AlmaLinux 8.3 64bit リリースノート

[更新: 2021年05月13日]

さくらのクラウドで提供中のAlmaLinux 8.3 64bit パブリックアーカイブの設定内容について記載します。

注意

推奨されている最小メモリ容量は1.5GBです( 参考:OS仕様 )。AlmaLinux 8.3 のシステムは 1GB のメモリでもブートしますが、ご利用予定の環境によっては、利用可能な空きメモリ領域が少なくなる場合がありますので、ご注意ください。

管理ユーザ

アカウント名 root
初期パスワード なし(ディスク修正から設定可能)

SELinux

無効

設定ファイル /etc/sysconfig/selinux
設定内容 SELINUX=disabled

ロケール

言語 LANG=ja_JP.utf8
タイムゾーン Asia/Tokyo(JST)

ディスク

パーティションテーブル GPT

パーティション構成

パーティション番号 マウントポイント パーティション名 フォーマット 容量
1 BIOS boot partition bios_grub フラグ (EF02) 1024KB
2 /dev/shm Linux swap tmpfs (8200) 4GB
3 / Linux filesystem ext4 (8300) 残りのディスク容量まで拡張

ネットワーク

インタフェース eth0
プロトコル IPv4:有効、IPv6:無効 ※1
ホスト名 localhost.localdomain(ディスク修正から設定可能)
ネームサーバ 石狩リージョン:
133.242.0.3(dns13.sakura.ad.jp)
133.242.0.4(dns14.sakura.ad.jp)
東京リージョン:
210.188.224.10(dns5.sakura.ad.jp)
210.188.224.11(dns6.sakura.ad.jp)

※1 IPv6でRAによるアドレス設定を受け付けない

設定ファイル /etc/sysctl.conf
設定内容 net.ipv6.conf.default.accept_ra=0
net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.eth0.accept_ra=0

NTP

NTPサーバ ntp1.sakura.ad.jp

chronyd

  • 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせをおこなう
  • 自身がNTPサーバとしては動作しない(時刻の問い合わせに対し応答しない)
  • chronydをユーザchronyの権限で動作させる
  • chronydをRAM上で動作させページアウトをおこなわない
設定ファイル /etc/chrony.conf
設定内容 server ntp1.sakura.ad.jp iburst# Listen for commands only on localhost.
bindcmdaddress 127.0.0.1
bindcmdaddress ::1# This option allows you to configure the port on which chronyd will listen for NTP requests.
# The compiled in default is udp/123, the standard NTP port. If set to 0, chronyd will not open the server
# socket and will operate strictly in a client-only mode.
port 0# User to which will chronyd switch on initialisation to drop root privileges.
user chrony# Deny access to chronyc from other computers.
cmddeny all

# Lock chronyd into RAM so that it will never be paged out.
lock_all

ファイアウォール

firewalld

  • 有効
  • 初期設定ではeth0のゾーンはpublic、サービスはデフォルト設定(dhcpv6-client, sshのみ許可)

fail2ban

  • 有効(SSHのログイン試行5回失敗で接続拒否)
  • /var/log/fail2ban.logにログを出力する
設定ファイル /etc/fail2ban/fail2ban.conf
設定内容 logtarget = /var/log/fail2ban.log
設定ファイル /etc/fail2ban/jail.d/local.conf
設定内容 [DEFAULT]
banaction = firewallcmd-ipset
backend = systemd
[sshd]
enabled = true

SSH

  • 以下のユーザ名でのSSH接続を拒否する
toor administrator administrateur admin adm test guest info mysql user oracle
  • GSSAPI認証を無効にする
  • GSSAPI認証情報のキャッシュをユーザログアウト時に自動的に削除しない
  • PAMを有効にする
設定ファイル /etc/ssh/sshd_config
設定内容 DenyUsers toor administrator administrateur admin adm test guest info mysql user oracle
GSSAPIAuthentication yes 削除
GSSAPICleanupCredentials yes 削除
UsePAM yes のまま

