2016年11月2日水曜日

LIO Cluster [LIO, DRBD, Pacemaker による冗長化 iSCSI Target] (その2)Oracle Linux 7.2 インストールと初期設定


Oracle Linux 7.2 のインストール手順は、「Oracle Linux 7.2 インストール手順 (http://dba-ha.blogspot.jp/2016/09/oracle-linux-72.html)」にて画面キャプチャ付きで紹介済みなので、ここでは要点のみを記載します。
初期設定は、一般的にどのような環境でも必要と思われる最低限の設定を行っています。

以降の手順で、黄緑色の部分は状況に合わせて変更すべきパラメータであったり、省略すべき手順であったりします。


Oracle Linux 7.2 のインストーラ V100082-01.iso を https://edelivery.oracle.com/ より入手し、ゴニョゴニョしてから、サーバの DVD ドライブへセットし、起動します。

インストーラの起動メニューが表示されたら60秒以内に「Tab」キーを押下し、起動オプションを以下のように編集し、「Enter」キーを押下します。


> vmlinuz … rd.live.check quiet
  ↓
> vmlinuz … net.ifnames=0 biosdevname=0 selinux=0 vconsole.keymap=jp106


※ 英語キーボードとして認識されている状態なので、「=」を入力するには「^」を押下します。

anaconda の「Welcome」画面が出てきたら「Ctrl + Alt + F3」キーを押下し、シェルに移行します。

パーティションを作成します。


fdisk -l | grep ^Disk | sort
Disk /dev/mapper/live-base: 2147 MB, 2147483648 bytes, 4194304 sectors
Disk /dev/mapper/live-rw: 2147 MB, 2147483648 bytes, 4194304 sectors
Disk /dev/sda: 8589 MB, 8589934592 bytes, 16777216 sectors
Disk /dev/sdb: 1073 MB, 1073741824 bytes, 2097152 sectors
Disk /dev/sdc: 1073 MB, 1073741824 bytes, 2097152 sectors
Disk /dev/sdd: 1073 MB, 1073741824 bytes, 2097152 sectors
Disk /dev/sde: 1073 MB, 1073741824 bytes, 2097152 sectors
Disk /dev/sdf: 1073 MB, 1073741824 bytes, 2097152 sectors

fdisk -H 64 -S 32 /dev/sda
Welcome to fdisk (util-linux 2.23.2).

Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.

Device does not contain a recognized partition table
Building a new DOS disklabel with disk identifier 0x2a058c02.

Command (m for help): o
Building a new DOS disklabel with disk identifier 0xc9c2368a.

Command (m for help): n
Partition type:
   p   primary (0 primary, 0 extended, 4 free)
   e   extended
Select (default p): [Enter]
Using default response p
Partition number (1-4, default 1): [Enter]
First sector (2048-16777215, default 2048): [Enter]
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-16777215, default 16777215): +500M
Partition 1 of type Linux and of size 500 MiB is set

Command (m for help): a
Selected partition 1

Command (m for help): n
Partition type:
   p   primary (1 primary, 0 extended, 3 free)
   e   extended
Select (default p): [Enter]
Using default response p
Partition number (2-4, default 2): [Enter]
First sector (1026048-16777215, default 1026048): [Enter]
Using default value 1026048
Last sector, +sectors or +size{K,M,G} (1026048-16777215, default 16777215): [Enter]
Using default value 16777215
Partition 2 of type Linux and of size 7.5 GiB is set

Command (m for help): p

Disk /dev/sda: 8589 MB, 8589934592 bytes, 16777216 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0xc9c2368a

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *        2048     1026047      512000   83  Linux
/dev/sda2         1026048    16777215     7875584   83  Linux

Command (m for help): w
The partition table has been altered!

Calling ioctl() to re-read partition table.
Syncing disks.

fdisk -H 64 -S 32 /dev/sdb
Welcome to fdisk (util-linux 2.23.2).

Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.

Device does not contain a recognized partition table
Building a new DOS disklabel with disk identifier 0x2a058c02.

Command (m for help): o
Building a new DOS disklabel with disk identifier 0xb3afd860.

