CentOS の編集 - あべたけの覚え書き

''目次''
#contents
~
----

*時刻の同期 [#ld716f12]
下記のコマンドでOS時刻をntpサーバに同期できる。~
 [root@XXXXX ~]# ntpdate ntp.nict.jp
''ntp.nict.jp''は日本標準時を供給している[[独立行政法人情報通信研究機構(NICT)>http://www.nict.go.jp/]]の公開NTPサーバ。~
**定期的に時刻を同期 [#sd5bdf44]
''ntpdate''コマンドで時刻同期させても、その後時間の経過とともにOS時刻にズレが生じるので、''cron''で定期的に時刻同期を行い、正確さを保つようにする。cronとは、決められた時刻にコマンドを定期的に実行させるためのデーモンプロセス。~
~
まずは、cronが動作しているかどうか確認。~
 [root@XXXXX ~]# /etc/rc.d/init.d/crond status
 crond (pid ****) is running...　　←動作中

動作していない場合は起動する。
 [root@XXXXX ~]# /etc/rc.d/init.d/crond start
 Starting crond:     [ OK ]

cronの設定を行う。
 [root@XXXXX ~]# crontab -e
初期状態では何も設定されていない（空欄）ので設定を追加する。
 （例）毎日AM6時に時刻同期を行う場合
 0 6 * * * ntpdate ntp.nict.jp
 
 （※cronの設定については詳しく説明されたサイトが他にあるので割愛）
設定を終了すると、
 crontab: installing new crontab
とコンソールに表示される。
 
（cronの参考にしたサイト　→　[[Linuxで自宅サーバ構築&#187;Linux&#187;cronの設定・実行>http://linuxserver.jp/linux/cron%E8%A8%AD%E5%AE%9A.php]]）

~
*コマンド実行結果のログを残す [#b5668b38]
コマンド実行時、画面にコマンド実行結果が表示されるが量が多くて表示しきれない場合がある。~
例えば make コマンドは、エラーが起こっても途中で終了せず、以降の処理を続けることがあるが、どこで失敗したのか画面上で確認したくても、~
画面上からスクロールしてしまっており確認できないことが多い。だからといって、出力をファイルにリダイレクトしてしまうと、画面上で処理過程を見ることができなくなってしまう。~
~
以上のように出力内容を後から見返したい場合もあるのでコマンド実行結果をログとして残す場合は tee コマンドを使用して下記のようにすることで、画面とファイルの両方に出力される。~
 (例) opensslのconfig時のログをソースフォルダに20130207_config.logとして残す場合
 
 [root@XXXXX ~]# cd /usr/local/src/openssl-1.0.1d
 [root@XXXXX openssl-1.0.1d]# ./config --prefix=/usr --openssldir=/etc/pki/tls shared | tee 20130207_config.log
tee コマンドの後ろには複数のファイル名を記述する事もできる。また、-a オプションを付けると同名ファイルがある場合には上書きせずに追記することができる。
~
*フロッピーのマウント [#g375d5fb]
参考サイト：[[Linux/CentOS ネットワーク実験室>http://centos.it-cafe.jp/]]-第9話/ファイルシステムの管理
+''カーネルモジュールのロード''~
最近のバージョンの OS では、フロッピーのカーネルモジュール（デバイスドライバ）がロードされていない場合があるので、次のコマンドでロードする。~
 # modprobe floppy
~
+''マウントポイントのフォルダを作成''
 # mkdir /mnt/floppy
~
+''/etc/fstabを編集する''
 # vi /etc/fstab
 /dev/fd0                /mnt/floppy             vfat    noauto          0 0    ←　この1行を追加
~
+''root以外でもmountできるようにする''
 # visudo
 ～（略）～
 ## Allow root to run any commands anyware
 root     ALL=(ALL)       ALL
 hoge  ALL=(ALL)       ALL        ← この1行を追加
~
+''使い方''
-最近のバージョンの OS では、フロッピーのカーネルモジュール（デバイスドライバ）がロードされていない場合があるので、次のコマンドでロードする。 
 # modprobe floppy
-マウント
 # mount /mnt/floppy
root以外では
 $ sudo mount /mnt/floppy

