ko00w1の投稿 - Crieit

＜手順＞
Active Directoryの「ユーザーとコンピュータ」から「パスワードを変えるアカウント名」を右クリックしてパスワードをリセットをクリック
↓
新しいパスワードを入力(ユーザアカウントを解除するをチェック入れる)して完了
↓
パスワードを変えたアカウントを1回ログアウトして、再度設定しなおしたパスワードでサインインできればOK(一応、cmdで”net user (ドメイン名) /dmain”でパスワード変更時刻を確認する)
※ネットワーク環境が変わったりしていると変更が反映されないので、同じネットワーク環境内で行うこと。違う場合は、ローカルアカウントで入りなおして、参加PCの「優先するDNSサーバアドレス」をDCのIPアドレスに設定しなおして同じネットワーク環境内にする。

ドメインアカウントでネットワークの設定を変えられるようにする方法

＜手順＞
Windowsキーを右クリックしてコンピュータの管理を開く
↓
ローカルユーザーとグループをクリックする
↓
グループをクリックして「administrators」を展開する
↓
追加をクリックして、ドメインアカウントの名前を入力して名前の確認をクリックし、そのドメインアカウントのパスワードを入力
↓
これでドメインアカウントでもネットワーク設定を変えることができる。

PC名変更対応

例としてPC_Aを「PC_A」というPC名に変更する。
＜手順＞
PC_A側で検索で「sysdm.cpl」を起動
↓
「ユーザー名：administrator」「パスワード：DCのパスワード」を入力
↓
コンピュータ名の変更をクリックしてコンピュータ名を変更
↓
再起動
↓
Active Directoryの「ユーザーとコンピュータ」で「computers」が、変更した名前になっているか確認する
↓
変更したPCのcmdで「hostname」と入力し、変えたPC名になっているか確認、なっていたら完了

PC返却対応

例としてPC_Aをドメインアカウントからワークグループへ戻す。ワークグループ名は「WORKGROUP」とする。
＜手順＞
PC_Aで「sysdm.cpl」を起動し、ワークグループにチェックを入れ、ワークグループ名を「WORKGROUP」にして完了する
↓
再起動
↓
Active Directoryの「Computers」からPC_Aのプロパティを見てワークグループになっていることを確認して、PC_Aを右クリックして削除を行う
↓
完了

オフィスクローズ対応

＜手順＞
Active Directoryのサーバマネージャーの管理より「役割と機能の削除」を選択
↓
降格するドメインコントローラーを選択し、次へ
↓
「Active Directory Dmain Service」横のチェックを外し、「機能の削除」を押す
↓
検証結果の「このドメインコントローラーを降格する」を押す(このドメインコントローラーの削除を強制にチェックをつけないと正常に削除できない)
↓
「このDNSゾーンを削除する」、「アプリケーションパーティションの削除」にチェックをつけ、次へを押す
↓
administratorのパスワードを入力し、次へを押す
↓
「降格」を押す
↓
再起動しなおして、Active DirectoryサーバPCのローカルサーバーのワークグループが「WORKGROUP」になっていることを確認する
↓
「役割と機能の削除」から「Active Directoryドメインサービス」と「DNSサーバー」のチェックを外す(チェックを外すときに出るウィンドウでは、機能の削除をクリックする)
↓
必要に応じて対象サーバーを自動的に再起動するをチェックし、「削除」を押す
↓
「役割とサーバーグループ」に「Active Directory」と「DNSサーバー」がなくなっていたら完了
※参加していたPCが「sysdm.cpl」でワークグループが「WORKGROUP」担ていることも併せて確認すること

ドメインコントローラーの降格・・・ドメインコントローラーを通常のサーバーにすること。

グループポリシー

・・・ユーザーやコンピュータに対する設定を一元的に管理するためのActive Directoryの仕組み(機能)のこと。セキュリティを強化したり、Windows機能を有効/無効にしたりするといった目的で企業内で扱うコンピュータ/ユーザを同じ設定にしたい場合に活用する。
※WindowsServer2012R2のグループポリシーは3000以上の設定項目が用意されている。

https://www.atmarkit.co.jp/ait/articles/1501/29/news032.html
↑
参考URL

サーバ入門6　Active Directoryの導入

2021-06-01T15:27:31+09:00

ドメインコントローラーのIPアドレスは静的(固定)IPアドレスで設定する。

手順

ADサーバの役割と機能の追加から「Active Directoryドメインサービス」をクリックしてインストールする。(ドメインコントローラーになるには、役割インストール後に昇格が必要になる。)
↓
「このサーバをドメインコントローラーに昇格」をクリック、新しいフォレストを追加するをチェックして、ルートドメインを入力
↓
DSRMパスワードを入力(DSRMパスワードは破損時に使う特殊なパスワード)
↓
「次へ」で進みインストールをクリック
↓
再起動がかかる
↓
ADDSが追加されていれば完了

ドメインアカウントでサインインする場合の注意

ドメインアカウントでサインインする場合は、アカウント名の指定方法が変わる。例えば、「aaa.test」という名前のドメインで作成したドメインアカウント「xyz」でサインインするには「aaa￥xyz」(.testは省略する)をユーザ名に指定してサインインする。ただし、「ドメイン名が1つだけで選択肢がない」かつ「同じ名前のローカルアカウントが存在しない場合」は省略可能。

Active Directory補足

・参加対象のPCの「優先DNSサーバアドレス」をDC(ドメインコントローラー)のIPアドレスへ変更する理由は、DCと作業対象の通信に「DNS」を使用するため必要。

サーバ入門6　Active Directoryの基礎知識

2021-06-01T15:17:27+09:00

Active Directoryの基礎知識

基本機能	身近なもので例えると
ディレクトリーサービス	住民基本台帳(住民票)
ユーザ認証	マイナンバーカード
クライアント管理	法律

ディレクトリーサービスとは

ネットワーク上に存在するリソース情報を、記録、検索できるデータベースのこと
例えば、ユーザ(社員)、コンピュータ(社員のPC)、プリンター(officeの複合機)の情報管理に利用される。
※ディレクトリーサービスに、ネットワークに接続するためにLDAPと呼ばれる通信プロトコルが使われている。

