Ubuntu Server 18.04 LTS (Bionic Beaver)のインストールと初期設定・環境構築について。
- 目的と内容
- 最小インストールを用いてクリーンインストールする
kvm仮想マシンを各種サーバとして構成する - 構成
-
- ロケール
-
ja_JPではなくen_USに設定する - ハードウェア
- 256MBのメモリと2GBのストレージ(virtio)3台が接続されている仮想マシン
インストール先となる仮想マシンの作成
仮想マシンマネージャー(virt-manager)で仮想マシンを作成する。 作成後、すぐにはインストールを開始せずシャットダウンし、先にデバイスの追加・削除など、仮想マシンの設定を行う。 またここで、[VNCサーバー]の[キーマップ]をjaに変更しておく。
インストール手順
以下はubuntu-18.04-server-amd64.isoを使用した場合の手順。
ブート画面
- [F2] Language
- [English]を選択
- [F3] Keymap
- [Japanese]を選択
- [F4] Modes
- [Install a minimal virtual machine]を選択
[Install Ubuntu Server]を選択してインストールを開始。
Select a language
- Language
- [English - English]を選択
Select your location
- Country, territory or area
- [other] → [Asia] → [Japan]の順に選択
Configure locales
- Country to base default locale settings on
- [United States - en_US.UTF-8]を選択
Loading additional components
(インストールが終わるまで待つ)
Configure the network
以下はDHCPを無効にして静的IPアドレスを用いる場合。
- "Network autoconfigurtion failed"
- <Continue>
- Network configuration method
- [Configure network manually]を選択、以降ダイアログに従って必要事項を入力
- Hostname
- ホスト名を入力して<Continue> (server1.example.comの場合、
server1) - Domain name
- ドメイン名を入力して<Continue> (server1.example.comの場合、
example.com)
Set up users and passwords
- Full name for the new user
- ユーザーのフルネームを入力して<Continue>
- Username for your accout
- アカウント名として使用されるユーザー名を入力して<Continue>
- Choose a password for the new user
- パスワードを入力して<Continue>
- Re-enter password to verify
- 確認のためもう一度パスワードを入力して<Continue>
Configure the clock
- Is this time zone correct?
- 適切なタイムゾーンが選択されていることを確認して<Yes>を選択
Partition disks
- Partitioning method
- [Manual]を選択して以下のように設定
設定が完了したら[Finish partitioning and write changes to disk]を選択
| # | Type | Size | Use as | Mount point | Mount options |
|---|---|---|---|---|---|
| Virtual disk1 (vda) 2GB | |||||
| #1 | Primary | 512M | ext4 | /boot | defaults |
| #5 | Logical | (max) | ext4 | /usr | defaults |
| Virtual disk2 (vdb) 2GB | |||||
| #1 | Primary | (max) | ext4 | / | defaults |
| #5 | Logical | 512M | swap | - | |
| Virtual disk3 (vdc) 2GB | |||||
| #1 | Primary | (max) | ext4 | /srv | defaults |
| # | Type | Size | Use as | Mount point | Mount options |
- Write the changes to disks?
- パーティションの変更内容を確認して<Yes>を選択
Installing the system
(インストールが終わるまで待つ)
Configure the package manager
- HTTP proxy information
- 空欄のまま、もしくは必要に応じて適切なURLを入力
Configuring tasksel
- How do you want to manage upgrades on this system?
- [No automatic updates]を選択
Software selection
- Choose software to install
- サーバの構成に従って適当なものを選択
- [Mail server]の設定例
-
- Postfix Configuration
- 以下はサテライトシステムの場合
- General type of mail configuration
- [Satellite system]を選択
- System mail name
- 適当な名前を入力
- SMTP relay host
- メール配送に用いるSMTPサーバのホスト名を入力
Install the GRUB boot loader on a hard disk
- Install the GRUB boot loader to the master boot record?