-マウント解除
 # umount /mnt/floppy
~
*NASドライブのマウント [#vf55d4e4]
NASには共有フォルダとユーザー、パスワードを設定しておく~
今回は
 共有フォルダ名：backup
 ユーザー名：hoge
 パスワード：hogehoge
+''マウントポイントのフォルダを作成''
 #mkdir /mnt/backup
+''/etc/fstabを編集する''
 #vi /etc/fstab
最後の行に下記を追加
 //100.100.100.100/backup  /mnt/backup             cifs    rw,user=hoge,password=hogehoge 0 0
+''使い方''
 #mount /mnt/backup
*バックアップの実行 [#edadb4fd]
**スクリプトの例 [#tbc590e5]
どこかのサイトからそのまま拝借して修正~
-バックアップする環境
 tracとsubversionで1プロジェクトを構成
 ~/proj01ディレクトリにtracとsvnのディレクトリがある
 tracのDBにはPostgreSQLを使用
 subversionはfsで運用（BerkeleyDBは使っていない
 バックアップ先にはNASを利用
~
出来上がったスクリプト「backup.sh」には実行権限が必要
 #chmod 755 /path/backup.sh
~
ただし、作成したスクリプトを実行すると、下記エラーがログに出力された。
 sudo: sorry, you must have a tty to run sudo
なので''sudo''の設定を修正。
 #visudo
 #Defaults    requiretty   ←この行をコメントアウト
~
以下スクリプトサンプル
 #!/bin/bash
 
 #
 # ローカル内でバックアップ
 #
 
 LANG=C
 
 #
 # 設定開始
 #
 
 # バックアップ先ディレクトリ名
 BACKUPDIR=/mnt/backup
 
 # バックアップ保存世代数
 # ※当日分を含めた過去分バックアップを保存する世代数
 # ※過去分バックアップを保存しない場合は1を指定する
 BACKUPGEN=3
 
 # バックアップログファイル名
 BACKUPLOG=$BACKUPDIR/backup.log
 
 #PostgreSQL
 PGPATH=/usr/local/pgsql/bin
 
 #
 # 設定終了
 #
 
 cd $BACKUPDIR
 
 #==========================================================================
 # 前回バックアップをリネーム
 #==========================================================================
 
 #Log
 BACKUPFILE=`ls backup.log 2>/dev/null`
 if [ -f $BACKUPFILE ]; then
    TIMESTAMP=`ls --full-time $BACKUPFILE|awk '{print $6}'|tr -d -`
    mv $BACKUPDIR/$BACKUPFILE $BACKUPDIR/${TIMESTAMP}$BACKUPFILE > /dev/null  2>&1
 fi
 
 #/////////////////////////////////////////////////////////
 #//
 #//  Sample Proj01
 #//
 
 for j in 1 2 3
 do
 
   case $j in
     '1') PROJ_NAME=Sample-proj01 ;;
     '2') PROJ_NAME=Sample-proj02 ;;
     '3') PROJ_NAME=Sample-proj03 ;;
   esac
 
   for i in 1 2 3
   do
 
     case $i in
       '1') BACKUPFILE=`ls ${PROJ_NAME}_pgdump.backup.gz 2>/dev/null` ;;
       '2') BACKUPFILE=`ls ${PROJ_NAME}_trac.tar.gz 2>/dev/null` ;;
       '3') BACKUPFILE=`ls ${PROJ_NAME}_svn.tar.gz 2>/dev/null` ;;
     esac
 
     if [ -f $BACKUPFILE ]; then
         TIMESTAMP=`ls --full-time $BACKUPFILE|awk '{print $6}'|tr -d -`
        mv $BACKUPDIR/$BACKUPFILE $BACKUPDIR/${TIMESTAMP}$BACKUPFILE >  /dev/null 2>&1
     fi
 
   done
 
 done
 
 #//
 #//
 #///////////////////////////////////////////////////////////
 
 #==========================================================================
 # バックアップログファイル作成
 #==========================================================================
 rm -f $BACKUPLOG
 touch $BACKUPLOG
 chmod 400 $BACKUPLOG
 
 #==========================================================================
 # バックアップ実行
 #==========================================================================
 
 #/////////////////////////////////////////////////////////
 #//
 #//  Sample Proj
 #//
 
 for j in 1 2 3
 do 
 
   case $j in
     '1') PROJ_NAME=Sample-proj01
          PROJ_PATH=/home/htdocs/Sample/proj01 ;;
     '2') PROJ_NAME=Sample-proj02
          PROJ_PATH=/home/htdocs/Sample/proj02 ;;
     '3') PROJ_NAME=Sample-proj03
          PROJ_PATH=/home/htdocs/Sample/proj03 ;;
   esac
 
