Rocky Linux(ロッキーリナックス)は、RHEL(Red Hat Enterprise Linux)クローンと呼ばれる Linuxディストリビューションです。CentOS プロジェクトの創設者グレゴリー・クルツァー氏が率いる Rocky Enterprise Software Foundation が開発しています。Rocky Linux は、CentOS Linux 8 のサポートが 2021年末に短縮された ことをきっかけにしてプロジェクトが始まったため、Rocky Linux 8 は 2029年5月31日まで長期間のサポートが予定されているのが大きな魅力です。そこで今回は、Rocky Linux 8.4 で LAMP構成をインストールする手順をまとめてみました。
- Rocky Linux 8 と CentOS 8 の利用上の違い
- Rocky Linux 8.4 のダウンロード
- マシン構成
- Rocky Linux 8.4 のインストール
- ネットワーク関連設定
- 基本パッケージのインストール
- パッケージのアップデート
- 不要サービスの停止
- SELinux無効設定
- firewalld設定
- Chrony設定(NTP)
- メール送信設定(Gmail経由)
- サードパーティリポジトリの追加
- Apache・PHP・MySQL のインストール
- PHPの設定
- Apache httpd の設定
- 自己署名のサーバー証明書の作成(HTTPS用)
- Apache HTTPS(SSL/TLS)の設定
- MySQL 8.0 の設定
- ログローテーション設定
- 自動起動の設定確認
Rocky Linux 8 と CentOS 8 の利用上の違い
すべて確認したわけではありませんが、Rocky Linux 8 を CLI(コマンドラインインターフェース)で使う上では、CentOS 8 との違いは全くありません。CentOS 8 用に作成した手順書や構成管理ファイルなどもそのまま使えるでしょう。
また、今回サードパーティリポジトリの EPEL と Remi を追加してそこから各種パッケージをインストールしてみましたが、問題なく利用できています。Rocky Linux は、RHELのバグをも含めて100%の互換性を持つように設計されていますので、RHEL で利用できるサードパーティリポジトリであれば Rocky Linux でも利用できると思います。
Rocky Linux 8.4 のダウンロード
はじめに、Rocky Linux のダウンロードページから アーキテクチャ x86_64 用の Minimal をクリックして Rocky-8.4-x86_64-minimal.iso をダウンロードしておきます。
マシン構成
○仮想マシン構成
メモリ:2048MB
HDD:20GB
CPU:2コア
○ネットワークデバイス
アダプター1:NAT
アダプター2:ホストオンリーアダプター
○ネットワーク構成(※ご自分の環境に書換えてください)
ホスト名: rockylinux8
IPアドレス:192.168.56.201/24
DNSサーバ: 1.1.1.1
DNSサーバ: 8.8.8.8
Rocky Linux 8.4 のインストール
[↑]キーで「Install Rocky Linux 8」を選択して、エンターを押します。
GUI画面が表示されたら「日本語 Japanese」「日本語( 日本)」を選択して「続行」をクリックします。
下のような表示になるまで少し待ってから「インストール先」をクリックします。(これ以降、画面のリサイズがうまくいかないためか見切れています。ご了承ください)
インストール先のハードディスクを選択して、「完了」をクリックします。
下にスクロールして「root パスワード」をクリックします
root ユーザーに設定するパスワードを入力して「完了」をクリックします。
「インストールの開始」をクリックします。パーティションの作成とインストールが開始します。
インストールが完了するまでしばらく待ちます。
インストールが完了したら「システムの再起動」をクリックします。
Rocky Linux 8.4 が起動したら root ユーザーでログインします。
ネットワーク関連設定
NICの設定
・ネットワークデバイス名の確認
nmcli dev s
DEVICE TYPE STATE CONNECTION enp0s3 ethernet disconnected -- enp0s8 ethernet disconnected --
アダプター1(NAT)は「enp0s3」、アダプター2(ホストオンリーアダプター)は「enp0s8」がネットワークデバイス名です。 ネットワークデバイス名は、環境によって異なりますので、ご自分の環境にあわせて設定してください。
アダプター1(NAT)の設定
アダプター2(ホストオンリーアダプター)の設定
nmcli con mod enp0s8 ipv4.addresses 192.168.56.201/24
nmcli con mod enp0s8 ipv4.method manual
設定が反映されるまで少し待ちます。
・再度ネットワークデバイスを確認して STATE が「connected」になっていれば設定完了です。
nmcli dev s
DEVICE TYPE STATE CONNECTION enp0s3 ethernet connected enp0s3 enp0s8 ethernet connected enp0s8
以上で ssh ログインができるようになります。※DNSサーバの設定前のため、ログインに時間がかかることがあります
DNSサーバの設定
