第1章 システム管理の使用

以下のセクションでは、インストール済みシステムでの基本的な管理タスクの概要を説明します。

注記

以下のような基本的な管理タスクには、システムの登録など、必須ではありませんが、通常はインストールプロセス中に実行済みとなる項目が含まれている場合があります。以下のセクションでは、このようなタスクを扱うことで、インストール時に同じタスクを実行する方法の概要を説明します。

Red Hat Enterprise Linux のインストールの詳細は『標準的な RHEL インストールの実行』を参照してください。

インストール後のタスクはすべてコマンドラインから実行できますが、一部のコマンドは RHEL 8 Web コンソールから実行することもできます。

1.1. RHEL Web コンソールの使用

Red Hat Enterprise Linux 8 に Web コンソールをインストールし、RHEL 8 Web コンソールで リモートホストを追加し、監視する方法を確認します。

前提条件

  • Red Hat Enterprise Linux 8 をインストールしている。
  • 有効なネットワークがある。
  • 適切なサブスクリプションが割り当てられた登録済みのシステムがある。

    サブスクリプションを取得する場合は、「Web コンソールでサブスクリプションの管理」を参照してください。

1.1.1. RHEL Web コンソールの概要

RHEL Web コンソールは、ローカルシステムやネットワーク環境にある Linux サーバーを管理および監視するために設計された Red Hat Enterprise Linux 8 の Web ベースのインターフェースです。

cockpit overview page PF4

RHEL Web コンソールは、以下を含むさまざまな管理タスクを可能にします。

  • サービスの管理
  • ユーザーアカウントの管理
  • システムサービスの管理および監視
  • ネットワークインターフェースおよびファイアウォールの設定
  • システムログの確認
  • 仮想マシンの管理
  • 診断レポートの作成
  • カーネルダンプ構成の設定
  • SELinux の構成
  • ソフトウェアの更新
  • システムサブスクリプションの管理

RHEL Web コンソールは、ターミナルと同じシステム API を使用します。ターミナルで実行した操作は、即座に RHEL Web コンソールに反映されます。

ネットワーク環境のシステムのログや、パフォーマンスをグラフで監視できます。さらに、Web コンソールで設定を直接変更したり、ターミナルから設定を変更できます。

1.1.2. Web コンソールのインストール

Red Hat Enterprise Linux 8 では、多くのインストール方法で、RHEL 8 Web コンソールがデフォルトでインストールされます。

ご使用のシステムがこれに該当しない場合は、cockpit パッケージをインストールし、cockpit.socket サービスを設定して RHEL 8 Web コンソールを有効にします。

手順

  1. cockpit パッケージをインストールします。

    # yum install cockpit
  2. Web サーバーを実行する cockpit.socket サービスを有効にして起動します。

    # systemctl enable --now cockpit.socket
  3. カスタムのファイアウォールプロファイルを使用している場合は、cockpit サービスを firewalld に追加して、ファイアウォールの 9090 ポートを開きます。

    # firewall-cmd --add-service=cockpit --permanent
    # firewall-cmd --reload

検証手順

  1. 以前のインストールと設定を確認するには、Web コンソールを開きます

1.1.3. Web コンソールへのログイン

システムユーザー名とパスワードを使用して、RHEL Web コンソールに最初にログインするには、この手順の手順に従ってください。

前提条件

  • 以下のブラウザーのいずれかを使用して、Web コンソールを開いている。

    • Mozilla Firefox 52 以上
    • Google Chrome 57 以上
    • Microsoft Edge 16 以上
  • システムユーザーアカウントの認証情報

    RHEL Web コンソールは、/etc/pam.d/cockpit にある特定の PAM スタックを使用します。PAM を使用した認証では、システムのローカルアカウントのユーザー名およびパスワードを使用してログインできます。

手順

  1. Web ブラウザーで Web コンソールを開きます。

    • ローカルの場合 - https://localhost:9090
    • リモートでサーバーのホスト名を使用する場合 - https://example.com:9090
    • リモートでサーバーの IP アドレスを使用する場合 - https://192.0.2.2:9090

      自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。

      コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面で、システムユーザー名とパスワードを入力します。

    cockpit login page PF4

  3. 必要に応じて、特権タスクにパスワードを再使用する オプションをクリックします。

    ログインに使用するユーザーアカウントに sudo 権限がある場合は、ソフトウェアのインストールや SELinux の設定など、Web コンソールで権限が必要となるタスクを実行できます。

  4. ログイン をクリックします。

認証に成功すると、RHEL Web コンソールインターフェースが開きます。

1.1.4. リモートマシンから Web コンソールへの接続

任意のクライアントオペレーティングシステムから、または携帯電話やタブレットから、Web コンソールインターフェースに接続できます。

前提条件

  • 対応しているインターネットブラウザーを備えたデバイス。以下に例を示します。

    • Mozilla Firefox 52 以上
    • Google Chrome 57 以上
    • Microsoft Edge 16 以上
  • インストールしてアクセス可能な Web コンソールでアクセスする RHEL 8 サーバー。Web コンソールのインストールの詳細は、「RHEL Web コンソールの使用」を参照してください。

手順

  1. Web ブラウザを開きます。
  2. リモートサーバーのアドレスを次のいずれかの形式で入力します。

    1. サーバーのホスト名 (server.hostname.example.com:port_number)
    2. サーバーの IP アドレス (server.IP_address:port_number)
  3. ログインインターフェースが開いたら、RHEL マシンの資格情報でログインします。

1.1.5. ワンタイムパスワードを使用した Web コンソールへのログイン

システムがワンタイムパスワード (OTP) 設定が有効になっている Identity Management (IdM) ドメインの一部である場合は、OTP を使用して RHEL Web コンソールにログインできます。

重要

ワンタイムパスワードを使用してログインできるのは、お使いのシステムが、OTP 設定が有効な Identity Management (IdM) ドメインの一部である場合のみです。IdM の OTP の詳細は、「Identity Management のワンタイムパスワード」を参照してください。

前提条件

手順

  1. ブラウザーで RHEL Web コンソールを開きます。

    • ローカルの場合 - https://localhost:PORT_NUMBER
    • リモートでサーバーのホスト名を使用する場合 - https://example.com:PORT_NUMBER
    • リモートでサーバーの IP アドレスを使用する場合 - https://EXAMPLE.SERVER.IP.ADDR:PORT_NUMBER

      自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。

      コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面が表示されます。ログイン画面で、システムユーザーの名前とパスワードを入力します。
  3. デバイスでワンタイムパスワードを生成します。
  4. パスワードを確認してから、Web コンソールインターフェースに表示される新規フィールドにワンタイムパスワードを入力します。
  5. Log in をクリックします。
  6. 正常なログインは、Web コンソールインターフェースの Overview ページに移動します。

1.1.6. Web コンソールを使用したシステムの再起動

Web コンソールを使用して、Web コンソールが接続している RHEL システムを再起動します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. 再起動 ボタンをクリックします。

    cockpit system restart pf4

  4. ユーザーがシステムにログインする場合は、再起動 ダイアログボックスに、再起動する理由を記入します。
  5. 必要に応じて、遅延 ドロップダウンリストで、遅延させる時間を選択します。

    cockpit restart delay pf4

  6. 再起動 をクリックします。

1.1.7. Web コンソールを使用してシステムのシャットダウン

Web コンソールを使用して、Web コンソールが接続している RHEL システムをシャットダウンします。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. 再起動 ドロップダウンリストで、シャットダウン を選択します。

    cockpit system shutdown pf4

  4. システムにログインするユーザーがいる場合は、シャットダウン ダイアログボックスに、シャットダウンの理由を入力します。
  5. 必要に応じて、遅延 ドロップダウンリストで、遅延させる時間を選択します。
  6. シャットダウン をクリックします。

1.1.8. Web コンソールを使用した時間設定の設定

タイムゾーンを設定し、システム時間を Network Time Protocol (NTP) サーバーに同期できます。(ユーザーがこれを行う理由を追加します)。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 で現在のシステム時間をクリックします。

    cockpit time settings pf4

  3. 必要に応じて、システム時間の変更 ダイアログボックスで、タイムゾーンを変更します。
  4. 時間の設定 ドロップダウンメニューで、以下のいずれかを選択します。

