9月7日(月)3、4コマ目

 今日、やったこと

  • firewallのテストの解説
  • systemd


今日のホワイトボード

firewallのテスト解説

問1 インタフェースにゾーンを適用

インタフェースにゾーンを適用する=>コネクションの設定

よって、nmcliコマンドでコネクションの設定(設定項目はconnection.zone)を行う。

しかしながら、firewall-cmdコマンドでも同じことができる。

図 問1 インタフェースにゾーンを適用


問2 ゾーンに許可サービスを追加、削除+設定ファイル再読み込み

ポイントは許可サービスの追加、削除を行う際に--permanentオプションをつけたかです。

--permanentオプションをつける

  • 設定ファイルを変更
  • 稼働中のF/Wには反映されない

--permanentオプションをつけない

  • 設定ファイルは変更なし
  • 稼働中のF/Wに即反映される

の違いがあります。

また、firewall-cmd --reloadを行うと、設定ファイルの再読み込みを行います。

図 許可サービスの追加、削除+設定再読み込み


問3 許可サービスの追加、設定ファイルのパス

許可サービスの追加時に--permanentオプションの有無で設定ファイルや稼働中のF/Wへの影響は問2のとおり。

設定ファイルは2か所にある。それぞれ役割が異なるため注意!!

図 許可サービスの追加、2か所の設定ファイルの違い


問4 ゾーン新規作成、許可サービスを設定ファイルに追加

くどいけど、許可サービスを設定ファイルに書き込むなら、--permanentオプションが必要。

図 ゾーン新規作成、許可サービスを設定ファイルに追加


問5 ゾーンをインタフェースに適用

問1と同じ。


問6 全ゾーンおよび各ゾーンの許可サービス一覧出力

図 インタフェースにゾーン適用(問5)、全ゾーン、許可サービス一覧出力(問6)

systemd

新たにユニット作成

/usr/local/bin/hello.shを実行するユニットhello.serviceを新たに作成する。

①ユニット定義ファイル作成

ユニット定義ファイルは以下の2か所にある。

/usr/lib/systemd/system OSがあらかじめ用意しているユニットが保存されている。
/etc/systemd/system 新規作成やカスタマイズされたユニットが保存されている。


今回は新規作成なので、/etc/systemd/system/にhello.serviceという名前で作成。

定義ファイルの中身は「systemd」のp.25を参照。


②ユニット定義ファイルはある?

systemdが新たに作成したユニット定義ファイルを読み込むことができるか確認。(p.38)

 systemctl list-unit-files --type=service | grep hello.service


③ユニットhello.service起動

systemdがhello.serviceを起動すると、設定ファイルで定義した/usr/local/bin/hello.shが実行される。

systemd経由でコマンドが実行されたことになる。

図 ユニット新規作成、起動

ユニットはenableにすると、なぜOS起動時に自動起動する?

①ユニットをenableにする

以下のコマンドでenableになる。
 systemctl enable ユニット名

②enableにすると、指定ターゲットに組み込まれる

ユニット定義ファイルのWantedByで指定したターゲットに組み込まれる。
実態は/etc/systemd/systemにあるターゲット名.wantsディレクトリ以下にユニット定義ファイルへのリンクが作成される

③ターゲットを起動

ターゲットに組み込まれたユニットたちが起動される。

④systemdは起動後defautl.targetを起動する

default.targetは実体はなく、graphical.targetへのリンク
よって、graphical.targetがsystemdによって起動される。

⑤graphical.targetを起動=>依存ターゲットが起動される

graphical.targetはmulti-user.targetに依存している
よって、graphical.targetはさきに依存先のmulti-user.targetを起動。

⑥multi-user.targetも別ターゲットに依存

依存先をどんどん辿る。で、最上位まで辿ったらそこから順にユニット起動。

こんな感じでOS起動時にsystemdによってプロセスが起動されていく。
図 ユニットをenableにするとなぜ自動起動する?