- <Yes>を選択
- Device for boot loader installatation
- ブートローダをインストールするデバイスを選択
Finish the installation
- Installation complete
- インストールメディアを取りはずして<Continue>を選択
再起動する。
インストール後の設定
シリアルコンソールの有効化/コンソール解像度の設定/ブラックアウトの抑止
virsh consoleでシリアルコンソールに接続できるようにするための設定。 同時にGRUBの設定を変更する。
gettyサービスを有効化・起動する。
sudo systemctl enable serial-getty@ttyS0.service
sudo systemctl start serial-getty@ttyS0.service
sudo systemctl status serial-getty@ttyS0.service
この時点でvirsh consoleでシリアルコンソールに接続できるようになる。 ただしsystemdが起動するまでgettyサービスも起動しないため、GRUBメニューやブートシーケンスは表示されない。 GRUBの起動時にシリアルコンソールを有効にする場合は以降の手順を行う。
/etc/default/grubを編集してGRUBの設定を変更する。
GRUB_DEFAULT=0
#GRUB_HIDDEN_TIMEOUT=0
GRUB_HIDDEN_TIMEOUT_QUIET=true
GRUB_TIMEOUT=3
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX="console=tty0 console=ttyS0,115200n8 consoleblank=0"
GRUB_SERIAL_COMMAND="serial --speed=115200n8 --unit=0 --word=8 --parity=no --stop=1"
:
:
GRUB_GFXMODE=1024x768x16
GRUB_GFXPAYLOAD_LINUX=keep
変更箇所と変更内容は次のとおり。
-
GRUB_TIMEOUTを3に変更 - GRUB起動メニューでのタイムアウト時間を3秒にする
-
GRUB_CMDLINE_LINUXを"console=tty0 console=ttyS0,115200n8 consoleblank=0"に変更 -
-
console=tty0 console=ttyS0,115200n8 - /dev/ttyS0を使用できるようにする
-
consoleblank=0 - コンソールのブラックアウトを行わないようにする
(1以上を指定すればその秒数でブラックアウトするようになる)
-
-
GRUB_SERIAL_COMMAND="serial --speed=115200n8 --unit=0 --word=8 --parity=no --stop=1"を追記 - シリアルコンソールの設定
-
GRUB_GFXMODE=1024x768x16を追記(またはコメントアウトされているものを変更) - フレームバッファの解像度を1024x768x16に設定
-
GRUB_GFXPAYLOAD_LINUX=keepを追記
編集が終わったら、update-grub2で設定を反映させるたのち、再起動する。
$ sudo update-grub2 Generating grub configuration file ... Found linux image: /boot/vmlinuz-4.15.0-20-generic Found initrd image: /boot/initrd.img-4.15.0-20-generic done $ sudo reboot
仮想マシンの設定にデバイスの種類がptyのシリアルデバイスが存在していることを確認し、virsh console 仮想マシン名で接続する。
$ virsh console server1 ドメイン server1 に接続しました エスケープ文字は ^] です Ubuntu 18.04 LTS server1 ttyS0 server1 login:
シリアルデバイスが複数存在し、デバイス名(alias)が割り当てられている場合は次のようにデバイス名を指定して接続することもできる。
virsh console 仮想マシン名 --devname デバイス名
ターミナル・シェル・エディタ周りの設定
~/.vimrc
以下の内容で作成。
set encoding=utf-8
set fileencoding=utf-8
set fileencodings=utf-8,utf-16,japan
set backspace=indent,eol,start
set tabstop=2
set shiftwidth=2
set expandtab
highlight tabs ctermbg=green guibg=green
set list
set number
set showmatch
set ruler
set smartindent
~/.bash_aliases, ~/.bashrc
~/.bash_aliasesを作成して以下のエイリアスを書き込む。
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
~/.bashrcを編集して、force_color_promptをyesにする。 また、このあと作成する~/.bash_promptを読み込むように設定する。
# コメントアウトされているので解除する
force_color_prompt=yes
:
:
# .bash_promptがある場合はそれを読み込んでプロンプトの内容を設定させる
if [ -f ~/.bash_prompt ]; then
color_prompt=yes # プロンプトの色付けを強制的に有効にする場合は、ここでyesを設定する
. ~/.bash_prompt
fi
# 下記コマンドの前あたりに上記を記述する
unset color_prompt force_color_prompt
:
:
プロンプトの内容を設定するファイル~/.bash_promptを作成する。 ファイルの内容についてはUbuntu 22.04のインストール §.Bashの設定(.bashrc, .bash_*)に掲載。
IPv6を無効化する
無効化するために以下の内容を追記。
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
sysctl -pで変更を反映させる。 また、無効になったかを確認。
$ cat /proc/net/if_inet6 00000000000000000000000000000001 01 80 10 80 lo xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 02 40 20 80 enp0s10 $ sudo sysctl -p net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 $ cat /proc/net/if_inet6
