Сentos 7 все, обновляться хочется.
AlmaLinux это в каком-то смысле продолжние centos, сделано на баже RH.
Скачиваем файл Base репозитория со ссылкой AlmaLinux.
curl -o /etc/yum.repos.d/CentOS-Base-ALMALINUX.repo https://el7.repo.almalinux.org/centos/CentOS-Base.repo
Cтарый Base отключаем.
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.off
Дальше пробуем обновиться, “yum update”.
timedatectl set-ntp true
[root@krv-tcpdump01 network-scripts]# cat /etc/sysconfig/network-scripts/route-eth1 10.0.0.0/24 via 10.10.0.1
Создаем файл /etc/sysconfig/network-scripts/route-ethNUMBER и в него пишем роут формата:
10.150.4.0/24 via 10.150.3.1
Дальше перегружаемся или перезапускаем сеть.
[root@brv-iperf3 ~]# systemctl restart network
За работу с именами серверов в Centos7 отвечает команда hostnamectl.
Посмотреть текущее имя.
[root@server1 ~]# hostnamectl status Static hostname: server1.mykb.ru Icon name: computer-vm Chassis: vm Machine ID: 8c84290936664aa59edb412c14763712 Boot ID: 6748236f607b4502a56285c7e42229a9 Virtualization: kvm Operating System: CentOS Linux 7 (Core) CPE OS Name: cpe:/o:centos:centos:7 Kernel: Linux 3.10.0-514.26.2.el7.x86_64 Architecture: x86-64
Меняем имя на server2.mykb.ru.
[root@server1 ~]# hostnamectl set-hostname server2.mykb.ru --static [root@server1 ~]# hostnamectl status Static hostname: server2.mykb.ru Transient hostname: server1.mykb.ru Icon name: computer-vm Chassis: vm Machine ID: 8c84290936664aa59edb412c14763712 Boot ID: 6748236f607b4502a56285c7e42229a9 Virtualization: kvm Operating System: CentOS Linux 7 (Core) CPE OS Name: cpe:/o:centos:centos:7 Kernel: Linux 3.10.0-514.26.2.el7.x86_64 Architecture: x86-64
После перезагрузки, временное имя (Transient hostname) уйдет.
[root@server2 ~]# hostnamectl status Static hostname: server2.mykb.ru Icon name: computer-vm Chassis: vm Machine ID: 8c84290936664aa59edb412c14763712 Boot ID: f798ff0cfb1646768d03ae0822003380 Virtualization: kvm Operating System: CentOS Linux 7 (Core) CPE OS Name: cpe:/o:centos:centos:7 Kernel: Linux 3.10.0-514.26.2.el7.x86_64 Architecture: x86-64
Полезные материалы:
Посмотреть текущую таймзону.
[root@noc1 bin]# timedatectl status Local time: Пн 2017-07-24 07:28:58 CDT Universal time: Пн 2017-07-24 12:28:58 UTC RTC time: Пн 2017-07-24 07:28:58 Time zone: America/Chicago (CDT, -0500) NTP enabled: yes NTP synchronized: yes RTC in local TZ: yes DST active: yes Last DST change: DST began at Вс 2017-03-12 01:59:59 CST Вс 2017-03-12 03:00:00 CDT Next DST change: DST ends (the clock jumps one hour backwards) at Вс 2017-11-05 01:59:59 CDT Вс 2017-11-05 01:00:00 CST Warning: The system is configured to read the RTC time in the local time zone. This mode can not be fully supported. It will create various problems with time zone changes and daylight saving time adjustments. The RTC time is never updated, it relies on external facilities to maintain it. If at all possible, use RTC in UTC by calling 'timedatectl set-local-rtc 0'.
Посмотреть список таймзон.
[root@noc1 bin]# timedatectl list-timezones Africa/Abidjan Africa/Accra Africa/Addis_Ababa Africa/Algiers Africa/Asmara Africa/Bamako Africa/Bangui ...
Задать таймзону.
[root@noc1 bin]# timedatectl set-timezone Europe/Moscow [root@noc1 bin]# date Пн июл 24 15:35:17 MSK 2017 [root@noc1 bin]# timedatectl status Local time: Пн 2017-07-24 15:35:11 MSK Universal time: Пн 2017-07-24 12:35:11 UTC RTC time: Пн 2017-07-24 15:35:12 Time zone: Europe/Moscow (MSK, +0300) NTP enabled: yes NTP synchronized: yes RTC in local TZ: yes DST active: n/a Warning: The system is configured to read the RTC time in the local time zone. This mode can not be fully supported. It will create various problems with time zone changes and daylight saving time adjustments. The RTC time is never updated, it relies on external facilities to maintain it. If at all possible, use RTC in UTC by calling 'timedatectl set-local-rtc 0'.
За функционал файрвола отвечает пакет netfilter к которому есть утилиты управления.
Раньше это был iptable, сейчас в Centos 7 по дефолту сделали утилиту firewalld.
