Inicia sesión con tu cuenta de para monitorear tus comments, sus respuestas y estatus desde tu dashboard personal ツ

Xenode Systems




¿Qué hacer después de instalar CentOS/RHEL 7.x?

Por: [email protected] (Manuel Escudero)

Atención: ¿Quieres probar esta guía en CentOS 7.x x86_64 dentro de un servidor real? Haz click aquí y utiliza los cupones ALLSSD10 y/o DODROPLET al crear tu cuenta en DigitalOcean para conseguir $10 USD de regalo que te servirán para montar un VPS por hasta 2 meses completamente gratis (con costo de $5 USD/mo después si te lo decides quedar).

CentOS es el clon libre del famoso Red Hat Enterprise Linux, un excelente sistema operativo para servidores. Contrario a fedora, (una derivada de RHEL para uso general) CentOS es un sistema más enfocado al uso empresarial con pocos cambios bruscos de versión en versión y soporte por largos periodos de tiempo, además de un kernel especializado para uso en servidores.

En la versión 7.x RHEL (y por lo tanto CentOS) vienen cargados de interesantes novedades entre las que destacan el kernel 3.10.x de serie, XFS como sistema de archivos por defecto, el completo abandono a la arquitectura individual de los 32 bits, Docker, SystemD, MariaDB (en lugar de MySQL por defecto) GNOME 3.8, Firewalld y muchas otras cosas más que pueden resultar bastante interesantes para todos los que manejamos servidores físicos, VPS o de cualquier tipo.

¿Conviene actualizar a CentOS 7.x?

Esta pregunta es algo subjetiva y la respuesta es depende. Depende de varias cosas: ¿Te generará downtime? ¿Es VITAL para ti alguna de las nuevas características? ¿Tienes hardware de 32 bits? Responder a estas preguntas te permitirá darte una idea de si debes o no actualizar a la nueva versión.

Guía de post instalación

Si decidiste instalar CentOS 7.x en tu servidor aquí hay algunas cosas que te podría interesar hacer justo después:

NOTA: Estas instrucciones también son válidas para deployments de Red Hat Enterprise Linux 7.x

1) Instalar nano y wget

Personalmente me hallo más con éstos 2 que con vi y curl; Si también es tu caso, ejecuta:

1. su -
2. yum -y install nano wget

2) Repositorios Extra (Necesarios)

EPEL & Remi:

1. su -
2. wget http://dl.fedoraproject.org/pub/epel/beta/7/x86_64/epel-release-7-0.2.noarch.rpm
3. wget http://rpms.famillecollet.com/enterprise/remi-release-7.rpm
4. sudo rpm -Uvh remi-release-7*.rpm epel-release-7*.rpm

ElRepo:

1. su -
2. rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
3. rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm

Habilitando Remi:

1. su -
2. nano /etc/yum.repos.d/remi.repo


3) Actualizar

Para actualizar todo tu sistema, corre:

su -c 'yum -y update'

4) Configurar Firewall

Primero necesitamos obtener la(s) zona(s) activas:

su -c 'firewall-cmd --get-active-zones'

Este comando nos devolverá el nombre de la(s) zona(s) activa(s) (ej. public) y las interfaces de red que están ligadas a ella(s) como podrían ser eth0, p16p1, wlan0 etc.

Es recomendable también listar los puertos y servicios permitidos en la(s) zona(s) activas para hacer personalizaciones, esto se hace con:

su -c 'firewall-cmd --zone=myzone --list-all'

Obviamente usando el nombre de la zona indicada en lugar de myzone.

Luego para abrir y cerrar puertos podemos usar:

1. su -c 'firewall-cmd --zone=public --add-port=xxxx/tcp'
2. su -c 'firewall-cmd --zone=public --remove-port=xxxx/udp'

Respectivamente, cambiando xxxx por el número de puerto deseado y especificando el protocolo (tcp/udp) según corresponda.

