2018年7月3日日 CentOS6.10 がリリースされました、RHEL6.10(6/19リリース)からちょうど2週間でのリリースになります。前バージョンCentOS6.9からは実に約1年3ヶ月ぶりのバージョンアップです。既にRHEL6 は Production Phase 3 に移行しているため、バージョン 6.10 がリリースされることは意外でしたが、Spectre(CPUに依存するハードウェアレベルの深刻な脆弱性)対策など重要なセキュリティの修正がされています。そこで今回は、CentOS 6.10 で LAMP構成をインストールする手順をメモしておきました。
CentOS 6.10 の主な変更点
CentOS 6.10 では gcc(コンパイラ)が Retpoline に対応したことにより、Spectre Variant 2 攻撃(CVE-2017-5715)を緩和する際のオーバーヘッドを減らすことができます。また、DNSサーバーソフトの BIND に新規のルートゾーン Key Signing Key が含まれるようになりました。詳細はリリースノートをご確認ください。
CentOS 6.10 のダウンロード
はじめに、CentOSのダウンロードページから「CentOS-6.10-x86_64-bin-DVD1.iso」をダウンロードしておきます。今回は64bit版をインストールします。
マシン構成
○仮想マシン構成
メモリ:1024MB
NIC1:NATアダプター
NIC2:ホストオンリーアダプター
○ネットワーク構成(※ご自分の環境に書換えてください)
ホスト名: centos610
IPアドレス: 192.168.56.201/24
DNSサーバ: 8.8.8.8
CentOS 6.10 のインストール
[Welcom to CentOS 6.10!]
一番上の「Install or upgrade an existing system」を選択して、エンターを押します。
[Disc Found]
Tabキーで「SKIP」を選択して、エンターを押します。
[CentOS6]
NEXT
[What language 〜]
Japanese(日本語)
[このシステム用の適切なキーボードを選択します]
日本語
[どちらのタイプのストレージデバイスにインストールしますか?]
基本ストレージデバイス
[ストレージでバイスの警告]
はい。含まれていません。どのようなデータであっても破棄してください
(※警告の通りです。ご注意下さい)
[ホスト名]
centos610
[使用するタイムゾーン〜]
アジア/東京
「システムクロックでUTCを使用」のチェックを外す
[rootパスワード]
<パスワード>
[どのタイプのインストールをしますか?]
すべての領域を使用する
[ストレージ構成をディスクに書き込み中]
(データがすべて失われる旨の警告が表示されます)
データが削除されても問題がなければ「変更をディスクに書込む」を押します
[CentOSのデフォルトインストールは最小限インストールです〜]
「Minimal」を選択して「次へ」
****** つづきここから
〜〜〜 インストールが完了するまでしばらく待ちます 〜〜〜
[おねでとうございます。CentOSのインストールが完了しました]
再起動してください。
ネットワーク関連設定
NICの設定
・NIC1の設定(NATアダプター)
vi /etc/sysconfig/network-scripts/ifcfg-eth0
---(下記を変更)-------
ONBOOT=no
NM_CONTROLLED=yes
↓
ONBOOT=yes
NM_CONTROLLED=no
・NIC2の設定(ホストオンリーアダプター)
vi /etc/sysconfig/network-scripts/ifcfg-eth1
---(下記を変更と追加)-------
ONBOOT=no
NM_CONTROLLED=yes
BOOTPROTO=dhcp
↓
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
IPADDR=192.168.56.201
NETMASK=255.255.255.0
ネットワークサービス再起動
DNSサーバの設定
vi /etc/resolv.conf
---(全て削除して下記を追加)-------
以上の設定で、手元のPCから ssh ログインができるようになります。
基本パッケージのインストール
開発ツールなど、基本的なパッケージをインストールしておきます。
yum -y groupinstall development
yum -y groupinstall network-tools
yum アップデート
インストール済みのパッケージを、最新版にアップデートします。
不要サービスの停止
下記のコマンドを実行
chkconfig --level 0123456 abrt-oops off
chkconfig --level 0123456 abrtd off
chkconfig --level 0123456 acpid off
chkconfig --level 0123456 atd off
chkconfig --level 0123456 auditd off
chkconfig --level 0123456 blk-availability off
chkconfig --level 0123456 cpuspeed off
chkconfig --level 0123456 haldaemon off
chkconfig --level 0123456 kdump off
chkconfig --level 0123456 mdmonitor off
chkconfig --level 0123456 messagebus off
chkconfig --level 0123456 netfs off
chkconfig --level 0123456 rdma off
SELinux無効設定
vim /etc/sysconfig/selinux
↓
SELINUX=disabled
OSを再起動します
iptables設定
オリジナルのコンフィグをバックアップします(ない場合もあります)
・ssh と httpd のみ許可設定
vim /etc/sysconfig/iptables
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
iptables を再起動します
NTP設定
初回は手動で時間合わせをします
オリジナルのコンフィグをバックアップします
・コンフィグを作成します
vim /etc/ntp.conf
server ntp.nict.jp
server ntp.nict.jp
起動
自動起動設定
・10分ほど経過したら動作を確認します
ntpq -p
---(以下のような表示があればOKです)-------
*ntp-b2.nict.go. .NICT. 1 u 51 64 377 8.455 -7.501 7.912
+ntp-a2.nict.go. .NICT. 1 u 49 64 377 7.472 -12.039 7.470
Gmailリレー設定
・GmailのSMTP認証情報ファイルの作成