手動で設定するため、DHCPでのDNSサーバ設定を無効にします。
DNSサーバを設定し、NetworkManager を再起動します。
systemctl restart NetworkManager
DNSサーバが設定されていることを確認します。
-----(以下の表示があればOK)-----
# Generated by NetworkManager
nameserver 1.1.1.1
nameserver 8.8.8.8
ホスト名の設定
ホスト名「rockylinux8」を設定し、hostnamed を再起動します(一度ログアウトしログインすると設定したホスト名が反映されていることを確認できます)
systemctl restart systemd-hostnamed
基本パッケージのインストール
開発ツールなど、基本的なパッケージをインストールしておきます。
dnf -y groupinstall development
dnf -y groupinstall network-tools
パッケージのアップデート
インストール済みのパッケージを、最新版にアップデートします。
不要サービスの停止
下記のコマンドを実行
systemctl disable kdump
systemctl disable mdmonitor
SELinux無効設定
・下記を変更
vim /etc/sysconfig/selinux
↓
SELINUX=disabled
OSを再起動します
firewalld設定
・現在の設定の確認
firewall-cmd --list-all
target: default
icmp-block-inversion: no
interfaces: enp0s3 enp0s8
sources:
services: cockpit dhcpv6-client ssh
ports:
(略)
初期設定では publicゾーンの cockpit、dhcpv6-client、ssh サービスが許可されています。
cockpit と dhcpv6-client を使わない場合は、削除しておきましょう。
firewall-cmd --remove-service=dhcpv6-client --permanent
追加で HTTP(80/tcp) と HTTPS(443/tcp) を許可しておきます
firewall-cmd --add-port=443/tcp --permanent
設定を読込みます
・設定を確認します
firewall-cmd --list-all
-----(以下の表示であればOK)-----
target: default
icmp-block-inversion: no
interfaces: enp0s3 enp0s8
sources:
services: ssh
ports: 80/tcp 443/tcp
(略)
Chrony設定(NTP)
タイムゾーンを日本に変更
・NTPサーバーを変更します。
vim /etc/chrony.conf
↓
pool ntp.nict.jp
chronyd を再起動
自動起動設定
・10分ほど経過したら動作を確認します。
chronyc sources -v
-----(以下のような表示があればOK)-----
^- ntp-b2.nict.go.jp 1 6 77 61 +1423us[+1423us] +/- 3830us
^* ntp-a2.nict.go.jp 1 6 77 62 +269us[ +547us] +/- 4458us
chronyd はゆっくり時刻を同期します。時刻があまりにもズレている場合は、下記コマンドを実行して即時同期してください。(ntpdateコマンドは廃止されました)
メール送信設定(Gmail経由)
サーバーから Gmail 経由でメールを送信できるように設定します。(必要がなければこの設定は不要です)
Postfix と、テスト用に mailコマンドをインストールします。
yum -y install mailx
Googleアカウントの設定、および Postfix の設定手順は以下の記事をご参照ください。
PostfixからGmail経由でメールを送信するための設定メモ
メールが送信できることが確認できたら以下を設定します。
自動起動設定
・root宛メールの送信先を変更します
vim /etc/aliases
-----(下記を最終行に追加)-----
メールエイリアスのDBファイルを更新します
root宛のメールが、自分のメールアドレス宛に届くことを確認します
サードパーティリポジトリの追加
EPEL
dnf -y install epel-release
dnf -y update
Remi
rpm --import http://rpms.remirepo.net/RPM-GPG-KEY-remi
Remi リポジトリを有効化
Remi リポジトリから PHP7.4 をインストールされるように php:remi-7.4 モジュールをインストールします。
dnf -y module install php:remi-7.4
【補足】
Rocky Linux 8 にはパッケージ管理に Application Streams という機能があり、インストールするミドルウェアのバージョンを簡単に変更できるようになっています。そして特定のバージョン(例えば、PHP7.4)のパッケージをまとめたものを「モジュール(module)」と呼びます。
モジュールの一覧は以下のコマンドで確認できます。
Apache・PHP・MySQL のインストール
※バージョンは2021年9月4日時点のものです。
Apache httpd(2.4.37-39)
dnf -y install mod_ssl
