月: 2020年7月

CentOS8設定の基礎 – dnfについて その2 リポジトリ

前回はdnfを使って簡単にソフトウェアのインストールや更新、アンインストールが出来ることを説明しました。

しかし、このインストールするソフトウェアはどこからダウンロードされた物なのでしょうか。

この答えがリポジトリとなります。

この記事で行うこと

  1. リポジトリ(Repository)とは
  2. リポジトリを確認する
  3. リポジトリを追加する
    1. ダウンロードする
      1. dnfでインストール
      2. 提供元からダウンロード
    2. リポジトリファイルを作成する
  4. 追加したリポジトリからソフトウェアをインストールする

1. リポジトリ(Repository)とは

リポジトリ(Repository)は英語で倉庫という意味です。

今回はリポジトリはソフトウェアを保管しておく倉庫という事ですね。

CentOSの中にはリポジトリファイルという物が保管されていて、このファイルにはそのリポジトリのURLが書かれています。

dnfがソフトウェアをインストールする際にはこのリポジトリファイルに記載されたURLからソフトウェアをダウンロードしてくるわけです。

リポジトリにはCentOSの開発元が提供しているリポジトリ以外にも、それぞれのソフトウェアの開発元が提供しているリポジトリもあります。

こういったリポジトリは動作の保証はないものの、最新バージョンのソフトウェアをダウンロードすることが出来ます。

これらのリポジトリからソフトウェアをダウンロードするためにはそのリポジトリのURLをサーバに教えてあげる必要があります。

一般的にこれを「リポジトリを追加する」と言います。

決して自分が新しいリポジトリを立ち上げるとかそういう意味じゃないので注意してください。

2. リポジトリを確認する

登録されているリポジトリの一覧は /etc/yum.repos.d/ 内にあります。

試しに一つ中身を確認してみましょう。

[root@localhost ~]# vi /etc/yum.repos.d/CentOS-Base.repo

すると、以下のような表示になるかと思います。(上部に表示される#始まりの部分は省略しています)

[BaseOS]
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=BaseOS&infra=$infra
#baseurl=http://mirror.centos.org/$contentdir/$releasever/BaseOS/$basearch/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
  • []内はリポジトリの短縮名称です。 dnf info で表示したときの提供元リポジトリに表示されます。ここが重複してはいけません。
  • nameはリポジトリの正式名称です。
  • mirrorlistはミラーリストの場所です。ミラーリストにはこのリポジトリがある場所のうち、物理的に近いURLを返してきます。その中で最も良さそうなところが選ばれてダウンロードしに行くというわけです。
  • baseurlはリポジトリの場所です。リポジトリが一つしか無い場合や、特定の場所にあるリポジトリを使いたい場合はこちらに記載します。しかし、baseurlで指定した場合、そのリポジトリが何らかの理由で使えない場合にインストールや更新が出来なくなってしまいます。
    • mirrorlistとbaseurlはどちらか片方だけを記載し、使わない方は消すかコメントアウトします。
    • mirrorlistとbaseurlにある$から始まる部分は変数で、実行時に別の値に置き換えられます。例えば64bit環境では $basearchx86_64 に変換されます。
  • gpgcheckはソフトウェアが改竄されていないことを確認するかを指定する項目です。1で確認する、0は確認しないです。基本的には確認するようにします。
  • gpgkeyはgpgcheckで改竄を確認する際に使う鍵の場所です。
  • enabledはこのリポジトリが有効かを指定する項目です。有効な場合、dnfを使った時にオプションの指定をしなくても自動的にこのリポジトリが使われます。無効な場合はこのリポジトリからソフトウェアをインストールしたい場合にオプションを使う必要があります。(リポジトリが無効でも更新は問題なく行えます)

