2015年12月14日 CentOS7.2 (1511) がリリースされました。RHEL 7.2 (11/19)から約1ヶ月でのリリースになります。そろそろ、CentOS 7系への移行を検討されている方もいらっしゃるのではないでしょうか。さっそく、CentOS7.2 で LAMP構成をインストールする手順をメモしておきました。
- CentOS 7.2 (1511) の主な変更点
- CentOS 7.2(1511)のダウンロード
- マシン構成
- CentOS 7.2(1511)のインストール
- ネットワーク関連設定
- 基本パッケージのインストール
- yum アップデート
- 不要サービスの停止
- SELinux無効設定
- firewalld設定
- Chrony設定(NTP)
- Gmailリレー設定
- yum リポジトリの追加
- 各種ミドルウェアインストール
- yum リポジトリの無効化
- Apacheの設定
- 自己署名のサーバー証明書の作成(HTTPS用)
- Apache HTTPS(SSL/TLS)の設定
- PHPの設定
- Memcachedの設定
- MySQLの設定
- ログローテーション設定
- 自動起動の設定確認
CentOS 7.2 (1511) の主な変更点
今回のバージョンアップでは、TCP/IPスタックなど、ネットワーク関連の各種スタックがアップデートされ、バグ修正や機能強化が行われています。細かいところでは、tcpdump のナノ秒タイムスタンプのサポート、sudo でのコマンドのチェックサムの検証、dd コマンドで転送の進捗状況を表示などの機能追加がされたようです。詳細はリリースノートをご参照ください。
CentOSのリリースノートを見ると、タイトルに「7.2」という表記は無く、CentOS-7 (1511) となっていますが、この記事では都合上、CentOS7.2と表記しています。
CentOS 7.2(1511)のダウンロード
はじめに、CentOSのダウンロードページから CentOS-7-x86_64-DVD-1511.iso をダウンロードしておきます。
マシン構成
○仮想マシン構成
メモリ:1024MB
○ネットワークデバイス
アダプター1:NAT
アダプター2:ホストオンリーアダプター
○ネットワーク構成(※ご自分の環境に書換えてください)
ホスト名: centos72
IPアドレス:192.168.56.201/24
DNSサーバ: 8.8.8.8
CentOS 7.2(1511)のインストール
[CentOS 7]
[↑]キーで「Install CentOS 7」を選択して、エンターを押します
[WELCOME TO CENTOS 7.]
「日本語 Japanese」「日本語」を選択して「続行」をクリックします
[インストールの概要]
「インストール先」をクリックし、インストール先のデバイスを選択して「完了」
上記の設定が済んだら「インストールの開始」をクリック
パーティションの作成とインストールが開始します
[ユーザーの設定]
「rootパスワード」をクリックし、パスワードを設定したら「完了」
~~~ インストールが完了するまでしばらく待ちます ~~~
[完了しました!]
「再起動」をクリックします
ネットワーク関連設定
NICの設定
・ネットワークデバイス名の確認
nmcli dev s
DEVICE TYPE STATE CONNECTION enp0s3 ethernet disconnected -- enp0s8 ethernet disconnected -- lo loopback unmanaged --
アダプター1(NAT)は「enp0s3」、アダプター2(ホストオンリーアダプター)は「enp0s8」がネットワークデバイス名です。 ネットワークデバイス名は、環境によって異なるようです。ご自分の環境にあわせて設定してください。
アダプター1(NAT)の設定
アダプター2(ホストオンリーアダプター)の設定
nmcli con mod enp0s8 ipv4.addresses "192.168.56.201/24"
nmcli con mod enp0s8 ipv4.method manual
上記設定で sshログインができるようになります。※DNSサーバの設定前のため、ログインに時間がかかることがあります
DNSサーバの設定
手動で設定するため、DHCPでのDNSサーバ設定を無効にします。
DNSサーバを設定し、NetworkManager を再起動します
systemctl restart NetworkManager
・DNSサーバが設定されていることを確認します
cat /etc/resolv.conf
nameserver 8.8.8.8
ホスト名の設定
ホスト名「centos72」を設定し、hostnamed を再起動します
systemctl restart systemd-hostnamed
基本パッケージのインストール
開発ツールなど、基本的なパッケージをインストールしておきます。
yum -y groupinstall development
yum -y groupinstall network-tools
yum アップデート
インストール済みのパッケージを、最新版にアップデートします。
不要サービスの停止
下記のコマンドを実行
systemctl disable abrt-oops
systemctl disable abrt-vmcore
systemctl disable abrt-xorg
systemctl disable abrtd
systemctl disable atd
systemctl disable auditd
systemctl disable avahi-daemon
systemctl disable kdump
systemctl disable mdmonitor
systemctl disable dmraid-activation
SELinux無効設定
・下記を変更
vim /etc/sysconfig/selinux
↓
SELINUX=disabled
OSを再起動します
firewalld設定
・現在の設定の確認
firewall-cmd --list-all
interfaces: enp0s3 enp0s8
sources:
services: dhcpv6-client ssh
(略)
初期設定では publicゾーンに ssh のみ許可されています。
追加で HTTP(80/tcp) と HTTPS(443/tcp) を許可しておきます
firewall-cmd --add-port=443/tcp --permanent
設定を読込みます
・設定を確認します
firewall-cmd --list-ports --zone=public
-----(以下のような表示があればOK)-----
Chrony設定(NTP)
初回は手動で時間合わせをします
オリジナルのコンフィグをバックアップ
・コンフィグを作成
vim /etc/chrony.conf
server ntp.nict.jp
server ntp.nict.jp
起動
自動起動設定
・10分ほど経過したら動作を確認します。
chronyc sources -v
-----(以下のような表示があればOK)-----