vim /etc/postfix/gmail
パスワードを書いているので、パーミッションを変更(root のみアクセス可)
chmod 600 /etc/postfix/gmail
PostfixのDBファイルを生成
・Postfixの設定
vim /etc/postfix/main.cf
---(下記を最終行に追加)-------
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/gmail
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_mechanism_filter = plain
smtp_use_tls = yes
設定した内容を読込みます
・root宛メールの転送先を設定します
vim /etc/aliases
---(下記を追加)-------
メールエイリアスのDBファイルを更新します
root宛のメールが、Gmailのアドレスに届くことを確認します
yum リポジトリの追加(64bit)
EPEL
Remi
rpm --import http://rpms.famillecollet.com/RPM-GPG-KEY-remi
MySQL
・Remi リポジトリを有効化
vim /etc/yum.repos.d/remi.repo
(略)
enabled=0
↓
enabled=1
vim /etc/yum.repos.d/remi-php72.repo
(略)
enabled=0
↓
enabled=1
【補足】
現時点で一番サポート期間の長いPHP7.2をインストールします。PHP5.6をインストールしたい場合は、remi-php56 リポジトリを有効にしてください。
vim /etc/yum.repos.d/remi.repo
(略)
enabled=0
↓
enabled=1
各種ミドルウェアインストール
※バージョンは2018年8月1日時点のものです。
Apache(2.2.15-69)
yum -y install mod_ssl
PHP(7.2.8-1)
yum -y install php-devel
yum -y install php-pdo
yum -y install php-mysqlnd
yum -y install php-mbstring
yum -y install php-gd
yum -y install php-pear
yum -y install php-pecl-apc-devel
yum -y install zlib-devel
MySQL(5.7.23-1)
yum -y install mysql-community-server
Memcached(1.5.9-1)
yum -y install php-pecl-memcache
Apacheの設定
不要なコンフィグを読込まないようにする
オリジナルのコンフィグをバックアップします
コンフィグを作成します
vim /etc/httpd/conf/httpd.conf
起動
自動起動設定
自己署名のサーバー証明書の作成(HTTPS用)
秘密鍵の作成
・CSR(証明書署名要求)の作成(入力するのは2箇所だけです)
openssl req -new -key server.key > server.csr
State or Province Name (full name) []:<空エンター>
Locality Name (eg, city) [Default City]:<空エンター>
Organization Name (eg, company) [Default Company Ltd]:<空エンター>
Organizational Unit Name (eg, section) []:<空エンター>
Common Name (eg, your name or your server's hostname) []: www.example.com
Email Address []:<空エンター>
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:<空エンター>
An optional company name []:<空エンター>
自己署名のサーバー証明書の作成(有効期限10年)
秘密鍵とサーバー証明書を適切な場所に移動
mv -i server.crt /etc/pki/tls/certs/
パーミッションを変更
chmod 600 /etc/pki/tls/certs/server.crt
CSRを削除
Apache HTTPS(SSL/TLS)の設定
SSL設定ファイルのオリジナルをバックアッップします
SSL設定ファイルを作成
vim /etc/httpd/conf.d/ssl.conf
Apacheを再起動します
WEBブラウザで HTTPSで接続できることを確認します(自己署名のサーバー証明書の場合は警告が表示されます)
PHPの設定
エラーログの出力先作成
chown apache /var/log/php
・PHPの設定
vim /etc/php.ini
↓
expose_php = Off
;date.timezone =
↓
date.timezone = 'Asia/Tokyo'
error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
↓
error_reporting = E_ALL & ~E_NOTICE
;error_log = php_errors.log
↓
error_log = "/var/log/php/php_errors.log"
・セッションの保存先を Memcache に変更
vim /etc/php.d/40-memcache.ini
↓
session.save_handler=memcache
;session.save_path="tcp://localhost:11211?persistent=1&weight=1&timeout=1&retry_interval=15"
↓
session.save_path="tcp://localhost:11211"
vim /etc/httpd/conf.d/php.conf
php_value session.save_path "/var/lib/php/session"
↓
#php_value session.save_handler "files"
#php_value session.save_path "/var/lib/php/session"
Apacheを再起動
Memcachedの設定
vim /etc/sysconfig/memcached
運用で様子をみて適度に変更(CACHESIZEの単位はMBです)
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS=""
起動
自動起動設定
MySQL 5.7 の設定
ログの出力先を作成
chown -R mysql:mysql /var/log/mysql
オリジナルのコンフィグをバックアップします
・コンフィグを作成します。
vim /etc/my.cnf