3. リポジトリを追加する

リポジトリの追加方法は大きく分けて2つあります。

すなわち、リポジトリファイルをダウンロードしてくるか、自分で作るかです。

基本的に公開元が推奨する通りの方法を取れば良いですが、今回はそれぞれ簡単に解説をします。

3-1. ダウンロードする

リポジトリを提供している公開元の多くはそのリポジトリを利用するためのリポジトリファイルを何かしらの方法で公開しています。

このファイルを /etc/yum.repos.d/ 内にダウンロードしてくる事でそのリポジトリを使えるようになります。

3-1-1. dnfでインストール

リポジトリファイルそのものがRPMパッケージとして提供されている場合は、dnfを使ってリポジトリファイルをインストールできます。

以下はEPELというリポジトリをインストールする例です。

[root@localhost ~]# dnf install epel-release

EPELは利用は自己責任であるもののCentOS8の開発元と関連があるRed Hatが出しているリポジトリです。

このため、初期設定で利用できるリポジトリにEPELリポジトリのパッケージが存在していて、簡単にインストールができます。

これはごく一部のリポジトリだけで、通常はRPMパッケージのURLを指定してインストールすることになります。

以下はRemi’s RPM repositoryという主に最新のPHPを利用するために使われるリポジトリの追加方法です。

[root@localhost ~]# dnf install https://rpms.remirepo.net/enterprise/remi-release-8.rpm

RPMパッケージのURLを直接指定しているのが分かると思います。

このURLはリポジトリの公式サイトなどに載っているのでそれを探してください。

なお、dnfでインストールしたRPMパッケージは他のソフトウェア同様に remove でアンインストールするすることが出来ます。

3-1-2. 直接ダウンロード

リポジトリファイルが一つだけといった場合、わざわざRPMパッケージにしないことが多いです。

こういった場合はwgetというファイルをダウンロードするためのコマンドで直接 /etc/yum.repos.d/ 内にダウンロードしてくる事になります。

以下はownCloudというソフトウェアの開発元が提供するリポジトリの追加方法です。

[root@localhost ~]# wget https://download.owncloud.org/download/repositories/production/CentOS_8/ce:stable.repo -P /etc/yum.repos.d/
  • wget : ファイルをダウンロードしてくるコマンドです。
  • https://download…ce:stable.repo : ダウンロードしてくるファイルのURLです。リポジトリファイルのURLはそのリポジトリの公開元の公式ページで確認します。
  • -P /etc/yum.repos.d/ : -Pは保存先を指定するオプションです。リポジトリファイルを格納する /etc/yum.repos.d/ を指定しています。

3-2. リポジトリファイルを作成する

リポジトリファイルが公開されていないリポジトリもあります。

こういったリポジトリでもリポジトリファイルの作成例や、最悪URLとgpgkeyさえ分かれば直接リポジトリファイルを作成することで利用できます。

nginxの公式リポジトリでは、 nginx.repo というファイル名で以下の内容のリポジトリファイルを作るように書かれています。

[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

[nginx-mainline]
name=nginx mainline repo
baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/
gpgcheck=1
enabled=0
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

なので、この内容をコピペしたファイルを作成することでリポジトリの追加が出来ます。

ちなみに、上記設定内の module_hotfixes というのはRPMのフィルタリングを無効化して全てのパッケージを使えるようにするというものだそうです。

恐らくAppStreamなど優先度の高いリポジトリに同じパッケージ名のパッケージが存在しても表示させるといったものかと思うのですが、まあ公式が付けろって言っているんですし付けておいた方が良いのではないでしょうか。

ちなみに、特定のアプリをインストールするときだけ使いたいという場合は enabled=0 を指定してリポジトリを無効化しておいてください。

4. 追加したリポジトリからソフトウェアをインストールする

リポジトリが有効化されている場合は特別な事をする必要は無くインストールが出来ます。

[root@localhost ~]# dnf install nginx

初めてインストールするリポジトリの場合、gpgcheck用の鍵のインストールで追加の確認がされますが、それだけです。

リポジトリが無効化されている場合は --repo オプションを付けます。

[root@localhost ~]# dnf install nginx --repo nginx-stable

--repo は指定したリポジトリを使用するというオプションになります。リポジトリを指定する際は[]で囲われた短縮名称を使ってください。

まとめ

今回はリポジトリについて説明しました。

超メジャーと言えるほど有名ではないソフトウェアや、最新版のソフトウェアなどをインストールする際には扱う必要が出てきます。

しっかりと意味を分かって使いこなす事で誤って古いアプリをインストールしたり、どこから何をインストールしたのか分からなくなることがないようにしましょう。

CentOS8設定の基礎 – dnfについて その1

Windowsではソフトウェアをインストールする際には、そのソフトウェアの公式サイトに行ってインストールすることが基本だと思います。(最近はWindowsストアというのも出てきたので一概にそうとも言えないですが)