^- ntp-b2.nict.go.jp 1 6 77 61 +1423us[+1423us] +/- 3830us
^* ntp-a2.nict.go.jp 1 6 77 62 +269us[ +547us] +/- 4458us
Gmailリレー設定
・GmailのSMTP認証情報ファイルの作成
vim /etc/postfix/gmail
パスワードを書いているので、パーミッションを変更(root のみアクセス可)
PostfixのDBファイルを生成
・Postfixの設定
vim /etc/postfix/main.cf
-----(下記を最終行に追加)-----
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/gmail
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_mechanism_filter = plain
smtp_use_tls = yes
設定した内容を読込みます
・root宛メールの送信先を変更します
vim /etc/aliases
-----(下記を最終行に追加)-----
メールエイリアスのDBファイルを更新します
root宛のメールが、Gmailのアドレスに届くことを確認します
yum リポジトリの追加
(2016年9月15日追記)公式な発表はありませんが RPMForge は終了したようです。
EPEL
rpm --import http://dl.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-7
Remi
rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi
MySQL
・Remi リポジトリを有効化
vim /etc/yum.repos.d/remi.repo
(略)
enabled=0
↓
enabled=1
[remi-php56]
(略)
enabled=0
↓
enabled=1
【補足】
標準の remi リポジトリから、PHP5.4がインストールされますが、既にサポートが終了しています。セキュリティパッチも提供されませんので、PHP5.6以上をインストールすることをオススメします。そのため、上の手順でも「remi-php56」リポジトリを有効化して、PHP5.6をインストールするようにしています。
▽ PHP: Supported Versions
http://php.net/supported-versions.php
各種ミドルウェアインストール
※バージョンは2016年9月15日時点のものです。
Apache(2.4.6-40)
yum -y install mod_ssl
PHP(5.6.25-1)
yum -y install php-devel
yum -y install php-pdo
yum -y install php-mysql
yum -y install php-mbstring
yum -y install php-mcrypt
yum -y install php-gd
yum -y install php-pear
yum -y install php-pear-DB
yum -y install php-pear-Auth-*
yum -y install php-pecl-apc-devel
yum -y install zlib-devel
MySQL(5.6.33-2)
yum -y install mysql-server
Memcached(1.4.31-1)
yum -y install php-pecl-memcache
yum リポジトリの無効化
vim /etc/yum.repos.d/epel.repo
(略)
enabled=1
↓
enabled=0
vim /etc/yum.repos.d/remi.repo
(略)
enabled=1
↓
enabled=0
[remi-php56]
(略)
enabled=1
↓
enabled=0
vim /etc/yum.repos.d/mysql-community.repo
(略)
enabled=1
↓
enabled=0
[mysql-tools-community]
(略)
enabled=1
↓
enabled=0
[mysql56-community]
(略)
enabled=1
↓
enabled=0
Apacheの設定
不要なコンフィグを読込まないようにしておきます。
mv -i /etc/httpd/conf.d/userdir.conf /etc/httpd/conf.d/userdir.conf.org
mv -i /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.org
オリジナルのコンフィグをバックアップ
・コンフィグを作成します。
vim /etc/httpd/conf/httpd.conf
アクセス制限の記述「Require all granted」を忘れずに! また、「NameVirtualHost *:80」は不要です。
起動
自動起動設定
自己署名のサーバー証明書の作成(HTTPS用)
秘密鍵の作成
・CSR(証明書署名要求)の作成(入力するのは2箇所だけです)
openssl req -new -key server.key < server.csr
State or Province Name (full name) []:<空エンター>
Locality Name (eg, city) [Default City]:<空エンター>
Organization Name (eg, company) [Default Company Ltd]:<空エンター>
Organizational Unit Name (eg, section) []:<空エンター>
Common Name (eg, your name or your server's hostname) []: centos72
Email Address []:<空エンター>
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:<空エンター>
An optional company name []:<空エンター>
自己署名のサーバー証明書の作成(有効期限10年)
秘密鍵とサーバー証明書を適切な場所に移動
mv -i server.crt /etc/pki/tls/certs/
パーミッションを変更
chmod 600 /etc/pki/tls/certs/server.crt
CSRを削除
Apache HTTPS(SSL/TLS)の設定
SSL設定ファイルのオリジナルをバックアッップします
SSL設定ファイルを作成します。
vim /etc/httpd/conf.d/ssl.conf
SSL3.0には脆弱性がありますので「SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2」として必ずSSL3.0を無効にしてください。
設定ファイルを再読込します
WEBブラウザで HTTPSで接続できることを確認します(自己署名のサーバー証明書の場合は警告が表示されます)
PHPの設定
エラーログの出力先を作成
chown apache /var/log/php
chmod 755 /var/log/php
