CentOS 7.7 (1908) 64bit リリースノート

[更新: 2019年10月8日]

さくらのクラウドで提供中のCentOS 7.7 (1908) 64bit パブリックアーカイブの設定内容について記載します。 CentOS パブリックアーカイブのバージョンごとの変更履歴詳細につきましては、 さくらのクラウドニュース アーカイブ 記事一覧 から、該当バージョンのパブリックアーカイブ公開のお知らせをご覧ください。

管理ユーザ

アカウント名

root

初期パスワード

なし(ディスク修正から設定可能)

SELinux

無効

設定ファイル

/etc/sysconfig/selinux

設定内容

SELINUX=disabled

ロケール

言語

LANG=C

タイムゾーン

Asia/Tokyo(JST)

ディスク

パーティションテーブル

GPT

パーティション構成

パーティション番号

マウントポイント

パーティション名

フォーマット

容量

1

BIOS boot partition

bios_grub フラグ (EF02)

1024KB

2

/dev/shm

Linux swap

tmpfs (8200)

4GB

3

/

Linux filesystem

ext4 (8300)

残りのディスク容量まで拡張

ネットワーク

インタフェース

eth0

プロトコル

IPv4:有効、IPv6:無効 ※1

ホスト名

localhost.localdomain(ディスク修正から設定可能)

ネームサーバ

石狩リージョン:
133.242.0.3(dns13.sakura.ad.jp)
133.242.0.4(dns14.sakura.ad.jp)
東京リージョン:
210.188.224.10(dns5.sakura.ad.jp)
210.188.224.11(dns6.sakura.ad.jp)

※1 IPv6でRAによるアドレス設定を受け付けない

設定ファイル

/etc/sysctl.conf

設定内容

net.ipv6.conf.default.accept_ra=0
net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.eth0.accept_ra=0

NTP

NTPサーバ

ntp1.sakura.ad.jp

chronyd

  • 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせをおこなう

  • 自身がNTPサーバとしては動作しない(時刻の問い合わせに対し応答しない)

  • chronydをユーザchronyの権限で動作させる

  • chronydをRAM上で動作させページアウトをおこなわない

設定ファイル

/etc/chrony.conf

設定内容

server ntp1.sakura.ad.jp iburst# Listen for commands only on localhost.
bindcmdaddress 127.0.0.1
bindcmdaddress ::1# This option allows you to configure the port on which chronyd will listen for NTP requests.
# The compiled in default is udp/123, the standard NTP port. If set to 0, chronyd will not open the server
# socket and will operate strictly in a client-only mode.
port 0# User to which will chronyd switch on initialisation to drop root privileges.
user chrony# Deny access to chronyc from other computers.
cmddeny all

# Lock chronyd into RAM so that it will never be paged out.
lock_all

ntpd

  • 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせをおこなう

  • 自身がNTPサーバとしては動作しない(時刻の問い合わせに対し応答しない)

  • monlist機能を無効化

設定ファイル

/etc/ntp.conf

設定内容

restrict -4 default ignore
restrict -6 default ignorerestrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery
disable monitor

ntpdate

  • リトライをおこなわない

  • NTPでの時刻同期の際にサーバ内のハードウェアクロックを更新

設定ファイル

/etc/sysconfig/ntpdate

設定内容

# Options for ntpdate
OPTIONS=”-U ntp -s -b”# Set to ‘yes’ to sync hw clock after successful ntpdate
SYNC_HWCLOCK=yes

ファイアウォール

firewalld

  • 有効

  • 初期設定ではeth0のゾーンはpublic、サービスはデフォルト設定(dhcpv6-client, sshのみ許可)

fail2ban

  • 有効(SSHのログイン試行5回失敗で接続拒否)

  • /var/log/fail2ban.logにログを出力する

設定ファイル

/etc/fail2ban/fail2ban.conf

設定内容

logtarget = /var/log/fail2ban.log

設定ファイル

/etc/fail2ban/jail.d/local.conf

設定内容

[DEFAULT]
banaction = firewallcmd-ipset
backend = systemd
[sshd]
enabled = true

SSH

  • 以下のユーザ名でのSSH接続を拒否する

toor administrator administrateur admin adm test guest info mysql user oracle

  • GSSAPI認証を無効にする

  • GSSAPI認証情報のキャッシュをユーザログアウト時に自動的に削除しない

  • PAMを有効にする

設定ファイル

/etc/ssh/sshd_config

設定内容

DenyUsers toor administrator administrateur admin adm test guest info mysql user oracle
GSSAPIAuthentication yes 削除
GSSAPICleanupCredentials yes 削除
UsePAM yes のまま