GRUB

  • OS起動に関する変更
    • 起動時にGraphical Bootではなくテキストモードを使用する
    • 起動時にカーネルメッセージを表示する
    • 起動時に時刻のずれを修正する
  • コンソール表示に関する変更
    • コンソールで使用するフォントをlatarcyrheb-sun16に変更する
    • コンソールがblank状態になるのを抑止する
    • Xサーバが起動するまではビデオドライバをロードせずBIOSモードを使用する
  • その他の変更
    • カーネルダンプを取得しない
    • NOOPスケジューラを使用する
    • systemd/udevによるNIC命名をおこなわない
    • biosdevnameによるNIC命名をおこなわない
設定ファイル /etc/default/grub
設定内容 GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=”$(sed ‘s, release .*$,,g’ /etc/system-release)”
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT=”console”
GRUB_CMDLINE_LINUX=”vconsole.font=latarcyrheb-sun16 consoleblank=0 clock=pit nomodeset elevator=noop net.ifnames=0 biosdevname=0″
GRUB_DISABLE_RECOVERY=”true”

AutoFsck

起動時にfsckをおこなう

設定ファイル /etc/sysconfig/autofsck
設定内容 AUTOFSCK_DEF_CHECK=yes

デーモン

自動起動設定(稼働中)のデーモン

デーモン名 機能説明
手動の起動、停止方法
外部からの
接続ポート
chronyd システムクロックを調整するためのサービス
crond 定期的にジョブを実行するためのcronサービス
dbus アプリケーションがプロセス間通信をおこなうためのメッセージバスデーモン
fail2ban 不正の兆候がある接続を拒否する機能
firewalld ゾーンに対応し、動的に設定をおこなうファイアウォール
agetty 起動時に仮想端末に自動ログインする
irqbalance マルチプロセッサな環境での IRQ の割り込み処理用のサービス
NetworkManager ネットワークデバイスと接続を動的に管理するデーモン
polkit 権限を定義し処理するためのツールキット
rsyslog システムのログを記録
sshd SSH(Secure Shell)サーバサービス 22/tcp
systemd-journald ログデータを収集、管理するサービス
systemd-logind ユーザログインを管理するサービス
systemd-udevd カーネルのueventを管理するデーモン
tuned システムコンポーネントの使用を監視し動的にシステム設定をチューニングするデーモン
network ネットワーク・インターフェイスの初期化スクリプト
/etc/init.d/network {start|stop|restart|reload|status}

デフォルト設定より自動起動を無効化したサービス一覧

サービス名 機能説明 外部からの接続ポート
auditd 監査レコードを記録するデーモン

パッケージ

インストール済のパッケージグループ

@Development Tools
@Standard

インストール済のパッケージ

cloud-utils-growpart
epel-release
fail2ban
gdisk
langpacks-ja
traceroute

除外したパッケージ

microcode_ctl
cockpit

ソフトウェアリポジトリ

リポジトリ設定ファイル /etc/yum.repos.d 以下
repo id repo name status リポジトリ設定ファイル
BaseOS/8/x86_64 AlmaLinux 8 - BaseOS enabled almalinux.repo
AppStream/8/x86_64 AlmaLinux 8 - AppStream enabled almalinux.repo
epel/x86_64 Extra Packages for Enterprise Linux 8 – x86_64 enabled epel.repo

almalinux.repo内のbaseurlを下記の通り変更

repo id baseurl
BaseOS https://ftp.sakura.ad.jp/pub/linux/almalinux/$releasever/BaseOS/$basearch/os/
AppStream https://ftp.sakura.ad.jp/pub/linux/almalinux/$releasever/AppStream/$basearch/os/

Kickstart

AlmaLinux 8.3 の提供にあたっては、さくらのクラウド用の kickstart を適用し、追加の初期設定を行っています。 kickstart ファイルはこちら をご覧ください。