8月3日(月)3、4コマ目

今日、やったこと

  • 前回の「ネットワーク確認テスト」の解説
  • ファイアウォール

今日のホワイトボード

ネットワーク確認テスト

前回やったネットワークの確認テストの解説を行った。
が、ポイントをまとめると以下のとおり。

ipコマンド、nmcliコマンドのちがい

コマンド 設定すると 設定ファイル
ipコマンド 即反映される 変更できない
nmcliコマンド コネクション切断、接続が必要 変更できる

nmcliコマンドでコネクション詳細確認

出力内容のうち、ipv4.**とIP4.**の違いは以下のとおり。
項目 意味
ipv4.** 設定ファイルでの設定値
IP4.** 現在の設定値


問1 IPアドレス、サブネットマスクの確認


図 ネットワーク確認テスト 解説 問1

問2 ルーティングテーブル確認
問3 ARPテーブル確認
問4 デバイス一覧出力
問5 コネクション一覧出力

図 ネットワーク確認テスト 解説 問2

問6 IPアドレス等 一時的に変更

一時的に変更=設定ファイルは変更しない
※設定ファイルを変更すると再起動しても同じ設定で起動する。恒久的な変更になる。
IPアドレス等の設定ファイルを変更せずに、設定変更するにはipコマンドを使う。
図 ネットワーク確認テスト 解説 問2 ipコマンドとnmcliコマンド

図 ネットワーク確認テスト 解説 問2 設定変更

ipコマンドで設定変更後、nmcliコマンドでコネクション詳細を確認すると、以下のようになる。
図 ネットワーク確認テスト 解説 問2 コネクション詳細確認

なお、もし、恒久的に変更するならコネクションの変更になる。
 nmcli connection mod コネクション名 
  ipv4.address 新IPアドレス 
  ipv4.gateway 新ゲートウェイ

問7 コネクション変更

デバイスに適用されるコネクションを変更するには、
①コネクション切断(停止)
②コネクション接続(起動)
を行う。
図 ネットワーク確認テスト 解説 問7


問8 コネクション新規作成

nmcliコマンドで作成。
図 ネットワーク確認テスト 解説 問8 コネクション新規作成

コネクションを作成すると、設定ファイルができる。
図 ネットワーク確認テスト 解説 問8 設定ファイルのパス

問9 ゲートウェイを一時的に変更

問6と同じ。ipコマンドで行う。
図 ネットワーク確認テスト 解説 問9 ゲートウェイ一時的に変更

問10 コネクション変更

写真を撮り忘れました。
正解は
 nmcli connection mod con-ens1 
  ipv4.address 172.16.100.200/24 ipv4.gateway 172.16.100.1

  • コマンド実行で設定ファイルifcfg-con-ens2は変更される
  • 変更を反映するにはコネクション切断・接続を行う

ファイアウォール

ポイントは「ゾーン」と「サービス」。

ゾーン

フィルタリングルールセット集
サーバーの利用目的や接続されるネットワークに合ったゾーンがあらかじめ用意されている。自作することも可能。
図 ゾーンとは?

ゾーン一覧を出力するには

 firewall-cmd  --list-all-zone

で確認可能。
図 ゾーン一覧出力(firewall-cmd --list-all-zone)

サービス

Webアクセスならパケットのフィルタリングルールは
 TCPで宛先ポート番号が80(または送信元ポート番号が80)
となる。
が、あらかじめこのパターンをサービスとして定義して用意している。
図 サービス=アプリケーション

図 あらかじめ定義されているサービス

確認してみる

以下を順に行う。
  1. Linuxマシンにネットワーク設定をおこなう
  2. ファイアウォールのゾーンを設定する
  3. ゾーンに許可するサービスを追加する

コネクション作成

ネットワーク設定を行うためにコネクションを作成する。
図 コネクション新規作成


(恒久的に)適用されるゾーンは?

コネクションのなかに適用されるゾーン情報(項目名:connection.zone)あり。
よって、恒久的に適用されるゾーンの設定はnmcliコマンドで行う。
図 (恒久的に)適用されるゾーンの確認


今、適用されているゾーンで許可されているサービスは?

firewall-cmdコマンドで確認。

 firewall-cmd --zone=ゾーン名  --list-service

サービス以外のゾーンに関する情報は

 firewall-cmd --zone=ゾーン名 --list-all

図 今許可されているサービスは?サービス以外のゾーンの情報は?

ゾーンに許可するサービスを追加


 firewall-cmd  --zone=ゾーン名 --add-service=追加するサービス名

図 ゾーンに許可するサービスを追加

ゾーンの許可サービス変更後、設定ファイルは?