sysctl -pを実行すると変更した内容が表示され、またcat /proc/net/if_inet6で何も表示されなければ無効になっている。
関連: §.スワップ頻度を変更する
スワップ頻度を変更する
スワップ頻度をデフォルトの60から10に下げるために、以下の内容を追記。
vm.swappiness = 10
sysctl -pで変更を反映させる。 また、正しく変更されたかを確認。
$ cat /proc/sys/vm/swappiness 60 $ sudo sysctl -p vm.swappiness = 10 $ cat /proc/sys/vm/swappiness 10
sysctl -pを実行すると変更した内容が表示される。 また、現在の設定値はcat /proc/sys/vm/swappinessで確認できる。
関連: §.IPv6を無効化する
/etc/aliases
root宛のメール送信先を変更する。 /etc/aliasesを作成して以下の内容を記入。
root: root@example.com
変更を反映する。
sudo newaliases
/etc/hosts
必要に応じてホストを追記。
グループ・ユーザー
必要に応じて追加。
groupadd -g 999 xxxxxx
adduser --uid 999 --gid 999 --disabled-login --disabled-password --no-create-home xxxxxx
パッケージのインストールと設定
パッケージを最新の状態に更新
sudo apt update
sudo apt dist-upgrade
NFS
sudo apt install nfs-common
マウントポイントを作成。
sudo mkdir -p /srv/nfs
/etc/fstabを編集後、マウントする。
sudo vi /etc/fstab
sudo mount -a
マウントされたかどうか確認する。
cat /etc/mtab
ls -l /srv/nfs
chrony (NTPサーバー)
sudo apt install chrony
適当なNTPサーバーを設定し、再起動。
sudo vi /etc/chrony/chrony.conf
sudo service chrony restart
nginx
sudo apt install nginx
Ubuntu 18.04でインストールされるnginx(nginx/1.14.0)では、Apacheのような動的モジュール(Dynamic Modules)機能をサポートしている。
Ubuntu 16.04等からそのまま設定ファイルを引き継ぐ場合は、下記のように/etc/nginx/modules-enabled/配下にあるモジュールの設定ファイルを読み込むよう設定を追記し、使用するモジュールを有効にするよう修正する必要がある。
include /etc/nginx/modules-enabled/*.conf;
TLS関連の設定(抜粋、Let's Encrypt SSL/TLS証明書を使用)
server {
listen 443 ssl http2;
ssl_protocols TLSv1.2;
add_header Strict-Transport-Security max-age=15768000;
ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem;
}
その他要件に合わせて設定、詳細については省略。
Postfix+Dovecot(IMAP)+Sieve
Postfixのインストールと設定
sudo apt install postfix
Postfix ConfigurationでInternet Siteを選択、以降ダイアログにしたがって必要項目を入力していく。
smtpd_bannerから$mail_nameを削除する。
smtpd_banner = $myhostname ESMTP
メールボックスをMaildir形式にする。
home_mailbox = Maildir/
メール送出時に、内部ネットワークアドレス(以下の例では127.0.0.1および192.168.0.0/24)を含むReceivedヘッダを取り除く。
header_checks = regexp:/etc/postfix/header_checks
/^Received:.*\[192\.168\..+\].*/ IGNORE
/^Received:.*\[127\.0\.0\.1\].*/ IGNORE
TLS関連の設定(抜粋、Let's Encrypt SSL/TLS証明書を使用)
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.example.net/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.example.net/privkey.pem
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_use_tls = yes
smtp_tls_security_level = encrypt
smtp_tls_note_starttls_offer = yes
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
# 以下smtp_*も同様に設定
その他要件に合わせて設定、詳細については省略。
Dovecot(dovecot-imapd)のインストールと設定
sudo apt install apt install dovecot-imapd
メールボックスをMaildir形式にする。
mail_location = maildir:~/Maildir
平文での認証を無効にする。 また許可する認証メカニズムを限定する。
disable_plaintext_auth = yes
auth_mechanisms = cram-md5
IMAPSを有効にする。
service imap-login {
inet_listener imaps {
ssl = yes
}
}
TLS関連の設定(抜粋、Let's Encrypt SSL/TLS証明書を使用)
ssl_cert = </etc/letsencrypt/live/mail.example.net/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.example.net/privkey.pem
ssl_protocols = !SSLv3 !TLSv1 !TLSv1.1
その他要件に合わせて設定、詳細については省略。
Dovecot Sieve(dovecot-sieve)のインストールと設定
dovecot-sieveを使ってサーバーサイドでの振り分け・破棄等のフィルタリングを行う。 またdovecot-managesievedを使ってフィルタリングスクリプトを管理する。