   # tracのDBバックアップ
   echo "`date` backup start [DB:trac_${PROJ_NAME}]" >> $BACKUPLOG
   sudo -u postgres $PGPATH/vacuumdb trac_${PROJ_NAME} >> $BACKUPLOG 2>&1
   sudo -u postgres $PGPATH/pg_dump --file=${PROJ_NAME}_pgdump.backup trac_${PROJ_NAME} >> $BACKUPLOG 2>&1
   gzip ${PROJ_NAME}_pgdump.backup >> $BACKUPLOG 2>&1
   echo "`date` backup end   [DB:trac_${PROJ_NAME}]" >> $BACKUPLOG
 
   for i in trac svn
   do
  
     echo "`date` backup start [${PROJ_NAME} ${i}]" >> $BACKUPLOG
     tar czvfP $BACKUPDIR/${PROJ_NAME}_${i}.tar.gz $PROJ_PATH/${i} >> $BACKUPLOG  2>&1
     echo "`date` backup end   [${PROJ_NAME} ${i}]" >> $BACKUPLOG
 
   done
 
 done
 
 #//
 #//
 #///////////////////////////////////////////////////////////
 
 #==========================================================================
 # バックアップ保存世代を超えた古いバックアップを削除
 #==========================================================================
 
 #Log
 BACKUPFILE=$BACKUPDIR/*backup.log
 if [ $(ls $BACKUPFILE|wc -l) -gt $BACKUPGEN ]; then
     OLDBACKUPCNT=`expr $(ls $BACKUPFILE|wc -l) - $BACKUPGEN`
     for file in `ls -t $BACKUPFILE|tail -n $OLDBACKUPCNT`
     do
         rm -f $file
     done
 fi
 
 #/////////////////////////////////////////////////////////
 #//
 #//  Sample Proj
 #//
 
 for j in 1 2 3
 do 
 
   case $j in
     '1') PROJ_NAME=Sample-proj01 ;;
     '2') PROJ_NAME=Sample-proj02 ;;
     '3') PROJ_NAME=Sample-proj03 ;;
   esac
 
   for i in 1 2 3
   do
 
     case $i in
       '1') BACKUPFILE=$BACKUPDIR/*${PROJ_NAME}_pgdump.backup.gz ;;
       '2') BACKUPFILE=$BACKUPDIR/*${PROJ_NAME}_trac.tar.gz ;;
       '3') BACKUPFILE=$BACKUPDIR/*${PROJ_NAME}_svn.tar.gz ;;
     esac
 
     if [ $(ls $BACKUPFILE|wc -l) -gt $BACKUPGEN ]; then
         OLDBACKUPCNT=`expr $(ls $BACKUPFILE|wc -l) - $BACKUPGEN`
         for file in `ls -t $BACKUPFILE|tail -n $OLDBACKUPCNT`
         do
             rm -f $file
         done
     fi
 
   done
 
 done
 
 #//
 #//
 #///////////////////////////////////////////////////////////
**cronでの自動実行 [#z73e242e]
参考サイト：[[NEC 8番街 - croの設定ガイド:http://www.express.nec.co.jp/linux/distributions/knowledge/system/crond.html]]
 #crontab -e
~
毎日1時に実行
 0 1 * * * /path/backup.sh
日時指定の書式は左から「分、時、日、月、曜日」それにコマンドが続く
上記の例では「1時0分」それ以外が「*」なので毎日実行される。~
これが例えば
 0 1 1 * * /path/backup.sh
だったら毎月1日の1時0分に実行される
~
*htpasswdへのユーザー登録 [#l978336f]
ユーザーhogehogeで新規に認証用ファイル.htpasswdを作成
 # htpasswd -c /home/htdocs/.htpasswd hogehoge
~
ユーザーhogehoge2を既存の認証用ファイル.htpasswdに追加
 # htpasswd /home/htdocs/.htpasswd hogehoge2
~
「command not found」が出たら
 # PATH=$PATH:/usr/local/apache2/bin
 # export PATH
~
*ファイアウォールの設定 [#wda4f7fd]
参考サイト：[[CentOSで自宅サーバー構築 ファイアウォール構築(iptables)>http://centossrv.com/iptables.shtml]]
**iptables設定 [#qc0eb70b]
+''iptablesの設定用スクリプトを作成''
 # vi iptables.sh
~
下記の通り記述~
公開するポートのみコメントを外す
 #!/bin/bash
 
 #---------------------------------------#
 # 設定開始                              #
 #---------------------------------------#
 
 # インタフェース名定義
 LAN=eth0
 
 #---------------------------------------#
 # 設定終了                              #
 #---------------------------------------#
 
 # 内部ネットワークのネットマスク取得
 LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:$[^ ]*$$/\1/p' -e d`
 
 # 内部ネットワークアドレス取得
 LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
 LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK
 