しかし、Linuxではよく使われる大半のソフトウェアはコマンド一つでインストールすることができます。

これがdnfというコマンドになります。

dnfはDandified Yumの略で、直訳すると「おめかししたYum」となります。

実はCentOS7まではdnfではなくyumというコマンドがこの役割を果たしていました。

ちなみにyumはYellowdog Updater Modifiedの略なのですが、まあyum yum(もぐもぐ)の略って事で覚えた方が覚えやすいんじゃないでしょうか。こう、擬人化したLinuxちゃんがソフトウェアをもぐもぐしてる感じで。

なお、この記事で触れるレベルではdnfもyumも使い方は同じなので、CentOS7を使っている方はdnfをyumと置き換えれば問題なく使えます。

この記事で行うこと

  1. dnfとは
  2. 主なコマンド
    1. update
    2. info
    3. install
    4. remove
  3. 自動更新の設定

1. dnfとは

Red Hat系のLinuxでは基本的にソフトウェアをRPMパッケージという単位で管理しています。

Windowsにおいて「プログラムと機能」からアプリケーションをアンインストールするとそのプログラムに関連したファイルが一気に消えるように、LinuxではRPMパッケージを消すとそのプログラムに関連したファイルが一気に消えます。

これを管理するのに使うのがdnfコマンドです。

なおdnfはWindowsの「プログラムと機能」よりも多機能で、アンインストールするだけではなくソフトウェアをダウンロードしてインストールすることもできますし、インストールやアンインストールの際にわざわざ指定しなくても関連するRPMパッケージまで一緒にインストール・アンインストールしてくれます。

2. 主なコマンド

では、早速dnfを使ったコマンドの解説に入ります。

2-1. update

このコマンドはサーバ内のソフトウェアやOSそのものの更新を行うためのコマンドです。

dnfで管理されているソフトウェアはこのコマンドで更新できます。

使い方は以下の通りです。

[root@localhost ~]# yum update [更新したいパッケージの名称]

なお、[更新したいパッケージの名称]の部分を書かないと、更新可能なもの全てが更新されます。

コマンドを実行すると、更新されるものの一覧が表示されて確認されますので、そこでyを入力すると更新が開始されます。

趣味でサーバをやっている場合、最も怖いのはサーバが落ちることよりもサーバに侵入される事です。

更新したときの影響を心配するよりも更新しないことによるリスクを考えてなるべく更新するようにしましょう。(自動更新の設定についても後述します)

よく使われるオプションは以下の通りです。

-y 確認を省略して全てyと入力したことにします。確認が煩わしい時に使います。

2-2. info

インストール可能なパッケージパッケージの情報を確認します。

使い方は以下の通りです。

[root@localhost ~]# dnf info [確認したいパッケージの名称]

[確認したいパッケージの名称]の部分を書かないと書かないとインストール可能な全てのパッケージが表示されます。が、大量に出てくるのであまり意味がありません。

パッケージをインストールしたか忘れたので確認したいとき、バージョンを確認したいときなどに使います。

2-3. install

パッケージをインストールします。

使い方は以下の通りです。

[root@localhost ~]# dnf install [インストールしたいパッケージの名称]

[インストールしたいパッケージの名称]を記載しないとエラーとなります。(インストールできるソフトが全部インストールされたりしたら時間かかるやら容量圧迫するやら設定の穴が量産されるやらで大惨事ですからね)

ちなみに、このコマンドも -y オプションが使えます。

ただ、一つのパッケージをインストールするつもりでも依存関係の問題で複数のパッケージがインストールされたりするので、何がインストールされるか確認をした方が良いと考えます。

基本的にはdnfでインストールできるソフトウェアは全てdnfを使ってインストールすることをオススメします。

稀に「通はソースコードから直接インストールする」とか何とか言ってる所があったりしますが、理由が無ければインストールにも更新にも手間がかかるだけで無意味です。

しっかりと文明の利器を使えるようにしましょう。

2-4. remove

パッケージをアンインストールします。

コマンドの使い方は以下の通りです。

[root@localhost ~]# dnf remove [アンインストールしたいパッケージの名称]

これも[アンインストールしたいパッケージの名称]を空欄にすると削除対象がないと言われ、何も起りません。(流石にシステムそのものをアンインストールとかにはならないです)

