CentOS Part 50【RHEL Clone】
■ このスレッドは過去ログ倉庫に格納されています
CentOS は Red Hat Enterprise Linux (RHEL) から同社の商標を削除して再コンパイルした RHEL Clone です。
Red Hat と無関係でもないコミュニティが無償配布してしますが Red Hat のブランドとサポートはありません。
* Fedora Core 6≒RHEL 5≒CentOS 5
* Fedora 13≒RHEL 6≒CentOS 6
* Fedora 19≒RHEL 7≒CentOS 7
です。
FCやRHEL 用のノウハウ、野良 RPM、レポジトリ云々は CentOS でもほぼ通用します。
前スレ
CentOS Part 49【RHEL Clone】
http://mao.5ch.net/test/read.cgi/linux/1531728260/
CentOS (The Community ENTerprise Operating System)
http://www.centos.org/
CentOS 配布ミラーサーバ
http://www.centos.org/download/mirrors/
CentOS -- Wikipedia日本語版
http://ja.wikipedia.org/wiki/CentOS 結局、真ん中に人が必要ってことでしょ
ビルゲイツとかリーナスとか
Unixはトンプソンのオーラが足りずにビルジョイに真ん中を持っていかれた
ビルジョイが引っ込んだ結果gdgdになった
RMSがいなくなったらGNUもgdgdになるだろう 315だけど、どなたか知っている人いますか?
デフォルトがupdate yesにしないとisoイメージで入れたら運悪かったら
脆弱性突かれるかも知れないし。 yum.confではなくyum-cron.confの話?
業務用途でyum-cronを入れてる人はいないと思うよ そもそもそういうの気にする人はCentOSを使うべきじゃありません CentOS7, yum-cron使わずにどうやってパッケージの自動アップデートしているんだろう。
20台以上yum-cronでCentOS7運用しているんだがちょっと驚いているわ >>324
手動でcron回してるとか、もしかしたらシェルスクリプトをsystemdで常駐してdate叩いてifに突っ込んでるかもしれない。
あとは管理コンソールからvia sshでyum走らせてるかもしれないし、そもそもアップデートかけてない(グローバルに出てないからとか言う理由で)ってのも有り得そう 結局CentOS7→8の主立った変更って
yumがdnfになってミドルウェアのバージョンアップがなされて
あと何かあるの? iptables がなくなって nft(nftables) になった。
firewalld だけで管理してれば影響なし。
/usr/bin/python が無い。
alternatives で python2 か python3 にリンク張れるがデフォはなし。
python3 は python2 と互換が無いところ多いので張るなら 2 が妥当。
日本語フォントが google 系に置き換わった。
IPA mincho も VL Gothic も入ってなかった。
GNOME が 3.28 になってデスクトップにアイコン置けなくなった。
gnome-terminal だけは置いていた人だからちょっと辛い。
毎度のことだが glibc のバージョンアップに伴い古いソフトでコンパイルが通らないものが出た。 いや今更python2張るなよ
サポ切れまで何ヶ月だと思ってんだ >>328
情報ありがとう
個人的にはfirewalldしか使わないし
Python使わないし
GUIもあんまり使わないってことで
7→8はあんま使い方変わらないことになりそう
でもまぁ8にするけど
個人利用のPCなんで枯れたバージョンである必要ないし 今年の12/31までってマジかよ、知らんかったわ。 THX.
とはいっても RHEL7/CentOS7 って python3 付属しないんで、 python3 で動かないけど
使いたい・使わざるを得ないスクリプト抱えてる人多そう。
(なんでサポート切れ考慮しても python2 張らざるを得ないことになると思う。) python3なんて普通にコンパイルして
入れてるだろ?必要な人は CentOSに限らず言語系はパッケージを使わず自分で用意したほうがいいってよく言われるだろ Docker使うのにカーネルクソ古いCentOSなんか使う訳ないでしょ 業務系wでもcentosでDockerなんてフツーだけどね >>338
企業向けハード(サーバ・ワークステーション)のデバイスドライバ提供ディストリが
RHEL/CentOS/SLES/Ubuntuというパターンが多い。
仮想化してしまえばどんなディストリでもいいことになるが、設計・デザイン・解析
のように仮想化して使えない、使うとコストパフォーマンスが悪いアプリではアプリ
ベンダーの保守対象OSがRHEL/SLESのみのパターンが多いね。
なので製造業やスパコン絡みの学術だとRHEL系が主流。
それ以外の業界については詳しくないが、AI業界?とかだとUbuntuで売れる。
Web系以下仮想化が主流の業種はクラウド各社で採用される&無償のCentOSかUbuntuか、
もしくはコンテナの Dockerの3択なんじゃないかな。
そのなかで CentOS はライブラリが古いから選択肢から外れるとは思うけど。 8の注目機能はAppStreamだと思うのに誰も触れていない件 >>326
サンクス、まぁそうなるよな。
頭の悪い書き込みする >>322 がちょっと変な子なのはわかったわ。 >>348
>>322 の意図はわからんが、変な子ではないだろ。
業務系だと運用的には
(1) 適用は開発系で動確後だから運用系でcronで回すなんて恐ろしい事しない