 # ファイアウォール停止(すべてのルールをクリア)
 /etc/rc.d/init.d/iptables stop
 
 # デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
 iptables -P INPUT   DROP   # 受信はすべて破棄
 iptables -P OUTPUT  ACCEPT # 送信はすべて許可
 iptables -P FORWARD DROP   # 通過はすべて破棄
 
 # 自ホストからのアクセスをすべて許可
 iptables -A INPUT -i lo -j ACCEPT
 
 # 内部からのアクセスをすべて許可
 iptables -A INPUT -s $LOCALNET -j ACCEPT
 
 # 内部から行ったアクセスに対する外部からの返答アクセスを許可
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 # SYN Cookiesを有効にする
 # ※TCP SYN Flood攻撃対策
 sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
 sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
 echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf
 
 # ブロードキャストアドレス宛pingには応答しない
 # ※Smurf攻撃対策
 sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
 sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
 echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf
 
 # ICMP Redirectパケットは拒否
 sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
 for dev in `ls /proc/sys/net/ipv4/conf/`
 do
     sysctl -w net.ipv4.conf.$dev.accept_redirects=0 > /dev/null
     echo "net.ipv4.conf.$dev.accept_redirects=0" >> /etc/sysctl.conf
 done
 
 # Source Routedパケットは拒否
 sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
 for dev in `ls /proc/sys/net/ipv4/conf/`
 do
     sysctl -w net.ipv4.conf.$dev.accept_source_route=0 > /dev/null
     echo "net.ipv4.conf.$dev.accept_source_route=0" >> /etc/sysctl.conf
 done
 
 # フラグメント化されたパケットはログを記録して破棄
 iptables -A INPUT -f -j LOG --log-prefix '[IPTABLES FRAGMENT] : '
 iptables -A INPUT -f -j DROP
 
 # 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
 # ※不要ログ記録防止
 iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
 iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
 iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
 iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP
 
 # 1秒間に4回を超えるpingはログを記録して破棄
 # ※Ping of Death攻撃対策
 iptables -N LOG_PINGDEATH
 iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
 iptables -A LOG_PINGDEATH -j LOG --log-prefix '[IPTABLES PINGDEATH] : '
 iptables -A LOG_PINGDEATH -j DROP
 iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
 
 # 全ホスト(ブロードキャストアドレス、マルチキャストアドレス)宛パケットはログを記録せずに破棄
 # ※不要ログ記録防止
 iptables -A INPUT -d 255.255.255.255 -j DROP
 iptables -A INPUT -d 224.0.0.1 -j DROP
 
 # 113番ポート(IDENT)へのアクセスには拒否応答
 # ※メールサーバ等のレスポンス低下防止
 iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset
 
 # ACCEPT_COUNTRY_MAKE関数定義
 # 指定された国のIPアドレスからのアクセスを許可するユーザ定義チェイン作成
 ACCEPT_COUNTRY_MAKE(){
     for addr in `cat /tmp/cidr.txt|grep ^$1|awk '{print $2}'`
     do
         iptables -A ACCEPT_COUNTRY -s $addr -j ACCEPT
     done
 }
 
 # DROP_COUNTRY_MAKE関数定義
 # 指定された国のIPアドレスからのアクセスを破棄するユーザ定義チェイン作成
 DROP_COUNTRY_MAKE(){
     for addr in `cat /tmp/cidr.txt|grep ^$1|awk '{print $2}'`
     do
         iptables -A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
         iptables -A DROP_COUNTRY -s $addr -j DROP
     done
 }
 
 # IPアドレスリスト取得
 . /root/iptables_functions
 IPLISTGET
 
 # 日本からのアクセスを許可するユーザ定義チェインACCEPT_COUNTRY作成
 iptables -N ACCEPT_COUNTRY
 ACCEPT_COUNTRY_MAKE JP
 # 以降,日本からのみアクセスを許可したい場合はACCEPTのかわりにACCEPT_COUNTRYを指定する
 
 # 中国・韓国・台湾※からのアクセスをログを記録して破棄
 # ※全国警察施設への攻撃元上位３カ国(日本・アメリカを除く)
 # http://www.cyberpolice.go.jp/detect/observation.htmlより
 iptables -N DROP_COUNTRY
 DROP_COUNTRY_MAKE CN
 DROP_COUNTRY_MAKE KR
 DROP_COUNTRY_MAKE TW
 iptables -A INPUT -j DROP_COUNTRY
 
 #----------------------------------------------------------#
 # 各種サービスを公開する場合の設定(ここから)               #
 #----------------------------------------------------------#
 