ユーザ認証とは

ディレクトリーサービスの情報へアクセスするユーザを識別する機能
※kerberos(ケルベロス)と呼ばれる通信プロトコルを使い、チケット(身分証明書みたいなもの)を使ってシングルサインオン認証を行う。

クライアント管理とは

Active Directoryの管理下にあるコンピュータに対して、設定(グループポリシー)を配布する機能
※ポリシーの配布には、ファイル共有でも使われるSMBと呼ばれる通信プロトコルが利用される。
・「簡単なパスワードを使わせない」、「定期的に変更を強制させる」ルールもよく使わ
れる。

Active Directoryのメリット

管理者側のメリット

・ドメイン管理下のユーザアカウント管理が簡単になる。
・ファイルサーバへのアクセス許可が簡単になる。
・ドメイン管理下のコンピュータに同じ設定を簡単に適用できる

利用者側のメリット

・ドメイン管理下のコンピュータと連携アプリケーション(officeやTeamsなど)は、同じユーザ名とパスワードでログオン可能。
・WindowsUpdate等のセキュリティ管理を利用者側で意識しなくてもよい。
・検索機能を使えば、ユーザ(全社員の情報)を簡単に検索できる。

Active Directoryとワークグループ

Windowsコンピュータをネットワークに接続して利用、管理するには2種類の方式がある。

1.ワークグループ

家庭や数人程度の会社に適した設定
※Windows10homeはこの設定のみ可能

2.Active Directory(ドメイン)

企業ネットワークに適した設定。ネットワーク上にドメインコントローラーの役割を持つサーバが最低1台必要になる。

ワークグループ環境

ユーザアカウントを各コンピュータが管理する方式。
・ユーザ名とパスワードは「SAM」と呼ばれる特殊なデータベースに格納される。
・管理されるユーザアカウントは「ローカルアカウント」と呼ばれる。
・複数台のコンピュータを使う場合、それぞれのコンピュータが「SAM」を持っているので、ユーザ名とパスワードは台数分設定が必要。

Active Directory環境

「ドメイン」という論理的な単位で、組織のネットワークに接続されたコンピュータをまとめ「ドメインコントローラー」と呼ばれる役割を持つサーバが、ユーザーアカウントを集中管理する方式。
・ユーザ名、パスワードは「SAM」ではなく、ドメインコントローラーが持つNTDSデータベースで集中管理される。
・管理されているアカウントは「ドメインアカウント」と呼ばれる。
・ドメインで管理できるPCはWindows10Professional以上
・ドメインアカウントを所持していると、ドメインに参加したPC全てにサインインできる(制限している場合を除く)

Active Directoryオブジェクトに対するアクセス許可について

アクセス許可とは、ファイルやフォルダなど、ネットワーク上のオブジェクトに関連付けられている規則のこと。
・オブジェクトにアクセスできるかどうか、オブジェクトに対してどのような操作を実行できるかはアクセス許可によって決まる。
・Administratorのアカウントはフルコントロールすることができる。
・アクセス許可レベルについては、フルコントロール、変更、読み取りと実行、読み取りと書き込みといったものがある(今あげたものは例として、ファイルサーバのアクセス許可レベルについて)

まとめ

Active Directoryを導入してグループ単位でファイルサーバのアクセス許可を設定すれば、ユーザーが増えても、そのグループにユーザーを追加するだけでファイルサーバーの設定変更なしにアクセスを許可することができる。(ファイルサーバ以外にメールサーバやアプリケーションサーバなども同様の対応を設定していることが多い。)

サーバ入門5　運用体験まとめ

2021-05-31T15:05:15+09:00

運用体験「アップデート」

・LinuxのWebサーバのパッケージを最新にする。
・Webサーバ(Linux)のパッケージを全て最新のものへとアップデートして、サーバを再起動する。
＜手順＞
$su -　でroot権限にする
↓
#yum cheak-update　(アップデートを確認)
↓
#yum -y update　(アップデートを開始)
↓
#yum cheak-update (アップデートをもう1度確認)
↓
#systemctl restart httpd　(Webサーバ再起動)
↓
#cat /etc/redhat-release　(OSのバージョンを確認)
↓
完了

運用体験　「Webサーバのアインストール」

・Webサーバ(Linux)からApacheのパッケージを削除する。
＜手順＞
#systemctl stop httpd　(httpdを停止)
↓
#yum -y remove httpd　(Apacheのアインストール)
↓
#yum list installed httpd　(httpdがアインストールされているか確認)
↓
#firewall-cmd --permanent --remove-service=http　(ファイアウォールを閉じる※「--permanent」で永続化を指定しなければ、再起動したら元の状態に戻ってしまうことに注意)
↓
#firewall-cmd --reload　(ファイアウォールをリロードする)
↓
#fairewall-cmd --list-services　(リストを見て、httpがなくなっていたら完了)
↓
完了

### 補足
・vimのインサートモードで編集を終えて、保存して終了する方法は、「Esc」で戻り「:x」で保存して終了
・httpの自動起動無効化の方法は「#systemctl disable httpd」
・設定ファイルをvimで編集する際、サーバ上でできることは、cpを使って設定ファイルをバックアップし、編集後はdiffで編集前後の差分を確認する。スナップショットも有効。
・Windows10やMacOSでは、Linuxと同様に、scpコマンドを使ったファイルを転送できる。
・Apache(httpd)だけをアップデートするコマンドは「yum -y update httpd」

サーバ入門5　fail2banのインストールと動作確認

2021-05-31T14:38:45+09:00

fail2banとは

サーバのアクセスログを解析してパスワード総当たり攻撃を行っているIPアドレスを自動でブロックするソフトウェア。インターネットにサーバを公開すると、攻撃されるので、不正アクセス地策が必要。

EPELリポジトリのインストール

fail2banはCentOS7の標準リポジトリでは公開されていない。EPEL(Extra Packages for Enterprise Linux)リポジトリで公開されている。

