1月6日(火)1、2コマ目

今日、やったこと

LinuxでWebサーバー構築

今日のホワイトボード

LinuxでWebサーバー構築

前々回、前回と

  • 仮想マシン作成
  • 仮想マシンにLinuxインストール、設定
  • 仮想マシンにWebサーバーアプリケーションインストール

を行った。今日は、そのおさらい。

物理マシン、仮想マシン

1台の物理マシンにハイパーバイザをインストールし、その上に仮想マシンを作成。

仮想マシンはソフトウェア的なコンピュータ。

仮想マシンにLinuxをインストールして、Webサーバーにする。

図 物理マシンと仮想マシン

Webサーバー構築

配布した資料「Webサーバー構築」に沿って進めました。
以下はなんてことはないかと思うので、スルー。
  1. Web管理ツールcockpitでLinuxサーバーにログイン
  2. 仮想マシンの新規作成
  3. ネットワークインターフェース設定
  4. AlmaLinuxインストール
  5. 仮想マシンログイン

6.ネットワーク設定

①コネクション確認

まずは、コネクション一覧を出力。
図 コネクション一覧出力
"TYPE"がethernetのコネクション"enp1s0"が仮想マシンの仮想NICのためのコネクション。
コネクション"enp1s0"の詳細確認。
図 コネクション詳細確認
確認すべき項目は以下の3つ。
ipv4.method IPアドレスの設定方法
auto:DHCPサーバーからIPアドレスを借りる
manual:IPアドレスを静的に設定
ipv4.address 静的に設定されたIPアドレス
ipv4.gateway 静的に設定されたゲートウェイのIPアドレス

②コネクション変更

IPアドレスを固定で設定するためにコネクション変更。
図 コネクション変更

③コネクションをデバイスに反映させる

コネクションを変更しても、デバイスの設定には反映されない。
コネクションの
  • 無効化
  • 有効化
が必要。
図 コネクションのダウン、アップ

④IPアドレス確認

稼働中のNICに設定されているIPアドレスの確認は、ipコマンドが楽。
図 ipコマンドでIPアドレス確認

⑤導通確認

導通確認にはpingコマンドを使う。
WindowsPCから仮想マシンへping実行。
図 pingコマンドで導通確認

7.SSH接続確認

WindowsPCからSSHで仮想マシンを操作したい。
仮想マシンで
  • SSHのサーバープロセスを起動
  • F/WでSSHがブロックされない
を確認。

①SSHのサーバープロセス確認

SSHのサーバープロセスの起動、停止等はsystemdが管理している。
systemdはsytemctlコマンドで操作する。
図 systemctlコマンドでsshのサーバープロセスが稼働中か確認

②F/Wでsshは許可されているか確認

F/Wはfirewall-cmdコマンドで操作。
firewall-cmdコマンドの実行には特権ユーザーの権限が必要。
図 firewall-cmdコマンドでF/Wを確認

8.SSHで仮想マシンにログイン

WindowsPCのTeraTermを使って、SSHで仮想マシンに接続、ログイン。
詳しくは以前配布した資料「サーバー運用」の20ページ以降を参照。
図 SSHで接続のイメージ

9.Webサーバー構築

詳しくは前回のおたすけサイトを参照。

[おまけ]サーバーの公開鍵と認証局

サーバー証明書のインポートに関して、サーバーの公開鍵の真偽性を保証する仕組みをちょっと解説。
httpsで暗号化通信の際に使うサーバーの公開鍵は、認証局(CA:Certification Authority)が確かに本人の公開鍵であることを保証している。
認証局はサーバーの公開鍵を自分の秘密鍵で暗号して、デジタル証明書を作成する。
サーバーはこのデジタル証明書をクライアントに配布する。
クライアントはデジタル証明書を認証局の公開鍵で復号し、サーバーの公開鍵を取り出す。
図 サーバーの公開鍵を認証局が証明する

[おまけ]dnf.confの編集を間違えた場合

バックアップ(dnf.conf.org)を作成していることを前提に、バックアップから復元。
図 バックアップdnf.conf.orgからdnf.confを復元

10.Webサーバー設定ファイル編集

インストールしただけのWebサーバーはセキュリティ的に問題あり。
最低限、設定しなければならない内容を確認。
図 安全なWebサーバーのための最低限の設定
次回、Webサーバーの設定を行う。


次回は

Webサーバーの設定。
そのあと、自力で仮想マシン作成->Linuxインストール、設定->Webサーバーインストール、設定をしてもらいます。








 

このブログの人気の投稿

12月23日(火)1、2コマ目

イメージ
 今日、やったこと [確認テスト 解説]ファイアウォール2 [確認テスト]ファイアウォール3 Webサーバー構築 今日のホワイトボード [確認テスト 解説]ファイアウォール2 問1 firewall-cmd --list-all出力結果のうち、ICMPパケットの処理に影響を与えるのは target icmp-blocks icmp-block-inversion の3つ。 図 ICMPパケットとtarget 問2 firewall-cmd --list-all出力結果のうち、ICMPパケットのタイプに関する設定は、icmp-blocks。 問3 firewall-cmd --list-all出力結果のうち、icmp-blocksのパケットを許可/ブロックを決めるのはicmp-block-inversion。 問4 項目icmp-blocks だけを出力するには、 --list-icmp-blocksオプション 。 図 firewall-cmd --list-icmp-blocks 問5 項目icmp-block-inversion だけを出力するには、 --query-icmp-block-inversionオプション 。 図 firewall-cmd --query-icmp-block-inversion 問6 インターネット公開サーバーはICMPパケットを破棄したほうがいい。 なぜなら・・(問7につづく) 問7 サーバーが稼働していることが分かり、攻撃対象になるため。 仮想マシンを操作する 2種類の方法を使い分けていた。ごっちゃになら...
続きを読む

12月9日(火)1、2コマ目

イメージ
今日、やったこと [確認テスト 解説]ファイアウォール1 [やってみよう 解説]ファイアウォール(ICMP) リッチルール 今日のホワイトボード [確認テスト 解説]ファイアウォール1 問1 図 現在アクティブなゾーンの確認 問2 --get-active-zoneでなにも出力されない => 適用されるゾーンが未設定  適用されるゾーンが未設定の場合は、デフォルトゾーンが適用される。 デフォルトゾーンの確認は--get-default-zoneオプション。 図 デフォルトゾーンの確認 問3 稼働中のF/Wにて許可されているサービスの一覧は--list-serviceオプション。 下図はゾーン「public」で確認。(ゾーンzone01は存在しないため) 図 ゾーンpublicにて許可されているサービス確認 問4 ゾーンの設定ファイルは以下の2つ。 設定ファイルへのパス 内容 /usr/lib/firewalld/zones/ゾーン名.xml OSが用意するデフォルトの設定ファイル。基本的に変更しない。 /etc/firewalld/zones/ゾーン名.xml デフォルト設定を変更した際に作成される。 ユーザーがゾーンを追加する場合もこちらへ。 図 ゾーン設定ファイル 問5 設定ファイルにて許可されている...
続きを読む