RockyLinux 9.2 64bit リリースノート

[更新: 2023年6月29日]

さくらのクラウドで提供中のRockyLinux 9.2 64bit パブリックアーカイブの設定内容について記載します。

注意

最小メモリ容量は1.5GB(搭載する論理CPUごとに1.5GB)が推奨となります( 参考:Red Hat Enterprise Linux Technology Capabilities and Limits )。

管理ユーザ

アカウント名 root
初期パスワード なし(ディスク修正から設定可能)

root ユーザのパスワード認証はデフォルトで許可されていないため、SSHログインを行う場合は「公開鍵認証」を設定してください。
なお、さくらのクラウドの「コンソール」からサーバにログインすることも可能です。

SELinux

無効

設定ファイル /etc/sysconfig/selinux
設定内容 SELINUX=disabled

ロケール

言語 LANG=en_US.UTF-8
タイムゾーン Asia/Tokyo(JST)

ディスク

パーティションテーブル GPT

パーティション構成

パーティション番号 マウントポイント パーティション名 フォーマット 容量
1 BIOS boot partition bios_grub フラグ (EF02) 1024KB
2 / Linux filesystem ext4 (8300) 残りのディスク容量まで拡張

注意

SWAP領域は作成されません。SWAP領域が必要な場合は別途SWAPファイルの作成と有効化作業が必要です。

ネットワーク

インタフェース eth0
プロトコル IPv4:有効、IPv6:無効 ※1
ホスト名 localhost.localdomain(ディスク修正から設定可能)
ネームサーバ 石狩リージョン:
133.242.0.3(dns13.sakura.ad.jp)
133.242.0.4(dns14.sakura.ad.jp)
東京リージョン:
210.188.224.10(dns5.sakura.ad.jp)
210.188.224.11(dns6.sakura.ad.jp)

※1 IPv6でRAによるアドレス設定を受け付けない

設定ファイル /etc/sysctl.conf
設定内容 net.ipv6.conf.default.accept_ra=0
net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.eth0.accept_ra=0

NTP

NTPサーバ ntp1.sakura.ad.jp

chronyd

  • 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせを行う
設定ファイル /etc/chrony.conf
設定内容 server ntp1.sakura.ad.jp iburst

ファイアウォール

firewalld

  • 有効
  • 初期設定ではeth0のゾーンはpublic、サービスはデフォルト設定(dhcpv6-client, sshのみ許可)

fail2ban

  • 有効(SSHのログイン試行5回失敗で接続拒否)
  • /var/log/fail2ban.logにログを出力する
設定ファイル /etc/fail2ban/fail2ban.conf
設定内容 logtarget = /var/log/fail2ban.log
設定ファイル /etc/fail2ban/jail.d/local.conf
設定内容 [sshd]
enabled = true

dmesgに出力されるwarningメッセージについて

dmesgに

Warning: Deprecated Driver is detected: ipset will not be maintained in a future major release and may be disabled
Warning: Deprecated Driver is detected: nft_compat will not be maintained in a future major release and may be disabled

といった内容のWarningメッセージが出力される場合がありますが利用上は特に問題ありません。出力を抑制したい場合は local.conf ファイルの設定にてDEFAULTセクションをコメントアウトし、サービスを再起動してください。

$ cat /etc/fail2ban/jail.d/local.conf
#[DEFAULT]
#banaction = firewallcmd-ipset
#backend = systemd

[sshd]
enabled = true
$ sudo systemctl restart fail2ban

SSH

  • 以下のユーザ名でのSSH接続を拒否する
toor administrator administrateur admin adm test guest info mysql user oracle
  • GSSAPI認証を無効にする
  • GSSAPI認証情報のキャッシュをユーザログアウト時に自動的に削除しない
  • PAMを有効にする
設定ファイル /etc/ssh/sshd_config
設定内容 DenyUsers toor administrator administrateur admin adm test guest info mysql user oracle
GSSAPIAuthentication yes 削除
GSSAPICleanupCredentials yes 削除
UsePAM yes のまま

GRUB

  • OS起動に関する変更
    • 起動時にGraphical Bootではなくテキストモードを使用する
    • 起動時にカーネルメッセージを表示する
    • 起動時に時刻のずれを修正する
  • コンソール表示に関する変更
    • コンソールで使用するフォントをlatarcyrheb-sun16に変更する
    • コンソールがblank状態になるのを抑止する
    • Xサーバが起動するまではビデオドライバをロードせずBIOSモードを使用する
  • その他の変更
    • カーネルダンプを取得しない
    • NOOPスケジューラを使用する
    • systemd/udevによるNIC命名をおこなわない
    • biosdevnameによるNIC命名をおこなわない
設定ファイル /etc/default/grub
設定内容 GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=”$(sed ‘s, release .*$,,g’ /etc/system-release)”
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT=”console”
GRUB_CMDLINE_LINUX=”vconsole.font=latarcyrheb-sun16 consoleblank=0 clock=pit nomodeset elevator=noop net.ifnames=0 biosdevname=0″
GRUB_DISABLE_RECOVERY=”true”

AutoFsck

起動時にfsckをおこなう

設定ファイル /etc/sysconfig/autofsck
設定内容 AUTOFSCK_DEF_CHECK=yes

デーモン

自動起動設定(稼働中)のデーモン

デーモン名 機能説明
手動の起動、停止方法
外部からの
接続ポート
chronyd システムクロックを調整するためのサービス
crond 定期的にジョブを実行するためのcronサービス
dbus アプリケーションがプロセス間通信をおこなうためのメッセージバスデーモン
fail2ban 不正の兆候がある接続を拒否する機能
firewalld ゾーンに対応し、動的に設定をおこなうファイアウォール
agetty 起動時に仮想端末に自動ログインする
irqbalance マルチプロセッサな環境での IRQ の割り込み処理用のサービス
NetworkManager ネットワークデバイスと接続を動的に管理するデーモン
polkit 権限を定義し処理するためのツールキット
rsyslog システムのログを記録
sshd SSH(Secure Shell)サーバサービス 22/tcp
systemd-journald ログデータを収集、管理するサービス
systemd-logind ユーザログインを管理するサービス
systemd-udevd カーネルのueventを管理するデーモン
tuned システムコンポーネントの使用を監視し動的にシステム設定をチューニングするデーモン
network ネットワーク・インターフェイスの初期化スクリプト
/etc/init.d/network {start|stop|restart|reload|status}

デフォルト設定より自動起動を無効化したサービス一覧

サービス名 機能説明 外部からの接続ポート
auditd 監査レコードを記録するデーモン

パッケージ

インストール済のパッケージグループ

@Development Tools
@Standard

インストール済のパッケージ

cloud-utils-growpart
epel-release
fail2ban
gdisk
langpacks-ja
traceroute

除外したパッケージ

microcode_ctl
cockpit

ソフトウェアリポジトリ

リポジトリ設定ファイル /etc/yum.repos.d 以下
repo id repo name status リポジトリ設定ファイル
BaseOS/9/x86_64 RockyLinux 9 - BaseOS enabled rockylinux.repo
AppStream/9/x86_64 RockyLinux 9 - AppStream enabled rockylinux.repo
epel/x86_64 Extra Packages for Enterprise Linux 9 – x86_64 enabled epel.repo
extras/x86_64 Rocky Linux 9 - Extras enabled rocky-extras.repo

Kickstart

RockyLinux 9.2 の提供にあたっては、さくらのクラウド用の kickstart を適用し、追加の初期設定を行っています。 kickstart ファイルはこちら をご覧ください。