    手動
    NTP サーバーなしで手動で時間を設定する必要がある場合は、このオプションを使用します。
    NTP サーバーの自動使用
    これはデフォルトのオプションで、設定された NTP サーバーと時間を自動的に同期します。
    特定の NTP サーバーの自動使用
    このオプションは、システムを特定の NTP サーバーと同期する必要がある場合に限り使用してください。サーバーの DNS 名または IP アドレスを指定します。
  5. 変更 をクリックします。

    cockpit time change pf4

検証手順

  • システム タブに表示されるシステム時間を確認します。

1.1.9. Web コンソールで RHEL 8 システムを IdM ドメインに参加

Web コンソールを使用することで、Red Hat Enterprise Linux 8 システムを Identity Management (IdM) ドメインに参加させることができます。

前提条件

  • IdM ドメインが実行中で参加するクライアントから到達可能
  • IdM ドメインの管理者認証情報がある。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. システム タブを開きます。
  3. ドメイン参加 をクリックします。

    idm cockpit join domain

  4. ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
  5. 認証 ドロップダウンメニューで、認証にパスワード、またはワンタイムパスワードを使用するかどうかを選択します。

    idm cockpit join psswd

  6. ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
  7. 上記の 認証 ドロップダウンリストで選択した内容に応じて、パスワードフィールドにパスワードまたはワンタイムパスワードを追加します。
  8. 参加 をクリックします。

    idm cockpit join

検証手順

  1. システムが IdM ドメインに参加していると、RHEL 8 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。
  2. ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、id コマンドを実行します。

    $ id
    euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

1.1.10. SMT を無効にして、Web コンソールを使用した CPU セキュリティー問題を回避

CPU SMT (Simultaneous Multi Threading) を誤用する攻撃が発生した場合に SMT を無効にします。SMT を無効にすると、L1TF や MDS などのセキュリティー脆弱性を軽減できます。

重要

SMT を無効にすると、システムパフォーマンスが低下する可能性があります。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. システム をクリックします。
  3. ハードウェア で、ハードウェア情報をクリックします。

    cockpit smt hardware

  4. CPU セキュリティー で、軽減策 をクリックします。

    このリンクがない場合は、システムが SMT に対応していないため、攻撃を受けません。

  5. CPU セキュリティートグル で、同時マルチスレッドの無効 (nosmt) オプションに切り替えます。

    cockpit smt disable

  6. 保存および再起動 ボタンをクリックします。

システムの再起動後、CPU は SMT を使用しなくなりました。

関連情報

SMT を無効にすることで回避できるセキュリティー攻撃の詳細は、以下を参照してください。

1.2. Web コンソールでホスト名を設定する

RHEL 8 Web コンソールを使用して、Web コンソールが接続しているシステムで、異なる形式のホスト名を設定する方法を学びます。

1.2.1. ホスト名

ホスト名はシステムを識別します。デフォルトでは、ホスト名は localhost に設定されていますが、変更できます。

ホスト名は、以下の 2 つの部分から構成されます。

ホスト名
システムを識別する一意の名前です。
ドメイン
ネットワーク内でシステムを使用する場合や、IP アドレスではなく名前を使用する場合に、ホスト名の背後にドメインを接尾辞として追加します。

ドメイン名が割り当てられたホスト名は、完全修飾ドメイン名 (FQDN) と呼ばれます。たとえば、mymachine.example.com です。

ホスト名は /etc/hostname ファイルに保存されます。

1.2.2. Web コンソールで Pretty ホスト名

RHEL Web コンソールで Pretty ホスト名を設定することもできます。Pretty ホスト名は、大文字、スペースなどを含むホスト名です。

Pretty ホスト名は Web コンソールに表示されますが、ホスト名に対応させる必要はありません。

例1.1 Web コンソールでのホスト名の形式

Pretty ホスト名
My machine
ホスト名
mymachine
実際のホスト名 - 完全修飾ドメイン名 (FQDN)
mymachine.idm.company.com

1.2.3. Web コンソールを使用したホスト名の設定

この手順では、Web コンソールで実際のホスト名または Pretty ホスト名を設定します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. 現在のホスト名の横にある 編集 をクリックします。

    cockpit hostname pf4

  4. ホスト名の変更 ダイアログボックスの Pretty ホスト名 フィールドに、ホスト名を入力します。
  5. 実際のホスト名フィールド は、ドメイン名を Pretty 名に割り当てます。

    ホスト名が Pretty ホスト名と一致しない場合は、実際にホスト名を手動で変更できます。

  6. 変更 をクリックします。

    cockpit hostname change pf4

検証手順

  1. Web コンソールからログアウトします。
  2. ブラウザーのアドレスバーに新規ホスト名のアドレスを入力して、Web コンソールを再度開きます。

    cockpit hostname change verify pf4

1.3. Red Hat Web コンソールアドオン

RHEL 8 Web コンソールでアドオンをインストールし、利用できるアドオンアプリケーションを確認します。

1.3.1. アドオンのインストール

cockpit パッケージは、デフォルトで Red Hat Enterprise Linux 8 に含まれています。アドオンアプリケーションを使用できるようにするには、個別にインストールする必要があります。

前提条件

  • cockpit パッケージがインストールされ、有効になっている。Web コンソールを最初にインストールする必要がある場合は、installation のセクションを参照してください。

手順

  • アドオンをインストールします。

    # yum install <add-on>

1.3.2. RHEL 8 Web コンソールのアドオン

以下の表は、RHEL 8 Web コンソールの利用可能なアドオンアプリケーションの一覧です。

機能名パッケージ名用途

Composer

cockpit-composer

カスタム OS イメージの構築

Dashboard

cockpit-dashboard

単一の UI で複数のサーバーを管理する

Machines

cockpit-machines

libvirt 仮想マシンの管理

PackageKit

cockpit-packagekit

ソフトウェア更新およびアプリケーションインストール (通常はデフォルトでインストールされている)

PCP

cockpit-pcp

永続的かつ、より詳細なパフォーマンスデータ (UI からオンデマンドでインストール)

podman

cockpit-podman

podman コンテナーの管理 (RHEL 8.1 から利用可能)

セッションの録画

cockpit-session-recording

ユーザーセッションの記録および管理

1.4. Web コンソールを使用したシステムパフォーマンスの最適化

選択したタスクに対してシステムのパフォーマンスを最適化する、RHEL 8 Web コンソールでのパフォーマンスプロファイル設定を学びます。

1.4.1. Web コンソールでのパフォーマンスチューニングオプション

Red Hat Enterprise Linux 8 は、以下のタスクに対してシステムを最適化する複数のパフォーマンスプロファイルを提供します。

  • デスクトップを使用するシステム
  • スループットのパフォーマンス
  • レイテンシーパフォーマンス
  • ネットワークパフォーマンス
  • 電力の低消費
  • 仮想マシン

tuned サービスは、選択したプロファイルに一致するようにシステムオプションを最適化します。

Web コンソールでは、システムが使用するパフォーマンスプロファイルを設定できます。

関連情報

1.4.2. Web コンソールでのパフォーマンスプロファイルの設定

この手順では、Web コンソールを使用して、選択したタスクのシステムパフォーマンスを最適化します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. パフォーマンスプロファイル フィールドで、現在のパフォーマンスプロファイルをクリックします。

    cockpit performance profile pf4

  4. 必要に応じて、パフォーマンスプロファイルの変更 ダイアログボックスで、プロファイルを変更します。
  5. プロファイルの変更 をクリックします。

    cockpit performance profile change pf4

検証手順

  • Overview タブには、選択したパフォーマンスプロファイルが表示されます。

1.5. RHEL システムロールの使用

本セクションでは、RHEL システムロールの概要を説明します。また、Ansible Playbook を使用して特定のロールを適用し、さまざまなシステム管理タスクを実行する方法を説明します。

1.5.1. RHEL システムロールの概要

RHEL システムロールは、Ansible ロールおよびモジュールのコレクションです。RHEL システムロールは、複数の RHEL システムをリモートで管理するための設定インターフェースを提供します。このインターフェースは、RHEL の複数のバージョンにわたるシステム設定の管理と、新しいメジャーリリースの導入を可能にします。