リポジトリ

・・・ソフトウェア(パッケージ)が公開されているサーバのこと。EPELリポジトリにアクセスするには、別途インストールが必要。
※EPELリポジトリが使えない状態でfail2banをインストールしようとするとエラー表示になる。
・EPELリポジトリが使える状態にするため、「epel-release」をインストールする。
#yum -y install epel-release
インストールが完了した直後から、EPELサーバへアクセスができる。

fail2banのインストール

fail2banをインストールする。
#yum -y install fail2ban
・fail2banはインストールしてもすぐに使えない。
・設定ファイルに、足りない情報(どのような不正アクセスをブロックするか)の記述が必要。

fail2ban設定ファイルのコピー

設定テンプレートファイルjail.confをディレクトリ/etc/fail2ban/jail.d/にjail.localという名前でコピーし、編集を行う。
#cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.d/jail.local　　ファイルをコピーする
#ll /etc/fail2ban/jail.d/jail.local　　　ちゃんとコピーできたかどうか確認
#vim /etc/fail2ban/jail.d/jail.local 　　jail.localをvimで編集する。

設定ファイル(jail.local)の編集

3行だけ変える内容がある。
23: # [sshd]　　→　　23:[sshd]　(先頭の#とスペースの2つを削除する)
24: # enable = true　→　24:enabled = ture　(先頭の#とスペースの２つを削除する)
208:banaction = iptables-multiport　→　208:banaction = fairewallcmd-ipset　(文字列変更)
23、24行目はsshでfail2banを有効(enable)にする意味
208行目はfail2banはfairewalldと連携してブロックするという意味
※fail2banのバージョンによって、編集対象の文字列がある行や位置が変わるので注意。

diffコマンド

ファイルの差分を見られる便利なコマンド。変更作業の実務でよく使う。元ファイルとの差分を見れば、変更すべき行だけ変更したのかすぐわかる。
$diff [比較元ファイル] [比較先ファイル]
・diffの出力は、数字が変更のある行数、「＜」の記号が比較元の文字を表し、「＞」の記号が比較先の文字を表す。
※fail2banのバージョンによって、編集対象の文字列がある行や位置が変わるので注意。

fail2banの起動及び自動起動

Apache HTTP Serverの時と同じ要領で、systemctlコマンドを使う。サービス名は「fail2ban」
1.fail2banを起動#systemstl start fail2ban
2.起動したことを確認#systemctl status fail2ban
3.自動起動の有効化#systemctl enabled fail2ban
4.自動起動が有効化になったことを確認#systemctl is-enabled fail2ban
※設定ファイルの記述がおかしいとfail2banはエラーで起動しない。エラーの場合は設定ファイルの記述を見直すこと。
・fail2banが起動すると、攻撃元のIPアドレスを一定時間(600秒)ファイアウォールでブロックする。※ログイン回数や遮断時間はfail2banのデフォルト設定値。

fail2banの状態確認

fail2banには、攻撃背れた回数、ブロックした回数、ブロックしたIPアドレスの統計情報を出力するコマンドがある。
#fail2ban-client status [サービス名]
※SSHに設定している場合は、サービス名は「sshd」となる。

fail2banおまけ

・実際にfail2banを運用する場合、ブロックする時間は600秒では短い。長めの時間に設定することがほとんど。時間を変更したい場合は、jail.localに「bantime=(秒)」を追記する。なお、vimで修正しても、systemctlコマンドでfail2banを再起動させないと新しい設定が反映されない。
・ブロック中のIPアドレスのbantimeは「ipset --list」で確認できる。※ipsetはfirewalldの管理ユーティリティの1種。
・ブロックしたIPアドレスをbantimeを待たずに解除させる方法は
#fail2ban-client set sshd unbanip [IPアドレス]

サーバ入門5　Webサーバのインストールと動作確認

2021-05-31T12:53:01+09:00

Apache HTTP Server

世界中で最も多く使われているOSSのWebサーバソフトウェア
・信頼性が高い、Webで情報を入手しやすいといった特徴がある。
※Apacheは仕組み上Clok(クライアント1万台問題)を抱えているので、万単位のリクエストを処理するようなWebサーバでは、nginxが使われる。

Apacheのインストール

$su - →　　　　#yum -y install httpd(CentOSではhttpdというパッケージを指定)

Apacheの起動

Windowsと異なり、インストールしてもApache HTTP Serverは起動していない。
#systemctl start httpd(インストールしただけでは起動していない)
#systemctl status httpd(本当に起動したのか状態を確認する)
※ステータスがactiveになっていれば、httpdは起動している。

Apacheを自動起動させる

OSを起動(再起動)したときに自動でApache HTTP Serverを起動させたい場合。
#systemctl enable httpd
#systemctl is-enabled httpd(自動起動が有効か確認)
※is-enabledの結果がenabledになっていれば、httpdは自動起動する。disabledの場合は、自動起動しないことを意味する。

cystemctlコマンド

Linuxの起動処理や、システム管理をコントロールするためのコマンド。サービスの起動や停止の操作する際に欠かせない。
#systemctl [サブコマンド] [サービス名(ユニット名)]

サブコマンド	効果
start	開始する
restart	再起動する
stop	停止する
status	状態を確認する
enable	自動起動を有効にする
disable	自動起動を無効にする
is-enabled	自動起動の状態を確認する
list-unit-files	インストールされているユニットを表示する

etc...

ファイアーウォールの設定

以下のコマンドを入力し、外部からサーバへHTTP通信を許可にする。
#firewall-cmd --permanent --add-service=http
#firewall-cmd --reload
#firewall-cmd --list-services
「--list-srvices」でHTTPがリストに追加されたことを確認する。

firewall-cmdコマンド

CentOS7では、ファイアーウォールにfirewalldが採用されている。fairewalldをコマンドで操作できるのが「firewall-cmd」
#firewall-cmd [オプション]
※オプション「--permanent」を加えない場合は設定が即時反映されるが、fairealldを起動すると設定が元に戻る。

オプション	効果
--add-service=サービス	指定サービスの通信を許可にする
--remove-service=サービス	指定サービスの通信を許可しない
--permanent	永続化を指定※即時反映には--reloadが必須
--reload	設定をリロードする
--list-services	許可されたサービスを確認する
--list-all	ゾーンの状態を確認する
--get-services	--add-srviceで指定できるサービス名を確認する

etc...

firewalld

・・・LinuxOS用のファイアーウォール管理ツール
・Webサーバにはドキュメントルートと呼ばれる、公開するコンテンツを配置するディレクトリがある。httpdの場合「/var/www/html/」
・Webサーバにファイル名を指定せずにアクセスした場合「index.html」という名前のファイルが表示される。

