CentOS 8.2 (2004) 64bit リリースノート

目次

[更新: 2020年10月13日]

さくらのクラウドで提供中のCentOS 8.2 (2004) 64bit パブリックアーカイブの設定内容について記載します。 CentOS パブリックアーカイブのバージョンごとの変更履歴詳細につきましては、 さくらのクラウドニュース アーカイブ 記事一覧 から、該当バージョンのパブリックアーカイブ公開のお知らせをご覧ください。

注意

推奨されている最小メモリ容量は1.5GBです（ 参考：OS仕様 ）。CentOS 8.x のシステムは 1GB のメモリでもブートしますが、ご利用予定の環境によっては、利用可能な空きメモリ領域が少なくなる場合がありますので、ご注意ください。

管理ユーザ

アカウント名	root
初期パスワード	なし（ディスク修正から設定可能）

SELinux

無効

設定ファイル	/etc/sysconfig/selinux
設定内容	SELINUX=disabled

ロケール

言語	LANG=ja_JP.utf8
タイムゾーン	Asia/Tokyo（JST）

ディスク

パーティションテーブル	GPT

パーティション構成

パーティション番号	マウントポイント	パーティション名	フォーマット	容量
1	－	BIOS boot partition	bios_grub フラグ (EF02)	1024KB
2	/dev/shm	Linux swap	tmpfs (8200)	4GB
3	/	Linux filesystem	ext4 (8300)	残りのディスク容量まで拡張

ネットワーク

インタフェース	eth0
プロトコル	IPv4：有効、IPv6：無効 ※1
ホスト名	localhost.localdomain（ディスク修正から設定可能）
ネームサーバ	石狩リージョン： 133.242.0.3（dns13.sakura.ad.jp） 133.242.0.4（dns14.sakura.ad.jp） 東京リージョン： 210.188.224.10（dns5.sakura.ad.jp） 210.188.224.11（dns6.sakura.ad.jp）

※1　IPv6でRAによるアドレス設定を受け付けない

設定ファイル	/etc/sysctl.conf
設定内容	net.ipv6.conf.default.accept_ra=0 net.ipv6.conf.all.accept_ra=0 net.ipv6.conf.eth0.accept_ra=0

NTP

NTPサーバ	ntp1.sakura.ad.jp

chronyd

• 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせをおこなう

• 自身がNTPサーバとしては動作しない（時刻の問い合わせに対し応答しない）

• chronydをユーザchronyの権限で動作させる

• chronydをRAM上で動作させページアウトをおこなわない

設定ファイル

/etc/chrony.conf

設定内容

server ntp1.sakura.ad.jp iburst# Listen for commands only on localhost. bindcmdaddress 127.0.0.1 bindcmdaddress ::1# This option allows you to configure the port on which chronyd will listen for NTP requests. # The compiled in default is udp/123, the standard NTP port. If set to 0, chronyd will not open the server # socket and will operate strictly in a client-only mode. port 0# User to which will chronyd switch on initialisation to drop root privileges. user chrony# Deny access to chronyc from other computers. cmddeny all # Lock chronyd into RAM so that it will never be paged out. lock_all

ファイアウォール

firewalld

• 有効

• 初期設定ではeth0のゾーンはpublic、サービスはデフォルト設定（dhcpv6-client, sshのみ許可）

fail2ban

• 有効（SSHのログイン試行5回失敗で接続拒否）

• /var/log/fail2ban.logにログを出力する

設定ファイル	/etc/fail2ban/fail2ban.conf
設定内容	logtarget = /var/log/fail2ban.log

設定ファイル	/etc/fail2ban/jail.d/local.conf
設定内容	[DEFAULT] banaction = firewallcmd-ipset backend = systemd [sshd] enabled = true

SSH

• 以下のユーザ名でのSSH接続を拒否する

toor administrator administrateur admin adm test guest info mysql user oracle

• GSSAPI認証を無効にする

• GSSAPI認証情報のキャッシュをユーザログアウト時に自動的に削除しない

• PAMを有効にする

設定ファイル	/etc/ssh/sshd_config
設定内容	DenyUsers toor administrator administrateur admin adm test guest info mysql user oracle GSSAPIAuthentication yes 削除 GSSAPICleanupCredentials yes 削除 UsePAM yes のまま