Red Hat Enterprise Linux 8 のインターフェースは、現在、以下のロールから構成されます。

  • kdump
  • network
  • selinux
  • storage
  • timesync
  • metrics

これらのロールはすべて、AppStream リポジトリーで利用可能な rhel-system-roles パッケージで提供されます。

関連情報

1.5.2. RHEL システムロールの用語

このドキュメントでは、以下の用語を確認できます。

システムロールの用語

Ansible Playbook
Playbook は、Ansible の設定、デプロイメント、オーケストレーションの言語です。リモートシステムを強制するポリシーや、一般的な IT プロセスで一連の手順を説明することができます。
コントロールノード
Ansible がインストールされているマシン。コマンドおよび Playbook を実行でき、すべてのコントロールノードから /usr/bin/ansible または /usr/bin/ansible-playbook を起動します。Python がインストールされているすべてのコンピューターをコントロールノードとして使用できます。ラップトップ、共有デスクトップ、およびサーバーですべての Ansible を実行できます。ただし、Windows マシンをコントロールノードとして使用することはできません。複数のコントロールノードを使用できます。
インベントリー
管理対象ノードの一覧。インベントリーファイルは「ホストファイル」とも呼ばれます。インベントリーでは、各管理対象ノードに対して IP アドレスなどの情報を指定できます。また、インベントリーは管理ノードを編成し、簡単にスケーリングできるようにグループの作成およびネスト化が可能です。インベントリーについての詳細は、「インベントリーの操作」セクションを参照してください。
管理ノード
Ansible で管理するネットワークデバイス、サーバー、またはその両方。管理対象ノードは、「ホスト」と呼ばれることもあります。Ansible が管理ノードにはインストールされません。

1.5.3. ロールの適用

以下の手順では、特定のロールを適用する方法を説明します。

前提条件

  • rhel-system-roles パッケージが、コントロールノードとして使用するシステムにインストールされている。

    # yum install rhel-system-roles
  • Ansible Engine リポジトリーが有効になり、コントロールノードとして使用するシステムに ansible パッケージがインストールされている。RHEL システムロールを使用する Playbook を実行するには、ansible パッケージが必要です。

    • Red Hat Ansible Engine サブスクリプションをお持ちでない場合は、Red Hat Enterprise Linux サブスクリプションで提供される Red Hat Ansible Engine の限定サポートバージョンを使用できます。この場合は、次の手順を実行します。

      1. RHEL Ansible Engine リポジトリーを有効にします。

        # subscription-manager refresh
        # subscription-manager repos --enable ansible-2-for-rhel-8-x86_64-rpms
      2. Ansible Engine をインストールします。

        # yum install ansible
    • Red Hat Ansible Engine のサブスクリプションをお持ちの場合は、「Red Hat Ansible Engine のダウンロードおよびインストール方法」に記載されている手順を行ってください。
  • Ansible の Playbook を作成できます。

    Playbook は、Ansible の設定、デプロイメント、およびオーケストレーションの言語を指定します。Playbook を使用すると、リモートマシンの設定を宣言して管理したり、複数のリモートマシンをデプロイしたり、手動で順番を付けたプロセスの手順をまとめたりできます。

    Playbook は、1 つ以上の play の一覧です。すべての play には、Ansible の変数、タスク、またはロールが含まれます。

    Playbook は人が判読でき、YAML 形式で表現されます。

    Playbook の詳細は、Ansible ドキュメントを参照してください。

手順

  1. 必要なロールを含む Ansible Playbook を作成します。

    以下の例は、特定の playroles: オプションを使用してロールを使用する方法を示しています。

    ---
    - hosts: webservers
      roles:
         - rhel-system-roles.network
         - rhel-system-roles.timesync

    Playbook でロールを使用する方法は、Ansible ドキュメント を参照してください。

    Playbook の例は 「Ansible examples」を参照してください。

    注記

    すべてのロールには README ファイルが含まれます。このファイルには、ロールや、サポートされるパラメーター値の使用方法が記載されています。ロールのドキュメントディレクトリーで、特定ロール用の Playbook のサンプルを見つけることもできます。このようなドキュメンテーションディレクトリーは、rhel-system-roles パッケージでデフォルトで提供され、以下の場所に置かれます。

    /usr/share/doc/rhel-system-roles/SUBSYSTEM/

    SUBSYSTEM は、selinuxkdumpnetworktimesync、または storage などの必要なロールの名前に置き換えます。

  2. ansible-playbook コマンドを実行して、ターゲットホストで Playbook を実行します。

    # ansible-playbook -i name.of.the.inventory name.of.the.playbook

    インベントリーは、Ansible が有効なシステムの一覧です。インベントリーの作成方法と使用方法は、Ansible ドキュメント を参照してください。

    インベントリーがない場合は、ansible-playbook の実行時に作成できます。

    Playbook を実行するターゲットホストが 1 つしかない場合は、次のコマンドを実行します。

    # ansible-playbook -i host1, name.of.the.playbook

    Playbook を実行するターゲットホストが複数になる場合は、次のコマンドを実行します。

    # ansible-playbook -i host1,host2,....,hostn name.of.the.playbook

関連情報

  • ansible-playbook コマンドの使用方法は、man ページの ansible-playbook を参照してください。

1.5.4. 関連情報

1.6. 基本的な環境設定の変更

基本的な環境設定は、インストールプロセスの一部です。以下のセクションでは、後で変更する際に説明します。環境の基本設定には、以下が含まれます。

  • 日付と時刻
  • システムロケール
  • キーボードのレイアウト
  • 言語

1.6.1. 日付および時刻の設定

正確な時間を維持することは、さまざまな理由で重要です。Red Hat Enterprise Linux では、NTP プロトコルにより、時刻が管理されます。これは、デーモンにより、ユーザー領域に実装されています。ユーザー領域のデーモンは、カーネルで実行しているシステムクロックを更新します。システムクロックは、さまざまなクロックソースを使用して時間を維持します。

Red Hat Enterprise Linux 8 は、chronyd デーモンを使用して NTP を実装します。chronydchrony パッケージから利用できます。詳細は「Chrony スイートを使用した NTP の設定」を参照してください。

1.6.1.1. システムの現在日時の表示

現在の日時を表示するには、以下のいずれかの手順を行います。

手順

  1. date コマンドを実行します。

    $ date
    Mon Mar 30 16:02:59 CEST 2020
  2. 詳細は、timedatectl コマンドを使用します。

    $ timedatectl
    Local time: Mon 2020-03-30 16:04:42 CEST
    Universal time: Mon 2020-03-30 14:04:42 UTC
      RTC time: Mon 2020-03-30 14:04:41
     Time zone: Europe/Prague (CEST, +0200)
    System clock synchronized: yes
    NTP service: active
    RTC in local TZ: no

関連情報

  • 詳細は、man ページの date(1) および timedatectl(1) を参照してください。

1.6.1.2. 関連情報

1.6.2. システムロケールの設定

システム全体にわたるロケール設定は /etc/locale.conf ファイルに保存され、システム起動の初期段階で systemd デーモンにより読み込まれます。/etc/locale.conf に設定したロケール設定は、個別のプログラムやユーザーが上書きしない限り、すべてのサービスやユーザーに継承されます。

本セクションでは、システムロケールを管理する方法を説明します。

手順

  1. 利用可能なシステムロケール設定を一覧表示するには、次のコマンドを実行します。

    $ localectl list-locales
    C.utf8
    aa_DJ
    aa_DJ.iso88591
    aa_DJ.utf8
    ...
  2. システムロケール設定の現在のステータスを表示するには、次のコマンドを実行します。

    $ localectl status
  3. デフォルトのシステムロケール設定を設定または変更するには、root ユーザーで localectl set-locale サブコマンドを使用します。以下に例を示します。

    # localectl set-locale LANG=en-US

関連情報

  • 詳細は、man ページの localectl(1)locale(7)、および locale.conf(5) を参照してください。

1.6.3. キーボードレイアウトの設定

キーボードレイアウト設定では、テキストコンソールとグラフィカルユーザーインターフェースで使用するレイアウトを管理します。

手順

  1. 利用可能なキーマップを一覧表示するには、以下を実行します。

    $ localectl list-keymaps
    ANSI-dvorak
    al
    al-plisi
    amiga-de
    amiga-us
    ...
  2. キーマップ設定の現在のステータスを表示するには、次のコマンドを実行します。

    $ localectl status
    ...
    VC Keymap: us
    ...
  3. デフォルトのシステムキーマップを設定または変更するには、root ユーザーで localectl set-keymap サブコマンドを使用します。以下に例を示します。