サーバソフトウェアのインストールフロー

パッケージのインストール(yum)
↓
(設定ファイルの編集)(vim)※場合によっては設定しない
↓
サービス起動と確認(systemctl)
↓
サービス自動起動設定と確認(systemctl)
↓
ファイアーウォールの設定(firewall-cmd)
↓
動作確認

サーバ入門5　チュートリアルメモ

2021-05-31T12:16:50+09:00

vimにはチュートリアルが用意されている。

vim-enhancedのインストール

$su -※インストールするためにはroot権限が必要なため
#yum -y install vim
#exit※インストールが終わったらroot権限は不要なため
※su -の後には、rootユーザのパスワードを入力

su(Substitate)コマンド

$su (オプション) [ユーザ名]
ユーザを切り替えるコマンド。ユーザ名を省略すると、rootユーザが指定される。
＜オプション＞
[-]　対象ユーザがログインした時と同じログインシェルを環境にする。
[なし]　現在のユーザのログインシェル環境を引き続き使用する。
※オプションの「‐」のあるなしでユーザ環境変数に違いが出るので要注意。環境によってはプログラムの動作に違いが出ることもあり得る。
※rootユーザーで、操作を間違えると簡単にシステムを破壊する。

yum(Yellowdog Updater Modifie(CentOS8はdnfに置き換わっている))コマンド

ソフトウエアのパッケージインストール・削除が行えるパッケージ管理システムのコマンド。RedHat系ディストリビューションで使える。
パッケージ・・・すぐ使えるようにソフトウェアのソースコードをコンパイルしたもの。
#yum (オプション) [コマンド] [パッケージ名]

オプション	効果
-y	全ての問い合わせに「yes」で応答したものとして実行する
-x	指定したパッケージを除外する

コマンド	効果
install	インストールする
remove	アインストールする
update	インストール済みのパッケージをアップデートする。すべてのパッケージアップデートする場合は、パッケージ名の指定は不要
check-update	インストール済みのパッケージでアップデート可能なものを表示する

※check-updateはroot権限不要

vimtutorコマンド

vimのチュートリアルができるコマンド
$vimtutor (オプション)

オプション	効果
ja	日本語で起動
en	英語で起動

※vimtutorはSSHで接続しないと日本語で表示されない。
※途中で終了する場合は、コマンドラインモードから「q!」

vimチュートリアルメモ

・テキストの追加(ノーマルモードで、追加したい場所にカーソルを合わせて「A」を押す)
・de(カーソルの位置から空白を含まない単語の末尾まで)
・d$(カーソルの位置から行末まで)
・「U」で行全体の取り消しができる
・カーソル下の文字を置き換えるためには「r」をタイプした後、それを置き換える文字をタイプする。
・「cw」はカーソルの位置から語の終わりまで変更する。「c$」なら行の終わりまで変更する。
・「:!dir」、「:!ls」でコマンドラインモードからディレクトリ内の一覧を見ることができる。
・「:!del(ファイルネーム)」、「:!rm(ファイルネーム)」でコマンドラインモードからファイルを削除することができる。
・「:w(ファイル名)」でコマンドラインモードからファイルがディスクに書き込まれる。
・「:r(ファイル名)」でコマンドラインモードからファイルがディスクにより取り込まれ、カーソルの下の位置に挿入される。
・「:r!dir」はdirコマンドの出力をカーソル位置下に読み込む。
・「o」をタイプすると、カーソルの下の行を開けて、そこで挿入モードになる。「O」をタイプするとカーソルの上の行で挿入モードになる。
・カーソル上の文字の次からテキストを追加するには「a」を入力。行末に自動でテキストを挿入するには「A」を入力
・「R」をタイプすると、置換モードに入り、「Esc」を押すと抜ける。
・「:help」、「F1キー」を押すとヘルプウィンドウが表示される。
・コマンドヘルプを検索するときは「:help cmd」と入力する。
・別のウィンドウへジャンプするときは、「Ctrlキー -w」とタイプする。
・ヘルプウィンドウを閉じるときは「:q」とタイプする。

サーバ入門5　vim基本操作

2021-05-31T11:04:49+09:00

なぜvimが必要か

LinuxはWindowsと異なり、設定する値をテキストファイルに記述するものが多い。

vimとは

Linuxで標準的に使われているテキストエディタで、Windowsでいうところのメモ帳。
Linuxで利用されるエディタとして「emass」や「nano」がある。

vimの特徴　その1

基本は「hjkl」キーでカーソル移動をする。「h」は←、「j」は↓、「k」は↑、「l」は→の操作となる。
・ホームポジションから移動しない速度重視の設計
・十字キーでも移動できるが、できないサーバもある。

vimの特徴　その2

モードで挙動が違う

ノーマルモード(Nomal mode)

・vim起動時に最初に入るモード
・hjklのカーソル移動はノーマルモードでできる。
・文字入力はできない(a~Zまですべてコマンドとして割り当てられている。)
・ほかの各モードから戻るには、「Esc」もしくは、「Ctrl＋［」キーを押す。
＜コマンド＞
x （カーソル上の1文字を削除）
dd　（カーソルのある行を削除）
　　　　　　　　　　　　　etc...

コマンドラインモード(Command-line mode)

ノーマルモード上で「:」キーを押すとコマンドラインモードへ移行する。
＜コマンド＞
x（保存して終了）変更がないときはタイムスタンプの更新はない
q!（保存しないで強制終了）変更があるときでも保存しないで終了する
　　etc...
※慣れないうちは、保存の「x」と保存しないで終了の「q!」のコマンドを覚えておくとよい

インサートモード(Insert mode)

・文字入力や編集ができる
・ノーマルモード上で「i」、「a」、「o」等のキーを押すと固有の動作をしてインサートモードへ移行する。
※慣れないうちは「i」だけ覚えておけばOK
＜コマンド＞
i（カーソルの位置からInsert modeへ）

ビジュアルモード(Visual mode)