このコマンドも -y オプションが使えますが、依存関係で意図しないパッケージが消えたりしないようにちゃんと確認を行うことをおすすめします。

3. 自動更新の設定

「2-1. update」でも触れたように更新を忘れていてセキュリティホールが出来ていたなんていうのはゾッとしない話です。

そうならないようにdnfでは自動更新の設定を行うことが出来ます。

手順は以下の通りです。

まず、自動更新を行うためのパッケージをインストールします。

[root@localhost ~]# dnf install dnf-automatic

次に、自動更新をsystemctlで起動・有効化します。

[root@localhost ~]# systemctl enable --now dnf-automatic-install.timer
Created symlink /etc/systemd/system/multi-user.target.wants/dnf-automatic-install.timer → /usr/lib/systemd/system/dnf-automatic-install.timer.
  • --now : enable コマンドを使うときに設定することで、 start も同時に実行されるというオプションです。

なお、今回は自動で更新のインストールまでするものを起動しました。

起動するものが dnf-automatic-install.timer だと更新の自動インストール、 dnf-automatic-notifyonly.timer だと更新の通知のみ、 dnf-automatic-download.timer だと更新のダウンロードまでを行います。

ただ、システムが落ちて損害を受けるようなサーバでない限りは自動インストールを行うように設定した方が安全です。(というか落ちて困るようなサーバをこんなサイト見ながら運用しようとしないでください)

まとめ

今回はCentOS8のパッケージ管理システムdnfについて説明しました。

dnfはソフトウェアのインストール時に真っ先に上がる選択肢なので、ぜひ覚えておいてください。

dnfでインストールできない、バージョンが古すぎるといった問題が見つかったときに初めて他の選択肢を検討しましょう。

あと、アプリケーションの更新は絶えず行うようにしてくださいね。

次回はリポジトリと設定方法について解説します。

CentOS8のSSH設定 – 接続ポートの変更

rootへの直接アクセスの禁止」と「公開鍵認証の設定」をしっかり行えば不正にSSHアクセスをされてしまうという心配はほとんどありません。

しかし、サーバを公開してみるとすぐに海外のIPアドレスからの接続が失敗したというログを目の当たりにするでしょう。

そうそう破られる事はないと分かっていても、心臓に悪いです。

このため、SSH接続を行うポートをデフォルトの22番ポートから別のポートに変えたいと思います。

イメージとしては、常に不審者がうろついている正門を埋め立てて、代わりに裏口を作ってそこで出入りする感じです。

※この設定を行う前に、お使いのSSHクライアントがポート番号の指定に対応しているか確認してください。

この記事で行うこと

  1. ファイアウォールの設定変更(新しいポート番号での接続許可)
  2. SSHとSELinuxの設定の変更
  3. ファイアウォールとSELinuxの設定変更(22番ポートでの接続禁止)

1. ファイアウォールの設定変更(新しいポート番号での接続許可)

ファイアウォール(Firewall)については以前の記事を確認してください。

https://wrd.yuto-shin.net/2020-06/setting-knowledge-firewall-centos8

上記の記事に従って変更先のポートを番号で指定して許可する方法でも問題ないです。

しかし、今回は新たにserviceを作成してそれを許可してみましょう。

これによって後々ファイアウォールの設定を確認したときに、何のためにこの番号を開けていたのか忘れるといった事がなくなります。(SSHの場合は普段から使うので忘れることはそうそうないと思いますが)

まず、 /usr/lib/firewalld/services/ にある、ssh.xml を同じディレクトリにコピーします。

コピー先は同じディレクトリにしてください。コピー時のファイル名は自分が分かりやすいように付けてください。今回は new-ssh.xml とします。

[root@localhost ~]# cp /usr/lib/firewalld/services/ssh.xml /usr/lib/firewalld/services/new-ssh.xml

そして、このコピーしたファイルを開くと以下のように設定の中身が表示されます。

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>
  • shortタグ:サービス名(簡潔なサービスの説明)
  • descriptionタグ:サービスの詳細(詳しいサービスの説明)
  • portタグ:実際に開放するポートの指定

今回はあくまでもSSHに使うポートなので、shortタグとdescriptionタグは変えません。

portタグのport番号だけ22から好きな数字に変えてください。(1024~65535以下に設定してください)

今回は普段記事を公開する時間にあやかって1200と設定します。

設定後は以下のようになります。

&amp;lt;?xml version="1.0" encoding="utf-8"?>
&amp;lt;service>
  &amp;lt;short>SSH&amp;lt;/short>
  &amp;lt;description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.&amp;lt;/description>
  &amp;lt;port protocol="tcp" port="1200"/>
&amp;lt;/service>