(2) リコールに備えて数年前に設計したパーツの解析を当時と同じ環境でできるよう
にする必要があるからOSやファームウェアのバージョンアップは御法度
(3) httpd やら ssh で危険度高以外は無停止運用。 法定停電時にちょいヤバ目だけアプデ。
の3通りが基本かなぁ。 んで、何れも cron でアップデートなんてしない。 俺の思う普通談義はいいって。みんな自分が思う普通で好きにしろ。 >>328
| iptables がなくなって nft(nftables) になった。
Centos7と同様に、iptablesは使いたい人は利用できるよ。
https://hackers-high.com/linux/rhel8-new-features/
(3)iptables のみ
RHEL7(Centos7)の時と同様に、dnf(yum)から iptables-services をインス
トールすれば、iptables コマンドと iptables ファイルを使ってファイアウォール
を操作することができます。
#iptables-service のインストール
$ dnf install iptables-services
#firewalld の停止&自動起動無効化
$ systemctl disable firewalld
$ systemctl stop firewalld
#iptables の起動&自動起動有効化
$ systemctl start iptables
$ systemctl enable iptables CentOS7だけど
# yum --security update
クリーンインストールして、このやり方ってセキュリティアップデートだけ動くの?
RedHatでないと正しく動かないとか。 https://wiki.centos.org/About/Building_8
QA work 2019-06-28 mid Aug DONE
RC work 2019-06-28 mid Aug DONE
Release work YYYY-MM-DD YYYY-MM-DD Not started
QA, RC は完了。Centos8リリースまで あと1週間ぐらいか? Linuxは今のCentOS7が初めてで、今回OSアップグレードが初めてなんだけど
どうしたもんかな
とりあえず7の環境は/etcフォルダをバックアップしておいて
8をクリーンインストールした後に環境再現てことでいいのかな?
/etcフォルダの中身をそのまま引っ越しはできないだろうけど
かなり面倒な作業になるなぁ >>359
昔からそんなものだよ、windowsじゃないんだから。 /etcのテキストファイルをマージさえすれば環境再現出来るんだから場合によってはWindowsより楽とも言える またSELinuxに悩まされるのかなぁ
いろいろ部分的に解除してた記憶が…いっそ全無効にしちゃいたい >>363
業務利用でも大抵無効にするんだから
無効で良いのでは?
他のLSM使いたい SELinuxとか真っ先に無効化するのがデフォでしょ
あんなん業務でも使いこなしてるところなんてごく少数だと思われ 業務業務言ってる奴、書き込み内容からして無職だろうな
おうちでパソコンの大先生やってるんだろw >>364
>>業務利用でも大抵無効にするんだから
君んとこの会社大丈夫か? 業務で使っているなら、せめてpermissiveモードで。 突然失踪した後輩がずっと「permissive」にしてくれと言ってたな。
普段はcent6時代はdisableだったけど、どういう時にpermissiveって役に立つときがあるの?
LAMP環境のパフォーマンスとか変わるならdisableにしたいところだけど・・ つーか、SELinux だったから助かったとか enforcing ならパッチ不要とかってあったか?
結構前からあるけど実績ほとんど無いわ手間ばかりかかるわのクズを使う理由はないよね。
今後コンテナなりその延長線上の技術がでてくるなりするかも、だけど SELinux は
その手の技術と相性悪そうだし今後目は無いんじゃないかな。 このスレ言うギョームってVPS借りてwordpressでアフィリエイトブログやることだからw >>371
無いよな。
「SELinux」が必要になったときに有効です、とか言って消えていったけど
必要に迫られる時なんて無い運用だったしなぁ。 >>370
permissiveにしておくとログは残るから、いざ必要となった時にそれからルールを作成できる
ただし、経験上、この方法で作ったルールを適用するとどこかでこける事になる
それと、すでに異常な状態だった場合それごと許可してしまうのでそもそもの使い方としておかしい
システムの仕組みを理解して、何が何を必要としているかを把握し、それからルールを作成できないといけない
俺は諦めた >>370
あえて言うなら、その使い方だと事後に外部企業に診断を委託する際かな。
SELinux のログは、どの脆弱性を突かれたか/突かれていないかのわかりやすい
証拠ではあるから。
とはいえど、運用を圧迫するならとっとと disable にするべき程度じゃないかな。 selinuxの設定もできないサーバー屋さんとか意味あんの? まー、自分に理解不能なものには意味がないっていうのは正しいなw ID変えた自分と自演の会話して何が楽しいんだ、コイツは
自分の価値観押し付けるのはアスペ特有の症状 アメリカの法律で政府機関に導入する場合はSELinux使うことって決まってるのよ
SELinuxってNSA製だからな
そういうアメリカと取引してる場所で使うシステムで使うLinuxだとSELinux使わざるを得ないの
分かったらクソして寝ろ >>379
バカって形勢が悪くなるとすぐに自演認定したがるよなw >>380
日本政府相手なら関係ない
ちな、関係者 >>381
具体的な事例等を一切語らず、ただディスるだけのお前の職業はなんなのよ?