5) Tweaks para rendimiento

Habilitar Tuned:

1. su -
2. yum -y install tuned
3. tuned-adm profile selected_profile

Más información sobre los perfiles disponibles acá: http://red.ht/1ppyozF

Habilitar ZRAM:

1. su -
2. yum -y install bc
3. wget https://spideroak.com/share/PBSW433EMVZXS43UMVWXG/78656e6f6465/srv/CDN/xenodecdn/zram -O /etc/init.d/zram
4. chmod 755 /etc/init.d/zram
5. chkconfig --add zram && chkconfig zram on

Reiniciamos y luego podremos checar que zRAM está corriendo con:

su -c 'service zram status'

Puedes checar más tips para mejora de rendimiento en: http://bit.ly/1hoo5XR

Habilitar Ksplice:

Ksplice es un gestor de paquetes de seguridad del que ya hablamos anteriormente y básicamente permite instalar actualizaciones de seguridad en tu servidor sin necesidad de reiniciar. La versión para RHEL se puede probar por 30 días (con una acces key de trial) y luego se requiere pagar aprox 4 USD/mo por usar el producto (con hasta 20 servidores, a partir de 20 en adelante el costo reduce a 3 USD/mo).

1. su -
2. wget https://www.ksplice.com/yum/uptrack/centos/ksplice-uptrack.repo -O /etc/yum.repos.d/ksplice-uptrack.repo
3. sudo yum -y install uptrack ksplice-uptrack-release
4. nano /etc/uptrack/uptrack.conf

En el archivo del comando #4, requeriremos insertar nuestra clave de acceso como nos lo pide:


Configurar IP Virtual única:

Si esto te interesa, acá nuestro tutorial

SELinux Permisivo:

SELinux es una buena utilidad de seguridad para sistemas CentOS/RHEL, sin embargo su activación puede traer problemas al momento de implementar ciertas cosas en tu servidor. Es por esto que, (al menos en algunos CentOS 7.x de VPS) SELinux viene deshabilitado por defecto y en instalaciones normales viene activado. Personalmente prefiero "algo en medio" y suelo ponerlo en modo "permisivo" esto quiere decir que seguirá funcionando sin conflictuar con otras cosas y en lugar de proteger como tal únicamente nos mostrará advertencias relevantes para que nosotros nos encarguemos de la situación. Poner entonces a SELinux en modo permisivo se hace con:

1. su -
2. nano /etc/selinux/config

Y en el archivo que abrirá cambiamos el status de disabled y/o enforcing a permissive. Guardamos los cambios, reiniciamos y listo.

Comentarios...

Selecciona tu Meme

Insertar Code Snippet
Gist it!

Guest48 Renich:

Que mala onda que recomiendes deshabilitar SELinux. Muy mala idea; es la mejor capa de seguridad del sistema.

Mejor aprendan a usarlo; no es tan difícil.

Otra cosa, no uses iptables en CentOS7. Para eso está firewalld; el cual se manipula usando firewall-cmd.

Respuestas:
Guest48
Manuel Escudero xenode

La opción de SELinux está para quien quiera tomarla. Como digo en el post prefiero algo en medio. No en todos los servidores lo pongo en modo permisivo, sin embargo si es algo que prefiero hacer así como algunos proveedores de VPS prefieren (de plano) deshabilitarlo por completo. Hay varias razones por las que es justificable usarlo o no, pero ya depende del sysadmin y sus necesidades. Lo de firewalld ya está corregido. Se me había pasado esa novedad al momento de escribir el post y dejé el método con IPTables, gracias por la observación.




Responder (1) ▾

Publicar Respuesta:


Guest48 Alexander:

Muy bueno viejo, pero EPEL sigue en beta verdad?. Y si quisiera para escritorio, por lo de la tarjeta nvidia, no soy mucho para juegos, pero quiero tener centos para aprender a manejar servidor y programacion, y que me sirva de una vez par uso diario.

Respuestas:
Guest48
Manuel Escudero xenode

@Alexander: Fedora es el CentOS de escritorio, te recomiendo tomar dicha ruta debido a las necesidades que comentas :)




Responder (1) ▾

Publicar Respuesta: