オペレーティングシステムⅡ　2020年度前期(2年)

 今日、やったこと firewalldのテスト systemd 今日のホワイトボード LinuxマシンをWebサーバーにする ネットワークの設定等は実施済みの前提だと、やることは、 　/usr/sbin/httpd を起動するだけ。 しかしながら、人力で毎回/usr/sbin/httpdと入力するのはあほらしい。 できたら、 しかるべきタイミングで自動的に/usr/sbin/httpdを実行する 仕組みが欲しい。 図　LinuxマシンをWebサーバーにする 解決策は systemd 。 systemdとは 昔のLinuxにあった、initの生まれ変わり。 initもsystemdも OS起動時に各種プロセスを順に起動する 。 図　initとsystemdの違い ユニット (いまいちよくわからんが)systemdの管理対象(プロセスを立ち上げる)の最小単位。 図　ユニット systemdとsystemctlコマンド お互いの関係およびユニットの設定ファイルの関係は下図のとおり。 図　systemdとsystemctl、設定ファイルの関係 systemdでプロセス起動・停止・再起動 起動・停止したいプロセスのユニットから起動・停止ができる。 〇起動 　systemctl start ユニット名 〇停止 　systemctl stop ユニット名 〇再起動 　systemctl restart ユニット名 図　プロセス起動・停止 図　プロセス再起動（ユニットの状況確認) systemdでプロセスの確認 起動・停止したユニットの状態確認からプロセスの状態が確認できる。 〇ユニットの稼働状況確認 　systemctl status ユニット名 〇プロセスが起動中か確認 　systemctl is-active ユニット名 〇プロセスが自動起動するか確認 　systemctl is-enabled ユニット名 図　（ユニット再起動）、ユニットの状況確認 図　プロセスは稼働中？プロセスは自動起動する？ systemdでプロセスを自動起動 OS起動時にsystemdがプロセスを起動する、起動しないを設定できる。 〇自動起動する 　systemctl enable ユニット名 〇自動起動しない 　systemctl disable ユニット名 図　プロセスをOS起動時に起動す...

 今日、やったこと 一人でやってみよう「firewall編」の解説 今日のホワイトボード Linux上で稼働するfirewalldの操作・設定はfirewall-cmdコマンドを使います。 前回各自で確認してもらった”1人でやってみよう「firewalld編」”の解説を行いました。 その１　全ゾーンの確認および各ゾーンで許可されているサービス出力 図　ゾーンおよび許可サービス確認 その２　現在アクティブなゾーンの確認 図　アクティブなゾーン確認 その３　許可サービスをゾーンに(一時的に)追加、確認 まずは許可サービスの追加。 一時的に追加したいので、--permanentオプションはなし。 図　(一時的に)許可サービスを追加 図　許可サービスの確認 --permanentオプションのあり・なしでの設定ファイル、firewalldの動作が異なるため、まとめた。 その４　設定ファイル確認 2か所にある設定ファイル。それぞれの役割を把握すること。 図　2か所の設定ファイルの違い その５　設定ファイル再読み込み 以下を実行する。 　firewall-cmd --reload その６　許可サービスをゾーンに(恒久的に)追加、確認 恒久的に追加するには、設定ファイルを変更する必要あり。 よって、--permanentオプション付きでfirewall-cmdコマンドを実行する。 図　(恒久的に)許可サービスの追加 その７　設定ファイル確認 --permanentオプション付きで許可サービスを追加すると、設定ファイルが変更される。 ただし、/usr/lib/firewalld/zonesディレクトリ以下のファイルは変更されない。 /usr/lib/firewalld/zones以下のゾーン別設定ファイルから対象ゾーンの設定ファイルを/etc/firewalld/zones以下にコピーし、設定を行う。 その８　設定ファイル再読み込み 設定ファイルを再読み込みは以下を実行。 　firewall-cmd --reload 設定ファイルを再読み込み後、許可サービスの追加は反映される。 その９　ゾーン新規作成 以下の流れで行う。 図　ゾーン新規作成のながれ その１０　設定ファイルの確認 ゾーン「AllowOnlyHttp」のために新たに作成される設定ファイルは /etc/firewa...

 今日、やったこと ファイアウォール 今日のホワイトボード 結構、おさらいをしてしまった。 ファイアウォールとは 今更ですが、送受信するパケットをあらかじめ決められたルールに従って、通過・破棄等を行う。ルールに使う情報はパケット中のIPヘッダやTCP・UDPヘッダ内の情報。 図　ファイアウォールの動作 図　フィルタリングルール まずはネットワーク設定 コネクション新規作成を行い、Webサーバーを起動。 図　コネクション新規作成 図　Webサーバー起動、自マシンからアクセスして確認 Webサーバーへアクセスして確認 自分サーバーへのアクセスはOKだが、他人サーバーへのアクセスはNG。 ファイアウォールで破棄されているから。 図　他人マシンからのアクセスはNG=>F/Wで破棄されている ファイアウォールの確認、設定 firewall-cmdコマンドを使う。オプションが多いので注意。 図　firewall-cmdコマンド① 図　firewall-cmdコマンド② ゾーンの設定ファイル 2か所にある。それぞれ役割があるので注意！ 図　2か所に分かれるゾーン設定ファイル ゾーンの変更 インタフェース単位で設定できる。 図　ゾーンの変更 ゾーンの新規作成 ①ゾーン設定ファイルをつくって、②ゾーン設定ファイル編集　でOK。 図　①ゾーン設定ファイルを作成 図　②ゾーン設定ファイルを変更 次回は、「ファイアウォール、1人でやってみよう」の解説を行います。 テストは次々回予定です。

今日、やったこと 前回の「ネットワーク確認テスト」の解説 ファイアウォール 今日のホワイトボード ネットワーク確認テスト 前回やったネットワークの確認テストの解説を行った。 が、ポイントをまとめると以下のとおり。 ipコマンド、nmcliコマンドのちがい コマンド 設定すると 設定ファイル ipコマンド 即反映される 変更できない nmcliコマンド コネクション切断、接続が必要 変更できる nmcliコマンドでコネクション詳細確認 出力内容のうち、ipv4.**とIP4.**の違いは以下のとおり。 項目 意味 ipv4.** 設定ファイルでの設定値 IP4.** 現在の設定値 問１　IPアドレス、サブネットマスクの確認 図　ネットワーク確認テスト　解説　問１ 問２　ルーティングテーブル確認 問３　ARPテーブル確認 問４　デバイス一覧出力 問５　コネクション一覧出力 図　ネットワーク確認テスト　解説　問２ 問６　IPアドレス等　一時的に変更 一時的に変更＝設定ファイルは変更しない ※設定ファイルを変更すると再起動しても同じ設定で起動する。恒久的な変更になる。 IPアドレス等の設定ファイルを変更せずに、設定変更するにはipコマンドを使う。 図　ネットワーク確認テスト　解説　問２　ipコマンドとnmcliコマンド 図　ネットワーク確認テスト　解説　問２　設定変更 ipコマンドで設定変更後、nmcliコマンドでコネクション詳細を確認すると、以下のようになる。 図　ネットワーク確認テスト　解説　問２　コネクション詳細確認 なお、もし、恒久的に変更するならコネクションの変更になる。 　nmcli connection mod コネクション名　 　　ipv4.address 新IPアドレス  　　ipv4.gateway 新ゲートウェイ 問７　コネクシ...