    # localectl set-keymap us

関連情報

  • 詳細は、man ページの localectl(1)locale(7)、および locale.conf(5) を参照してください。

1.6.4. デスクトップ GUI を使用した言語の変更

本セクションでは、デスクトップ GUI を使用してシステム言語を変更する方法を説明します。

前提条件

  • システムに必要な言語パッケージがインストールされている。

手順

  1. システムメニュー から GNOME コントロールセンター を開きます。

    cs system menu

  2. GNOME Control Center で、左側の垂直バーから 地域および言語 を選択します。
  3. 言語 メニューをクリックします。

    cs language menu

  4. メニューから必要な地域および言語を選択します。

    cs select region language

    該当する地域および言語が表示されない場合はスクロールダウンし、詳細 をクリックして、利用可能な地域および言語を選択します。

    cs available region language

  5. 完了 をクリックします。
  6. 再起動 をクリックして変更を有効にします。

    cs restart region language

注記

アプリケーションによっては、特定の言語に対応していないものもあります。選択した言語に翻訳できないアプリケーションのテキストは、アメリカ英語のままになります。

関連情報

1.6.5. 関連情報

1.7. ネットワークアクセスの設定および管理

本セクションでは、Red Hat Enterprise Linux でイーサネット接続を追加するさまざまなオプションを説明します。

1.7.1. グラフィカルインストールモードでのネットワークおよびホスト名の設定

以下の手順に従って、ネットワークとホスト名を設定します。

手順

  1. インストール概要 画面から、ネットワークとホスト名* をクリックします。
  2. 左側のペインのリストから、インターフェースを選択します。詳細が右側のペインに表示されます。
  3. 選択したインタフェースを有効または無効にするには、ON/OFF スイッチを切り替えます。

    注記

    インストールプログラムは、ローカルでアクセス可能なインターフェースを自動的に検出し、手動で追加または削除できません。

  4. + をクリックして、仮想ネットワークインターフェースを追加します。仮想ネットワークインターフェースは、チーム、ボンド、ブリッジ、または VLAN のいずれかです。
  5. - を選択して、仮想インターフェースを削除します。
  6. 設定 をクリックして、既存のインターフェースの IP アドレス、DNS サーバー、またはルーティング設定 (仮想と物理の両方) などの設定を変更します。
  7. ホスト名 フィールドに、システムのホスト名を入力します。

    注記
    • em1wl3sp0 といった一貫性のある名前をネットワークデバイスの特定に使用するネットワークデバイス命名の標準仕様には、いくつかのタイプがあります。このような標準仕様の詳細は『ネットワークの設定および管理』を参照してください。
    • ホスト名は、hostname.domainname という形式の完全修飾ドメイン名 (FQDN) か、ドメイン名のない短縮ホスト名のいずれかとなります。多くのネットワークには、自動的に接続したシステムにドメイン名を提供する DHCP (Dynamic Host Configuration Protocol) サービスがあります。DHCP サービスが、このマシンにドメイン名を割り当てるようにするには、短縮ホスト名のみを指定してください。localhost.localdomain の値は、ターゲットシステムの静的ホスト名が指定されておらず、(たとえば、DHCP または DNS を使用する NetworkManager による) ネットワーク設定時に、インストールされるシステムの実際のホスト名が設定されることを示しています。
  8. 適用 をクリックして、ホスト名を環境に適用します。

その他のリソースおよび情報

  • キックスタートファイルの使用時のネットワーク設定およびホスト名の設定の詳細は、『高度な RHEL インストールの実行』の該当する付録を参照してください。
  • Anaconda インストールプログラムのテキストモードを使用して Red Hat Enterprise Linux をインストールする場合は、ネットワーク設定 オプションを使用してネットワークを設定します。

1.7.2. nmcli を使用した静的イーサネット接続の設定

この手順では、nmcli ユーティリティーを使用して、以下の設定でイーサネット接続を追加する方法を説明します。

  • 静的 IPv4 アドレス - /24 サブネットマスクを持つ 192.0.2.1
  • 静的 IPv6 アドレス - 2001:db8:1::1/64 サブネットマスクあり)
  • IPv4 デフォルトゲートウェイ - 192.0.2.254
  • IPv6 デフォルトゲートウェイ - 2001:db8:1::fffe
  • IPv4 DNS サーバー - 192.0.2.200
  • IPv6 DNS サーバー - 2001:db8:1::ffbb
  • DNS 検索ドメイン - example.com

手順

  1. イーサネット接続に新しい NetworkManager 接続プロファイルを追加します。

    # nmcli connection add con-name Example-Connection ifname enp7s0 type ethernet

    以下の手順は、作成した Example-Connection 接続プロファイルを変更します。

  2. IPv4 アドレスを設定します。

    # nmcli connection modify Example-Connection ipv4.addresses 192.0.2.1/24
  3. IPv6 アドレスを設定します。

    # nmcli connection modify Example-Connection ipv6.addresses 2001:db8:1::1/64
  4. IPv4 および IPv6 接続メソッドを manual に設定します。

    # nmcli connection modify Example-Connection ipv4.method manual
    # nmcli connection modify Example-Connection ipv6.method manual
  5. IPv4 および IPv6 のデフォルトゲートウェイを設定します。

    # nmcli connection modify Example-Connection ipv4.gateway 192.0.2.254
    # nmcli connection modify Example-Connection ipv6.gateway 2001:db8:1::fffe
  6. IPv4 および IPv6 DNS サーバーアドレスを設定します。

    # nmcli connection modify Example-Connection ipv4.dns "192.0.2.200"
    # nmcli connection modify Example-Connection ipv6.dns "2001:db8:1::ffbb"

    複数の DNS サーバーを設定するには、空白で区切って引用符で囲みます。

  7. IPv4 および IPv6 接続の DNS 検索ドメインを設定します。

    # nmcli connection modify Example-Connection ipv4.dns-search example.com
    # nmcli connection modify Example-Connection ipv6.dns-search example.com
  8. 接続プロファイルをアクティブにします。

    # nmcli connection up Example-Connection
    Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/13)

検証手順

  1. デバイスおよび接続の状態を表示します。

    # nmcli device status
    DEVICE      TYPE      STATE      CONNECTION
    enp7s0      ethernet  connected  Example-Connection
  2. 接続プロファイルのすべての設定を表示するには、次のコマンドを実行します。

    # nmcli connection show Example-Connection
    connection.id:              Example-Connection
    connection.uuid:            b6cdfa1c-e4ad-46e5-af8b-a75f06b79f76
    connection.stable-id:       --
    connection.type:            802-3-ethernet
    connection.interface-name:  enp7s0
    ...
  3. ping ユーティリティーを使用して、このホストがパケットを他のホストに送信できることを確認します。

    • 同じサブネットの IP アドレスに ping します。

      IPv4 の場合:

      # ping 192.0.2.3

      IPv6 の場合:

      # ping 2001:db8:2::1

      コマンドが失敗した場合は、IP およびサブネットの設定を確認します。

    • リモートサブネットの IP アドレスに ping します。

      IPv4 の場合:

      # ping 198.162.3.1

      IPv6 の場合:

      # ping 2001:db8:2::1
      • コマンドが失敗した場合は、デフォルトゲートウェイに ping して設定を確認します。

        IPv4 の場合:

        # ping 192.0.2.254

        IPv6 の場合:

        # ping 2001:db8:1::fffe
  4. host ユーティリティーを使用して名前解決が機能することを確認します。以下に例を示します。

    # host client.example.com

    connection timed outno servers could be reached など、コマンドがエラーを返した場合は、DNS 設定を確認してください。

トラブルシューティングの手順

  1. 接続に失敗するか、ネットワークインターフェースが up と down の状態の間で切り替わる場合は、以下を行います。

    • ネットワークケーブルがホストとスイッチにプラグインされていることを確認します。
    • リンクの失敗がこのホストのみに存在するか、またはサーバーが接続されているのと同じスイッチに接続されている他のホストでも存在するかどうかを確認します。
    • ネットワークケーブルとネットワークインターフェースが予想どおりに機能していることを確認します。ハードウェア診断手順を実施して、不具合ケーブルとネットワークインターフェースカードを置き換えます。

関連情報

  • 接続プロファイルのプロパティーとその設定の詳細は、man ページの nm-settings(5) を参照してください。
  • nmcli ユーティリティーの詳細は、man ページの nmcli(1) を参照してください。
  • ディスクの設定がデバイスの設定と一致しない場合は、NetworkManager の起動または再起動により、デバイスの設定を反映するインメモリー接続が作成されます。詳細と、この問題を回避する方法は、「NetworkManager duplicates a connection after restart of NetworkManager service」を参照してください。

1.7.3. nmtui を使用した接続プロファイルの追加

nmtui アプリケーションは、NetworkManager へのテキストユーザーインターフェースを提供します。この手順では、新しい接続プロファイルを追加する方法を説明します。

前提条件

  • NetworkManager-tui パッケージがインストールされている。

手順

  1. NetworkManager のテキストユーザーインターフェースユーティリティーを起動します。

    # nmtui
  2. 接続の編集 メニューエントリーを選択し、Enter を押します。
  3. Add ボタンを選択し、Enter を押します。
  4. Ethernet を選択し、Enter を押します。
  5. フィールドにコネクションの詳細を入力します。

    nmtui で接続の追加
  6. OK をクリックして変更を保存します。
  7. Back を選択してメインメニューに戻ります。
  8. 接続のアクティブ化 を選択し、Enter を押します。
  9. 新しい接続エントリーを選択し、Enter を押して接続をアクティベートします。
  10. Back を選択してメインメニューに戻ります。
  11. 終了 を選択します。

検証手順

  1. デバイスおよび接続の状態を表示します。

    # nmcli device status
    DEVICE      TYPE      STATE      CONNECTION
    enp1s0      ethernet  connected  Example-Connection
  2. 接続プロファイルのすべての設定を表示するには、次のコマンドを実行します。

    # nmcli connection show Example-Connection
    connection.id:              Example-Connection
    connection.uuid:            b6cdfa1c-e4ad-46e5-af8b-a75f06b79f76
    connection.stable-id:       --
    connection.type:            802-3-ethernet
    connection.interface-name:  enp1s0
    ...