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
symbolic-links=0
slow_query_log=1
slow_query_log_file=/var/log/mysql/slow_query.log
long_query_time=1.0
min_examined_row_limit=0
log-error=/var/log/mysql/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
log_timestamps=SYSTEM
explicit_defaults_for_timestamp=TRUE
skip-character-set-client-handshake
character-set-server=utf8
起動
自動起動設定
mysql_secure_installation の実行
・root ユーザーの初期パスワードの確認(初期パスワードはそのまま使うことはできませんので変更が必要です)
grep password /var/log/mysql/mysqld.log
これから設定するパスワードは、8文字以上、英数大文字小文字と記号が含まれていないと、ポリシー違反で弾かれてしまいます。オススメはしませんが、my.cnf に以下を追加して PasswordValidationプラグインを無効にしておく方法もあります。
6.1.2.5 The Password Validation Plugin | MySQL 5.7 Reference Manual
mysql_secure_installation コマンドに「--use-default」オプションを付けてを実行します。root ユーザーのパスワード変更や不要なユーザーやDBを削除してくれます。
(略)
Enter password for user root: <初期パスワード>
The existing password for the user account root has expired. Please set a new password.
New password: <新しいパスワード>
Re-enter new password: <新しいパスワード>
(略)
ログローテーション設定
設定ファイルのバックアップ用ディレクトリを作成しておきます
Apacheのログローテーション設定
オリジナルの設定ファイルをバックアップ
・設定ファイルを作成します
vim /etc/logrotate.d/httpd
/var/log/httpd/*log /var/log/php/*log {
daily
missingok
dateext
rotate 60
create 644 apache apache
sharedscripts
postrotate
/sbin/service httpd reload > /dev/null 2>/dev/null || true
endscript
}
・確認します
logrotate -dv /etc/logrotate.d/httpd
下記のような表示があればOK
reading config info for /var/log/httpd/*log /var/log/php/*log
Handling 1 logs
rotating pattern: /var/log/httpd/*log /var/log/php/*log after 1 days (60 rotations)
empty log files are rotated, old logs are removed
(略)
MySQLのログローテーション設定
オリジナルの設定ファイルをバックアップ
・設定ファイルを作成します
vim /etc/logrotate.d/mysql
/var/log/mysql/*log {
daily
missingok
dateext
rotate 60
sharedscripts
postrotate
if test -x /usr/bin/mysqladmin && \
/usr/bin/mysqladmin --defaults-extra-file=/root/.my.cnf ping &>/dev/null
then
/usr/bin/mysqladmin --defaults-extra-file=/root/.my.cnf flush-logs
fi
endscript
}
・MySQL の root ユーザのパスワードファイルを作成(パスワードは必ずクオートしてください)
vim /root/.my.cnf
user=root
password="<パスワード>"
パスワードを書いているので、パーミッションを変更(root のみアクセス可)
chmod 600 /root/.my.cnf
・確認します
logrotate -dv /etc/logrotate.d/mysql
下記のような表示があればOK
reading config info for /var/log/mysql/*log
Handling 1 logs
rotating pattern: /var/log/mysql/*log after 1 days (60 rotations)
empty log files are rotated, old logs are removed
(略)
自動起動設定確認
chkconfig --list | grep :on
下記のような表示であればOKです
crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off httpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off ip6tables 0:off 1:off 2:on 3:on 4:on 5:on 6:off iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off irqbalance 0:off 1:off 2:off 3:on 4:on 5:on 6:off lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off memcached 0:off 1:off 2:on 3:on 4:on 5:on 6:off mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off network 0:off 1:off 2:on 3:on 4:on 5:on 6:off ntpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off sysstat 0:off 1:on 2:on 3:on 4:on 5:on 6:off udev-post 0:off 1:on 2:on 3:on 4:on 5:on 6:off
最後にOSを再起動して、各種サービスが自動起動している事を確認しましょう。
(再起動後に実行)
ps aux | grep -e httpd -e mysqld -e memcached -e ntpd
以上です。設定お疲れ様でした!
コメント