03-27 (日) 20:28:34)
  • 3 (2016-08-19 (金) 19:39:03)
  • 4 (2018-01-14 (日) 15:25:55)
  • 5 (2018-01-25 (木) 23:59:08)
  • 6 (2018-05-20 (日) 21:52:38)
  • 7 (2019-01-20 (日) 01:07:20)
  • 8 (2019-01-20 (日) 15:54:57)

openSUSE†

openSUSE
Slackware系のLinuxディストリビューション。
今まではver13.xの様に番号標記だったが、少し前にLeap 42.xの様な標記に変更された。
CentOS、Debianと同じく、initからsystemdに移行されている。

journald†

参考：man journald
　
OSをsystemdで管理している都合上、ログの書き出しもjournald経由となっている。
しかし、デフォルトではjournald経由のログがsyslogへ書き出されない為、
kernelログやmailログを他のサーバへ転送する事が出来ない。
　
転送を行うようにするには "/etc/systemd/journald.conf" を下記の様に書き換える。
オプションについてはman pagesを確認すること。

# vi /etc/systemd/journald.conf
---
[Journal]
RateLimitInterval=1s
RateLimitBurst=4096
ForwardToSyslog=yes
MaxLevelSyslog=debug

rsyslog†

従来はsystemdのログを直接syslogに出力する場合は設定変更が必要だったが、
rsyslogのバージョンによってはログ出力用のモジュールが準備されている。
対応バージョンを利用している場合 "/etc/rsyslog.conf" に下記を追記する。

# vi /etc/rsyslog.conf
---
$ModLoad imjournal.so

SuSEfirewall2†

openSUSEではファイアウォールとしてSuSEfirewall2が用意されている。
普通はyastコマンド経由でFWポリシーを作り込むのだが、
他ディストリビューションで採用されているiptablesコマンドで設定をする事も出来る。
しかし設定済ポリシーの保存先が、/etc/sysconfig/iptables ではないので注意する。
　
SuSEfirewall2の場合、大まかなFW動作の設定、yast経由で設定したFWポリシーは、
/etc/sysconfig/SuSEfirewall2に保存される。

• 外部ファイルの読込み
  サーバを運用していると、FWポリシーを自動生成しておき中央から一括管理したい場合がある。
  その場合、生成済みの外部ファイルからFWポリシーを読み込ませるケースがあるのだが、
  SuSEfirewall2の場合、iptables-restore以外にもSuSEfirewall2の関数から読み込ませる事が出来る。

1. 外部ファイルの指定
   /etc/sysconfig/SuSEfirewall2のFW_CUSTOMRULESを外部ファイルのPATHに変更
   　
2. 外部ファイルの作成
   外部ファイルに設定内容を書く。
   テンプレが、/etc/sysconfig/scripts/SuSEfirewall2-customにあるのでコピペも可。
   オプションを"I"にすると先頭行に追加、"A"にすると最後に追加される。

   fw_custom_before_denyall() {
       iptables -I INPUT -s *.*.*.*/* -j DROP
       iptables -A INPUT -s *.*.*.*/* -j DROP
   }

   　
3. FWポリシーの適用
   SuSEfirewall2をリスタートする。

   # systemctl restart SuSEfirewall2

   
   

Tunnel†

openSUSEでトンネルを掘る場合、NICの設定書式に従ってコンフィグを作成する。
設定テンプレートは"/etc/sysconfig/network/efcfg.template"にあるので適宜確認する。
　

1. GREトンネル

   ・ローカル(eth0)IP：10.0.0.1
   ・リモート(対向)IP：172.16.0.1
   ・トンネル(gre0)IP：192.168.0.1/24
   　
   # vi ifcfg-gre0
   ---
   STARTMODE='onboot'
   BOOTPROTO='static'
   TUNNEL='gre'
   TUNNEL_LOCAL_IPADDR='10.0.0.1'
   TUNNEL_REMOTE_IPADDR='172.16.0.1'
   IPADDR='192.168.0.1/24'
   TUNNEL_TTL='64'
   MTU=''

   　
2. IPIPトンネル

   ・ローカル(eth0)IP：10.0.0.1
   ・リモート(対向)IP：172.16.0.1
   ・トンネル(ipip)IP：192.168.0.1/24
   　
   # vi ifcfg-ipip0
   ---
   STARTMODE='onboot'
   BOOTPROTO='static'
   TUNNEL='ipip'
   TUNNEL_LOCAL_IPADDR='10.0.0.1'
   TUNNEL_REMOTE_IPADDR='172.16.0.1'
   IPADDR='192.168.0.1/24'
   TUNNEL_TTL='64'
   MTU=''

   
   

乱数生成器†

乱数を取得する際に使用する/dev/randomは、
デバイスドライバ等から収集した乱数エントロピーが溜まらないとReadLock状態になる。
VPS・仮想環境の場合エントロピー不足に陥りやすい為、HAVEGEを導入して対処する。

・インストール手順
---
# zypper install haveged
# systemctl enable haveged
# systemctl start haveged

・エントロピープールの確認
---
# cat /proc/sys/kernel/random/entropy_avail