次に、この新たなサービスを認識させるためにファイアウォールの再読み込みを行います。

[root@localhost ~]# firewall-cmd --reload

そして、新たに追加したサービスを許可するようにします。このとき、指定する名前は、shortタグの中身ではなく、ファイル名となります。

[root@localhost ~]# firewall-cmd --add-service=new-ssh --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

追加した後は反映されているか確認をしましょう。

[root@localhost ~]# firewall-cmd  --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp3s0
  sources:
  services: new-ssh ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

2. SSH設定の変更

※これ以降、絶対に途中で作業を止めずに最後まで行ってください。途中で止めた場合SSHで接続ができなくなる可能性があります。

無事にファイアウォールが開いたら、次はSSH側の設定を変更します。

rootへの直接のアクセスを禁止したとき同様に /etc/ssh/sshd_config を編集します。

編集する箇所は以下です。「-」は削除する行(変更前)、「+」は追加する行(変更後)となります。例では1200になっていますが、この数字はファイアウォールの設定の時と同じ番号に設定してください。

- #Port 22
+ Port 1200

編集が終わったらSSHを再起動しましょう。

次に、SELinuxの設定です。

SELinuxは詳しくはまた別途解説しますが、万が一悪意のある人に侵入されてもなるべく好き勝手できないように抑えてくれるアプリケーションです。

これがあるのでポート番号の変更をする際はSELinuxに「別のポート番号でSSH接続しますよ。これは悪意のある人物が勝手に変えてる訳じゃないですよ」って教える必要があります。

以下のコマンドとなります。

[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 1200
  • semanage : SELinuxの設定変更を行うためのコマンドです。SELinux Managerの略だと思います。
  • port : ポートに関係する設定を変えるコマンドです。他にもユーザの設定など色々な設定があります。
  • -a : 新しいルールを追加(add)する事を指定するオプションです。
  • -t ssh_port_t : 追加するルールのタイプを指定します。今回はsshのポートを指定しています。
  • -p tcp : プロトコルを指定しています。SSHはTCP接続なので、tcpを指定しています。
  • 1200 : ポート番号を指定しています。例では1200を指定していますが、ファイアウォールの設定やSSHの設定で指定した番号と同じ番号を指定してください。

もし、ちゃんとSELinuxに設定が反映されているか気になる場合は以下のコマンドを使ってみてください。

[root@localhost ~]# semanage port -l | grep ssh_port_t
  • -l : 設定の一覧を表示するオプション
  • | : (パイプ)この記号以前に記載されているコマンドの結果を受けてこの記号以降に記載されているコマンドを実行する。そのうち詳しく解説するかもです。
  • grep : 指定されたテキストを含む行を抜き出す。今回は ssh_port_t を抜き出しています。

SELinuxにも伝え終えたところで、SSHを再起動して設定を反映させます。

# systemctl restart sshd

次に、今接続しているSSHは絶対に切らずに新しく接続して変更後のポート番号に繋がることを確認します。

接続ができない場合、3カ所に設定したポート番号(ファイアウォール、SSH、SELinux)に違いがないかを確認してもう一度設定し直してみてください。

3. ファイアウォールの設定変更(22番ポートでの接続禁止)

新しいポート番号で接続できるようになったら、今度は22番ポートを閉じるようにファイアウォールの設定を変更しましょう。

現時点で22番ポートが開いていても、SSHがこのポート番号を使っていないため、アクセスすることはできません。

しかし、今は大丈夫でもこの先何かの間違いでこのポート番号を通じて不正なアクセスを許すことになるかもしれません。

面倒でもリスクを下げるために使わないポートは必ず閉じるようにしましょう。

特段新しいこともないので設定から確認まで一気に記載します。

[root@localhost ~]# firewall-cmd --remove-service=ssh --permanent
success
[root@localhost ~]# firewall-cmd --reload
success
[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp3s0
  sources:
  services: new-ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

ちなみに、SELinuxの方はシステムの既定である22番ポートを消すことはできないできないようです。このため、確実にファイアウォールの方で遮断するようにしましょう。

まとめ

今回はSSHのポート変更の方法について説明しました。

序文でも述べたように実際はこの設定を行わなくても前回までの設定さえしっかり行えば不正なアクセスを受ける可能性は低いです。

なので、一度ポート番号の変更までは行わずにサーバを公開してみるのも良いかもしれません。

実際に大量のアクセス失敗の履歴を見ると、セキュリティに対する意識が高まること請け合いです。(もし本当にやるなら必ずrootでのアクセス禁止と公開鍵認証の設定は漏れなく行うようにしてくださいね)