ゾーンの設定ファイル

 /usr/lib/firewalld/zones/ディレクトリ以下に

 ゾーン名.xml という名前のファイルがある。

図 ゾーン設定ファイル


firewall-cmd --add-service実行時に--permanentオプションをつける・つけないの違い

〇--permanentオプションなし
  • 稼働中のファイアウォールには変更が反映される
  • ゾーン設定ファイルは変更なし

〇--permanentオプションあり
  • 稼働中のファイアウォールには変更が反映されない
  • ゾーン設定ファイルは変更される
  • ただし、あらたに/etc/firewalld/zones/ディレクトリ以下にゾーン設定ファイルが作成される
図 --permanentあり・なしの違い

ゾーン設定ファイルは以下の2か所にある。
〇/usr/lib/firewalld/zones/ディレクトリ以下
ひな型的なファイル。

〇/etc/firewalld/zones/ディレクトリ以下
変更時に/usr/lib/firewalld/zones/以下のファイルをコピーして作成。
同名ファイルが両方にある場合、優先されるのはこちら。

コメント

新しいコメントは書き込めません。

このブログの人気の投稿

6月22日(月)3、4コマ目

イメージ
今日、やったこと ファイルの所有者・所有グループ ファイルのアクセス権 setUIDビット、setGIDビット、stickyビット 今日のホワイトボード ファイル・ディレクトリのデフォルトの所有者 作成者が所有者、作成者のプライマリグループが所有グループ。 ファイルのデフォルトのアクセス権 OS自体のデフォルトのアクセス権(666)から作成者のumask値を引く。 ディレクトリのデフォルトのアクセス権 OS自体のデフォルトのアクセス権(777)から作成者のumask値を引く。 一般ユーザーでのパスワードが変更できるのはなぜ? パスワードは/etc/shadowに保存されている。 このファイルのアクセス権は  - ---------    root root /etc/shadow 特権ユーザー(root)以外はなにもアクセスできない。 コマンドは実行したユーザーの権限で動くため、本来なら特権ユーザー以外は/etc/shadowに書き込むことはできない。 しかしながら、root以外のユーザーでの書き込むことができている。これはpasswdコマンドはsetUIDビットがONになっているから。 -r- s r-xr-x  root   root  /usr/bin/passwd setUIDビットがONになっているファイルは、実行したユーザーの権限ではなく、ファイルの所有者の権限で実行される。 setUIDビット、setGUIDビット ls -lで表示されるファイルのパーミッションに3ビットのエリアがあるイメージ。 ここにsetUIDやsetGID、stickyビットのON、OFFがコントロールされている。 setUID、setGIDの付与 〇setUID(+で付与) 所有者に付与するため、 u+s。  chmod u+s ファイル名 〇setUID(数字で付与) 以下のsetuidのビットをONにするイメージ。 setuid setgid stickyビット 所有者 所有グループ ...
続きを読む

6月8日(月)1,2コマ目(B班)、3,4コマ目(A班)

イメージ
今日、やったこと ワイルドカード 正規表現 パイプ 今日のホワイトボード こんなファイル構成 ワイルドカード* *は「0文字以上の任意の文字列」という意味。 ただし、.で始まる隠しファイルは対象外。 *単体ではなく、 abc*・・・ファイル名がabcで始まる *cfg・・・ファイル名がcfgで終わる のように組み合わせて使うこともできる。 ワイルドカード[] []は「[]内のいずれかの文字」という意味。 *と組わせて使うことも可能。 パイプ パイプをつかうことで、コマンドAの結果をコマンドBで使って、さらのその結果をコマンドCで使ってのように、コマンドを連携して使うことができる。 意外とこれでやりたいことはほとんどできてしまう。 grepコマンド 検索対象の各行を検索条件にマッチするかチェックする、文字列検索コマンド。 検索条件に正規表現が使える。 正規表現 ワイルドカードと同じ記号を使っているため、ごっちゃになりやすい。 ワイルドカードの*と同意になるのは.*(厳密には違うが)。 そもそもワイルドカードは コマンド実行前にワイルドカードの展開が行われる 。 コマンドは展開後の引数を使って処理を行う。 ls *を実行すると、 lsコマンドが*にマッチするファイルを探すわけではない。 lsコマンド実行時には*はカレントディレクトリのファイル名に置き換わっている。 やってみよう「ワイルドカードと正規表現」 ファイル構成 おまけ grepコマンドの第2引数以降は検索対象ファイル名を指定。もちろん、ワイルドカードも使える。
続きを読む

9月28日(月)3、4コマ目

今日のテスト systemdに確認テストを行いました。 問1 Unit起動順に関する問題。 Unit起動順は以下の2項目があります。 項目 説明 before 指定ユニットの 前 に起動。 例 BEFORE=A B このユニットは ユニットA、Bの前に起動する 言い換えれば、ユニットA、Bはこのユニットのあとに起動する after 指定ユニットの 後 に起動。 例 AFTER=A B このユニットは ユニットA、Bの後に起動する 言い換えれば、ユニットA、Bはこのユニットのまえに起動する 問題はUnit定義ファイルから、Unit起動後に起動するUnitを調べる問題。よって、beforeで指定されたUnitが対象。 だが、beforeは未指定なので、答えはなし。 問2 ユニットhttpd.serviceが自動起動するか確認するためのコマンド。 systemctl is-enabled httpd.service 問3 ユニットfirewalld.serviceを自動起動するように設定するためのコマンド。 systemctl enable firewalld.service 問4 systemdでマシンをシャットダウン。 起動しているターゲットの変更を行うことで、GUI付きマルチユーザーモード(graphical.target)からCUIマルチユーザーモード(multi-user.target)やシングルユーザーモード(rescue.target)に変更することができる。 systemctl isolate poweroff.target 問5 ユニットdovecot.serviceに対して、 systemctl en...
続きを読む