・PHPの設定
vim /etc/php.ini
↓
expose_php = Off
;date.timezone =
↓
date.timezone = 'Asia/Tokyo'
error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
↓
error_reporting = E_ALL & ~E_NOTICE
;error_log = php_errors.log
↓
error_log = "/var/log/php/php_errors.log"
・セッションの保存先をmemcacheに設定
vim /etc/php.d/memcache.ini
↓
session.save_handler=memcache
;session.save_path="tcp://localhost:11211?persistent=1&weight=1&timeout=1&retry_interval=15"
↓
session.save_path="tcp://localhost:11211"
vim /etc/httpd/conf.d/php.conf
php_value session.save_path "/var/lib/php/session"
↓
#php_value session.save_handler "files"
#php_value session.save_path "/var/lib/php/session"
Memcachedの設定
vim /etc/sysconfig/memcached
運用で様子をみて適度に変更(CACHESIZEの単位はMBです)
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS=""
起動
systemctl reload httpd
自動起動設定
MySQLの設定
ログの出力先を作成
chown -R mysql:mysql /var/log/mysql
オリジナルのコンフィグをバックアップします
・コンフィグを作成します。
vim /etc/my.cnf
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
symbolic-links=0
sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES
skip-character-set-client-handshake
character-set-server = utf8
slow_query_log=1
slow_query_log_file=/var/log/mysql/slow_query.log
long_query_time=1
min_examined_row_limit=1000
[mysqld_safe]
log-error=/var/log/mysql/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
起動
自動起動設定
・セキュリティ設定
mysql_secure_installation
対話式で設定が始まります。
rootにパスワードを設定する以外は、すべて空エンター[Y]でOKです。(不要なユーザ等を削除してくれます)
Set root password? [Y/n]
New password: <パスワード>
Re-enter new password:<パスワード>
(略)
ログローテーション設定
設定ファイルのバックアップ用ディレクトリを作成しておきます。
Apacheログのローテーション設定
オリジナルの設定ファイルをバックアップします
・設定ファイルを作成します
vim /etc/logrotate.d/httpd
/var/log/httpd/*log /var/log/php/*log { daily missingok dateext rotate 60 create 644 apache apache sharedscripts postrotate /bin/systemctl reload httpd.service > /dev/null 2>/dev/null || true endscript }
・確認します
logrotate -dv /etc/logrotate.d/httpd
-----(下記のような表示であればOKです)-----
Handling 1 logs
rotating pattern: /var/log/httpd/*log /var/log/php/*log after 1 days (60 rotations)
empty log files are rotated, old logs are removed
(略)
MySQLログのローテーション設定
オリジナルの設定ファイルをバックアップします
・設定ファイルを作成します
vim /etc/logrotate.d/mysql
/var/log/mysql/*log { daily missingok dateext rotate 60 sharedscripts postrotate if test -x /usr/bin/mysqladmin && \ /usr/bin/mysqladmin --defaults-extra-file=/root/.my.cnf ping &>/dev/null then /usr/bin/mysqladmin --defaults-extra-file=/root/.my.cnf flush-logs fi endscript }
・MySQL の root ユーザのパスワードファイルを作成
vim /root/.my.cnf
user=root
password="<パスワード>"
パスワードを書いているのでパーミッションを変更
chmod 600 /root/.my.cnf
・確認します
logrotate -dv /etc/logrotate.d/mysql
-----(下記のような表示であればOKです)-----
Handling 1 logs
rotating pattern: /var/log/mysql/*log after 1 days (60 rotations)
empty log files are rotated, old logs are removed
(略)
自動起動の設定確認
systemctl list-unit-files | grep -e httpd -e mysqld -e memcached -e chronyd
-----(下記のような表示であればOKです)-----
httpd.service enabled
memcached.service enabled
mysqld.service enabled
一度OSを再起動して、各種サービスが起動している事を確認しましょう。
ps aux | grep -e httpd -e mysqld -e memcached -e chronyd
以上です。設定お疲れ様でした。
コメント
[…] https://blog.apar.jp/linux/3683/ […]
[…] https://blog.apar.jp/linux/3683/ […]
[…] https://blog.apar.jp/linux/3683/ […]