概要
Red Hat Enterprise Linux 6.x にインストール際の注意点はありますか。
詳細
iscan ユーザのプロセス数の緩和
InterScan Web Security Suite Linux版 (以下、IWSS) を Red Hat Enterprise Linux 6.x (以下、RHEL) にインストールする場合は、 IWSSのiscan ユーザのプロセス数の上限値を緩和させることをお勧めいたします。
IWSSのiscan ユーザのプロセス数は、 IWSSインストール時にLinux Kernelによって決定されていますが、RHEL 6ではデフォルトのiscan ユーザのプロセス数が1024に制限されています。
IWSSの安定稼動および充分なパフォーマンスのを確保するためには、iscan ユーザのプロセス数の上限値を11000に緩和させる必要があります。
IWSSのiscan ユーザのプロセス数は、 IWSSインストール時にLinux Kernelによって決定されていますが、RHEL 6ではデフォルトのiscan ユーザのプロセス数が1024に制限されています。
IWSSの安定稼動および充分なパフォーマンスのを確保するためには、iscan ユーザのプロセス数の上限値を11000に緩和させる必要があります。
-bash-4.1$ id
uid=500(iscan) gid=500(iscan) 所属グループ=500(iscan)
-bash-4.1$
-bash-4.1$ ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 14869
max locked memory (kbytes, -l) 64
max memory size (kbytes, -m) unlimited
open files (-n) 1024
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 10240
cpu time (seconds, -t) unlimited
max user processes (-u) 1024 ★
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited
-bash-4.1$
uid=500(iscan) gid=500(iscan) 所属グループ=500(iscan)
-bash-4.1$
-bash-4.1$ ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 14869
max locked memory (kbytes, -l) 64
max memory size (kbytes, -m) unlimited
open files (-n) 1024
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 10240
cpu time (seconds, -t) unlimited
max user processes (-u) 1024 ★
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited
-bash-4.1$
手順
- limits.confファイルを編集します。
# vi /etc/security/limits.conf - 以下の4行を新たに追加します。
iscan soft nproc 11000
iscan hard nproc 11000
root soft nproc 11000
root hard nproc 11000 - 設定反映を行うためにOS再起動を行います。
SELinuxの無効化
LinuxのセキュリティサービスやフレームワークであるSELinuxは 監視などの機能を受け持っているサービスであるため、セキュリティソフトとの 競合発生の可能性があります。 上述の影響により、カーネルパニック発生やOSのハングアップまたはインストールの 失敗などが発生する可能性がありますので、IWSSをご利用いただく場合はSELinuxを無効化してください。
手順
- /etc/selinux/configファイルに移動して、次の記述を入力します。
SELINUX=disabled - 次のコマンドを実行します。
# setenforce 0