コメント

新しいコメントは書き込めません。

このブログの人気の投稿

6月22日(月)3、4コマ目

イメージ
今日、やったこと ファイルの所有者・所有グループ ファイルのアクセス権 setUIDビット、setGIDビット、stickyビット 今日のホワイトボード ファイル・ディレクトリのデフォルトの所有者 作成者が所有者、作成者のプライマリグループが所有グループ。 ファイルのデフォルトのアクセス権 OS自体のデフォルトのアクセス権(666)から作成者のumask値を引く。 ディレクトリのデフォルトのアクセス権 OS自体のデフォルトのアクセス権(777)から作成者のumask値を引く。 一般ユーザーでのパスワードが変更できるのはなぜ? パスワードは/etc/shadowに保存されている。 このファイルのアクセス権は  - ---------    root root /etc/shadow 特権ユーザー(root)以外はなにもアクセスできない。 コマンドは実行したユーザーの権限で動くため、本来なら特権ユーザー以外は/etc/shadowに書き込むことはできない。 しかしながら、root以外のユーザーでの書き込むことができている。これはpasswdコマンドはsetUIDビットがONになっているから。 -r- s r-xr-x  root   root  /usr/bin/passwd setUIDビットがONになっているファイルは、実行したユーザーの権限ではなく、ファイルの所有者の権限で実行される。 setUIDビット、setGUIDビット ls -lで表示されるファイルのパーミッションに3ビットのエリアがあるイメージ。 ここにsetUIDやsetGID、stickyビットのON、OFFがコントロールされている。 setUID、setGIDの付与 〇setUID(+で付与) 所有者に付与するため、 u+s。  chmod u+s ファイル名 〇setUID(数字で付与) 以下のsetuidのビットをONにするイメージ。 setuid setgid stickyビット 所有者 所有グループ ...
続きを読む

6月8日(月)1,2コマ目(B班)、3,4コマ目(A班)

イメージ
今日、やったこと ワイルドカード 正規表現 パイプ 今日のホワイトボード こんなファイル構成 ワイルドカード* *は「0文字以上の任意の文字列」という意味。 ただし、.で始まる隠しファイルは対象外。 *単体ではなく、 abc*・・・ファイル名がabcで始まる *cfg・・・ファイル名がcfgで終わる のように組み合わせて使うこともできる。 ワイルドカード[] []は「[]内のいずれかの文字」という意味。 *と組わせて使うことも可能。 パイプ パイプをつかうことで、コマンドAの結果をコマンドBで使って、さらのその結果をコマンドCで使ってのように、コマンドを連携して使うことができる。 意外とこれでやりたいことはほとんどできてしまう。 grepコマンド 検索対象の各行を検索条件にマッチするかチェックする、文字列検索コマンド。 検索条件に正規表現が使える。 正規表現 ワイルドカードと同じ記号を使っているため、ごっちゃになりやすい。 ワイルドカードの*と同意になるのは.*(厳密には違うが)。 そもそもワイルドカードは コマンド実行前にワイルドカードの展開が行われる 。 コマンドは展開後の引数を使って処理を行う。 ls *を実行すると、 lsコマンドが*にマッチするファイルを探すわけではない。 lsコマンド実行時には*はカレントディレクトリのファイル名に置き換わっている。 やってみよう「ワイルドカードと正規表現」 ファイル構成 おまけ grepコマンドの第2引数以降は検索対象ファイル名を指定。もちろん、ワイルドカードも使える。
続きを読む

9月28日(月)3、4コマ目

今日のテスト systemdに確認テストを行いました。 問1 Unit起動順に関する問題。 Unit起動順は以下の2項目があります。 項目 説明 before 指定ユニットの 前 に起動。 例 BEFORE=A B このユニットは ユニットA、Bの前に起動する 言い換えれば、ユニットA、Bはこのユニットのあとに起動する after 指定ユニットの 後 に起動。 例 AFTER=A B このユニットは ユニットA、Bの後に起動する 言い換えれば、ユニットA、Bはこのユニットのまえに起動する 問題はUnit定義ファイルから、Unit起動後に起動するUnitを調べる問題。よって、beforeで指定されたUnitが対象。 だが、beforeは未指定なので、答えはなし。 問2 ユニットhttpd.serviceが自動起動するか確認するためのコマンド。 systemctl is-enabled httpd.service 問3 ユニットfirewalld.serviceを自動起動するように設定するためのコマンド。 systemctl enable firewalld.service 問4 systemdでマシンをシャットダウン。 起動しているターゲットの変更を行うことで、GUI付きマルチユーザーモード(graphical.target)からCUIマルチユーザーモード(multi-user.target)やシングルユーザーモード(rescue.target)に変更することができる。 systemctl isolate poweroff.target 問5 ユニットdovecot.serviceに対して、 systemctl en...
続きを読む