Postfix

ローカルマシンのみ許可

設定ファイル

/etc/postfix/main.cf

設定内容

mynetworks_style = host

X Window system

下記の設定ファイルを使用

設定ファイル

/etc/X11/xorg.conf

設定内容

# Xorg configuration created by pyxf86config

Section “ServerLayout”
Identifier “Default Layout”
Screen 0 “Screen0” 0 0
InputDevice “Keyboard0” “CoreKeyboard”
InputDevice “Mouse0” “CorePointer”
EndSection

Section “InputDevice”
Identifier “Keyboard0”
Driver “kbd”
Option “XkbModel” “jp106”
Option “XkbLayout” “jp”
EndSection

Section “InputDevice”
Identifier “Mouse0”
Driver “evdev”
Option “Device” “/dev/input/event2”
EndSection

Section “Device”
Identifier “Videocard0”
Driver “cirrus”
EndSection

Section “Screen”
Identifier “Screen0”
Device “Videocard0”
DefaultDepth 24
SubSection “Display”
Viewport 0 0
Depth 24
EndSubSection
EndSection

GRUB

  • OS起動に関する変更

    • 起動時にRed Hat Graphical Bootではなくテキストモードを使用する

    • 起動時にカーネルメッセージを表示する

    • 起動時に時刻のずれを修正する

  • コンソール表示に関する変更

    • コンソールで使用するフォントをlatarcyrheb-sun16に変更する

    • コンソールがblank状態になるのを抑止する

    • Xサーバが起動するまではビデオドライバをロードせずBIOSモードを使用する

  • その他の変更

    • カーネルダンプを取得しない

    • NOOPスケジューラを使用する

    • systemd/udevによるNIC命名をおこなわない

    • biosdevnameによるNIC命名をおこなわない

設定ファイル

/etc/default/grub.conf

設定内容

GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=”$(sed ‘s, release .*$,,g’ /etc/system-release)”
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT=”console”
GRUB_CMDLINE_LINUX=”vconsole.font=latarcyrheb-sun16 consoleblank=0 clock=pit nomodeset elevator=noop net.ifnames=0 biosdevname=0″
GRUB_DISABLE_RECOVERY=”true”

AutoFsck

起動時にfsckをおこなう

設定ファイル

/etc/sysconfig/autofsck

設定内容

AUTOFSCK_DEF_CHECK=yes

デーモン

自動起動設定(稼働中)のデーモン

デーモン名

機能説明
手動の起動、停止方法

外部からの
接続ポート

chronyd

システムクロックを調整するためのサービス

crond

定期的にジョブを実行するためのcronサービス

dbus

アプリケーションがプロセス間通信をおこなうためのメッセージバスデーモン

fail2ban

不正の兆候がある接続を拒否する機能

firewalld

ゾーンに対応し、動的に設定をおこなうファイアウォール

agetty

起動時に仮想端末に自動ログインする

irqbalance

マルチプロセッサな環境での IRQ の割り込み処理用のサービス

NetworkManager

ネットワークデバイスと接続を動的に管理するデーモン

postfix

MTA 機能

25/smtp

polkit

権限を定義し処理するためのツールキット

rsyslog

システムのログを記録

sshd

SSH(Secure Shell)サーバサービス

22/tcp

systemd-journald

ログデータを収集、管理するサービス

systemd-logind

ユーザログインを管理するサービス

systemd-udevd

カーネルのueventを管理するデーモン

tuned

システムコンポーネントの使用を監視し動的にシステム設定をチューニングするデーモン

network

ネットワーク・インターフェイスの初期化スクリプト
/etc/init.d/network {start|stop|restart|reload|status}

デフォルト設定より自動起動を無効化したサービス一覧

サービス名

機能説明

外部からの接続ポート

auditd

監査レコードを記録するデーモン

lvm2-lvmetad

LVMコマンドのパフォーマンス向上、ボリュームの自動有効化をおこなうデーモン

wpa_supplicant

IEEE 802.1X/WPAサプリカント

パッケージ

インストール済のパッケージグループ

@Development Tools
@Japanese Support
@X Window System
@fonts

インストール済のパッケージ

chrony
epel-release
fail2ban
libcurl
nss
tcpdump
traceroute
yum-plugin-fastestmirror