Command (m for help): n
Partition type:
   p   primary (0 primary, 0 extended, 4 free)
   e   extended
Select (default p): [Enter]
Using default response p
Partition number (1-4, default 1): [Enter]
First sector (2048-2097151, default 2048): [Enter]
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-2097151, default 2097151): [Enter]
Using default value 2097151
Partition 1 of type Linux and of size 1023 MiB is set

Command (m for help): t
Selected partition 1
Hex code (type L to list all codes): 82
Changed type of partition 'Linux' to 'Linux swap / Solaris'

Command (m for help): p

Disk /dev/sdb: 1073 MB, 1073741824 bytes, 2097152 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0xb3afd860

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1            2048     2097151     1047552   82  Linux swap / Solaris

Command (m for help): w
The partition table has been altered!

Calling ioctl() to re-read partition table.
Syncing disks.


※ 「-H 64 -S 32」を指定すると 1Cylinder = 1MB ジャストとなり、Windows Vista 以前の仕様を満たしつつ、今の仕様も満たせます。4KB セクタ HDD にも最適性能を発揮してもらえます。RAID についても同じです。

Ctrl + Alt + F6」キーを押下し、anaconda の「welcome」画面に戻ります。

English (United States)」が選択されていることを確認し、「Continue」を選択します。

DATE & TIME」を選択し、「Asia / Tokyo」を選択します。

KEYBOARD」を選択し、「Japanese (OADG 109A)」のみ選ばれているように選択します。

INSTALLATION DESTINATION」を選択し、以下のように設定します。


デバイス名 FS   MountPoint ラベル
/dev/sda1  xfs  /boot      /boot
/dev/sda2  xfs  /          /
/dev/sdb1  swap            swap


KDUMP」を選択し、無効化します。

Begin Install」を選択します。

ROOT PASSWORD」を選択し、パスワードを設定します。

Reboot」ボタンが表示されるのを待ち、「Reboot」を選択します。

再起動処理中に Eject されたインストーラをDVDドライブから取り外します。

再起動完了後、コンソールにてログインします。


Oracle Linux Server 7.2
Kernel 3.8.13-98.7.1.el7uek.x86_64 on an x86_64

localhost login: root
Password: ********


MAC アドレスを確認し、LAN ケーブルの結線(組み合わせ)を設計通りに修正します。この後の手順で、NIC デバイス名の方を入れ替えても問題ありません。


ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:0c:29:0b:ab:ce brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:0c:29:0b:ab:b0 brd ff:ff:ff:ff:ff:ff
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:0c:29:0b:ab:ba brd ff:ff:ff:ff:ff:ff
5: eth3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:0c:29:0b:ab:c4 brd ff:ff:ff:ff:ff:ff


IP アドレスを一時的に設定します。必要に応じて、デフォルトゲートウェイも設定します。


ip addr add 10.110.88.57/26 dev eth0
ip route add 0.0.0.0/0 via 10.110.88.1


root にて、ssh でログインします。


ssh root@10.110.88.57
The authenticity of host '10.110.88.57 (10.110.88.57)' can't be established.
ECDSA key fingerprint is 8f:f6:81:0f:44:e1:83:d5:0a:9d:3f:90:7c:3e:93:73.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.110.88.57' (ECDSA) to the list of known hosts.
root@10.110.88.57's password: ********
Last login: Fri Oct 14 02:47:20 2016


ここまでのインストール作業結果を確認します。


fdisk -l | grep /dev/ | sed 's/Disk //' | sort
blkid
cat /etc/fstab
cat /etc/vconsole.conf
cat /etc/locale.conf
localectl status
cat /etc/adjtime
hwclock --debug
ls -l /etc/localtime
timedatectl status


※ RTC(BIOS の時計)については、UTC であることが前提となっています。rhel6 までは、インストール時に Local を選択することができました、rhel7 では選択できません。インストール完了後コマンド操作で Local に変更できますが、OS 起動時のログの一部が UTC 前提で記録されることを防ぐ方法はないようです。将来的に systemd が改良される見込みもないような気がします。