PHP(7.4.23-1)
dnf -y install php-devel
dnf -y install php-pdo
dnf -y install php-mysqlnd
dnf -y install php-mbstring
dnf -y install php-gd
dnf -y install php-pear
dnf -y install composer
dnf -y install php-pecl-apc-devel
dnf -y install zlib-devel
MySQL(8.0.21-1)
dnf -y install mysql-server
PHPの設定
・PHPの設定
vim /etc/php.ini
↓
expose_php = Off
;date.timezone =
↓
date.timezone = 'Asia/Tokyo'
error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
↓
error_reporting = E_ALL & ~E_NOTICE
php-fpm を自動起動を設定し起動します。
モジュール版の PHP とは違い php-fpm にはいくつか注意点があります。以下を確認しておきましょう。
- PHP はデフォルトで FastCGI Process Manager (FPM) を使用します (スレッド化された httpd で安全に使用できます)。
- php_value 変数および php-flag 変数は httpd 設定ファイルで使用されなくなり、代わりに プール設定の /etc/php-fpm.d/*.conf で設定する必要があります。
- PHP スクリプトのエラーと警告のログは、/var/log/httpd/error.log ではなく /var/log/php- fpm/www-error.log ファイルに記録されます。
- PHP の max_execution_time 設定変数を変更するときは、変更した値に合わせて httpd ProxyTimeout 設定を増やす必要があります。
- PHP スクリプトを実行するユーザーが、FPM プール設定 (/etc/php-fpm/d/www.conf ファイ ル、apache ユーザーがデフォルト) に設定されるようになりました。
- 設定を変更した場合、または新しい拡張機能をインストールした場合は、php-fpm サービスを 再起動する必要があります。
Apache httpd の設定
不要なコンフィグを読込まないようにしておきます。
mv -i /etc/httpd/conf.d/userdir.conf /etc/httpd/conf.d/userdir.conf.org
mv -i /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.org
オリジナルのコンフィグをバックアップ
・コンフィグを作成します。
vim /etc/httpd/conf/httpd.conf
Apache httpd の自動起動を設定し起動ます。
自己署名のサーバー証明書の作成(HTTPS用)
秘密鍵の作成
・CSR(証明書署名要求)の作成(入力するのは2箇所だけです)
openssl req -new -key server.key > server.csr
State or Province Name (full name) []:<空エンター>
Locality Name (eg, city) [Default City]:<空エンター>
Organization Name (eg, company) [Default Company Ltd]:<空エンター>
Organizational Unit Name (eg, section) []:<空エンター>
Common Name (eg, your name or your server's hostname) []: www.example.com
Email Address []:<空エンター>
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:<空エンター>
An optional company name []:<空エンター>
自己署名のサーバー証明書の作成(有効期限30年)
秘密鍵とサーバー証明書を適切な場所に移動
mv -i server.crt /etc/pki/tls/certs/
パーミッションを変更
chmod 600 /etc/pki/tls/certs/server.crt
CSRを削除
Apache HTTPS(SSL/TLS)の設定
SSL設定ファイルのオリジナルをバックアッップします
SSL設定ファイルを作成します。
vim /etc/httpd/conf.d/ssl.conf
関連記事:安全な SSL/TLS 設定にするための10のポイント(Apache httpd 2.4)
Apache httpd を再起動します。
WEBブラウザで HTTPSで接続できることを確認します。
【補足】
自己署名のサーバー証明書の場合は警告が表示され、接続できない場合があります。FireFox で「危険性を承知で続行」ボタンを押して接続するか、Google Chrome の場合は「thisisunsafe」とタイプすると接続できます。
MySQL 8.0 の設定
・MySQLの設定ファイルに以下を追加します。
vim /etc/my.cnf.d/mysql-server.cnf
slow_query_log_file=/var/log/mysql/slow_query.log
long_query_time=1.0
