5回目-5.ファイアーウォールの設定

さくらVPSCentOS 7 2週間無料のお試し期間 5回目

一覧

 状態:-  閲覧数:1,607  投稿日:2018-01-29  更新日:2018-01-30
SSHのポート番号をデフォルトの22番から☆☆へ変更
既に処理済だった

http(80)とhttps(443)を許可する

firewalld / 2箇所 / 「デフォルト設定ファイル」と「ユーザー設定ファイル」の関係

 閲覧数:172 投稿日:2018-01-29 更新日:2018-02-01 

firewalld


内部的にiptablesを利用している

firewalldとiptablesを併用することはできない
・iptablesを利用する場合はfirewalldを停止しておく必要がある
・firewalldを利用する場合はiptablesを停止しておく必要がある

事前にゾーンを定義し、そのゾーンに対して許可するサービスを定義していく
・通信制御のポリシーを設定する場合、事前に定義されたゾーンに対して通信の許可・遮断ルールを適用し、そのゾーンを各NIC(ネットワークアダプタ)に割り当てていくという方式

ネットワークゾーンは9つある
・デフォルトのネットワークゾーンは「public」が選択されていて、サービスは「dhcpv6-client」と「ssh」が有効になっている

コマンドラインで「firewalld」を制御するためには?
・「firewall-cmd」というコマンドが用意されている

2箇所


システムデフォルト
/usr/lib/systemd/system/

管理者がカスタマイズする場所
/etc/systemd/system/

「デフォルト設定ファイル」と「ユーザー設定ファイル」の関係


「/usr/lib/systemd/system/」と「/etc/systemd/system/」の関係

同じ名前の設定ファイルがある場合
・「/etc/systemd/system/」が優先される

システムデフォルトの設定を変更する場合
・「/usr/lib/systemd/system/」から「/etc/systemd/system」へ設定ファイルをコピーして編集
・既に実行済だった
SSHのポート番号をデフォルトの22番から☆☆へ変更

Systemd メモ書き

/usr/lib/systemdあるいはfirewalldにデフォルト設定ファイルがある
・例えばsystem/default.targetファイルの場合、/usr/libでのgraphical.targetへのシンボリックリンクが、/etcでmulti-user.targetへのシンボリックリンクで上書きされている
$ ls -la /usr/lib/systemd/system/default.target
lrwxrwxrwx 1 root root 16 Jan 10 12:20 /usr/lib/systemd/system/default.target -> graphical.target

$ ls -la /etc/systemd/system/default.target
lrwxrwxrwx. 1 root root 37 Sep 14  2016 /etc/systemd/system/default.target -> /lib/systemd/system/multi-user.target


・設定を変更する場合は該当するファイルを同じディレクトリ構成で/etcへ配置
CentOS7のfirewalldをまじめに使うはじめの一歩(systemdも少し)

http(80)とhttps(443)を許可する

 閲覧数:159 投稿日:2018-01-30 更新日:2018-02-11 

変更


HTTPでの外部アクセスを許可する設定を追加する
・「--permanent」を指定すると、OSの再起動後も設定が有効になる
・但し設定を有効化するには、firewalldのサービスの再起動(restart)を行うか、設定の再読み込み(reload)を行う必要がある
・firewalldのゾーン「public」の設定内容は、ファイル「/etc/firewalld/zones/public.xml」に保存される
$ firewall-cmd --permanent --zone=public --add-service=http
Authorization failed.
Make sure polkit agent is running or run the application as superuser.

$ sudo -s  
                                                                                                                   
[sudo] password for ★★:


# firewall-cmd --permanent --zone=public --add-service=http
success


# firewall-cmd --permanent --zone=public --add-service=https
success


設定を有効化するためには?
・以下のコマンドを実行してリロードを行う
# firewall-cmd --reload
success


確認


firewalldコマンドでゾーン情報を確認
# firewall-cmd --list-all
public (default, active)
 interfaces: eth0
 sources:
 services: dhcpv6-client http https ssh
 ports: 443/tcp 80/tcp
 masquerade: no
 forward-ports:
 icmp-blocks:
 rich rules:


さくらVPS(CentOS7)で、Nginx+PHP7.1+MariaDBのWordPressを構築(HTTPS対応)

結果がLink先と若干異なっていた理由


OSインストール時に「CentOS_LetsEncrypt」を実行したからかも
・ポート番号で指定した上に、さらに「サービス名でもアクセス許可の設定」をしたみたい
▼CentOS_LetsEncrypt
# Configure firewall
firewall-cmd --permanent --add-port={80,443}/tcp
firewall-cmd --reload
CentOS7 firewall 設定について
CentOS7.1 64bit firewalldによるアクセス制御



CentOS 7 firewalld よく使うコマンド
5分で終わらせるCentOS7のfirewalld設定 
CentOS7,firewalldでhttpとsshだけ許可する設定 


CentOS7.1 64bit firewalldによるアクセス制御 


チュートリアル:CentOS 7(さくらのVPS)サーバ作成直後に設定しておくべき初期セキュリティ設定 
【さくらVPS】【CentOS7】Firewalld を設定する


5回目-4.sudo 時に実行ユーザーのPATHを引き継ぐ

5回目-6.Nginx 1.12.2 インストール確認



週間人気ページランキング / 9-18 → 9-24
順位 ページタイトル抜粋 アクセス数
1 Nginx設定。エラーログレベル | Nginx(Webサーバ) 17
2 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 14
3 9回目-13.MySQL5.7.21設定 | CentOS 7 2週間無料のお試し期間 9回目(さくらVPS) 12
4 PHPのmb_send_mail関数でメール送信できない | メール処理システム 10
5 ImageMagick と imagick の違い | ImageMagick(ソフトウェアスイート) 9
6 さくらVPS0 8
6 tar: これは tar アーカイブではないようです 8
7 manページ日本語表示 | CentOS 7 (CentOS) 7
7 Reached target Shutdown メッセージが表示されたあと、シャットダウンまたは再起動プロセスがハングアップする | CentOS 7 (CentOS) 7
8 ABRT により 問題が検出されました | CentOS 7 (CentOS) 6
8 PHPファイルでchmodエラー | PHP(プログラミング言語) 6
8 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 6
8 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 6
9 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 5
9 echo と cat の違い 5
10 phpMyAdmin 4.4.3(phpMyAdmin) カテゴリー 4
10 6回目-10.Nginxでバーチャルホスト設定確認 | CentOS 7 2週間無料のお試し期間 6回目(さくらVPS) 4
10 「さくらVPS」で、「CentOS6」を「CentOS7」へ変更するためには? | CentOS 7 2週間無料のお試し期間 Link(さくらVPS) 4
10 cronで定期実行しているphpファイルを、コマンドライン経由で即時実行する | cron(Linuxコマンド) 4
10 MySQL 5.5 から 5.6 へのアップグレード | MySQL(データベース) 4
2021/9/25 1:01 更新