インストール作業に引き続き、初期設定を行います。

SELinux を無効化する設定を行います。インストール手順の中でカーネルパラメータにて無効化していますが、運用上紛らわしいので設定ファイルでも無効化します。


sed -i -e 's/^SELINUX=.*$/SELINUX=disabled/' /etc/sysconfig/selinux


管理者用一般ユーザを作成します。


sed -i -e 's/^CREATE_MAIL_SPOOL=.*$/CREATE_MAIL_SPOOL=no/' /etc/default/useradd

groupadd -g 1000 admin
useradd -g admin -G wheel -u 1000 admin
echo 'password' | passwd --stdin admin

id admin
uid=1000(admin) gid=1000(admin) groups=1000(admin),10(wheel)


wheel グループのユーザがパスワードなしで sudo コマンドを使えるように設定します。


echo '%wheel ALL=(ALL) NOPASSWD: ALL' > /etc/sudoers.d/wheel


管理者用一般ユーザにて、ssh でログインします。


ssh admin@10.110.88.57
admin@10.110.88.57's password: ********


wheel グループのユーザのみが su コマンドを使えるように設定します。


sudo sed -i -e '/^#auth.*required.*pam_wheel.so use_uid$/ s/#//' /etc/pam.d/su
echo "SU_WHEEL_ONLY yes" | sudo tee -a /etc/login.defs


root アカウントでのパスワード認証による ssh 接続を禁止します。


sudo sed -i -e 's/^#PermitRootLogin .*$/PermitRootLogin without-password/' /etc/ssh/sshd_config
sudo systemctl restart sshd


参照・監視用一般ユーザを作成します。


sudo groupadd -g 1001 monitor
sudo useradd -g monitor -u 1001 monitor
echo 'password' | sudo passwd --stdin monitor

id monitor
uid=1001(monitor) gid=1001(monitor) groups=1001(monitor)


NIC のデバイス名をバス情報に基づいて固定します。このファイルを編集して、NIC デバイス名を入れ替えても構いません。「KERNELS=="<バス情報>"」を「ATTR{address}=="<MAC アドレス>"」に入れ替えても構いません。


sudo cp /dev/null /etc/udev/rules.d/70-persistent-net.rules
NUM=0
while :
do
  ip addr show eth$NUM > /dev/null 2>&1 || break
  BUS=$(ethtool -i eth$NUM | grep bus-info | awk '{print $2}')
  cat << EOF | sudo tee -a /etc/udev/rules.d/70-persistent-net.rules
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", KERNELS=="$BUS", ATTR{type}=="1", NAME="eth$NUM"
EOF
  NUM=$((NUM+1))
done
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", KERNELS=="0000:04:00.0", ATTR{type}=="1", NAME="eth0"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", KERNELS=="0000:0b:00.0", ATTR{type}=="1", NAME="eth1"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", KERNELS=="0000:13:00.0", ATTR{type}=="1", NAME="eth2"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", KERNELS=="0000:1b:00.0", ATTR{type}=="1", NAME="eth3"


kdump の設定を行います。


sudo systemctl enable kdump.service
sudo sed -i -e 's/selinux=0/selinux=0 crashkernel=auto/' /etc/default/grub


※ kdump を収集する専用サーバを用意し、そのサーバに kdump を送信する設定をここで行いたいところですが、ここではデフォルト設定のままで有効化しておきます。rhel7 では、事前に var/crash というディレクトリを作成しておく必要がでてきました。専用のパーティションを用意するのであれば、その専用のパーティションを /etc/fstab によりマウントする設定が必要で、かつ、/kdump にマウントしたのであれば、「mkdir -p /kdump/var/crash」を実行しておく必要があります。

OS 起動時のカーネルパラメータを変更します。「net.ifnames=0」「biosdevname=0」があると、前々項の udev 設定がうまく機能しません。IPv6 を無効化しています。


sudo sed -i -e '/^GRUB_CMDLINE_LINUX=/ s/ *biosdevname=[^ "]*//' /etc/default/grub
sudo sed -i -e '/^GRUB_CMDLINE_LINUX=/ s/ *net\.ifnames=[^ "]*//' /etc/default/grub
sudo sed -i -e '/^GRUB_CMDLINE_LINUX=/ s/rhgb quiet/ipv6.disable=1/' /etc/default/grub
sudo grub2-mkconfig -o /boot/grub2/grub.cfg


