適当にさわったメモ。
例のごとく公式のドキュメント等はまだ読んでない。
サービス / デーモン
サービスの起動がRHEL6時代の upstart からsystemd へ変更している。
# chkconfig httpd on 情報:'systemctl enable httpd.service'へ転送しています。 ln -s '/usr/lib/systemd/system/httpd.service' '/etc/systemd/system/multi-user.target.wants/httpd.service' # ls /etc/rc3.d/ K50netconsole S10network S20iprinit S20iprupdate S21iprdump # ls /etc/systemd/system/multi-user.target.wants/ NetworkManager.service httpd.service remote-fs.target sysstat.service auditd.service irqbalance.service rhsmcertd.service tuned.service avahi-daemon.service kdump.service rsyslog.service crond.service postfix.service sshd.service
今までのservice コマンドはsystemctl コマンドに置き換わっている??
# systemctl start httpd
セキュリティ
iptables がfirewalld に置き換わった?とはいえ内部的に使っているのかfirewall-cmdで設定変更すると、
iptables -nL の結果も変わっているので完全に別物かどうかよくわかってない。
(netfilterをいじいじしているiptablesから見ても同じように結果変わってるだけ?)
juniper 製品などでおなじみのゾーンの概念ができたらしい。
# firewall-cmd --list-all public (default, active) interfaces: ens192 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: # firewall-cmd --add-service=http --permanent success # firewall-cmd --list-all public (default, active) interfaces: ens192 sources: services: dhcpv6-client http ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: # firewall-cmd --list-all-zone (略)
新しくゾーンの概念できたってあるけど、vyattaは(中身debian) iptablesを使って
既にゾーンぽいことやっていると思うんですけど。rhel的には新しく、となるんですかね。
ただ、個人的には異なるOSごとにfirewall把握するのだいぶ面倒なので、firewallは上位のNW機器/アプライアンス/仮想ルータなどでやってしまって、各サーバはiptablesで統一するかtcp wrapperとミドルウェアのIP制限に留めて楽したいと思うゆとりエンジニアです。