・文字の選択が行える
・ノーマルモード上で「v」キー等を押すとビジュアルモードへ移行する。

vimの起動

起動コマンドは、vimではなく「vi」
例：vimでファイル「xyz」を作成　　$vi xyz

vimモード切替

・開始直後は、ノーマルモードだが、現在が何モードなのか表示されない。
・「i」キーを押せばインサートモードに移行、「Esc」キーでノーマルモードに戻る
・「INSERT」の表示が消えれば、ノーマルモードに移行していることになる。

カーソル移動

・「hjkl」キーでカーソルを移動する。
・「w」や「b」を使うと、単語単位で高速移動ができる。

保存・終了

・「:」キーを押してコマンドラインモードへ移行
・左下に「:」の文字が表示されていればコマンドラインモード
・「：」の後に「x」を入力して「Enter」を実行すると保存・終了が行われCLIに戻る。

文字列の検索

・ノーマルモードで、「/」キーを押して検索コマンドラインへ移行、次に検索したい文字を入力
・検索したい文字が複数存在する場合は、「n」キーを押すと次の位置へカーソルが移動する。

文字及び行の削除

・「x」キーを押すと、カーソルの位置の文字が1文字削除される。
・1単語単位で削除する場合は「dw」、2単語の場合は「2dw」
・行を丸ごと削除したい場合は、「dd」

行コピー＆ペースト

・「yy」キーを押すとカーソル行の文字全部をコピーする。ペーストするには「p」(カーソルの下の行へペースト)キーを使う

undo&redo

・「u」キーを押すとundo(やり直し) が行われる。押した回数分undoが行われる。
・「Ctrl＋r」キーはredo(やり直しの取り消し) が行われる。押した回数分redoができる。

行数表示と行ジャンプ

行数表示や行ジャンプは、長文のテキストファイル編集時に役立つ。
・「:」キーでコマンドラインモードへ行き、「set nu」と入力して「Enter」を押せば、行数が表示される。※解除したい場合は「set nonu」
・行ジャンプはノーマルモードで「[指定する行番号]gg」で行える。行番号を指定しない場合は(ggのみ)は先頭行へ移動、「G」は最終行に移動する。

サーバ入門4　コマンド操作応用課題メモ

2021-05-27T12:44:11+09:00

・$touch (テキストファイル) (テキストファイル) ...で複数のファイルを同時に作成することができる。
・$rm (テキストファイル) (テキストファイル)...で複数のファイルを同時に削除することができる。

・ファイル名やコマンドキーは「Tabキー」で補完することができる。入力ミスを防げたり、コマンド入力のスピードが向上する。
・基本操作に慣れてきたら、検索を駆使して、知りたい操作や、コマンドをどんどん調べて身に着けていこう。
・Cent(OSのバージョン)　やりたいこと　コマンドのキーワードで検索するとだいたいヒットする。

サーバ入門4　コマンド操作(9つのコマンド) その2

2021-05-27T12:36:42+09:00

⑥cp(copy)コマンド

指定したファイルを指定したディレクトリへコピーする。
$cp (オプション) [コピー元ファイル] [コピー先ファイル]

「r」オプションを使うとディレクトリもコピーできる。
$cp -r [コピー元ディレクトリ] [コピー先ディレクトリ]
※cpkコマンドは「コピー＆ペースト」のイメージ

⑦mv(move)コマンド

ファイルやディレクトリを指定ディレクトリへ移動する。
$mv (オプション) [移動元パス] [移動先パス]
※ファイルを移動する際はオプションはなしでよい。
※mvコマンドは「カット＆ペースト」のイメージ。

mvコマンドは、名前変更するコマンドとしても使える。
$mv (ファイル名) (変更後のファイル名)

⑧rm(remove)コマンド

ファイルやディレクトリを削除する。
$rm (オプション) [削除したいファイル]
※ファイルを削除する際はオプションはなしでよい。
・rmは操作を誤ると、OSとその重要なファイルを削除してしまう危険コマンド。実作業では、指差し確認と「wチェック」が欠かせない。

rmコマンドでディレクトリを削除する場合は「r」オプションを使う。
$rm -r [削除したいディレクトリ]
※rmdirというディレクトリを削除するコマンドもある。

⑨lessコマンド

テキストファイルの中身を表示する。読み取り専用のメモ帳のイメージ
$less [表示したいファイル名]
他の表示系のコマンドとして、「cat」や「more」があるが、それらとは異なり、「q」キーを入力するまで、表示が終了しないのが特徴。じっくりテキストファイルの中身を確認したいときに最適。
ログファイルやサーバソフトウェアの設定ファイルの中身を確認するときによく使う。
cat・・・catenateの連結するの意味($cat [ファイル名])
more・・・ $more (オプション) [ファイル名]
less上の操作は、カーソルキーで1行、スペースキーでページスクロール、終了するときは「q」を入力。
＜各コマンドのファイルの表示の違い＞
less・・・「q」を押すまで終了しない
cat・・・ファイルのログを全部一覧表示
more・・・(％)で結果を表示。

コマンド操作補足

・bashシェルの便利な機能の1つとして、「コマンド履歴」機能がある。
・bashシェルは過去に実行したコマンドを履歴として記録している。カーソルキーの「↑」キー、もしくは「Ctrl」＋「p」を押すごとに、1つずつ遡ってコマンドを表示する。表示されたコマンドは「Enter」で実行することができる。
・「history」コマンドを実行すると過去に実行したコマンドの一覧が古い順に表示される。($history)「！ヒストリー番号」でその番号のコマンドを実行できる。

poweroffコマンド

OSを停止できる。
※CentOS6以下の古いLinuxでは使用できない。
$poweroff
CentOS7では管理者権限が必要なコマンドで、一般ユーザで実行するとrootユーザのパスワード入力が求められる。

サーバ入門4　コマンド操作(9つのコマンド) その1

2021-05-27T11:52:00+09:00

コマンドに入る前に

・Linuxのコマンド入力画面は、一般権限ユーザだと「$」で表示され、管理権限をもつrootだと「#」がユーザの種類を表す記号として表示される。コマンドの入力列の先頭に、「$」や「#」が書いていてもターミナルでは「$」や「＃」は入力しないこと。

①pwdコマンド

現在の作業ディレクトリ「カレントディレクトリ」を絶対パスで表示。
初心者は迷子防止のためディレクトリを移動する際に必ず使うこと。

pwd(print work directory)

