SkillSet

「Debian」の版間の差分

← 古い編集新しい編集 →
83行目: 83行目:
  /etc/sysctl.conf
  /etc/sysctl.conf
  net.ipv4.icmp_echo_ignore_broadcast=1
  net.ipv4.icmp_echo_ignore_broadcast=1
===港内サービス===
# systemctl -t service | grep running
# systemctl stop [service]
# systemctl disable [service]
* 稼働サービスの採用/不採用を決定
* 稼働サービスの確認と停止。セキュリティを考慮して使わないサービスは停止、自動稼働も無効にする
* 「running」は常に戦闘モードな状態。一方「exited」は休んでいる状態
* Debian11では、デフォルトで以下「27個」のサービスが稼働している
====runningサービス====
{| class="wikitable" summary="Debian11デフォルト稼働サービス"
|-
!cron
|Regular background program processing daemon
|-
!avahi-daemon
|(running) Avahi mDNS/DNS-SD Stack
|-
!bluetooth
|(running) Bluetooth service
|-
!console-setup
|(exited) Set console font and keymap
|-
!cron
|(running) Regular background program
|-
!dbus
|(running) D-Bus System Message Bus
|-
!dhcpcd
|(running*) dhcpcd on all interfaces
|-
!dphys-swapfile
|(exited) LSB: Autogenerate and use
|-
!fake-hwclock
|(exited) Restore / save the curren
|-
!getty@tty1
|(running) Getty on tty1
|-
!hciuart
|(running) Configure Bluetooth Modem
|}
* デフォルトで [[稼働しているサービス(Debian系)]]
* デフォルトで [[稼働しているサービス(RH系)]]
* 不要なサービスは脆弱性の元なので全て停止する。ランレベル3(CUIモード)で自動起動するサービスを確認して停止、自動起動をオフにする
# chkconfig --list | grep 3:on
# service auditd stop
# service netfs stop
auditd(コマンド監視), ip6tables(IP6利用), netfs(NFSクライアント), postfix(SMTPサーバ利用)
* メールサーバなど、ユーザアカウントは必要だけどシェルログインは不要なユーザは、ログインシェルを「/sbin/nologin」か「/bin/false」にする
#useradd -s /sbin/nologin march
#usermod -s /sbin/nologin march

2022年12月28日 (水) 22:45時点における版

Debian11

Debian の「全体」を理解してまとめておく。聖書と同じで Debian も「全体をしっかり理解」しておけば本質も深く理解できるし、情報不足ゆえのつまずきも少なくなる。

ちなみに、「港マシン」はインターネット世界の荒海に対して公開されてる「港」なので色々なことを深く知っていた方が「港運営」が上手にできる。システムを「全て把握」していると何事もスムーズに運ぶ。

いざ!自分の港へGO!

環境設定

$ cat /etc/debian_version 
$ vi .bash_aliases
 alias ls='ls -lh --color=auto'
 alias less='less -N'
$ . ~/.bash_aliases

SSH接続

[港]
$ systemctl status sshd
$ ss -tan
# vi /etc/ssh/sshd_config
 Port 55555
# systemctl sshd restart
$ ss -tan
$ lsof -i:55555
# ls /etc/ssh
$ ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
# vi /etc/ssh/sshd_config
 PasswordAuthentication no
$ cat ~/.ssh/authorized_keys

[領内]
$ ssh-keygen -t ed25519
$ vi ~/.ssh/config
 HOST hoge
 HostName moge.vs.sakura.ne.jp
 Port 55555
$ ssh-copy-id hoge
$ ssh-add
$ ssh-add -l
$ ssh hoge
  • SSHの鍵認証で最も広く使われているのはRSA暗号。でも最近のSSHはRSAよりも「Ed25519」という暗号化アルゴリズムが強固でパフォーマンスも良く安全面と性能面で最強

港ざっくり把握

港の全体像(説明書)は以下を把握すれば掴める。

  1. FHS - 港全体の地図
  2. 港内コマンド/アプリ - 港で働く正社員
  3. 港内パッケージ - 港で働く派遣社員
  4. 港内サービス - 住み込み常駐社員

港内コマンド/アプリ

lrwxrwxrwx 1 root root 8 Nov 28 14:35 /sbin -> usr/sbin
lrwxrwxrwx 1 root root 7 Nov 28 14:35 /bin -> usr/bin
  • Debian11では「sbin - システム管理者用(202個)」と「bin - 一般ユーザ用(592個)」の2種類のコマンドがある
  • とりあえず、上記2種類を把握すればDebianシステムがデフォルトでできる事のおおよそのイメージがつく
  • 「sbin」は一般ユーザからは見えない root用コマンド。rootになる必要がある
  • オプション「--help」や「-V」、「man」でコマンドの解説が見れる
  • ただしiPhoneアプリ等と同じで、深く理解すべきは全体の2割、よく利用されるコマンド (100個程)。故に、無意味な深掘りは厳禁。取捨選択が大切
  • Linuxコマンドも参考に

港内パッケージ管理

  • 全てのパッケージを最新のものにアップデートしてシステムを最新の状態にする
$ apt list --installed
# apt update
# apt upgrade
# apt full-upgrade
  • 足りない港内アプリはaptパッケージ管理システムからインストールする
  • そうすればパッケージを適切に管理できるし、アップデートも自動化できる
# apt install cron-apt    ← vi /etc/cron-apt/config(アプデ自動化)
# timedatectl status
# timedatectl set-timezone Asia/Tokyo
# date
  • ユーザがディスクの空き容量を使い切ってしまわないように、ユーザが利用するファイルシステムには独立したパーティションを割り当てる
  • 変更されないデータを格納するファイルシステムは、リードオンリーでマウントすることによりファイルの改竄や破壊行為を抑えられる
  • アドレススキャン(港探索)回避のためにブロードキャスト宛リクエストを無視する。下記の設定ファイルに追記
/etc/sysctl.conf
net.ipv4.icmp_echo_ignore_broadcast=1
https://skillset.wiki/index.php?title=Debian&oldid=7318」から取得