 # 外部からのTCP22番ポート(SSH)へのアクセスを日本からのみ許可
 # ※SSHサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY
 
 # 外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可
 # ※外部向けDNSサーバーを運用する場合のみ
 #iptables -A INPUT -p tcp --dport 53 -j ACCEPT
 #iptables -A INPUT -p udp --dport 53 -j ACCEPT
 
 # 外部からのTCP80番ポート(HTTP)へのアクセスを許可
 # ※Webサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 
 # 外部からのTCP443番ポート(HTTPS)へのアクセスを許可
 # ※Webサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 443 -j ACCEPT
 
 # 外部からのTCP21番ポート(FTP)へのアクセスを日本からのみ許可
 # ※FTPサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 21 -j ACCEPT_COUNTRY
 
 # 外部からのPASV用ポート(FTP-DATA)へのアクセスを日本からのみ許可
 # ※FTPサーバーを公開する場合のみ
 # ※PASV用ポート60000:60030は当サイトの設定例
 #iptables -A INPUT -p tcp --dport 60000:60030 -j ACCEPT_COUNTRY
 
 # 外部からのTCP25番ポート(SMTP)へのアクセスを許可
 # ※SMTPサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 25 -j ACCEPT
 
 # 外部からのTCP465番ポート(SMTPS)へのアクセスを日本からのみ許可
 # ※SMTPSサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 465 -j ACCEPT_COUNTRY
 
 # 外部からのTCP110番ポート(POP3)へのアクセスを日本からのみ許可
 # ※POP3サーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 110 -j ACCEPT_COUNTRY
 
 # 外部からのTCP995番ポート(POP3S)へのアクセスを日本からのみ許可
 # ※POP3Sサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 995 -j ACCEPT_COUNTRY
 
 # 外部からのTCP143番ポート(IMAP)へのアクセスを日本からのみ許可
 # ※IMAPサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 143 -j ACCEPT_COUNTRY
 
 # 外部からのTCP993番ポート(IMAPS)へのアクセスを日本からのみ許可
 # ※IMAPSサーバーを公開する場合のみ
 #iptables -A INPUT -p tcp --dport 993 -j ACCEPT_COUNTRY
 
 # 外部からのUDP1194番ポート(OpenVPN)へのアクセスを日本からのみ許可
 # ※OpenVPNサーバーを公開する場合のみ
 #iptables -A INPUT -p udp --dport 1194 -j ACCEPT_COUNTRY
 
 # VPNインタフェース用ファイアウォール設定
 # ※OpenVPNサーバーを公開する場合のみ
 #[ -f /etc/openvpn/openvpn-startup ] && /etc/openvpn/openvpn-startup
 
 #----------------------------------------------------------#
 # 各種サービスを公開する場合の設定(ここまで)               #
 #----------------------------------------------------------#
 
 # 拒否IPアドレスからのアクセスはログを記録せずに破棄
 # ※拒否IPアドレスは/root/deny_ipに1行ごとに記述しておくこと
 # (/root/deny_ipがなければなにもしない)
 if [ -s /root/deny_ip ]; then
     for ip in `cat /root/deny_ip`
     do
         iptables -I INPUT -s $ip -j DROP
     done
 fi
 
 # 上記のルールにマッチしなかったアクセスはログを記録して破棄
 iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES INPUT] : '
 iptables -A INPUT -j DROP
 iptables -A FORWARD -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES FORWARD] : '
 iptables -A FORWARD -j DROP
 
 # サーバー再起動時にも上記設定が有効となるようにルールを保存
 /etc/rc.d/init.d/iptables save
 
 # ファイアウォール起動
 /etc/rc.d/init.d/iptables start
~
+''設定用スクリプトに実行権限を付加''
 # chmod 700 iptables.sh
~
+''設定スクリプト外部関数作成''
 # vi iptables_functions
~
下記の通り記述
 # IPアドレスリスト取得関数定義
 IPLISTGET(){
     # http://nami.jp/ipv4bycc/から最新版IPアドレスリストを取得する
     wget -q http://nami.jp/ipv4bycc/cidr.txt.gz
     gunzip cidr.txt.gz
     # 最新版IPアドレスリストが取得できなかった場合
     if [ ! -f cidr.txt ]; then
         if [ -f /tmp/cidr.txt ]; then
             # バックアップがある場合はその旨をroot宛にメール通知して処理を打ち切る
             echo cidr.txt was read from the backup! | mail -s $0 root
             exit 1
         else
             # バックアップがない場合はその旨をroot宛にメール通知して処理を打ち切る
             echo cidr.txt not found!|mail -s $0 root
             exit 1
         fi
     fi
     # 最新版IPアドレスリストを /tmpへバックアップする
     /bin/mv cidr.txt /tmp/cidr.txt
 }
~
**IPアドレスリスト更新チェック [#e11867bb]
IPアドレスリストは頻繁に更新されるので、毎日自動でIPアドレスリストの更新有無をチェックし、更新がある場合はファイアウォール設定スクリプトを再起動するようにする。
+''IPアドレスリストチェックスクリプト作成''
 # vi /etc/cron.daily/iplist_check.sh
~
下記の通り記述
 #!/bin/bash
 
 PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
 
 # チェック国コード
 COUNTRY_CODE='JP CN KR TW'
 
 # iptables設定スクリプトパス
 IPTABLES=/root/iptables.sh
 
 # iptables設定スクリプト外部関数取り込み
 . /root/iptables_functions
 
 # IPアドレスリスト最新化
 rm -f IPLIST.new
 IPLISTGET
 for country in $COUNTRY_CODE
 do
     if [ -f /tmp/cidr.txt ]; then
         grep ^$country /tmp/cidr.txt >> IPLIST.new
     else
         grep ^$country /tmp/IPLIST >> IPLIST.new
     fi
 done
 
 # IPアドレスリスト更新チェック
 diff -q /tmp/IPLIST IPLIST.new > /dev/null 2>&1
 if [ $? -ne 0 ]; then
     /bin/mv IPLIST.new /tmp/IPLIST
     $IPTABLES > /dev/null
 else
     rm -f IPLIST.new
 fi
~
+''スクリプトに実行権限を付加''
 # chmod +x /etc/cron.daily/iplist_check.sh
~
**iptables起動 [#oe124956]
+''設定スクリプト実行''
 # ./iptables.sh
 ファイアウォールルールを適用中:                            [  OK  ]
 チェインポリシーを ACCEPT に設定中filter                   [  OK  ]
 iptables モジュールを取り外し中                            [  OK  ]
 ファイアウォールのルールを /etc/sysconfig/iptables に保存中[  OK  ]
 ファイアウォールルールを適用中:                            [  OK  ]
 チェインポリシーを ACCEPT に設定中filter                   [  OK  ]
 iptables モジュールを取り外し中                            [  OK  ]
 iptables ファイアウォールルールを適用中:                   [  OK  ]
 iptables モジュールを読み込み中ip_conntrack_netbios_ns     [  OK  ]
+''iptables自動起動設定''
 # chkconfig iptables on
~
*ログローテーション [#ued603c7]
-''/etc/logrotate.conf'' の内容
 # see "man logrotate" for details
 # rotate log files weekly
 weekly
 ↑毎週ログを置き換える。毎日はdaily、毎月はmonthly
 
 # keep 4 weeks worth of backlogs
 rotate 4
 ↑※ログを4世代分残す。weeky を指定した場合は4週間という意味
 
 # create new (empty) log files after rotating old ones
 create
 ↑※新規ログファイルをローテーションした直後に作成する
 
 # use date as a suffix of the rotated file
 dateext
 
 # uncomment this if you want your log files compressed
 #compress
 ↑※圧縮する。デフォルトは圧縮''しない''（コメントアウト）
 
 # RPM packages drop log rotation information into this directory
 include /etc/logrotate.d
 ↑※各ログファイルの設定がおかれているパスを指定。
 　　このディレクトリに自身で作成したconfを入れておけば良い
 
 # no packages own wtmp and btmp -- we'll rotate them here
 /var/log/wtmp {
     monthly
     create 0664 root utmp
         minsize 1M
     rotate 1
 }
 
 /var/log/btmp {
     missingok
     monthly
     create 0600 root utmp
     rotate 1
 }
 
 # system-specific logs may be also be configured here.
~
**設定値 [#ee9ba0f2]
-daily or weekly or monthly~
ログのローテーション間隔~
~
-missingok~
ログファイルがない場合でもエラーにしない~
~
-rotate n~
n回ローテーションする~
~
-compress~
ローテーションされたログを圧縮~
~
-delaycompress~
次回のログローテーションサイクルになるまで圧縮しない~
~
-notifempty~
ログファイルが空ならローテートしない~
~
-create 0644 user group~
ログファイルのパーミッションと所有ユーザの設定~
~
-copytruncate~
通常、ローテートするときは、既存のログを移動させた後に新しいログファイルを作る。copytruncateを指定した場合は動作が変わり、ログのコピーした後に、既存のログのサイズを0にする動作になる。ログファイルを閉じないプログラム(rails含む)は、この指定をしないとずっと同じログファイルに書き込みが行われてしまう。コピーしてサイズを0にする少しの間だけログがlostされる。この指定をするとcreateが無効になる(新しいファイルを作らないので)~
~
-dateext~
ログファイル末尾につく数値の代わりに日付(YYYYMMDD)がつく~
~
**apache用のログローテーション設定 [#t1c9bfe3]
+''設定ファイルの作成''
 # vi /etc/logrotate.d/httpd
 
