life-update.netlify.app Open in urlscan Pro
3.64.200.242  Public Scan

Form analysis
2 forms found in the DOM

GET //google.com/search

<form action="//google.com/search" method="get" accept-charset="utf-8" class="search-form"><input type="search" name="q" class="search-form-input" placeholder="Search">
  <button type="submit" class="search-form-submit"></button>
  <input type="hidden" name="sitesearch" value="https://life-update.netlify.app/">
</form>

GET //google.com/search

<form action="//google.com/search" method="get" accept-charset="utf-8" class="search-form"><input type="search" name="q" class="search-form-input" placeholder="Search">
  <input type="hidden" name="sitesearch" value="https://life-update.netlify.app/">
</form>

Text Content

Life update
Home ライブ記 デスチャ攻略



Homeライブ記デスチャ攻略



MIZUTI


そこらへんの人

Japan Follow


MENU

 * CATEGORIES
 * TAGS
 * SEメモ




REDHAT 8 何が変わってどうなったのか確認してみる

2019-09-25 ·
SE
linux


REDHAT8

Redhat 8 またコピーOSではる CentOS 8 も恐らく同様に、8系はライフサイクルの管理やらOS管理コマンドに幾つか変更が見られる
下記は 8.0 が正式リリースされたときに検証してみた内容ですが
Redhat8 / CentOS8 設定手順書

このときはまだ日本語マニュアルが準備されて無く、なんとなくで確認していた幾つかの内容のうち
authselect コマンド、認証周りの仕組みについてマニュアルを読んで見る


AUTHSELECTの使用

第1章 AUTHSELECT の使用

Redhat 8からは標準で sssdプロファイル、winbindプロファイルへの対応がされていて
LDAP やら Samba やら準備しなくても行けるぜ～的な感じになている

> Red Hat は、たとえば、ドメイン内のサービスを使用するために、データベースの LDAP、winbind、または nis
> を使用してユーザーを認証している場合など、
> 半集中型の ID 管理環境での authselect の使用を推奨しています。

　

# authselect list
- nis            Enable NIS for system authentication
- sssd           Enable SSSD for system authentication (also for local users only)
- winbind        Enable winbind for system authentication



基本

気をつけなければ行けないのは対応したことによりプロファイルを設定し、どのように管理されているのか把握する必要が出てきてしまったこと

 * 現在設定されているプロファイル

# authselect current
プロファイル ID: sssd
有効な機能: なし


 * 定義ファイル

# vim /etc/nsswitch.conf
passwd:     sss files systemd
group:      sss files systemd
netgroup:   sss files
automount:  sss files
services:   sss files


> /etc/nsswitch.conf ファイルの内容は、sssd プロファイルを選択すると、最初の 5 つの項目のうちの 1
> つに関する情報が要求されている場合に、システムが最初に sssd を使用することを示しています。
> sssd キャッシュ、および認証を提供するサーバーで、要求された情報が見つからない、または sssd を実行していないと、システムはローカルファイル
> (/etc/*) を調べます。
> たとえば、ユーザー ID に関する情報が要求されると、そのユーザー ID は、最初に sssd キャッシュで検索されます。
> そこで見つからない場合は、/etc/passwd ファイルが参照されます。
> 同様に、ユーザーのグループ所属が要求されると、最初に sssd キャッシュで検索され、そこに見つからない場合に限り、/etc/group
> ファイルが参照されます。
> 実際には、ローカルの files データベースが検索されることはありません。唯一の例外は、root ユーザーの場合です。これは、sssd
> で処理されることはありませんが、files で処理されます。


PAM設定のカスタマイズ

1.4. 独自のカスタム AUTHSELECT プロファイルの作成とデプロイメント

 * 認証周りの設定管理はauthselectを使え
 * 手動でファイルを変更するな
 * 認証プロファイルを理解し適切なものを選べ

ここまでは基本的に検証した際の手順と差異はなさそうだ
カスタマイズしたいプロファイルのテンプレートをカスタムプロファイルとして作成し

# authselect create-profile nis-custom --base-on nis --symlink-dconf --symlink=REQUIREMENTS


オプション等で変更したい必要なファイルのみを抽出もできる

> コマンドで –symlink-pam オプションを使用すると、PAM
> テンプレートが、コピーではなく元のプロファイルファイルへのシンボリックリンクになります。
> –symlink-meta オプションを使用すると、README、REQUIREMENTS
> などのメタファイルが、コピーではなく元のプロファイルファイルへのシンボリックリンクになります。
> これにより、元のプロファイルの PAM テンプレートおよびメタファイルへの今後の更新が、カスタムプロファイルにも反映されます。