関連情報

1.7.4. RHEL 8 Web コンソールにおけるネットワークの管理

Web コンソールの Networking メニューでは、以下が可能です。

  • 最近送受信したパケットの表示
  • 利用可能なネットワークインターフェースの最も重要な特徴の表示
  • ネットワーキングログのコンテンツの表示
  • ネットワークインターフェースのさまざまなタイプ (ボンディング、チーム、ブリッジ、VLAN) の追加

図1.1 RHEL 8 Web コンソールにおけるネットワークの管理

新たにネットワークを開始

1.7.5. RHEL システムロールを使用したネットワークの管理

network ロールを使用して、複数のターゲットマシンにネットワーク接続を構成できます。

network ロールでは、以下のタイプのインターフェースを構成できます。

  • イーサネット
  • ブリッジ
  • ボンディング
  • VLAN
  • MacVLAN
  • Infiniband

各ホストに必要なネットワーク接続は、network_connections 変数内にリストとして提供されます。

警告

network ロールは、network_connections 変数で指定されているとおりに、ターゲットシステムにあるすべての接続プロファイルを更新または作成します。したがって、そのオプションがそのシステムにのみ存在し、network_connections 変数にはない場合、network ロールは指定されたプロファイルからオプションを削除します。

以下の例は、必要なパラメーターを持つイーサネット接続が確実に設定されるように、network ロールを適用する方法を示しています。

例1.2 必要なパラメーターでイーサネット接続を設定する network ロールを適用する Playbook の例

# SPDX-License-Identifier: BSD-3-Clause
---
- hosts: network-test
  vars:
    network_connections:

      # Create one ethernet profile and activate it.
      # The profile uses automatic IP addressing
      # and is tied to the interface by MAC address.
      - name: prod1
        state: up
        type: ethernet
        autoconnect: yes
        mac: "00:00:5e:00:53:00"
        mtu: 1450

  roles:
    - rhel-system-roles.network

システムロールを適用する方法は、「RHEL システムロールの概要」を参照してください。

1.7.6. 関連情報

1.8. システム登録およびサブスクリプション管理

Red Hat Enterprise Linux オペレーティングシステムと、そこにインストールされている製品は、サブスクリプションの対象となります。

Red Hat コンテンツ配信ネットワーク (CDN) サブスクリプションを使用して、以下を追跡します。

  • 登録したシステム
  • システムにインストールされている製品
  • インストール済み製品に割り当てられているサブスクリプション

1.8.1. インストール後のシステム登録

インストールプロセス中に登録していない場合は、以下の手順に従ってシステムを登録します。

前提条件

手順

  1. ワンステップでシステムを登録し、自動的にサブスクライブします。

    # subscription-manager register --username <username> --password <password> --auto-attach
    Registering to: subscription.rhsm.redhat.com:443/subscription
    The system has been registered with ID: 37to907c-ece6-49ea-9174-20b87ajk9ee7
    The registered system name is: client1.idm.example.com
    Installed Product Current Status:
    Product Name: Red Hat Enterprise Linux for x86_64
    Status:       Subscribed

    コマンドを実行すると、Red Hat カスタマーポータルのユーザー名とパスワードの入力を求めるプロンプトが表示されます。

    登録プロセスに失敗した場合は、システムを特定のプールに登録できます。これを実行する方法については、以下の手順にしたがいます。

    1. 必要なサブスクリプションのプール ID を確認します。

      # subscription-manager list --available

      このコマンドは、使用している Red Hat アカウントで利用可能なサブスクリプションをすべて表示します。サブスクリプションごとに、プール ID を含むさまざまな情報が表示されます。

    2. pool_id を、確認したプール ID に置き換えて、適切なサブスクリプションをシステムに割り当てます。

      # subscription-manager attach --pool=pool_id

関連情報

1.8.2. Web コンソールで認証情報を使用してサブスクリプションを登録

RHEL 8 Web コンソールを使用して、新たにインストールした Red Hat Enterprise Linux を登録するには、以下の手順に従います。

前提条件

  • Red Hat カスタマーポータルに有効なユーザーアカウントがある。

    「Red Hat アカウントの作成」ページを参照してください。

  • RHEL システムに使用するアクティブなサブスクリプションがある。

手順

  1. 検索フィールドに「subscription」と入力して、Enter キーを押します。

    cockpit subscription icon

    RHEL 8 Web コンソールにログインすることもできます。詳細は「Web コンソールへのログイン」を参照してください。

  2. 特権タスク用の polkit 認証ダイアログで、ダイアログに表示されているユーザー名のパスワードを入力します。

    cockpit subscription password

  3. 認証 をクリックします。
  4. サブスクリプション ダイアログボックスの 登録 をクリックします。

    cockpit subscription notregistered

  5. カスタマーポータルの認証情報を入力します。

    cockpit subscription register cred

  6. 組織の名前を入力してください。

    Red Hat カスタマーポータルにアカウントが複数ある場合は、組織名または組織 ID を追加する必要があります。組織 ID は、Red Hat の連絡先に問い合わせてください。

  7. 登録 ボタンをクリックします。

この時点で、Red Hat Enterprise Linux 8 システムが正常に登録されました。

cockpit subscription registered

1.8.3. GNOME での Red Hat アカウントを使用したシステムの登録

以下の手順に従って、システムを Red Hat アカウントに登録します。

前提条件

手順

  1. 画面右上からアクセスできる システムメニュー に移動し、設定 アイコンをクリックします。
  2. DetailsAbout セクションで、Register をクリックします。
  3. Registration Server を選択します。
  4. Red Hat サーバーを使用しない場合は、URL フィールドにサーバーアドレスを入力します。
  5. Registration Type メニューで、Red Hat Account を選択します。
  6. Registration Details で以下を行います。

    • ログイン フィールドに Red Hat アカウントのユーザー名を入力します。
    • パスワード フィールドに Red Hat アカウントのパスワードを入力します。
    • 組織 フィールドに組織の名前を入力します。
  7. 登録 をクリックします。

1.8.4. GNOME でアクティベーションキーを使用したシステムの登録

以下の手順に従って、システムをアクティベーションキーに登録します。組織の管理者からアクティベーションキーを取得できます。

前提条件

  • アクティベーションキーまたはキー。

    新しいアクティベーションキーを作成するには、アクティベーションキーページを参照してください。

手順

  1. 画面右上からアクセスできる システムメニュー に移動し、設定 アイコンをクリックします。
  2. DetailsAbout セクションで、Register をクリックします。
  3. Registration Server を選択します。
  4. Red Hat サーバーを使用していない場合は、カスタマイズされたサーバーに URL を入力します。
  5. Registration Type メニューで、アクティベーションキー を選択します。
  6. Registration Details で以下を行います。

    • アクティベーションキー を入力します。

      複数の鍵をコンマ (,) で区切ります。

    • 組織 フィールドに組織の名前または ID を入力します。
  7. 登録 をクリックします。

1.9. システム起動時に systemd サービスの開始

systemd は、Linux オペレーティングシステム用のシステムおよびサービスのマネージャーで、systemd ユニットの概念が使用されています。

本セクションでは、システムの起動時にサービスを有効または無効にする方法を説明します。また、Web コンソールを使用してサービスを管理する方法も説明します。

1.9.1. CLI を使用したサービスの有効化または無効化

インストールプロセス時に、システムの起動時に有効または無効にするサービスを確認できます。インストール後に、オペレーティングシステムのサービスを有効または無効にできます。