 /usr/local/apache2/logs/access_log /usr/local/apache2/logs/error_log {
       weekly
       rotate 4
       missingok
       sharedscripts
       postrotate
            /bin/killall -HUP `cat /var/run/httpd.pid 2>/dev/null` 2> /dev/null
       endscript
 }
~
+''確認''~
ログのローテートを実行し、/var/lib/logrotate.log を見て、ローテートが実行されたかどうか確認する。~
 # /usr/sbin/logrotate /etc/logrotate.conf     　← ローテート実行
 # cat /var/lib/logrotate.status
 "/usr/local/apache2/logs/access_log" 2011-12-1　← 設定したログが表示される
 "/usr/local/apache2/logs/error_log" 2011-12-1　 ← 設定したログが表示される
~
**Redmine用のログローテーション設定 [#t1c9bfe3]
+''設定ファイルの作成''
 # vi /etc/logrotate.d/redmine
 
 /home/htdocs/redmine/log/production.log {
       weekly
       rotate 4
       missingok
       copytruncate
       notifempty
 }
~
+''確認''~
ログのローテートを実行し、/var/lib/logrotate.log を見て、ローテートが実行されたかどうか確認する。~
 # /usr/sbin/logrotate /etc/logrotate.conf     　← ローテート実行
 # cat /var/lib/logrotate.status
 "/home/htdocs/redmine/log/production.log" 2011-12-1　← 設定したログが表示される
~
*ランレベル [#g934a7ae]
参考：[[ランレベルとは？（http://www.atmarkit.co.jp）>http://www.atmarkit.co.jp/flinux/rensai/linuxtips/156whatrunlv.html]]
| 0 |シャットダウン（システムの停止）|シャットダウンに向かう状態|
| 1 |シングルユーザーモード（rootのみ） |シングルユーザモード|
| 2 |ネットワークなしのマルチユーザーモード |使用されない|
| 3 |通常のマルチユーザーモード（テキストログイン） |標準的な状態|
| 4 | 未使用 |使用されない|
| 5 | グラフィカルログインによるマルチユーザーモード |GUIでログインする状態|
| 6 | システムの再起動 |再起動に向かう状態|
~
httpd の自動起動を on にする場合
 # chkconfig httpd on
~
httpd の自動起動を ランレベル3と5のみ on にする場合
 chkconfig --level 35 httpd on
~
現在のランレベルを調べる場合
 # runlevel
 N 3                    ←ひとつ前のランレベルは存在せず、現在のランレベルは3。
~
*バージョン確認 [#m502e11f]
**OS [#scb8de06]
 # cat /etc/issue
 CentOS release 6.5 (Final)
 Kernel \r on an \m
**カーネル [#yd9ec247]
 # uname -a
 Linux hogehoge 2.6.32-431.5.1.el6.i686 #1 SMP Tue Feb 11 21:56:33 UTC 2014 i686 i686 i386 GNU/Linux
**Apache [#b196ccbc]
 # httpd -v
 Server version: Apache/2.2.26 (Unix)
 Server built:   Mar  7 2014 17:07:03
または、
 # httpd -V
 Server version: Apache/2.2.26 (Unix)
 Server built:   Mar  7 2014 17:07:03
 Server's Module Magic Number: 20051115:33
 Server loaded:  APR 1.5.0, APR-Util 1.5.3
 Compiled using: APR 1.5.0, APR-Util 1.5.3
 Architecture:   32-bit
 Server MPM:     Prefork
   threaded:     no
     forked:     yes (variable process count)
 Server compiled with....
  -D APACHE_MPM_DIR="server/mpm/prefork"
  -D APR_HAS_SENDFILE
  -D APR_HAS_MMAP
  -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
  -D APR_USE_SYSVSEM_SERIALIZE
  -D APR_USE_PTHREAD_SERIALIZE
  -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
  -D APR_HAS_OTHER_CHILD
  -D AP_HAVE_RELIABLE_PIPED_LOGS
  -D DYNAMIC_MODULE_LIMIT=128
  -D HTTPD_ROOT="/etc/httpd"
  -D SUEXEC_BIN="/usr/sbin/suexec"
  -D DEFAULT_PIDLOG="logs/httpd.pid"
  -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
  -D DEFAULT_LOCKFILE="logs/accept.lock"
  -D DEFAULT_ERRORLOG="logs/error_log"
  -D AP_TYPES_CONFIG_FILE="conf/mime.types"
  -D SERVER_CONFIG_FILE="conf/httpd.conf"
**OpenSSH [#p4c2c7c7]
 # ssh -V
 OpenSSH_6.5p1, OpenSSL 1.0.1e-fips 11 Feb 2013
**Postfix [#y29a1188]
 # postconf | grep mail_version
 mail_version = 2.6.6
 milter_macro_v = $mail_name $mail_version
**OpenSSL [#ha17286b]
 # openssl version
 OpenSSL 1.0.1e-fips 11 Feb 2013
**Ruby [#x24fc118]
 # ruby -v
 ruby 2.0.0p451 (2014-02-24 revision 45167) [i686-linux]
**Subversion [#d961e7d8]
 # svn --version
 svn, version 1.8.8 (r1568071)
    compiled Feb 17 2014, 18:18:15 on i686-pc-linux-gnu
 