log_timestamps=SYSTEM
skip-character-set-client-handshake
【補足】
MySQL 8.0 ではセキュリティ強化のためデフォルトの認証プラグインが「caching_sha2_password」に変更になっています。しかし、現状ではほとんどのWebアプリケーション(WordPressやZabbixなど)が caching_sha2_password に対応していません。
そのため AlmaLinux の MySQL 8.0 パッケージでは以下の設定ファイルで、認証プラグインを「mysql_native_password」に変更してくれています。
cat /etc/my.cnf.d/mysql-default-authentication-plugin.cnf (略) default_authentication_plugin=mysql_native_password
MySQL の自動起動を設定し起動します。
mysql_secure_installation の実行
初期状態では、rootユーザーがパスワードなしで MySQLに接続できるようになっていますのでパスワードを設定しておきます。
mysql_secure_installation コマンドを実行すると、root ユーザーのパスワードを変更し、不要なユーザーやDBも削除してくれます。パスワードは、8文字以上で英数大文字小文字と記号が含まれていないとポリシー違反で弾かれてしまいますので注意です。パスワードポリシーを変更したい場合は「--use-default」オプションなしで実行してください。
(略)
Please set the password for root here.
New password: <新しいパスワード>
Re-enter new password: <新しいパスワード>
(略)
Do you wish to continue with the password provided?(Press y|Y for Yes, any other key for No) : y
(不要なユーザーやDBを削除)
All done!
ログローテーション設定
設定ファイルのバックアップ用ディレクトリを作成しておきます。
Apacheログのローテーション設定
オリジナルの設定ファイルをバックアップします
・設定ファイルを作成します
vim /etc/logrotate.d/httpd
/var/log/httpd/*log { daily missingok dateext rotate 60 create 644 apache apache sharedscripts postrotate /bin/systemctl reload httpd.service > /dev/null 2>/dev/null || true endscript }
・確認します
logrotate -v /etc/logrotate.d/httpd
-----(下記のような表示があればOKです)-----
rotating pattern: /var/log/httpd/*log after 1 days (60 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/httpd/access_log
(略)
MySQLログのローテーション設定
オリジナルの設定ファイルをバックアップします
・設定ファイルを作成します
vim /etc/logrotate.d/mysqld
/var/log/mysql/*log { daily missingok dateext rotate 60 sharedscripts postrotate if test -x /usr/bin/mysqladmin && \ /usr/bin/mysqladmin --defaults-extra-file=/root/.my.cnf ping &>/dev/null then /usr/bin/mysqladmin --defaults-extra-file=/root/.my.cnf flush-logs fi endscript }
・MySQL の root ユーザのパスワードファイルを作成
vim /root/.my.cnf
user=root
password="<パスワード>"
パスワードを書いているのでパーミッションを変更
chmod 600 /root/.my.cnf
・確認します
logrotate -v /etc/logrotate.d/mysqld
-----(下記のような表示があればOKです)-----
rotating pattern: /var/log/mysql/*log after 1 days (60 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/mysql/mysqld.log
(略)
自動起動の設定確認
systemctl list-unit-files | grep -e httpd.service -e php-fpm.service -e mysqld.service -e chronyd.service
-----(下記のような表示であればOKです)-----
httpd.service enabled
mysqld.service enabled
php-fpm.service enabled
一度OSを再起動して、各種サービスが起動している事を確認しましょう。
(再起動後に以下を実行)
ps aux | grep -e httpd -e php-fpm -e mysqld -e chronyd
以上です。設定お疲れ様でした!
コメント