第7章 インフラストラクチャーサービス
7.1. 時間同期
正確な時間を維持することは、さまざまな理由で重要です。Linux システムでは、Network Time Protocol (NTP)
プロトコルがユーザー空間で実行しているデーモンにより実装されます。
7.1.1. NTP の実装
RHEL 7 がサポートする NTP
プロトコルには、ntp および chrony の 2 種類あります。
RHEL 8 の NTP
プロトコルは、chronyd
デーモンからしか実装されません。このデーモンは、chrony
パッケージで提供されます。
ntp
デーモンは利用できなくなりました。RHEL 7 システムで ntp
を使用していた場合は「chrony への移行」が必要になる場合があります。
chrony が対応していない以前の ntp 機能の代わりとなる機能は、「以前サポートされていた設定を chrony で実現」を参照してください。
7.1.2. chrony スイートの概要
chrony は、NTP
の実装で、断続的なネットワーク接続、非常に混雑したネットワーク、気温の変化 (通常のコンピュータークロックは、気温の影響を受けやすくなります)、および継続して実行していないシステム、または仮想マシンで実行しているシステムなど、さまざまな条件で活躍します。
chrony を使用すると、以下のことができます。
-
システムクロックを、
NTP
サーバーと同期する - システムクロックを、GPS レシーバーなどの基準クロックと同期する
- システムクロックを、手動で入力した時間と同期する
-
ネットワーク内の他のコンピューターにタイムサービスを提供する
NTPv4(RFC 5905)
サーバーまたはピアとして使用
chrony の詳細は「chrony スイートの概要」を参照してください。
7.1.2.1. chrony と ntp の相違点
chrony と ntp の相違点は、以下の資料を参照してください。
7.1.2.1.1. chrony が、うるう秒をデフォルトで修正
RHEL 8 では、デフォルトの chrony 設定ファイル /etc/chrony.conf
に、leapsectz
ディレクティブが含まれます。
leapsectz
ディレクティブにより、chronyd
で以下のことができます。
-
システムの tz データベース (
tzdata
) から、うるう秒に関する情報を取得する - システムは、システムクロックの TAI-UTC オフセットを設定して、正確な国際原子時 (TAI) クロック (CLOCK_TAI) を提供する
このディレクティブは、leapsecmode
ディレクティブおよび smoothtime
ディレクティブで設定している chronyd
サーバーなど、leap smear
を使用してクライアントからうるう秒を隠すサーバーと互換性がありません。クライアントの chronyd
を、そのようなサーバーに同期するように設定している場合は、設定ファイルから leapsectz
を削除します。
7.1.3. 関連情報
chrony
スイートを使用した NTP の設定方法は、「Chrony スイートを使用した NTP の設定」を参照してください。
7.2. BIND - DNS の実装
RHEL 8 には、バージョン 9.11 に BIND (Berkeley Internet Name Domain) が含まれています。このバージョンの DNS サーバーには、バージョン 9.10 と比較して、複数の新機能と機能変更が追加されています。
新機能:
- セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
-
Domain Name System Cookies は、
named
サービスおよびdig
ユーティリティーにより送信されるようになりました。 - Response Rate Limiting 機能は、DNS 増幅攻撃の軽減を支援できます。
- RPZ の (response-policy zone) のパフォーマンスが改善しました。
-
map
と呼ばれる新しいゾーンファイルが追加されています。このフォーマットに保存されるゾーンファイルは、メモリーに直接マッピングされます。これにより、ゾーンが読み込む速度が大幅に改善します。 -
DNS データの検索、および DNS Security Extensions (DNSSEC) 検証を実行する dig のようなセマンティクスを使用する、
delv
ツール (ドメインエンティティー検索および検証) が追加されています。 -
新しい
mdig
コマンドが利用できるようになりました。このコマンドは、クエリーを送り、次のクエリーを送る前に応答を待つ代わりに、パイプラインで複数のクエリーを送って応答を待つdig
コマンドです。 -
再帰リゾルバーのパフォーマンスを改善する新しい
prefetch
オプションが追加されました。 -
ビュー間でゾーンデータを共有できる、新しい
in-view
ゾーンオプションが追加されました。このオプションが追加されると、新しいビューは、メモリーに複数のコピーを保存せずに、同じゾーンを確実に保存できます。 -
ゾーンに最大の TTL を強制する新しい
max-zone-ttl