sudo apt-get install dovecot-imapd dovecot-managesieved dovecot-sieve
sieveプラグインを有効にする。 dovecot-ldaを設定する。
lda_mailbox_autocreate = yes # 振り分け先のメールボックスが存在しない場合に自動的に作成する
lda_mailbox_autosubscribe = yes # 同様にメールボックスを自動的に購読(SUBSCRIBE)する
protocol lda {
mail_plugins = $mail_plugins sieve
}
dovecot-managesievedを設定する。
service managesieve-login {
inet_listener sieve {
port = 4190
}
service_count = 1
:
:
}
service managesieve {
process_limit = 10
}
ローカル配送にdovecot-ldaを使用するようPostfix側の設定を変更する。
mailbox_command = /usr/lib/dovecot/dovecot-lda -f "$SENDER" -a "$RECIPIENT"
virtual_transport = dovecot
virtual_mailbox_domains = mail.example.net
dovecot_destination_recipient_limit = 1
# dovecot-ldaの設定を追記する
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/dovecot-lda -f ${sender} -a ${original_recipient} -d ${user}@${nexthop}
フィルタリングスクリプトの編集はThunderbird Sieve Extensionなどを使って行う。
AWStats
sudo apt install awstats
/etc/awstats/awstats.confを編集する。 LogFileを/dev/nullにし、それ以外の項目は共通の設定ファイルとなるように構成する。
LogFile="/dev/null"
LogFormat=1
SiteDomain="example.com"
DirData="/var/lib/awstats"
DefaultFile="index.html"
:
:
次に、ドメイン別・サーバー別などに設定ファイルを作成し、各設定ファイルからは共通の設定を含むawstats.confを読み込むようにする。 各設定ファイル名はawstats.*.confとする必要がある。
Include "/etc/awstats/awstats.conf"
LogFile="/var/log/nginx/www.example.com-access.log"
SiteDomain="www.example.com"
:
:
Include "/etc/awstats/awstats.conf"
LogFile="/var/log/postfix/mail.example.net-access.log"
LogFormat="....."
SiteDomain="mail.example.net"
:
:
/etc/awstats以下の設定ファイルを編集後、ログが読み込まれデータが正しく収集されるかテストする。
sudo -u www-data /usr/share/doc/awstats/examples/awstats_updateall.pl now -awstatsprog=/usr/lib/cgi-bin/awstats.pl -confdir="/etc/awstats/"
ls /var/lib/awstats
必要に応じてcron(/etc/cron.d/awstats)の設定およびHTTPサーバの設定を更新したのち、http://サーバ名/awstats/awstats.pl?config=設定ファイル名を開いて収集されたデータが表示されるか確かめる。
Munin (munin-node)
sudo apt install munin-node
/etc/munin/pluginsから必要なプラグインだけを残す。 あるいは必要なプラグインを追加する。
# 不要なプラグインを削除する
sudo unlink xxx
# 必要なプラグインを追加する
sudo ln -s /usr/share/munin/plugins/xxx
データを収集するマシンのみからのアクセスを許可するように変更する。
allow ^192\.168\.0\.10$
munin-nodeを再起動。
sudo service munin-node restart
データを収集するマシンからtelnetで接続できるか試す。
$ telnet server1 4949 Trying 192.168.0.20... Connected to server1. Escape character is '^]'. # munin node at server1.example.com nodes server1.example.com . quit Connection closed by foreign host.
データを収集するマシンの/etc/munin/munin.confを編集して監視対象に追加する。
[server1]
address 192.168.0.20
Logwatch
sudo apt install logwatch
テストした結果をroot宛にメールで送信する。
sudo logwatch --detail high --mailto root
その他
.NET Core
.NET Core Runtimeをインストールする。
sudo apt install curl gnupg apt-transport-https
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo mv microsoft.gpg /etc/apt/trusted.gpg.d/microsoft.gpg
sudo sh -c 'echo "deb [arch=amd64] https://packages.microsoft.com/repos/microsoft-ubuntu-bionic-prod bionic main" > /etc/apt/sources.list.d/dotnetdev.list'
sudo apt update
# 2018-05-03時点、NO_PUBKEYエラーが出る場合
sudo apt-key adv --keyserver packages.microsoft.com --recv-keys EB3E94ADBE1229CF
sudo apt-key adv --keyserver packages.microsoft.com --recv-keys 52E16F86FEE04B979B07E28DB02C46DF417A0893
sudo apt update
sudo apt install dotnet-runtime-2.0.7