HOME > 社員ブログ > 【Red Hat Enterprise Linux 7】systemd と firewalld と selinux【CentOS 7】

社員ブログ

【Red Hat Enterprise Linux 7】systemd と firewalld と selinux【CentOS 7】

このエントリーをはてなブックマークに追加

Red Hat Enterprise Linux (RHEL) 7CentOS 7 がリリースされて少し時間が経ちました。

Screenshot_rhel7-gnome_2014-06-11_17_06_46.png

アップデートもそこそこ行われ、そろそろ安定してきたのではないでしょうか?

RHEL6 RHEL7では、システムの根幹に関する部分が大きく変更され、
インフラ整備でも対応すべきところがかなり出てきました。

まず一つ目はsystemd

サービスの管理が従来のSysVからsystemdに変更されました。

これに伴いサービスの起動にはsystemctlコマンドを使うようになります。

いきなり/etc/rc.d/init.d/で[TAB]連打して、ディレクトリが真っ白で頭の中も真っ白になっちゃった人もいるんでないでしょうか?

私はFedoraの時に経験していましたのでそれほどショックは受けなかったのですが、
それでももう逃げ道がないことを再認識させられました。

以前からserviceコマンドを使っていた人はシェルが勝手にsystemctlに変換してくれるので、
そんなに困らないかもしれませんが、この機会に新しいコマンドを覚えちゃいましょう。

詳しくはそっち系のサイトで。

次にfirewalld

これは、私は意外と気に入っています。

単純にポートを開いたり閉じたりする分にはiptablesより楽かもしれません。

うっかり--permanentを忘れると、再起動時にクレームの電話がかかってくる点が要注意です。

ただ使いこなすためには、テーブルとかチェインとかiptablesの概念は理解している必要はあります。

あと、基本ポリシー等はfirewalldから触る方法がわかりませんでした。

direct を使ってもINPUT_direct とか firewalld 独自のテーブルに対する操作になるようです。

やはり、鉄板ファイアウォールを構築するためには直接iptablesを操作する必要があるのかもしれません。

一番めんどくさいのがselinux

ついにこの日がやって来ました。

デフォルト状態が enforced になりました。

この selinux 、ざっくり言ってしまえば、「プログラムごとに扱えるファイルに制限をかけましょう」

てな感じなんですが、もうその権限つけるのがチョー大変。

本気で設定し始めたら、これまでのサーバ構築の時間が倍以上かかります。

でもこれさえやっておけば、「○○のセキュリティホールで任意のコマンドが実行されてしまう」

等の場合でも被害が最小限に抑えられるので、やっておくことをおすすめします。

もっとも root 奪われたら身も蓋もないんですが。

他にも細かい(というには結構でかい)ところで、Apacheが2.4系になって、
Virtualhost 設定する時などに 「Require」が必ず必要になったり、
networkも標準がNetworkManagerになったりしています。

 

今回、ご紹介した新機能はすべてキャンセルして、

枯れたシステムでひたすら安定志向を求めるっていうのも間違いとは思いませんが、
もう少しこの業界で食べていきたいので、勉強してみました。