本セクションでは、インストール済みのオペレーティングシステムでこれらのサービスを有効または無効にする手順を説明します。

前提条件

  • システムへの root アクセス権限がある。

手順

  1. サービスを有効にするには、enable オプションを使用します。

    # systemctl enable service_name

    service_name を、有効にするサービスに置き換えます。

    1 つのコマンドでサービスを有効にして起動することもできます。

    # systemctl enable --now service_name
  2. サービスを無効にするには、disable オプションを使用します。

    # systemctl disable service_name

    service_name を、無効にするサービスに置き換えます。

警告

以前マスクされたサービスを有効にすることはできません。最初にマスクを解除する必要があります。

# systemctl unmask service_name

1.9.2. RHEL 8 Web コンソールにおけるサービスの管理

本セクションでは、Web コンソールを使用してサービスを有効または無効にする方法を説明します。systemd ターゲット、サービス、ソケット、タイマー、およびパスを管理できます。また、サービスのステータス、開始または停止を確認し、サービスを有効または無効にすることもできます。

前提条件

  • システムへの root アクセス権限がある。

手順

  1. 希望の Web ブラウザーで https://localhost:9090/ を開きます。
  2. システム上の root 認証情報を使用して Web コンソールにログインします。
  3. Web コンソールパネルを表示するには、ウィンドウの左上にある ホスト アイコンをクリックします。

    サービス Web コンソールの管理
  4. メニューで、サービス をクリックします。

    systemd ターゲット、サービス、ソケット、タイマー、およびパスを管理できます。

  5. たとえば、サービスの NFS クライアントサービス を管理するには、以下を実行します。

    1. Targets をクリックします。
    2. サービス NFS クライアントサービス を選択します。
    3. サービスを有効または無効にするには、Toogle ボタンをクリックします。
    4. サービスを停止するには、 ボタンをクリックし、オプション 'Stop' を選択します。

      サービス Web コンソールの停止

1.10. システムセキュリティーの設定

コンピューターセキュリティーとは、盗難、損傷、破壊、および誤りからコンピューターシステムやハードウェア、ソフトウェア、情報、およびサービスを保護することです。特に機密データを処理し、ビジネストランザクションを処理する企業では、コンピューターセキュリティーの確保が必須タスクになります。

本セクションでは、オペレーティングシステムのインストール後に設定できる基本的なセキュリティー機能のみを説明します。Red Hat Enterprise Linux のセキュリティー保護に関する詳細は、『Product Documentation for Red Hat Enterprise Linux 8』Security セクションのタイトルを参照してください。

1.10.1. ファイアウォールを使用したシステムセキュリティーの強化

ファイアウォールは、既定のセキュリティールールに基づいてネットワークトラフィックの送受信の監視および制御を行うネットワークセキュリティーシステムです。ファイアウォールは、通常、信頼できる安全な内部ネットワークと、その他の外部ネットワークとの間に壁を作ります。

Red Hat Enterprise Linux でファイアウォールを提供する firewalld サービスは、インストール時に自動的に有効になります。

1.10.1.1. ファイアウォールサービスの有効化

firewalld サービスを有効にするには、以下の手順に従います。

手順

  1. firewalld の現在の状況の表示

    $ systemctl status firewalld
    ● firewalld.service - firewalld - dynamic firewall daemon
       Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
       Active: inactive (dead)
    ...
  2. firewalld が有効になっていない場合は、root ユーザーに切り替えて、firewalld サービスを起動し、システムの再起動後に自動的に起動できるようにします。

    # systemctl enable --now firewalld

検証手順

  1. firewalld が実行中で、有効になっていることを確認します。

    $ systemctl status firewalld
    ● firewalld.service - firewalld - dynamic firewall daemon
       Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
       Active: active (running)
    ...

関連情報

  • 詳細は、man ページの firewalld(1) を参照してください。

1.10.1.2. RHEL 8 Web コンソールでファイアウォールの管理

Web コンソールで firewalld サービスを設定するには、ネットワークファイアウォール に移動します。

デフォルトでは、firewalld サービスは有効になっています。

手順

  1. Web コンソールで firewalld を有効または無効にするには、ファイアウォール トグルボタンを切り替えます。

    ファイアウォールを新規で開始
注記

さらに、Add services…​ ボタンを使用して、ファイアウォールからサービスへのより細かいアクセスを定義することができます。

1.10.1.3. 関連情報

1.10.2. 基本的な SELinux 設定の管理

Security Enhanced Linux (SELinux) は、どのプロセスがどのファイル、ディレクトリー、およびポートにアクセスできるのかを指定するシステムセキュリティーの追加レイヤーです。これらのパーミッションは、SELinux ポリシーで定義されます。ポリシーは、SELinux セキュリティーエンジンをガイドする一連のルールです。

1.10.2.1. SELinux のステータスおよびモード

SELinux のステータスには、以下の 2 つがあります。

  • 無効
  • 有効

SELinux が有効な場合は、以下のいずれのモードで実行できます。

  • 有効

    • Enforcing
    • Permissive

Enforcing モード では、SELinux は読み込まれたポリシーを強制します。SELinux は、SELinux ポリシールールに基づいてアクセスを拒否し、明示的に許可された対話だけを有効にします。Enforcing モードは最も安全な SELinux モードであり、インストール後にデフォルトモードになります。

Permissive モード では、SELinux は読み込まれたポリシーを強制しません。SELinux はアクセスを拒否しませんが、ルールを /var/log/audit/audit.log ログに分割するアクションを報告します。Permissive モードは、インストール時のデフォルトのモードです。Permissive モードは、問題のトラブルシューティングなど、特定のケースで役に立ちます。

関連情報

1.10.2.2. SELinux で必要な状態を確認

デフォルトでは、SELinux は Enforcing モードで動作します。ただし、特定のシナリオでは、SELinux を Permissive モードに設定したり、無効にすることもできます。

重要

Red Hat は、Enforcing モードでシステムを使用することを推奨します。デバッグの目的で、SELinux を Permissive モードに設定します。

以下の手順に従って、システムの SELinux の状態とモードを変更します。

手順

  1. 現在有効な SELinux モードを表示します。

    $ getenforce
  2. SELinux を一時的に設定するには、以下を行います。

    1. Enforcing モードにするには、以下を実行します。

      # setenforce Enforcing
    2. Permissive モードにするには、以下を実行します。

      # setenforce Permissive
      注記

      再起動後、SELinux モードは /etc/selinux/config 設定ファイルで指定された値に設定されます。

  3. 再起動後も維持するように SELinux モードを設定するには、/etc/selinux/config 設定ファイルの SELINUX 変数を変更します。

    たとえば、SELinux を Enforcing モードに切り替えるには、以下のように設定します。

    # This file controls the state of SELinux on the system.
    # SELINUX= can take one of these three values:
    #     enforcing - SELinux security policy is enforced.
    #     permissive - SELinux prints warnings instead of enforcing.
    #     disabled - No SELinux policy is loaded.
    SELINUX=enforcing
    ...
    警告

    SELinux を無効にすると、システムセキュリティーが低下します。/etc/selinux/config ファイルの SELINUX=disabled オプションを使用して SELinux を無効にしないでください。これにより、メモリーリークや競合状態によりカーネルパニックが発生する可能性があるためです。代わりに、「システムの起動時に SELinux モードの変更」で説明されているように、selinux=0 パラメーターをカーネルコマンドラインに追加して SELinux を無効にします。

関連情報

1.10.2.3. RHEL 8 Web コンソールで SELinux モードの切り替え

SELinux メニュー項目の RHEL 8 Web コンソールで SELinux モードを設定できます。

デフォルトでは、Web コンソールの SELinux の Enforcing ポリシーが有効になっており、SELinux が Enforcing モードで動作します。このモードを無効にして、SELinux を Permissive モードに切り替えます。この選択は、次回の起動時に、/etc/sysconfig/selinux ファイルで定義されている設定に自動的に元に戻されます。

手順

  1. Web コンソールで、SELinux メニュー項目の Enforce policy toggle ボタンを使用して SELinux の Enforcing ポリシーをオンまたはオフにします。

    SELinux を有効にして開始

1.10.2.4. 次のステップ

1.10.3. 次のステップ

1.11. ユーザーアカウントの管理

Red Hat Enterprise Linux は、マルチユーザー向けのオペレーティングシステムです。つまり、1 台のマシンにインストールされた 1 つのシステムに、複数のユーザーが別々のコンピューターからアクセスできます。

各ユーザーは自身のアカウントで操作します。このような方法でユーザーアカウントを管理することは、Red Hat Enterprise Linux のシステム管理の中心的要素になります。

1.11.1. ユーザーアカウントとグループの概要

本セクションでは、ユーザーアカウントとグループの概要を説明します。以下は、ユーザーアカウントの種類によって異なります。

  • 通常のユーザーアカウント:

    通常のアカウントは特定システムのユーザー用に作成されます。このようなアカウントは、通常のシステム管理中に追加、削除、および修正できます。

  • システムユーザーアカウント

    システムユーザーアカウントは、システムで特定のアプリケーション識別子を表します。このようなアカウントは通常、ソフトウェアのインストール時にのみ追加または操作され、後で変更することはありません。

    警告

    システムアカウントは、システムでローカルに利用できると想定されています。アカウントがリモートで設定され、提供されている (LDAP の設定など) と、システムが破損したり、サービスが開始できない場合があります。

    システムアカウント用に、1000 番未満のユーザー ID が予約されています。通常のアカウントには、1000 から始まる ID を使用できます。ただし、5000 以降の ID を割り当てることが推奨されます。

  • グループ

    グループとは、複数のユーザーアカウントを共通目的 (特定のファイルにアクセス権を与えるなど) で統合するエンティティーです。

  • 詳細は以下を参照してください。
  • ID の割り当ては、/etc/login.defs ファイルを参照してください。

1.11.2. コマンドラインツールを使用したアカウントとグループの管理

本セクションでは、ユーザーアカウントとグループを管理する基本的なコマンドラインツールを説明します。

  • ユーザーおよびグループ ID を表示するには、以下を実行します。

    $ id
    uid=1000(example.user) gid=1000(example.user) groups=1000(example.user),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
  • 新規ユーザーアカウントを作成するには、以下を実行します。

    # useradd example.user
  • example.user に属するユーザーアカウントに新しいパスワードを割り当てるには、以下を実行します。

    # passwd example.user
  • ユーザーをグループに追加するには、以下を実行します。

    # usermod -a -G example.group example.user

関連情報

  • man ページの useradd(8)passwd(1)、および usermod(8)

1.11.3. Web コンソールで管理されるシステムユーザーアカウント

RHEL Web コンソールに表示されているユーザーアカウントでは、以下が可能になります。

  • システムにアクセスする際にユーザーを認証する
  • システムへのアクセス権を設定する

RHEL Web コンソールは、システムに存在するすべてのユーザーアカウントを表示します。そのため、最初に Web コンソールにログインした直後は、ユーザーアカウントが少なくとも 1 つ表示されます。

RHEL Web コンソールにログインしたら、以下の操作を実行できます。

  • 新規ユーザーアカウントの作成
  • パラメーターの変更
  • アカウントのロック
  • ユーザーセッションの終了

1.11.4. Web コンソールで新規アカウントの追加

RHEL Web コンソールを使用して、ユーザーアカウントをシステムに追加し、アカウントに管理者権限を設定する場合は、以下の手順に従います。

前提条件

手順

  1. RHEL Web コンソールにログインします。
  2. アカウント をクリックします。
  3. 新規アカウントの作成 をクリックします。

    cockpit create new account pf4

  4. フルネーム フィールドにユーザーの氏名を入力します。

    RHEL Web コンソールは、入力した氏名からユーザー名が自動的に作成され、ユーザー名 フィールドに入力されます。名前の頭文字と、苗字で構成される命名規則を使用しない場合は、入力されたユーザー名を変更します。

  5. パスワード/確認 フィールドにパスワードを入力し、再度パスワードを入力します。フィールドの下にあるカラーバーは、入力したパスワードの強度を表し、弱いパスワードは使用できないようにします。

    cockpit user accounts pf4

  6. 作成 をクリックして設定を保存し、ダイアログボックスを閉じます。
  7. 新規作成したアカウントを選択します。
  8. ロール で、サーバー管理者 を選択します。

cockpit terminate session pf4

これで アカウント 設定に新規アカウントが表示され、認証情報を使用してシステムに接続できるようになりました。

1.12. 後で分析するためにクラッシュしたカーネルのダンプ

システムがクラッシュした理由を分析するには、kdump サービスを使用してシステムのメモリー内容を保存し、後で分析することができます。

本セクションでは、kdump の概要と、RHEL Web コンソールまたは対応する RHEL システムロールを使用して kdump を設定する方法を説明します。

1.12.1. kdump とは

kdump は、クラッシュダンプメカニズムを提供するサービスです。サービスを使用すると、システムのメモリー内容を保存し、後で分析することができます。kdumpkexec システムコールを使用して再起動せずに 2 番目のカーネル (キャプチャーカーネル)で起動し、2 番目のカーネルメモリーの内容 (crash dump または vmcore) をキャプチャーして保存します。この第 2 のカーネルは、システムメモリーの予約部分に収納されています。

重要

カーネルクラッシュダンプは、システム障害 (重大なバグ) 時に利用できる唯一の情報になります。したがって、ミッションクリティカルな環境では、kdump を確実に稼働させることが重要です。Red Hat は、システム管理者が通常のカーネル更新サイクルで kexec-tools を定期的に更新してテストすることをお勧めします。これは、新しいカーネル機能が実装されている場合に特に重要です。

1.12.2. Web コンソールで kdump メモリーの使用量およびターゲットの場所を設定

以下の手順は、Red Hat Enterprise Linux Web コンソールインターフェースで Kernel Dump タブを使用して、kdump カーネル用に予約されたメモリー容量を設定する方法を説明します。この手順では、vmcore ダンプファイルのターゲットの場所を指定する方法と、設定をテストする方法を説明します。

前提条件

手順

  1. Kernel Dump タブを開き、kdump サービスを開始します。
  2. コマンドラインkdump のメモリー使用量を設定します。
  3. クラッシュダンプの場所 オプションの横にあるリンクをクリックします。

    Web コンソールの初期画面
  4. ドロップダウンメニューから ローカルファイルシステム を選択し、ダンプを保存するディレクトリーを指定します。

    Web コンソールの crashdump ターゲット
    • または、ドロップダウンから SSH 経由のリモート オプションを選択し、SSH プロトコルを使用して、vmcore をリモートマシンに送信します。

      Serverssh keyDirectory の各フィールドに、リモートマシンのアドレス、ssh キーの場所、およびターゲットディレクトリーを入力します。

    • または、ドロップダウンから NFS 経由のリモート オプションを選択し、マウント フィールドに入力して、NFS プロトコルを使用して vmcore をリモートマシンに送信することもできます。

      注記

      圧縮 チェックボックスにチェックマークを入れ、vmcore ファイルのサイズを小さくします。

  5. カーネルをクラッシュして、設定をテストします。

    Web コンソールテスト kdump config
    警告

    この手順では、カーネルの実行を中断し、システムクラッシュやデータの損失が発生します。

関連情報

1.12.3. RHEL システムロールを使用した kdump の設定

RHEL システムロールは、複数の RHEL システムをリモートで管理する一貫した構成インターフェースを提供する Ansible ロールおよびモジュールの集合です。kdump ロールを使用すると、複数のシステムに基本的なカーネルダンプパラメーターを設定できます。

警告

kdump ロールは、/etc/kdump.conf ファイルを置き換えて、管理対象ホストの kdump設定を置き換えます。また、kdump ロールが適用されると、/etc/sysconfig/kdump ファイルを置き換えて、以前の kdump の設定もすべて置き換えられます。

以下の例は、kdump システムロールを適用してクラッシュダンプファイルの場所を設定する方法を示しています。

---
- hosts: kdump-test
  vars:
    kdump_path: /var/crash
  roles:
    - rhel-system-roles.kdump

関連情報

  • kdump ロール変数の詳細は、rhel-system-roles パッケージをインストールし、/usr/share/doc/rhel-system-roles/kdump ディレクトリーの README.md または README.html ファイルを参照してください。
  • RHEL システムロールの詳細は、「RHEL システムロールの概要」を参照してください。

1.12.4. 関連情報

1.13. システムの復元および復元

Red Hat Enterprise Linux は、既存のバックアップを使用してシステムを復旧および復元するために、ReaR (Relax-and-Recover) ユーティリティーを提供します。

このユーティリティーは、障害復旧ソリューションとして使用でき、システム移行にも使用できます。

このユーティリティーを使用すると、以下のタスクを実行できます。

  • イメージを使用して、起動可能なイメージを作成し、既存のバックアップからシステムを復元します。
  • オリジナルのストレージレイアウトを複製する
  • ユーザーおよびシステムファイルを復元します。
  • システムを別のハードウェアに復元します。

また、障害復旧の場合は、特定のバックアップソフトウェアを ReaR に統合することもできます。

ReaR の設定には、以下の高レベルな手順が含まれます。

  1. ReaR をインストールします。
  2. レスキューシステムを作成します。
  3. ReaR 設定ファイルを変更して、バックアップメソッドの詳細を追加します。
  4. バックアップファイルを生成します。

1.13.1. ReaR の設定

以下の手順を使用して、Relax-and-Recover (ReaR) ユーティリティーを使用するパッケージをインストールし、レスキューシステムを作成し、バックアップを設定し、生成します。