オプションが追加されました。高い TTL を含むゾーンを読み込むと、読み込みに失敗します。動的 DNS (DDNS) により高い TTL を設定することは可能ですが、TTL は切り捨てられます。 - 新しいクォータは、再帰リゾルバーが、サービス拒否攻撃が発生している権威サーバーに送信するクエリーを制限するために追加されました。
-
nslookup
ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。 -
named
サービスは、起動する前に、その他のネームサーバープロセスが実行しているかどうかを確認します。 -
署名付きゾーンを読み込むと、
named
が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。 - ゾーン転送は、ネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。
機能変更:
-
静的チャンネルに対するバージョン
3 の XML
スキーマでは、高速解析を行うために、HTTP インターフェースにより、新しい統計および平坦化した XML ツリーが提供されます。古いバージョンの2 XML
スキーマに対応しなくなりました。 -
named
サービスは、デフォルトで IPv6 および IPv4 のインターフェースでリッスンするようになりました。 -
named
サービスは GeoIP に対応しなくなりました。クエリー送信者の推定位置で定義される Access control lists (ACL) は利用できなくなりました。
7.3. DNS 解決
RHEL 7 では、nslookup
ユーティリティーおよび host
ユーティリティーが、リストされているネームサーバーからの recursion available
フラグなしで、あらゆる応答を許可できるようになりました。RHEL 8 では、nslookup
と host
は、最後に設定されているネームサーバーでない限り、再帰だけの応答を無視します。最後に設定したネームサーバーでは、recursion available
フラグがなくても応答が許可されます。
ただし、最後に設定したネームサーバーが応答しない場合や到達できない場合は、名前解決に失敗します。このような失敗を防ぐためには、以下のいずれかの方法を使用できます。
-
設定したネームサーバーが、
recursion available
フラグが設定されている状態で常に応答することを確認します。 - すべての内部クライアントに再帰を許可します。
必要に応じて、dig
ユーティリティーを使用して、再帰が利用可能かどうかを検出することもできます。
7.4. 印刷
7.4.1. 印刷設定ツール
RHEL 7 で使用されていた 印刷設定 構成ツールは利用できなくなりました。
印刷に関するさまざまなタスクを行うために、以下のいずれかのツールを選択できます。
- CUPS の Web UI (ユーザーインターフェース)
- GNOME Control Center
RHEL 8 における印刷設定ツールの詳細は『さまざまな種類のサーバーのデプロイメント』を参照してください。
7.4.2. CUP ログの場所
CUPS は、ログを 3 種類提供します。
- エラーログ
- アクセスログ
- ページログ
RHEL 8 では、RHEL 7 で使用されていた /var/log/cups ディレクトリーの特定ファイルに、ログが保存されなくなりました。代わりに、その他のプログラムのログと一緒に、3 つのすべてのタイプが、systemd-journald のログに中心的に記録されます。
RHEL 8 で CUPS ログインを使用する方法は『さまざまな種類のサーバーのデプロイメント』を参照してください。
7.4.3. 関連情報
RHEL 8 で印刷を設定する方法は『さまざまな種類のサーバーのデプロイメント』を参照してください。
7.5. パフォーマンスおよび電源管理のオプション
7.5.1. 推奨される Tuned プロファイルの主な変更点
RHEL 8 では、tuned-adm recommend
コマンドにより報告される、推奨される Tuned プロファイルが、次のルールに基づいて選択されるようになりました。
(
syspurpose show
コマンドにより報告される)syspurpose
ロールには「atomic
」が含まれ、以下のようになります。-
Tuned がベアメタルで実行している場合は、「
atomic-host
」プロファイルが選択されます。 -
Tuned が仮想マシンで実行している場合は、「
atomic-guest
」プロファイルが選択されます。
-
Tuned がベアメタルで実行している場合は、「
-
Tuned が仮想マシンで実行している場合は、「
virtual-guest
」プロファイルが選択されます。 -
syspurpose
ロールにdesktop
またはworkstation
が含まれ、シャーシタイプ (dmidecode
が報告) がNotebook
、Laptop
、またはPortable
の場合は、balanced
プロファイルが選択されます。 -
上記のどのルールにも一致しない場合は「
throughput-performance
」プロファイルが選択されます。
最初に一致したルールが有効になることに注意してください。
7.6. インフラストラクチャーサービスコンポーネントへのその他の変更
本セクションでは、特定のインフラストラクチャーサービスコンポーネントで他に注目すべき変更点を簡単に紹介します。