IPv6 無効化に伴う不具合を解消するための設定変更を行います。


sudo sed -i -e 's/^#AddressFamily .*$/AddressFamily inet/' /etc/ssh/sshd_config
sudo sed -i -e 's/^inet_interfaces .*$/inet_interfaces = 127.0.0.1/' /etc/postfix/main.cf


NIC を設定します。「active-backup primary=eth*」の部分を「802.3ad」に変更すると、LAG に対応します。


BOND0_UUID=$(uuidgen)
BOND0_BONDING_OPTS="resend_igmp=1 updelay=0 use_carrier=1 miimon=100 downdelay=0 xmit_hash_policy=0"
BOND0_BONDING_OPTS="$BOND0_BONDING_OPTS primary_reselect=0 fail_over_mac=0 arp_validate=0"
BOND0_BONDING_OPTS="$BOND0_BONDING_OPTS mode=active-backup primary=eth0"
BOND0_BONDING_OPTS="$BOND0_BONDING_OPTS lacp_rate=0 arp_interval=0 ad_select=0"

BOND1_UUID=$(uuidgen)
BOND1_BONDING_OPTS="resend_igmp=1 updelay=0 use_carrier=1 miimon=100 downdelay=0 xmit_hash_policy=0"
BOND1_BONDING_OPTS="$BOND1_BONDING_OPTS primary_reselect=0 fail_over_mac=0 arp_validate=0"
BOND1_BONDING_OPTS="$BOND1_BONDING_OPTS mode=active-backup primary=eth1"
BOND1_BONDING_OPTS="$BOND1_BONDING_OPTS lacp_rate=0 arp_interval=0 ad_select=0"

cat << EOF | sudo tee /etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
NAME=bond0
TYPE=Bond
UUID=$BOND0_UUID
BONDING_OPTS="$BOND0_BONDING_OPTS"
BONDING_MASTER=yes
ONBOOT=yes
BOOTPROTO=none
DEFROUTE=yes
PEERDNS=no
PEERROUTES=no
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
IPV6_AUTOCONF=no
IPV6_DEFROUTE=no
IPV6_PEERDNS=no
IPV6_PEERROUTES=no
IPV6_FAILURE_FATAL=no
EOF

cat << EOF | sudo tee /etc/sysconfig/network-scripts/ifcfg-bond1
DEVICE=bond1
NAME=bond1
TYPE=Bond
UUID=$BOND1_UUID
BONDING_OPTS="$BOND1_BONDING_OPTS"
BONDING_MASTER=yes
ONBOOT=yes
BOOTPROTO=none
DEFROUTE=no
PEERDNS=no
PEERROUTES=no
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
IPV6_AUTOCONF=no
IPV6_DEFROUTE=no
IPV6_PEERDNS=no
IPV6_PEERROUTES=no
IPV6_FAILURE_FATAL=no
EOF

cat << EOF | sudo tee /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
NAME=eth0
TYPE=Ethernet
UUID=$(uuidgen)
MASTER=$BOND0_UUID
SLAVE=yes
ONBOOT=yes
MTU=9000
EOF

cat << EOF | sudo tee /etc/sysconfig/network-scripts/ifcfg-eth2
DEVICE=eth2
NAME=eth2
TYPE=Ethernet
UUID=$(uuidgen)
MASTER=$BOND0_UUID
SLAVE=yes
ONBOOT=yes
MTU=9000
EOF

cat << EOF | sudo tee /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
NAME=eth1
TYPE=Ethernet
UUID=$(uuidgen)
MASTER=$BOND1_UUID
SLAVE=yes
ONBOOT=yes
MTU=9000
EOF

cat << EOF | sudo tee /etc/sysconfig/network-scripts/ifcfg-eth3
DEVICE=eth3
NAME=eth3
TYPE=Ethernet
UUID=$(uuidgen)
MASTER=$BOND1_UUID
SLAVE=yes
ONBOOT=yes
MTU=9000
EOF

cat << EOF | sudo tee -a /etc/sysconfig/network-scripts/ifcfg-bond0
IPADDR=10.110.88.57
PREFIX=26
GATEWAY=10.110.88.1
DNS1=10.0.80.11
DNS2=10.0.80.12
DOMAIN=example.com
MTU=9000
EOF

cat << EOF | sudo tee -a /etc/sysconfig/network-scripts/ifcfg-bond1
IPADDR=192.168.1.2
PREFIX=24
MTU=9000
EOF