С новой утилитой особо не разбирался, решил вернуться к iptables.
Iptables входит в состав пакета iptables-service, его надо поставить.
[root@leela sysconfig]# yum install iptables-services ... Resolving Dependencies --> Running transaction check ---> Package iptables-services.x86_64 0:1.4.21-17.el7 will be installed --> Finished Dependency Resolution ...
После установки в /etc/sysconfig/ появится файл iptables:
[root@leela sysconfig]# cat /etc/sysconfig/iptables # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
Останавливаем firewald.
[root@leela sysconfig]# systemctl stop firewalld
Запускаем iptables.
[root@leela sysconfig]# systemctl start iptables [root@leela sysconfig]# systemctl status iptables ● iptables.service - IPv4 firewall with iptables Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled) Active: active (exited) since Вс 2017-06-11 18:31:00 MSK; 8s ago Process: 9968 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS) Main PID: 9968 (code=exited, status=0/SUCCESS) июн 11 18:31:00 leela.ermoshin.pro systemd[1]: Starting IPv4 firewall with iptables... июн 11 18:31:00 leela.ermoshin.pro iptables.init[9968]: iptables: Applying firewall rules: [ OK ] июн 11 18:31:00 leela.ermoshin.pro systemd[1]: Started IPv4 firewall with iptables.
Отключаем автоматический запуск firewalld.
[root@leela sysconfig]# systemctl disable firewalld Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service. Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Отключаем возможность ручного запуска firewalld.
[root@leela sysconfig]# systemctl mask firewalld Created symlink from /etc/systemd/system/firewalld.service to /dev/null.
Включаем автоматический запуск iptables после перезагрузки.
[root@leela sysconfig]# systemctl enable iptables Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
Проверяем какие правлила iptables загруpились.
[root@leela sysconfig]# iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited
Дальше правим iptables как обычно и перезапускаем командой “systemctl restart iptables”.
Стандартные правила ip6tables.
[root@leela sysconfig]# cat /etc/sysconfig/ip6tables # sample configuration for ip6tables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p ipv6-icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -d fe80::/64 -p udp -m udp --dport 546 -m state --state NEW -j ACCEPT -A INPUT -j REJECT --reject-with icmp6-adm-prohibited -A FORWARD -j REJECT --reject-with icmp6-adm-prohibited COMMIT
Если использовать ipv6 не планируем, то правим /etc/sysconfig/ip6tables след. образом.
# sample configuration for ip6tables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -j DROP -A OUTPUT -j DROP -A FORWARD -j DROP COMMIT
Перезапускаем ip6tables, проверяем и включаем автозапуск.
[root@leela sysconfig]# systemctl restart ip6tables [root@leela sysconfig]# ip6tables -S -P INPUT DROP -P FORWARD DROP -P OUTPUT DROP -A INPUT -j DROP -A FORWARD -j DROP -A OUTPUT -j DROP [root@leela sysconfig]# systemctl enable ip6tables Created symlink from /etc/systemd/system/basic.target.wants/ip6tables.service to /usr/lib/systemd/system/ip6tables.service.
В файл /etc/sysctl.conf добавляем след. строки:
# Disable ipv6 on this server net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1
Применяем изменения:
[root@leela etc]# sysctl -p ... net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 ...
После этого еще надо отключить ipv6 у сервисов - ssh, почта, ntp и т.д.
Ifconfig поставляется в составе пакета net-tools
[root@leela ~]# yum install net-tools ... Resolving Dependencies --> Running transaction check ---> Package net-tools.x86_64 0:2.0-0.17.20131004git.el7 will be installed --> Finished Dependency Resolution ...
В минимальной версии дистрибутива нет привычной команды “arp”.
Посмотреть таблицу arp можно командой “ip neig show”
Сбросить таблицу можно командой “ip -s -s neigh flush all”
В минимальной версии дистрибутива нет привычной команды “ifconfig”.
Посмотреть текущий ip адрес можно командой “ip addr”.
[root@monitor1 ~]# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:da:8c:10 brd ff:ff:ff:ff:ff:ff inet 192.168.xxx.16/24 brd 192.168.13.255 scope global ens160 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:feda:8c10/64 scope link valid_lft forever preferred_lft forever
Конфиг интерфейса лежит на прежнем месте - “/etc/sysconfig/network-scripts/ens160”.
Поднять интерфейс - “ifup ens160”.
Настройки инфтрейса можно посмотреть командой “ip list”.
[root@leela ~]# ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000 link/ether 52:54:00:dc:52:59 brd ff:ff:ff:ff:ff:ff
Статистику по интерфейсам - “ip -s link”
[root@leela ~]# ip -s link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 RX: bytes packets errors dropped overrun mcast 0 0 0 0 0 0 TX: bytes packets errors dropped carrier collsns 0 0 0 0 0 0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000 link/ether 52:54:00:dc:52:59 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast 25672098 7883 0 0 0 0 TX: bytes packets errors dropped carrier collsns 727452 6806 0 0 0 0