表7.1 インフラストラクチャーサービスコンポーネントへの主な変更
名前 | 変更の種類 | 関連情報 |
---|---|---|
acpid | オプションの変更 |
|
bind | 設定オプションの削除 |
|
brltty | 設定オプションの変更 |
|
brltty | 設定オプションの削除 |
|
brltty | 設定オプションの変更 |
Bluetooth デバイスアドレスに、コロン (:) の代わりにハイフン (-) を使用できるようになりました。デバイス修飾子のエイリアス |
cups | 機能の削除 | アップストリームでは、セキュリティー上の理由から、インターフェーススクリプトのサポートが削除されました。OS またはプロプライエタリーから提供される ppd およびドライバーを使用します。 |
cups | ディレクティブオプションの削除 |
|
cups | ディレクティブオプションの削除 |
|
cups | ディレクティブオプションの削除 |
|
cups | ディレクティブ が conf ファイル間を移動 |
|
cups | ディレクティブ が conf ファイル間を移動 |
|
cups-filters | デフォルトの設定変更 | cups-browsed が検出したリモート印刷キュー名は、プリンターのデバイス ID に基づいており、リモートの印刷キュー名ではありません。 |
cups-filters | デフォルトの設定変更 |
IPP プリンターのキューを自動作成する場合は、 |
cyrus-imapd | データフォーマットの変更 | Cyrus-imapd 3.0.7 のデータ形式が異なります。 |
dhcp | 動作変更 |
|
dhcp | オプションの非互換性 |
|
dosfstools | 動作変更 |
データ構造がクラスターサイズに合わせて自動的に調整されるようになりました。アライメントを無効にするには、 |
finger | 機能の削除 | |
GeoIP | 機能の削除 | |
grep | 動作変更 |
|
grep | 動作変更 |
無効な UTF-8 データを指定した場合に、 |
grep | 動作変更 |
GREP_OPTIONS 環境変数が使用されると、 |
grep | 動作変更 |
|
grep | 動作変更 |
バイナリーデータを検索する場合は、 |
grep | 動作変更 |
|
grep | 動作変更 |
コンテキストは、 |
irssi | 動作変更 |
|
lftp | オプションの変更 |
|
ntp | 機能の削除 | ntp は削除されました。代わりに chrony を使用してください。 |
postfix | 設定変更 | 3.x バージョンには、アップグレード後に後方互換性のデフォルト設定で Postfix プログラムを実行する、互換性のセーフティーネットがあります。 |
postfix | 設定変更 |
Postfix MySQL データベースクライアントでは、デフォルトの option_group 値が |
postfix | 設定変更 |
|
postfix | 設定変更 |
ECDHE - |
postfix | 設定変更 |
デフォルトの変更 - |
postfix | 設定変更 |
デフォルトの変更 - |
postfix | 設定変更 |
|
powertop | オプションの削除 |
|
powertop | オプションの変更 |
|
powertop | オプションの削除 |
|
quagga | 機能の削除 | |
sendmail | 設定変更 |
sendmail は、圧縮していない IPv6 アドレスをデフォルトで使用します。これにより、より詳細に一致するゼロサブネットを許可します。設定データは同じ形式を使用する必要があるため、8.15 を使用する前に、 |
spamassasin | コマンドラインオプションの削除 |
spamd から |
spamassasin | コマンドラインオプションの変更 |
spamc では、コマンドラインオプション |
spamassasin | サポートされる SSL バージョンへの変更点 | spamc および spamd では、SSLv3 がサポートされなくなりました。 |
spamassasin | 機能の削除 |
|
vim | デフォルトの設定変更 | vim は、~/.vimrc ファイルが利用できない場合に default.vim スクリプトを実行します。 |
vim | デフォルトの設定変更 | vim が、端末からの括弧付きペーストをサポートします。以前の動作のために、vimrc に「set t_BE=」を追加します。 |
vsftpd | デフォルトの設定変更 |
|
vsftpd | デフォルトの設定変更 |
|
vsftpd | 機能の削除 |
|
vsftpd | デフォルトの設定変更 | TLSv1 および TLSv1.1 がデフォルトで無効になりました。 |
wireshark | Python バインディングの削除 | dissector は、Python で記述されなくなりました。代わりに C を使用してください。 |
wireshark | オプションの削除 |
非同期の DNS 名前解決の |
wireshark | 出力変更 |
|
wvdial | 機能の削除 |
このページには機械翻訳が使用されている場合があります (詳細はこちら)。