※ NIC が2つの(冗長化しない)場合であっても、ボンディング設定して問題ありません。通常は、eth0 と eth1 に IP アドレス等の情報を設定しますが、本連載では、ボンディング設定ありを前提に話を進めます。

NIC オフロード機能を無効化します。


cat << 'EOF' | sudo tee /etc/NetworkManager/dispatcher.d/00-ethertool
#!/bin/sh
if [ "$2" == "up" ]; then
  if [ "${1:0:3}" == "eth" ]; then
    ethtool -K $1 \
      rx off \
      tx off \
      sg off \
      tso off \
      ufo off \
      gso off \
      gro off \
      lro off \
      rxvlan off \
      txvlan off \
      ntuple off \
      rxhash off \
      highdma off \
      rx-vlan-filter off \
      tx-gso-robust off \
      tx-fcoe-segmentation off \
      fcoe-mtu off \
      tx-nocache-copy off \
      loopback off \
      rx-fcs off \
      rx-all off
    #ethtool -K $1 vlan-challenged off tx-lockless off netns-local off
    ethtool -G $1 rx 4096 tx 4096 rx-jumbo 2048
  fi
fi
EOF
sudo chmod 755 /etc/NetworkManager/dispatcher.d/00-ethertool


※ rhel7 では ETHTOOL_OPTS パラメータが無くなりました。NIC のリンク速度や duplex モードの設定を行いたい場合は、このスクリプトに組み込みます。

hosts を設定します。


cat << 'EOF' | sudo tee /etc/hosts
127.0.0.1       localhost localhost.localdomain localhost4 localhost4.localdomain4
::1             localhost localhost.localdomain localhost6 localhost6.localdomain6
10.110.88.57    iscsitgt01a.example.com iscsitgt01a
10.110.88.58    iscsitgt01s.example.com iscsitgt01s
10.110.88.59    iscsitgt01.example.com iscsitgt01
192.168.1.2     iscsitgt01a-ic.example.com iscsitgt01a-ic
192.168.1.3     iscsitgt01s-ic.example.com iscsitgt01s-ic
EOF


hostname を設定します。


sudo hostnamectl set-hostname iscsitgt01a.example.com


yum リポジトリを設定します。インストール・メディアを利用可能にします。UEK Release 4 用リポジトリを有効化します。必要に応じて、インターネット接続していないとエラーとなるリポジトリを無効化します。


cat << 'EOF' | sudo tee /etc/yum.repos.d/media.repo
[media]
name=media
baseurl=file:///mnt
gpgcheck=0
enabled=0

[media-mysql]
name=media-mysql
baseurl=file:///mnt/addons/Mysql
gpgcheck=0
enabled=0

[media-ha]
name=media-ha
baseurl=file:///mnt/addons/HighAvailability
gpgcheck=0
enabled=0

[media-rs]
name=media-rs
baseurl=file:///mnt/addons/ResilientStorage
gpgcheck=0
enabled=0
EOF

cat << 'EOF' | sudo tee -a /etc/yum.repos.d/public-yum-ol7.repo

[ol7_UEKR4]
name=Latest Unbreakable Enterprise Kernel Release 4 for Oracle Linux $releasever ($basearch)
baseurl=http://public-yum.oracle.com/repo/OracleLinux/OL7/UEKR4/$basearch/
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-oracle
gpgcheck=1
enabled=1
EOF