Postfix

ローカルマシンのみ許可

設定ファイル	/etc/postfix/main.cf
設定内容	mynetworks_style = host

GRUB

• OS起動に関する変更

  • 起動時にRed Hat Graphical Bootではなくテキストモードを使用する

  • 起動時にカーネルメッセージを表示する

  • 起動時に時刻のずれを修正する

• コンソール表示に関する変更

  • コンソールで使用するフォントをlatarcyrheb-sun16に変更する

  • コンソールがblank状態になるのを抑止する

  • Xサーバが起動するまではビデオドライバをロードせずBIOSモードを使用する

• その他の変更

  • カーネルダンプを取得しない

  • NOOPスケジューラを使用する

  • systemd/udevによるNIC命名をおこなわない

  • biosdevnameによるNIC命名をおこなわない

設定ファイル	/etc/default/grub.conf
設定内容	GRUB_TIMEOUT=5 GRUB_DISTRIBUTOR=”$(sed ‘s, release .*$,,g’ /etc/system-release)” GRUB_DEFAULT=saved GRUB_DISABLE_SUBMENU=true GRUB_TERMINAL_OUTPUT=”console” GRUB_CMDLINE_LINUX=”vconsole.font=latarcyrheb-sun16 consoleblank=0 clock=pit nomodeset elevator=noop net.ifnames=0 biosdevname=0″ GRUB_DISABLE_RECOVERY=”true”

AutoFsck

起動時にfsckをおこなう

設定ファイル	/etc/sysconfig/autofsck
設定内容	AUTOFSCK_DEF_CHECK=yes

デーモン

自動起動設定（稼働中）のデーモン

デーモン名	機能説明 手動の起動、停止方法	外部からの 接続ポート
chronyd	システムクロックを調整するためのサービス	–
crond	定期的にジョブを実行するためのcronサービス	–
dbus	アプリケーションがプロセス間通信をおこなうためのメッセージバスデーモン	–
fail2ban	不正の兆候がある接続を拒否する機能	–
firewalld	ゾーンに対応し、動的に設定をおこなうファイアウォール	–
agetty	起動時に仮想端末に自動ログインする	–
irqbalance	マルチプロセッサな環境での IRQ の割り込み処理用のサービス	–
NetworkManager	ネットワークデバイスと接続を動的に管理するデーモン	–
postfix	MTA 機能	25/smtp
polkit	権限を定義し処理するためのツールキット	–
rsyslog	システムのログを記録	–
sshd	SSH(Secure Shell)サーバサービス	22/tcp
systemd-journald	ログデータを収集、管理するサービス	–
systemd-logind	ユーザログインを管理するサービス	–
systemd-udevd	カーネルのueventを管理するデーモン	–
tuned	システムコンポーネントの使用を監視し動的にシステム設定をチューニングするデーモン	–
network	ネットワーク・インターフェイスの初期化スクリプト /etc/init.d/network {start|stop|restart|reload|status}	–

デフォルト設定より自動起動を無効化したサービス一覧

サービス名	機能説明	外部からの接続ポート
auditd	監査レコードを記録するデーモン	–
lvm2-lvmetad	LVMコマンドのパフォーマンス向上、ボリュームの自動有効化をおこなうデーモン	–
wpa_supplicant	IEEE 802.1X/WPAサプリカント	–

パッケージ

インストール済のパッケージグループ

@Development Tools
@Standard

インストール済のパッケージ

cloud-utils-growpart
epel-release
fail2ban
gdisk
langpacks-ja
traceroute

除外したパッケージ

microcode_ctl
cockpit

ソフトウェアリポジトリ

リポジトリ設定ファイル	/etc/yum.repos.d 以下

repo id	repo name	status	リポジトリ設定ファイル
BaseOS/8/x86_64	CentOS-8 – Base	enabled	CentOS-BaseOS.repo
AppStream/8/x86_64	CentOS-8 – AppStream	enabled	CentOS-AppStream.repo
epel/x86_64	Extra Packages for Enterprise Linux 8 – x86_64	enabled	epel.repo

CentOS-Base.repo内のbaseurlを下記の通り変更

repo id	baseurl
BaseOS	http://ftp.sakura.ad.jp/pub/linux/centos/8/BaseOS/x86_64/os/
AppStream	http://ftp.sakura.ad.jp/pub/linux/centos/8/AppStream/x86_64/os/

Kickstart

CentOS 8.2 の提供にあたっては、さくらのクラウド用の kickstart を適用し、追加の初期設定を行っています。 kickstart ファイルはこちら をご覧ください。