SE にコンプレックス丸出しってところからして社内サーバのお守り係止まりか? >>380
さすがに政府機関、しかもアメリカだけだとちょっと説得力欠けるねぇ。
日本以外のすべての国の政府も民間も総じて、見たいな情報持ってきていただかないと、
君の「日本人SEをディスる」という目的には足りなさすぎるんじゃないかな。 SELinuxのSEをシステムエンジニアだと思ってるバカが現れた! >SELinuxのSEをシステムエンジニア
さすがにそれは無いだろ
CentOSが6あたりの手前で危うい時期にsienticなんとかみたいなあったような・・今あるのかな。
あれなんで危うい状況になったんだ?
どこかに大量に引き抜かれたとか、一斉蜂起で辞めるとかあったのかな。 この辺の効果ってないの?
SELinux を使おう.使ってくれ.
https://qiita.com/chi9rin/items/af532d0dd9237cc65741
>SELinux が有効になっているとパーミッションが
>取れたとしてもファイルの内容にアクセスできない
>ようになります.
>これはセキュリティホールを突かれてもシステム
>ファイルを容易には読めない,容易には書き換え
>られないことを示しています >>359
> とりあえず7の環境は/etcフォルダをバックアップしておいて
> 8をクリーンインストールした後に環境再現てことでいいのかな?
自分が行った変更が全部/etc以下にあるとは限らない気がするが。
/etc以下しかないと把握してるならそれでいいと思う。 >>390
SELinuxがだめなのは、
Linux標準の(低機能な)アクセス管理に対する
拡張の(高機能すぎる)アクセス管理システムだから
Windowsはその中間の適切な管理システムを持ってるからな
Linux標準の(低機能な)アクセス管理をWindowsレベルにまで
引き上げられたらいいんだが、互換性のために無理なんだろうな。
低機能でも少数のユーザーとサービス的な使い方なら十分だから
面倒くさいだけのSELinuxはイラネとなる CentOSのwikiにバックアップ方法のってた気がする >>390
効果もあるがそれ以上に害が大きい。
正常動作時でもちょっとファイル置く場所が変わるだけでアクセスブロックされまくって
その度にカスタムモジュール作る必要があり開発工数がかかる。
OS添付じゃないアプリなんてもっての外。 >>394
普通にインストールして、全部デフォルトの位置にあるファイルだけ触れば
誰でも使える。使えるが、意味がないってだけ。
だって脆弱性でもない限り、役に立つことなんて無いもの
ウイルス対策ソフトのようなもんだね。 >>396
ポリシーの設定もできないおまえがアホなだけじゃねーかw
>>397
>>だって脆弱性でもない限り、役に立つことなんて無いもの
>>ウイルス対策ソフトのようなもんだね。
どんだけアホやねん
君らにはSELinuxなんて不必要だから使う必要もないよ >>398
ポリシーの設定なんか自分でするもんじゃないよ。
やってミスったら脆弱性になるじゃんかw >>387
CERNはScientific LinuxやめてCentOSに鞍替えした
FermiはScientific Linuxを継続したけどSL7での終了を決めた >>398
SELinux の細かいカスタマイズについて正しく認識できてないねぇ、君は。
普段使ってないのがバレバレだよ? SELinux無効なんて時代遅れ。
恥ずかしながら最近知ったが、SELinuxの機能をフルに使うと、
root権限とられても防御できるんだってよ。
これにはたまげた。 我らがSolarisにもSEUnixがあれば良かったのに。 ここだけの話、cent5で
baseリポジトリのLAMP, bind,ftp使ってるのにまだ被害無いわ、
すでにあるけど俺が気づいてなかったら寒いけど。 SELInuxは被害をなくすものではないよ
被害を最小限に食い止めるもの 乗っ取ったrootの人がsetenforce 0って入れたらどうなるの、おじちゃん!? >>417
rootユーザでもSELinuxが許可していなければsetenforceは実行できない
普通にコンソールからrootとしてログインした場合は許可して、他プロセスを(権限昇格の脆弱性を突くなどして)経由してrootになった場合は許可しない、ということができるのがSELinux ■ このスレッドは過去ログ倉庫に格納されています