NFTABLES

もうひとつ nftables も見ておく
第5章 NFTABLES の概要

> nftables フレームワークは、パケットの分離機能を提供し、iptables ツール、ip6tables ツール、arptables ツール、および
> ebtables ツールの後継となります。
> 利便性、機能、パフォーマンスにおいて、以前のパケットフィルタリングツールに多くの改良が追加されました。


FIREWALLD への影響

第3章 FIREWALLD の使用および設定

検証したときはダイレクトルールが上手く動かなくて困ったのだが、
マニュアルを見る限り手法は間違っていなそうなので、バグだったのかやり方に誤りがあったのかも知れない

> Red Hat は、firewalld を介して管理していない IP セットを使用することは推奨しません。
> このような IP セットを使用すると、そのセットを参照する永続的なダイレクトルールが必要で、IP
> セットを作成するカスタムサービスを追加する必要があります。このサービスは、firewalld を起動する前に起動する必要があります。
> 先に起動しておかないと、firewalld が、このセットを使用してダイレクトルールを追加できません。/etc/firewalld/direct.xml
> ファイルを使用して、永続的なダイレクトルールを追加できます。

ただダイレクトルール設定に関するマニュアルは日本語が見当たらない
これは困った


REDHAT8 の導入検討について

こちらのサイトがライフサイクルについてわかりやすく書いてくれている
ビジネスにおいて導入を検討する場合、大きな検討事項は下記だろう

>  * マイナーリリースを6ヶ月おきに出荷、メジャーリリースを3年おきに出荷します
>  * 同一ソフトウェアの複数バージョンを提供します
>    * 一部のmoduleはサポートが短期間です(2年、3年)
>    * moduleの仕組みを使い、RHELの10年ライフサイクルと同期しない、頻繁なアプリケーションの更新を提供します。
>    * RHELにRed Hat Insightsを同梱し、自動的な診断サービスを利用できます

それに伴い Extended Update Support (EUS) が提供されるのは 8.1, 8.2, 8.4, 8.6, 8.8 予定ということ
えっ、じゃあ今出てる 8.0, 8.3, 8.5, 8.7 は・・・？今までみたいにとりあえず最新版使っとけでは面倒なことになる可能性がある

これから RedhatEL OSの導入を検討している場合 直近は 7系を使うか、8.1 が出る2019年末ごろまで様子を見たほうがよさそう


CENTOS8は？

2019年 9月 25日 今日リリースされた
CentOS Project

今まで通りの Redhat EL クローンであるナンバリングの他に 「CentOS Stream」
というローリングリリース式のOSも開始したようだ（Amazon Linuxみたいね）

> CentOS
> Streamは，アップストリームのFedoraと，エンタープライズディストリビューションであるRHELの中間（midstream）に位置するエディションと説明されており，Fedoraで実装されている最先端の技術をRHELより先に導入，あるいはRHELの次期マイナーリリースで実装予定のコードを含めることなどが予定されている。

これで 8 系OSの検証もしやすくなるかな

[改訂新版]プロのためのLinuxシステム構築・運用技術 (Software Design plus)
Share Comments
前の記事
よくみる OWASP Top10 の OWASP って何？
次の記事
Redhat Insights を試してみる



RECENTS

 * Game
   
   デスティニーチャイルド ラグナバース セト 攻略メモ
   
   2021-10-11

 * SE
   
   IoT PC 資格取得について
   
   2021-10-06

 * Game
   
   デスティニーチャイルド ラグナブレイク HEN TO PAN 攻略メモ
   
   2021-10-04

 * Game
   
   デスティニーチャイルド ワールドボス・トライアル ハルモニア 攻略メモ
   
   2021-09-10

 * Game
   
   デスティニーチャイルド ラグナブレイク WOUNDED WINNER PART.3 攻略メモ
   
   2021-08-16


CATEGORIES

 * diary 10
 * game 58
 * music 3
 * se 73


TAGS

 * aws 42
 * docusaurus 1
 * finalgear 7
 * hugo 2
 * iot 13
 * khuxdr 1
 * linux 7
 * pc 1
 * postfix 1
 * web 6
 * セキュリティ 6
 * デスチャ 50
 * ブラウザ 2
 * ライブ 3
 * 資格 4


© 2021 Powered by Hugo. Theme by PPOffice.