CentOS 5.3 インストール その２

その１からの続き

インストール後に必須またはやっておいた方がよいと思われる設定です。

基本的にインストール後はWindows用ターミナルエミュレータを使いますが
TeraTerm、Puttyなどがあります。私はもっぱらPoderosaを愛用しています。
接続先ごとにタブ式になっており画面を並べて比較したり非常に便利です。

とりあえず接続して設定していきましょう。
rootでログインします。※SSH経由にてのrootログインは後ほどできないよう制御します。
●GPGKEYのインポート
# rpm --import http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5;

●GPGKEYの確認
インポートされているかチェックします。
# rpm -qai gpg-pubkey*
※何も表示されないときはインポートされていません。再度インポートを実行します。

●yum-updatesdの削除
yumによる自動アップデート機能ですがシステムに常駐していて一定間隔で動作する。
常駐しているためメモリー消費の無駄（メモリーリークするという噂も）なので削除します。
定期的なアップデートは従来のCron型yum-cronをこの次にインストールします。
# yum remove yum-updatesd

●yum-cronおよび関連パッケージのインストール
# yum install yum-cron yum-downloadonly
# wget http://mirror.centos.org/centos/5.2/os/i386/CentOS/yum-cron-0.6-1.el5.centos.noarch.rpm
# rpm -ivh yum-cron-0.6-1.el5.centos.noarch.rpm

yum-cronサービスを起動させます。
# /etc/init.d/yum-cron start

OS起動時にサービスが有効になるようにします。
# chkconfig yum-cron on

起動設定を確認します。
# chkconfig --list yum-cron
※以下のようになっているか要確認（2,3,4,5がon）
yum-cron　0:off　1:off　2:on　3:on　4:on　5:on　6:off

●開発ツール群のインストール
# yum groupinstall "Development Tools";

●システム全体のアップデート
# yum update

●NTPの導入
内部時計を外部タイムサーバ（内部でもOK）と定期的に同期を取るようにする。
# yum install ntp

時刻を即同期させます。
# ntpdate タイムサーバアドレス（例 ntp.jst.mfeed.ad.jp）

ハードウェアクロックも合わせます。
# hwclock --systohc

Cron実行用同期スクリプトを作成します。
# vi ntpdate
テキストの中身
#!/bin/bash
/usr/sbin/ntpdate ntp.jst.mfeed.ad.jp > /dev/null;hwclock --systohc > /dev/null

作成したスクリプトに実行権限を与えます。
# chmod +x ntpdate

１日１回実行されるようcron.dailyに配置します。
# mv ./ntpdate /etc/cron.daily/

●ユーザの追加
作成時に自動的にユーザディレクトリ直下にpublic_htmlディレクトリが作成されるようにします。
# mkdir /etc/skel/public_html

ユーザ追加
# useradd hoge

ユーザパスワードの設定
# passwd hoge
※パスワードを２回入力します

●SSH設定
セキュリティとしてはカギ認証やChroot化などありますが、最低限として以下の設定をします。
・ログイン認証時間は２０秒
・rootログインの禁止
・パスワードの設定されていないユーザのログインを禁止
・指定ユーザのみ接続許可

設定ファイルを開きます。
# vi /etc/ssh/sshd_config

以下を最終行にでも追記します。
LoginGraceTime 20
PermitRootLogin no
PermitEmptyPasswords no
AllowUsers hoge

設定を適用します。
# /etc/init.d/sshd restart

※rootのログオン状態はそのままにしておき許可したユーザでログインできるかチェックします。Poderosa等のエミュレーターの新規接続画面を表示して実際にログインしてみる。

●root宛てメールを任意のアドレスへ転送
# cd /etc/
# vi ./aliases
以下を最終行に追記する
root: hogehoge@example.com（自分の環境に合わせて）

●yum
# yum clean all

最後に再起動をして完了です。

必要に応じてSU制限をします。（一般ユーザログイン後のsuコマンド使用許可）
基本的にwheelグループ所属のユーザのみsuコマンドが使える。
# vi /etc/pam.d/su

#auth　required　pam_wheel.so　use_ui
↓この行のコメントをはずす
auth　required　pam_wheel.so　use_ui

# vi /etc/login.defs
以下を適当な場所に追記する
SU_WHEEL_ONLY yes

許可ユーザをwheelグループに所属させます。
# usermod -G wheel hoge

以上で完了です。