・・・現在どこのディレクトリで作業中なのかを知ることができる。
ログインしたユーザのホームディレクトリ(/home/ユーザ名) がカレントディレクトリ
※最初の”/”とhomeの後の”/”は意味が異なる。最初のはルートディレクトリを表していて、homeの後はディレクトリの区切りを表す。

/(ルートディレクトリ)home/(ルートディレクトリ)ユーザ名

コマンド例
$pwd

＜ディレクトリ構成＞

ファイルを入れる入れ物をWindowsではフォルダ、Linuxではディレクトリと呼ぶ。
Linuxは、頂点となるルートディレクトリ(/) を起点としたツリー構造で、ファイルとディレクトリを管理する。※ファイルを操作するコマンドを実行するためには、この構造のファイルやディレクトリの位置の指定が必要。
ルートディレクトリはWindowsで「C:」のようなもの

FHS(Filesystem Hierarchy Standard)

・・・ファイルシステムの階層標準のこと。

サーバ運用作業で頻繁に使用するFHS

/etc　システムの設定ファイルが保存される
/home　一般ユーザのホームディレクトリ(rootユーザは/root)
/var/log　ログファイルが保存される
etc...

絶対パス指定

ルートディレクトリを基点としたディレクトリ指定のこと。どこのディレクトリにいても必ず指定先に移動できる。絶対(いつ、いかなる、どんなときも)パス(ファイルやフォルダの場所を示す情報)
例：＄cd /home/yy

相対パス指定

カレントディレクトリ(現在作業している場所)を基点としたディレクトリの指定のこと。「自分が今いるところ」を基準にして表現したファイルやフォルダの場所。
相対パス指定には、記号を使った指定方法もある。
例：＄cd yy

相対パスでの指定で扱う記号

記号	読み方	意味
~	チルダ	ユーザのホームディレクトリ
.	ドット	カレントディレクトリ
..	ドットドット	1つ上のディレクトリ※

※cd../..のように複数回使用すると、2つ上のディレクトリに移動できる。

②ls(List segments)コマンド

ディレクトリに存在する、ファイルやディレクトリの一覧を表示する
$ls (オプション) (ディレクトリ名)
※オプションやディレクトリの前に必ず半角スペースが必要

オプションなしで「ls」のみを実行すると、カレントディレクトリの一覧を表示する。

$ls /を実行すると、ルーディレクトリに存在するディレクトリ(第2階層)を見ることができる。
$ls -lで詳細表示(CentOSの場合ll(エルエル)で同じ結果になる)
$ls -laでさらに隠し属性も表示

オプション	オプションの意味
a	隠し属性を表示
l(エル)	詳細を表示(パーミッション、オーナー(所有者)、サイズ、日付)

隠し属性

・・・Linuxではファイルの先頭に.(ドット)をつけることで、表示を隠すことができる決まりがある。

③mkdir(make sirectory)コマンド

ディレクトリを作成する。
$mkdir [ディレクトリ名]

④cd(change directory)コマンド

ディレクトリを移動する。
$cd [ディレクトリ名]
・1つ上のディレクトリを表す「..(ドットドット)」を移動先へ指定し、元のディレクトリへ戻れる。
$cd ..
※絶対パス指定の「cd/home/[ユーザ名]」でも移動できる。

⑤touchコマンド

空のファイルを作成したり、ファイルの更新日時を現在の日時に変更することができる。
$touch [ファイル名]

サーバ入門4　OSインストール及び初期設定

2021-05-27T11:01:12+09:00

ssh(secure Shell)

・・・暗号や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコル。
「PC(sshクライアント)」から「遠隔地にあるLinux(sshサーバ)」へリモート接続できる。
＜特徴＞
・Linuxコマンドを実行することはもちろん、ファイルの転送も行える。
・通信に使われるsshプロトコルは、TCPの22番ポートが使用される。

＜VirtualBoxでCentOS7を使う場合の注意＞

・マウスがコンソール画面から外へ出られない場合は、キーボードの右側にある【Ctrl】キーを押すこと。
・VirtualBox情報ウィンドウがでたら「キャプチャー」を選択。キャプチャするとマウスは仮想マシンの画面に固定される。
(マウスがクリックできない、カーソルが途中までしか動かないときには)
・Tabキー選択位置の移動
・Enterキーボタン押下

root

・・・Linuxで最強の権限を持つスーパーユーザ

CentOSでのコマンド

ip aWindowsのipconfigに近いコマンド。CentOSのIPアドレスを確認することができる。

・Linuxは、sshでリモートログインして操作する運用がほとんど。運用現場では、「Tera Term」がクライアントソフトとしてよく使われる。
・スナップショットで復元する場合は、仮想マシンの電源をオフにする必要がある(オンの場合は復元がグレーアウトしてクリック不可となる)

＜Ubuntuインストール＞

・仮想マシンのメモリサイズは、「2048MB」に変更すること。

サーバ入門４　Linuxの基礎知識

2021-05-27T09:48:05+09:00

Linuxとは

一般的には、Linuxカーネルもしくは、Linuxカーネルを使っているOSのことを指す。
1991年、リーナス・トーバルズ氏がヘルシンキ大学在学中に、自分のPC用に開発したUNIX風のカーネルがルーツとなる。
・Linuxが誕生するまでは、PCで動作するオープンソースのOSはなかった。
・Linuxは問題があれば、ソースコードを見て、自ら修正することができる。

UNIX

・・・1969年にベル研究所がPDP-7にとあるゲームを移植するために開発したOS。今では当たり前のマルチタスクやマルチユーザー機能を初期のころから備えていた。

＜Linuxの特徴＞

・オープンソースで鍛えられた結果、信頼性が高い
・サーバ用OSとして、世界中で大人気
・CLIが主流で、迅速かつ効率的な操作を実現している。

CLI(Command Line Interface)

・・・コマンドは、必要なキーストローク数を減らすために非常に簡潔なものとなっているが、慣れるまで経験が必要。
・ W3Techs(Web技術の調査機関) のレポートを見ると、最新のWebサービスのインフラに使われているOSや、各種ソフトウェアのシェアを知ることができる。

＜ディストリビューション＞

ディストリビューション

・・・一般の人がOSとしてすぐ使えるように、ひとまとめにしたソフトウェアの配布形態。具体的には、カーネル、ライブラリ、シェル、コマンド、サーバアプリケーションなどのソフトウェアと、それらをコンピュータへインストールするインストーラが含まれる。
ユーザが入力するコマンドは、直接カーネルでは実行されずに必ず、シェルを経由する設計になっている。

カーネル(kernel)

・・・ハードウェアとソフトウェアのやり取りを実現している。
最重要でかつ最も低レイヤーのプログラム、セキュリティと安全性を担保するため、通常はシステムコールでしか命令ができない。

シェル(shell)

・・・カーネルとユーザの橋渡し役を行うプログラム。ユーザから入力されたコマンドを解釈してカーネルへ引渡し、その結果をターミナルへ出力する。

・Linuxカーネルを含むソフトウェアは、パッケージという形式になっていて、「パッケージ管理システム」で管理する。これにより、インストールやバージョンアップなどの作業を、パッケージ単位で効率よく行える。
・「パッケージ管理システム」は、依存関係で必要なパッケージを識別して、それらをまとめて自動でインストールしてくれる。
・RedHat系のパッケージ管理システムはYumやDNF、Debian系はAPTが使われる。

＜ディストリビューションの種類＞

RedHat系

RedHat Enterprise Linux(RHEL)、CentOS等が該当
「トラブルを自己責任で解決できない企業」を対象に、サポート付きで売り出したLinuxOSがルーツ。商用のLinuxでデファクトスタンダード。
最新バージョンはRedHat、CentOSともに8

Debian系

Debian GNU/Linux、Ubuntu、Raspbian等が該当
個人利用や研究、教育目的で利用される。UbuntuはWindowsに近いGUI環境を持つ。
最新バージョンはDebianが11、Ubuntuは21

CentOS

セントスやセントオーエスと呼ばれるRHELと高い互換性を持たせることを目指し、開発された。

＜特徴＞OS7まで

・RHELをベースにしているので、ほかの無償提供されているLinuxより、信頼性が高い。
・サポート期間が、リリース日から10年と長い。

Ubuntu

安定に定評があるDebianをベースに「誰でも使いやすい、最新かつ安定したOS」を目指し、開発されている。

＜特徴＞

・Debianをベースにしているので、安定性は高く、CentOSより最新のソフトウェアが多く使われている。
・GUIに力を入れているので、Windowsユーザでも使いやすい
・日本語対応も万全

＜現場でよく見かける使い方＞

・社外向けサービス用サーバ(Web、DNS、Mail etc...)
・監視系サーバ(Prometheus、Zabbix、Nagios etc...)

WordPress

・・・オープンソースのブログソフトウェア

サーバ入門４　Linuxを学習するコツ

2021-05-25T16:35:42+09:00

・Linuxはまさに、「できる」と「知っている」との間には深くて大きな溝がある。
・Linux技術を習得する最も効果的な方法は、「繰り返し」触れること。
・最初のうちは深く考えず、参考にした正しい手順をそのまま覚えることに集中する。まずは構築を繰り返して 「確実に完成させる手順」「構築の流れ」 を覚えることに集中する。

サーバ入門3　追加情報

2021-05-25T12:27:41+09:00

・DHCPサーバから、自動取得されなくなった場合は

1. サーバの電源が抜けていないか
2. OSが起動しているか
3. DHCPサーバが起動しているか
4. 対象スコープのリソースが枯渇していないか
　　　　　　　　　　　　　　　　　　　　を確認する。

・Windows Server2012R2からDHCPフェールオーバー構成ができるようになり、80/20のルールはそれほど使われなくなっている。
・1台のPCだろうと、無線LANと有線LANのインターフェースはそれぞれがDHCPDISCOVERを送信して、異なるIPアドレスを取得している(1台のPCで2つ分のIPアドレスを取得していることになる)

サーバ入門3　運用体験まとめ

2021-05-25T12:19:49+09:00

1.DHCPサーバの設定変更依頼(DHCPの192.168.1.0/24のスコープを削除して、新しくスコープを作る)

1．まず、DHCPのネットワーク情報を変える必要がある。DHCPのイーサネット情報から各種IPアドレス情報を変更する。
2．ネットワークスコープを右クリックして削除する。
3．新しくスコープ情報を追加する。
4．クライアントPC側のコマンドプロンプトで「ipconfig /release」で現在のIPアドレスを開放する
5．また、コマンドプロンプト「ipconfig /renew」でIPアドレスを再取得する。
6．コマンドプロンプト「ipconfig/all」で各種IPアドレスが変更されているか確認する。
※クライアントPC側でパブリックネットワークがONになってしまったときは、1回シャットダウンして、ネットワークを「NAT」に変える。そして、起動してネットワークとインターネットの設定を開き、イーサネットのプロパティを開き、「パブリックからプライベートにする」。そして、シャットダウンして「内部ネットワーク」に切り替える。

2．DHCPサーバの設定変更依頼(シナリオ1でクライアントPCに割り当てられたものを除外する)

＜手順＞

1．DHCPで割り当てられたIPアドレスをコマンドプロンプトで確認、静的IPアドレスとして設定する。
クライアントPC側からイーサネットのオプション変更からインターネットプロトコルバージョン4のプロパティを開き、割り当てられた各種IPアドレスを入力(IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNS)
2．静的IPアドレスで利用中のIPアドレスを除外設定する。アドレスプールを右クリックして、新しい除外範囲をクリック、開始～終了までのIPアドレスの範囲を指定
3．リースにアドレスが消えていることを確認。

3．常に同じIPアドレスを割り当てる(例)IP:172.16.0.100)

(前提条件)
・クライアントPCを特定PCとする
・シナリオ2で行った除外設定は元に戻す

＜手順＞

1．クライアント側のPCのアドレスをもとに戻す。(静的から動的にする、自動取得にする)
2．除外設定も削除しておくこと(アドレスプールから除外されているIPアドレスを右クリックして削除する)
3．固定に必要なクライアント側のMacアドレスを確認する(クライアント側のコマンドプロンプトipconfig/allで確認)
4．DHCPマネージャーの予約をクリックして、そのまま右クリックし「新しい予約」をクリック
5．固定するIPアドレスとMacアドレスを入力して追加
6．クライアント側のコマンドプロンプトで「ipconfig /release」で再構築する。
7．コマンドプロンプトで「ipconfig /renew」でIPアドレスを再取得する
8．表示されたIPアドレスが固定したIPアドレスとなっていれば完了