sudo sed -i -e 's/^/#/' /etc/yum.repos.d/public-yum-ol7.repo


インストーラを DVD ドライブにセットし、マウントします。


sudo mount /dev/cdrom /mnt


どのような環境でも共通して導入しておいた方がよいと思われる標準パッケージをインストールします。


sudo yum -y --disablerepo=\* --enablerepo=media install \
 abrt-console-notification \
 at \
 aide \
 bash-completion \
 bind-utils \
 blktrace \
 chrony \
 cryptsetup \
 dos2unix \
 dosfstools \
 dropwatch \
 dstat \
 expect \
 filebench \
 ftp \
 git \
 iotop \
 iptables-services \
 iptstate \
 latrace \
 lftp \
 logwatch \
 lrzsz \
 lsof \
 ltrace \
 man-pages-overrides \
 man-pages \
 mlocate \
 mtr \
 net-tools \
 nmap \
 ntpdate \
 ntsysv \
 oprofile \
 patch \
 pax \
 pciutils \
 perf \
 pinfo \
 pm-utils \
 quota \
 prelink \
 psacct \
 rng-tools \
 rsync \
 rubygem-abrt \
 scl-utils \
 screen \
 setuptool \
 sg3_utils \
 smartmontools \
 strace \
 sysstat \
 systemtap-runtime \
 tcpdump \
 telnet \
 time \
 tmpwatch \
 trace-cmd \
 traceroute \
 tree \
 unzip \
 wget \
 xfsdump \
 x86info \
 yum-utils \
 zip


vSphere 上で動かしている場合、VMwareTools をインストールします。


sudo yum -y --disablerepo=\* --enablerepo=media install open-vm-tools


インストーラをアンマウントし、DVD ドライブから取り外します。


sudo umount /mnt


NTP を設定します。


cat << 'EOF' | sudo tee /etc/chrony.conf
server 10.0.77.54 iburst
# server ***.***.***.*** iburst
# server ***.***.***.*** iburst
# server ***.***.***.*** iburst
EOF
sudo sed -i -e '/^#/d' /etc/chrony.conf

cat << 'EOF' | sudo tee -a /etc/chrony.conf

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).

# Ignore stratum in source selection.
stratumweight 0

# Record the rate at which the system clock gains/losses time.
driftfile /var/lib/chrony/drift

# Enable kernel RTC synchronization.
rtcsync

# In first three updates step the system clock instead of slew
# if the adjustment is larger than 10 seconds.
makestep 10 3

# Allow NTP client access from local network.
#allow 192.168/16

# Listen for commands only on localhost.
bindcmdaddress 127.0.0.1
#bindcmdaddress ::1

# Serve time even if not synchronized to any NTP server.
#local stratum 10

keyfile /etc/chrony.keys

# Specify the key used as password for chronyc.
commandkey 1

# Generate command key if missing.
generatecommandkey

# Disable logging of client accesses.
noclientlog

# Send a message to syslog if a clock adjustment is larger than 0.5 seconds.
logchange 0.5

logdir /var/log/chrony
#log measurements statistics tracking
EOF

cat << 'EOF' | sudo tee /etc/sysconfig/chronyd
OPTIONS="-4"
EOF


不要なサービスを無効化します。


sudo systemctl disable firewalld.service
sudo systemctl disable postfix.service


※ 仮想環境の場合は、「smartd.service」も無効化します。RAID コントローラが対応していない場合も無効化します。

※ 今回は、ファイアウォール設定を行わないこととします。

設定ファイルをバックアップします。


sudo cp -a /etc{,~}


※ 設定ファイルを書き換える前にバックアップを取得する運用にしていることが多いと思われますが、どこに残すかが問題となります。同じディレクトリに残す場合には、バックアップファイル名の末尾に「~」を付けておくと、RedHat 系、Debian 系ではたいていのアプリケーションが無視してくれるはずなのですが、いつでも完全に保証されているかどうかとなると、多少の不安が残ります。どのような場合でも確実にバックアップを残したい場合には、完全に別のディレクトリに保存するべきです。「/etc~/」ディレクトリを見にいくアプリケーションは存在しないので、ここなら安心です。

再起動します。


sudo reboot


管理者用一般ユーザにて、ssh でログインし、設定の変更結果を確認します。


cat /proc/cmdline
systemctl is-enabled kdump.service
sudo kdumpctl status
grep -v ^# /etc/sysconfig/selinux
getenforce
ip addr show
cat /proc/net/bonding/bond0
cat /proc/net/bonding/bond1
ip route show
cat /etc/resolv.conf
hostnamectl status
ethtool -k eth0
ethtool -k eth1
ethtool -k eth2
ethtool -k eth3
ethtool -g eth0
ethtool -g eth1
ethtool -g eth2
ethtool -g eth3
systemctl status chronyd.service -l
chronyc sources
systemctl list-unit-files | grep enabled | LANG=C sort




0 件のコメント:

コメントを投稿