 Copyright (C) 2013 The Apache Software Foundation.
 This software consists of contributions made by many people;
 see the NOTICE file for more information.
 Subversion is open source software, see http://subversion.apache.org/
 
 以下のリポジトリアクセス (RA) モジュールが利用できます:
 
 * ra_svn : svn ネットワークプロトコルを使ってリポジトリにアクセスするモジュール。
   - Cyrus SASL 認証を併用
   - 'svn' スキームを操作します
 * ra_local : ローカルディスク上のリポジトリにアクセスするモジュール。
   - 'file' スキームを操作します
 * ra_serf : Module for accessing a repository via WebDAV protocol using serf.
   - using serf 1.3.4
   - 'http' スキームを操作します
   - 'https' スキームを操作します
**PostgreSQL [#m3ee8d8c]
 # yum list installed | grep postgres
 postgresql93.i686       9.3.3-1PGDG.rhel6 @pgdg93
 postgresql93-devel.i686 9.3.3-1PGDG.rhel6 @pgdg93
 postgresql93-libs.i686  9.3.3-1PGDG.rhel6 @pgdg93
 postgresql93-server.i686
または、
 # psql -U postgres
 postgres=# select version();
                                                 version
 -------------------------------------------------------------------------------------------------------
  PostgreSQL 9.3.3 on i686-pc-linux-gnu, compiled by gcc (GCC) 4.4.7 20120313 (Red Hat 4.4.7-4), 32-bit
 (1 行)
 postgres=# \quit 
**yumでの確認 [#p55a370a]
 # yum list installed
または、
 # yum list installed | grep XXXX
XXXXは調べたいもの。例えばzlibなら、
 # yum list installed | grep zlib
 zlib.i686               1.2.3-29.el6      @anaconda-CentOS-201311271240.i386/6.5
 zlib-devel.i686         1.2.3-29.el6      @base
~
 # yum list installed
とした時に表示されるリストに黄色と赤の色付きで表示されるものがある。
 # man yum.conf
を参照すると、黄色に関するものは 
 color_list_installed_newer  The colorization/highlighting for packages in list/info installed which are
 newer than the latest available package with the same name and  arch.  Default  is  ‘bold,yellow’.  See
 color_list_installed_older for possible values.
赤に関するものは
 color_list_installed_extra  The colorization/highlighting for packages in list/info installed which has
 no available package with the same name and arch. Default is ‘bold,red’. See color_list_installed_older
 for possible values.
と記載されている。yum.confはデフォルトのまま使用しているので、~
黄色は「yumが参照しているリポジトリの最新よりも新しいもの。」~
赤色は「yumが参照しているリポジトリには同じ名前の利用可能なものがない。」~
といったところかな？~
*容量を調べる [#m63f2220]
例えば/etc/httpdディレクトリの使用容量を調べる場合
 # du -h /etc/httpd
 76K     /etc/httpd/conf/extra
 60K     /etc/httpd/conf/original/extra
 84K     /etc/httpd/conf/original
 188K    /etc/httpd/conf/proj
 12K     /etc/httpd/conf/ssl
 472K    /etc/httpd/conf
 8.0K    /etc/httpd/conf.d
 484K    /etc/httpd                       ←/etc/httpd全体の使用容量

タイムスタンプを変更しない

''目次''
#contents
~
----

動作していない場合は起動する。
 [root@XXXXX ~]# /etc/rc.d/init.d/crond start
 Starting crond:     [ OK ]

テキスト整形のルールを表示する