4．DHCPサーバをもう1台追加して、80/20ルール(IPアドレスの所持比率)で冗長構成にする。

80/20ルール

・・・複数のDHCPサーバが同じスコープにサービスを提供されている場合、80/20設計規則を使用して、アドレスのスコープ配布を分散することができる。2台のDHCPサーバで単一のネットワークとアドレスのスコープ範囲を分散する場合、一般的にアドレスの80%を一方のDHCPサーバで配布し、残りの20％をもう一方のサーバで配布する手法がとられる。

＜手順＞

1．2台目のDHCPサーバを構築(ネットワークを内部にすることを忘れない)
2．DHCP機能を追加する
3．DHCPサーバ1の予約機能を削除する
4．DHCPサーバ1のスコーププロパティからサーバ1のスコープ範囲を全体の80％とする
(例：172.16.0.1~172.16.0.80となる)
5．Winから右クリックして「すべてのタスク」から再起動をかける
6．DHCPサーバ2で新しいスコープを追加する(アドレスの範囲は20％分とする。例：172.16.0.81～172.16.0.100)※DHCPサーバ1のリース情報が紛らわしいので削除しておくこと
7．クライアントPCでアドレスを開放し、再取得する。(ipconfig /release、ipconfig /renew)
8．クライアントPCでDHCPサーバ2を停止してサーバ1からアドレスを取得できるかテストする。
9．クライアントPCでDHCPサーバ1を停止してサーバ2からアドレスを取得できるかテストする。両方取得できれば完了

片方のDHCPサーバにしかつながらない場合の対処法

1．仮想マシン(DHCPサーバ２)のネットワークアダプターが手順通りの内部ネットワークか
2．仮想マシン(DHCPサーバ２)とクライアントPCは同じネットワークアドレスか
3．仮想マシン(DHCPサーバ２)のIPアドレスは他のサーバやクライアントPC(Windows10仮想マシン)やDHCPスコープと重複していないか
4．DHCPサーバ２のDHCPスコープは上記の範囲内か
5．クライアントPC(Windows10仮想マシン)にてipconfig /releaseでDHCPサーバ1から取得したIPアドレスを解放したことを確認してから、ipconfig /renewでIPアドレスの取得リクエストを実施しているか
6．上記でもNGなら仮想マシンすべての停止と起動やVirtulaBoxを動かしているPCそのもののシャットダウンと起動を実施(これはソフトウェアの不具合・バグの対処として実施)

サーバ入門3　DHCPサーバの動作確認

2021-05-25T11:24:08+09:00

DHCPクライアントを内部ネットワークに接続し、DHCPサーバから提供されたIPアドレスが自動設定されることを確認する。

＜手順＞

1．DHCPクライアント役の仮想マシンのネットワーク設定をNAT→内部ネットワークに変更して起動。
2．DHCPのIPアドレス配布状況をDHCP管理ツールのアドレスのリースで確認し、クライアントが存在することを確認する。
3．クライアントPCのIPアドレス、サブネットマスク、ゲートウェイアドレス、DNSサーバのアドレスが、DHCPサーバで指定したとおりであることを確認する。(クライアントPC側のコマンドプロンプトで「ipconfig/all」を実施。)

サーバ入門3　DHCPクライアントの準備

2021-05-25T11:18:13+09:00

DHCPサーバの動作確認をするため、DHCPクライアント役の仮想マシンをVirtualBox上に構築したいので、仮想マシンの作成とOSのインストールを実施する。
※方法はサーバ入門2と一緒だが、OSは「Windows10」、ネットワークアダプターは「NAT」とする。

サーバ入門3　DHCPサーバの設定

2021-05-25T11:12:49+09:00

DHCPサーバにDHCPクライアントへ配布したい以下の情報を設定する。

1. 配布するIPv4アドレスの範囲
2. サブネットマスク
3. デフォルトゲートウェイのあどれす
4. DNSサーバのアドレス

＜手順＞

1．DHCPの管理ツールを起動(ツールからDHCP)
2．新しいスコープウィザードより、IPアドレスの範囲、サブネットマスク、デフォルトゲートウェイ、DNSサーバのアドレスを設定
3．スコープのアクティブ化を実施

ko00w1の投稿 - Crieit

vim 各モード別コマンド集

サーバ入門6 運用体験まとめ

サーバ入門6 Active Directoryの導入

サーバ入門6 Active Directoryの基礎知識

サーバ入門5 運用体験まとめ

サーバ入門5 fail2banのインストールと動作確認

サーバ入門5 Webサーバのインストールと動作確認

サーバ入門5 チュートリアルメモ

サーバ入門5 vim基本操作

サーバ入門4 コマンド操作応用課題メモ

サーバ入門4 コマンド操作(9つのコマンド) その2

サーバ入門4 コマンド操作(9つのコマンド) その1

サーバ入門4 OSインストール及び初期設定

サーバ入門４ Linuxの基礎知識

サーバ入門４ Linuxを学習するコツ

サーバ入門3 追加情報

サーバ入門3 運用体験まとめ

サーバ入門3 DHCPサーバの動作確認

サーバ入門3 DHCPクライアントの準備

サーバ入門6　運用体験まとめ

サーバ入門6　Active Directoryの導入

サーバ入門6　Active Directoryの基礎知識

サーバ入門5　運用体験まとめ

サーバ入門5　fail2banのインストールと動作確認

サーバ入門5　Webサーバのインストールと動作確認

サーバ入門5　チュートリアルメモ

サーバ入門5　vim基本操作

サーバ入門4　コマンド操作応用課題メモ

サーバ入門4　コマンド操作(9つのコマンド) その2

サーバ入門4　コマンド操作(9つのコマンド) その1

サーバ入門4　OSインストール及び初期設定

サーバ入門４　Linuxの基礎知識

サーバ入門４　Linuxを学習するコツ

サーバ入門3　追加情報

サーバ入門3　運用体験まとめ

サーバ入門3　DHCPサーバの動作確認

サーバ入門3　DHCPクライアントの準備