前提条件

  • バックアップ復元計画に従って必要な設定の準備が整いました。

    NETFS バックアップメソッド (ReaR と完全に統合され、組み込まれたメソッド)を使用できることに注意してください。

手順

  1. ReaR、genisomage のマスター前のプログラム、およびブートローダーのスイートを提供する syslinux パッケージをインストールします。

    # yum install rear genisoimage syslinux
  2. レスキューシステムを作成します。

    # rear mkrescue
  3. 任意のエディターで ReaR 設定ファイルを変更します.以下に例を示します。

    # vi /etc/rear/local.conf
  4. バックアップ設定の詳細を /etc/rear/local.conf に追加します。たとえば、NETFS バックアップメソッドの場合は、以下の行を追加します。

    BACKUP=NETFS
    BACKUP_URL=backup.location

    backup.location を、バックアップの場所の URL に置き換えます。

  5. ReaR が新規バックアップの作成時に以前のバックアップアーカイブを維持するように設定するには、以下の行を設定ファイルに追加します。

    NETFS_KEEP_OLD_BACKUP_COPY=y
  6. 増分バックアップ (実行するたびに変更されたファイルのみがバックアップされる) を設定する場合は、以下の行を追加します。

    BACKUP_TYPE=incremental
  7. 復元計画に従ってバックアップを作成します。

1.14. ログファイルを使用した問題のトラブルシューティング

ログファイルには、システム (そのシステムで実行しているカーネル、サービス、およびアプリケーションなど) に関するメッセージが含まれます。これには、問題のトラブルシューティングやシステム機能の監視に役立つ情報が含まれています。Red Hat Enterprise Linux におけるロギングシステムは、組み込みの syslog プロトコルに基づいています。特定のプログラムがこのシステムを使用してイベントを記録し、ログファイルに分類します。これは、オペレーティングシステムの監査およびさまざまな問題のトラブルシューティングに役立ちます。

1.14.1. syslog メッセージを処理するサービス

以下の 2 つのサービスは、syslog メッセージを処理します。

  • systemd-journald デーモン
  • Rsyslog サービス

systemd-journald デーモンは、さまざまなソースからメッセージを収集し、さらに処理するために Rsyslog に転送します。systemd-journald デーモンは、以下のソースからメッセージを収集します。

  • カーネル
  • ブートプロセスの初期段階
  • 起動時および実行時のデーモンの標準出力およびエラー出力
  • Syslog

Rsyslog サービスは、タイプ別および優先度別に syslog メッセージを分類し、それらを /var/log ディレクトリー内のファイルに書き込みます。/var/log ディレクトリーは、ログメッセージを永続的に保存します。

1.14.2. syslog メッセージを保存するサブディレクトリー

/var/log ディレクトリー配下の以下のサブディレクトリーは、syslog メッセージを保存します。

  • /var/log/messages - 以下を除くすべての syslog メッセージ
  • /var/log/secure - セキュリティーおよび認証に関連するメッセージおよびエラー
  • /var/log/maillog - メールサーバーに関連するメッセージおよびエラー
  • /var/log/cron - 定期的に実行されるタスクに関連するログファイル
  • /var/log/boot.log - システムの起動に関連するログファイル

1.14.3. Web コンソールでログファイルの検査

以下の手順に従って、Web コンソールを使用してログファイルを検証します。

手順

  1. Red Hat Enterprise Linux 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ログ をクリックします。

図1.2 RHEL 8 Web コンソールでログファイルの検査

CS でログ Web コンソールの表示

1.14.4. コマンドラインでログの表示

Journal は、ログファイルを表示および管理するのに役立つ systemd のコンポーネントです。従来のロギングに関連する問題に対応し、残りのシステムと密接に統合され、ログファイルのさまざまなロギングテクノロジーおよびアクセス管理をサポートします。

journalctl コマンドを使用すると、以下のようにコマンドラインを使用してシステムジャーナルのメッセージを表示できます。

$ journalctl -b | grep kvm
May 15 11:31:41 localhost.localdomain kernel: kvm-clock: Using msrs 4b564d01 and 4b564d00
May 15 11:31:41 localhost.localdomain kernel: kvm-clock: cpu 0, msr 76401001, primary cpu clock
...

表1.1 システム情報の表示

コマンド説明

journalctl

収集されたジャーナルエントリーをすべて表示します。

journalctl FILEPATH

特定のファイルに関連するログを表示します。たとえば、journalctl /dev/sda コマンドは、/dev/sda ファイルシステムに関連するログを表示します。

journalctl -b

現在のブートのログを表示します。

journalctl -k -b -1

現在のブートのカーネルログを表示します。

表1.2 特定のサービスの情報の表示

コマンド説明

journalctl -b _SYSTEMD_UNIT=foo

ログをフィルターして、「foo」のsystemd サービスに一致するものを表示します。

journalctl -b _SYSTEMD_UNIT=foo _PID=number

一致を組み合わせます。たとえば、このコマンドは、foo と PID 番号 に一致する systemd-units のログを表示します。

journalctl -b _SYSTEMD_UNIT=foo _PID=number + _SYSTEMD_UNIT=foo1

区切り文字「+」は、論理 OR の 2 つの式を組み合わせます。たとえば、以下のコマンドは、foo サービスプロセスからのメッセージをすべて PID で表示し、(プロセスのいずれかからの) foo1 サービスからのメッセージをすべて表示します。

journalctl -b _SYSTEMD_UNIT=foo _SYSTEMD_UNIT=foo1

このコマンドは、同じフィールドを参照するいずれかの式に一致するすべてのエントリーを表示します。このコマンドは、systemd-unit foo または systemd-unit foo1 に一致するログを表示します。

表1.3 特定のブートに関連するログの表示

コマンド説明

journalctl --list-boots

ブート番号、その ID、およびブートに関する最初のメッセージと最後のメッセージのタイムスタンプの表形式一覧が表示されます。以下のコマンドの ID を使用して詳細情報を表示できます。

journalctl --boot=ID _SYSTEMD_UNIT=foo

指定したブート ID に関する情報を表示します。

1.14.5. 関連情報

  • ログを記録するために Rsyslog を設定する方法は、13章リモートロギングソリューションの設定を参照してください。
  • man ページの journalctl(1)
  • systemd の詳細は、xref:managing-services-with-systemd_configuring-basic-system-settings を参照してください。

1.15. Red Hat サポートへのアクセス

本セクションでは、Red Hat サポートおよび sosreport を使用して問題を効果的にトラブルシューティングする方法を説明します。

Red Hat サポートを利用する場合は、Red Hat カスタマーポータル にアクセスしてください。カスタマーポータルでは、サブスクリプションで利用可能なものをすべて提供します。

1.15.1. Red Hat カスタマーポータルで利用できる Red Hat サポート

以下のセクションでは、Red Hat カスタマーポータルを使用してヘルプを取得する方法を説明します。

前提条件

  • Red Hat カスタマーポータルに有効なユーザーアカウントがある。「Red Hat ログインの作成」を参照してください。
  • RHEL システムに使用するアクティブなサブスクリプションがある。

手順

  1. Red Hat サポート にアクセスします。

    1. サポートケースを作成する
    2. Red Hat 専門スタッフとのライブチャットを開始する
    3. 電話または電子メールで Red Hat 専門スタッフに問い合わせる

1.15.2. sosreport を使用した問題のトラブルシューティング

sosreport コマンドは設定の詳細、システム情報、および診断情報を Red Hat Enterprise Linux システムから収集します。

次のセクションでは、sosreport コマンドを使用して、サポートケースのレポートを作成する方法を説明します。

前提条件

  • Red Hat カスタマーポータルに有効なユーザーアカウントがある。「Red Hat ログインの作成」を参照してください。
  • RHEL システムに使用するアクティブなサブスクリプションがある。
  • サポートケース番号。

手順

  1. sos パッケージをインストールするには、以下のコマンドを実行します。

    # yum install sos
    注記

    Red Hat Enterprise Linux のデフォルトの最小インストールには、sosreport コマンドを提供する sos パッケージが含まれません。

  2. レポートを生成します。

    # sosreport
  3. サポートケースにレポートを添付します。

    How can I attach a file to a Red Hat support case?」を参照してください。詳細は、Red Hat ナレッジベースの記事を参照してください。

    レポートを添付すると、関連するサポートケースの数の入力が求められます。

関連情報


このページには機械翻訳が使用されている場合があります (詳細はこちら)。