除外したパッケージ

microcode_ctl
ntp
rdma

ソフトウェアリポジトリ

リポジトリ設定ファイル

/etc/yum.repos.d 以下

一部省略あり(CentOS Vaultに関する記述を省略しています)。

repo id

repo name

status

リポジトリ設定ファイル

base/7/x86_64

CentOS-7 – Base

enabled

CentOS-Base.repo

extras/7/x86_64

CentOS-7 – Extras

enabled

CentOS-Base.repo

updates/7/x86_64

CentOS-7 – Updates

enabled

CentOS-Base.repo

centosplus/7/x86_64

CentOS-7 – Plus

disabled

CentOS-Base.repo

cr/7/x86_64

CentOS-7 – cr

disabled

CentOS-CR.repo

base-debuginfo/x86_64

CentOS-7 – Debuginfo

disabled

CentOS-Debuginfo.repo

fasttrack/7/x86_64

CentOS-7 – fasttrack

disabled

CentOS-fasttrack.repo

c7-media

CentOS-7 – Media

disabled

CentOS-Media.repo

base-source/7

CentOS-7 – Base Sources

disabled

CentOS-Sources.repo

centosplus-source/7

CentOS-7 – Plus Sources

disabled

CentOS-Sources.repo

extras-source/7

CentOS-7 – Extras Sources

disabled

CentOS-Sources.repo

updates-source/7

CentOS-7 – Updates Sources

disabled

CentOS-Sources.repo

C7.0.1406-base/x86_64

CentOS-7.0.1406 – Base

disabled

CentOS-Vault.repo

C7.0.1406-centosplus/x86_64

CentOS-7.0.1406 – CentOSPlus

disabled

CentOS-Vault.repo

C7.0.1406-extras/x86_64

CentOS-7.0.1406 – Extras

disabled

CentOS-Vault.repo

C7.0.1406-fasttrack/x86_64

CentOS-7.0.1406 – CentOSPlus

disabled

CentOS-Vault.repo

C7.0.1406-updates/x86_64

CentOS-7.0.1406 – Updates

disabled

CentOS-Vault.repo

C7.1.1503-base/x86_64

CentOS-7.1.1503 – Base

disabled

CentOS-Vault.repo

C7.1.1503-centosplus/x86_64

CentOS-7.1.1503 – CentOSPlus

disabled

CentOS-Vault.repo

C7.1.1503-extras/x86_64

CentOS-7.1.1503 – Extras

disabled

CentOS-Vault.repo

C7.1.1503-fasttrack/x86_64

CentOS-7.1.1503 – CentOSPlus

disabled

CentOS-Vault.repo

C7.1.1503-updates/x86_64

CentOS-7.1.1503 – Updates

disabled

CentOS-Vault.repo

C7.2.1511-base/x86_64

CentOS-7.2.15011 – Base

disabled

CentOS-Vault.repo

C7.2.1511-centosplus/x86_64

CentOS-7.2.1511 – CentOSPlus

disabled

CentOS-Vault.repo

C7.2.1511-extras/x86_64

CentOS-7.2.1511 – Extras

disabled

CentOS-Vault.repo

C7.2.1511-fasttrack/x86_64

CentOS-7.2.1511 – CentOSPlus

disabled

CentOS-Vault.repo

C7.2.1511-updates/x86_64

CentOS-7.2.1511 – Updates

disabled

CentOS-Vault.repo

C7.3.1611-base/x86_64

CentOS-7.2.15011 – Base

disabled

CentOS-Vault.repo

C7.3.1611-centosplus/x86_64

CentOS-7.3.1611 – CentOSPlus

disabled

CentOS-Vault.repo

C7.3.1611-extras/x86_64

CentOS-7.3.1611 – Extras

disabled

CentOS-Vault.repo

C7.3.1611-fasttrack/x86_64

CentOS-7.3.1611 – CentOSPlus

disabled

CentOS-Vault.repo

C7.3.1611-updates/x86_64

CentOS-7.3.1611 – Updates

disabled

CentOS-Vault.repo

epel/x86_64

Extra Packages for Enterprise Linux 7 – x86_64

enabled

epel.repo

epel-debuginfo/x86_64

Extra Packages for Enterprise Linux 7 – x86_64 – Debug

disabled

epel.repo

epel-source/x86_64

Extra Packages for Enterprise Linux 7 – x86_64 – Source

disabled

epel.repo

epel-testing/x86_64

Extra Packages for Enterprise Linux 7 – Testing – x86_64

disabled

epel-testing.repo

epel-testing-debuginfo/x86_64

Extra Packages for Enterprise Linux 7 – Testing – x86_64 – Debug

disabled

epel-testing.repo

epel-testing-source/x86_64

Extra Packages for Enterprise Linux 7 – Testing – x86_64 – Source

disabled

epel-testing.repo

CentOS-Base.repo内のbaseurlを下記の通り変更

repo id

baseurl

base

http://ftp.sakura.ad.jp/pub/linux/centos/$releasever/os/$basearch/

updates

http://ftp.sakura.ad.jp/pub/linux/centos/$releasever/updates/$basearch/

extras

http://ftp.sakura.ad.jp/pub/linux/centos/$releasever/extras/$basearch/

centosplus

http://ftp.sakura.ad.jp/pub/linux/centos/$releasever/centosplus/$basearch/

Kickstart

CentOS 7.7 の提供にあたっては、さくらのクラウド用の kickstart を適用し、追加の初期設定を行っています。 kickstart ファイルはこちら をご覧ください。