第7章 インフラストラクチャーサービス

7.1. 時間同期

正確な時間を維持することは、さまざまな理由で重要です。Linux システムでは、Network Time Protocol (NTP) プロトコルがユーザー空間で実行しているデーモンにより実装されます。

7.1.1. NTP の実装

RHEL 7 がサポートする NTP プロトコルには、ntp および chrony の 2 種類あります。

RHEL 8 の NTP プロトコルは、chronyd デーモンからしか実装されません。このデーモンは、chrony パッケージで提供されます。

ntp デーモンは利用できなくなりました。RHEL 7 システムで ntp を使用していた場合は「chrony への移行」が必要になる場合があります。

chrony が対応していない以前の ntp 機能の代わりとなる機能は、「以前サポートされていた設定を chrony で実現」を参照してください。

7.1.2. chrony スイートの概要

chrony は、NTP の実装で、断続的なネットワーク接続、非常に混雑したネットワーク、気温の変化 (通常のコンピュータークロックは、気温の影響を受けやすくなります)、および継続して実行していないシステム、または仮想マシンで実行しているシステムなど、さまざまな条件で活躍します。

chrony を使用すると、以下のことができます。

  • システムクロックを、NTP サーバーと同期する
  • システムクロックを、GPS レシーバーなどの基準クロックと同期する
  • システムクロックを、手動で入力した時間と同期する
  • ネットワーク内の他のコンピューターにタイムサービスを提供する NTPv4(RFC 5905) サーバーまたはピアとして使用

chrony の詳細は「chrony スイートの概要」を参照してください。

7.1.2.1. chrony と ntp の相違点

chronyntp の相違点は、以下の資料を参照してください。

7.1.2.1.1. chrony が、うるう秒をデフォルトで修正

RHEL 8 では、デフォルトの chrony 設定ファイル /etc/chrony.conf に、leapsectz ディレクティブが含まれます。

leapsectz ディレクティブにより、chronyd で以下のことができます。

  • システムの tz データベース (tzdata) から、うるう秒に関する情報を取得する
  • システムは、システムクロックの TAI-UTC オフセットを設定して、正確な国際原子時 (TAI) クロック (CLOCK_TAI) を提供する

このディレクティブは、leapsecmode ディレクティブおよび smoothtime ディレクティブで設定している chronyd サーバーなど、leap smear を使用してクライアントからうるう秒を隠すサーバーと互換性がありません。クライアントの chronyd を、そのようなサーバーに同期するように設定している場合は、設定ファイルから leapsectz を削除します。

7.1.3. 関連情報

chrony スイートを使用した NTP の設定方法は、「Chrony スイートを使用した NTP の設定」を参照してください。

7.2. BIND - DNS の実装

RHEL 8 には、バージョン 9.11 に BIND (Berkeley Internet Name Domain) が含まれています。このバージョンの DNS サーバーには、バージョン 9.10 と比較して、複数の新機能と機能変更が追加されています。

新機能:

  • セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
  • Domain Name System Cookies は、named サービスおよび dig ユーティリティーにより送信されるようになりました。
  • Response Rate Limiting 機能は、DNS 増幅攻撃の軽減を支援できます。
  • RPZ の (response-policy zone) のパフォーマンスが改善しました。
  • map と呼ばれる新しいゾーンファイルが追加されています。このフォーマットに保存されるゾーンファイルは、メモリーに直接マッピングされます。これにより、ゾーンが読み込む速度が大幅に改善します。
  • DNS データの検索、および DNS Security Extensions (DNSSEC) 検証を実行する dig のようなセマンティクスを使用する、delv ツール (ドメインエンティティー検索および検証) が追加されています。
  • 新しい mdig コマンドが利用できるようになりました。このコマンドは、クエリーを送り、次のクエリーを送る前に応答を待つ代わりに、パイプラインで複数のクエリーを送って応答を待つ dig コマンドです。
  • 再帰リゾルバーのパフォーマンスを改善する新しい prefetch オプションが追加されました。
  • ビュー間でゾーンデータを共有できる、新しい in-view ゾーンオプションが追加されました。このオプションが追加されると、新しいビューは、メモリーに複数のコピーを保存せずに、同じゾーンを確実に保存できます。
  • ゾーンに最大の TTL を強制する新しい max-zone-ttl オプションが追加されました。高い TTL を含むゾーンを読み込むと、読み込みに失敗します。動的 DNS (DDNS) により高い TTL を設定することは可能ですが、TTL は切り捨てられます。
  • 新しいクォータは、再帰リゾルバーが、サービス拒否攻撃が発生している権威サーバーに送信するクエリーを制限するために追加されました。
  • nslookup ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。
  • named サービスは、起動する前に、その他のネームサーバープロセスが実行しているかどうかを確認します。
  • 署名付きゾーンを読み込むと、named が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。
  • ゾーン転送は、ネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。

機能変更:

  • 静的チャンネルに対するバージョン 3 の XML スキーマでは、高速解析を行うために、HTTP インターフェースにより、新しい統計および平坦化した XML ツリーが提供されます。古いバージョンの 2 XML スキーマに対応しなくなりました。
  • named サービスは、デフォルトで IPv6 および IPv4 のインターフェースでリッスンするようになりました。
  • named サービスは GeoIP に対応しなくなりました。クエリー送信者の推定位置で定義される Access control lists (ACL) は利用できなくなりました。

7.3. DNS 解決

RHEL 7 では、nslookup ユーティリティーおよび host ユーティリティーが、リストされているネームサーバーからの recursion available フラグなしで、あらゆる応答を許可できるようになりました。RHEL 8 では、nslookuphost は、最後に設定されているネームサーバーでない限り、再帰だけの応答を無視します。最後に設定したネームサーバーでは、recursion available フラグがなくても応答が許可されます。

ただし、最後に設定したネームサーバーが応答しない場合や到達できない場合は、名前解決に失敗します。このような失敗を防ぐためには、以下のいずれかの方法を使用できます。

  • 設定したネームサーバーが、recursion available フラグが設定されている状態で常に応答することを確認します。
  • すべての内部クライアントに再帰を許可します。

必要に応じて、dig ユーティリティーを使用して、再帰が利用可能かどうかを検出することもできます。

7.4. 印刷

7.4.2. CUP ログの場所

CUPS は、ログを 3 種類提供します。

  • エラーログ
  • アクセスログ
  • ページログ

RHEL 8 では、RHEL 7 で使用されていた /var/log/cups ディレクトリーの特定ファイルに、ログが保存されなくなりました。代わりに、その他のプログラムのログと一緒に、3 つのすべてのタイプが、systemd-journald のログに中心的に記録されます。

RHEL 8 で CUPS ログインを使用する方法は『さまざまな種類のサーバーのデプロイメント』を参照してください。

7.4.3. 関連情報

RHEL 8 で印刷を設定する方法は『さまざまな種類のサーバーのデプロイメント』を参照してください。

7.5. パフォーマンスおよび電源管理のオプション

7.5.1. 推奨される Tuned プロファイルの主な変更点

RHEL 8 では、tuned-adm recommend コマンドにより報告される、推奨される Tuned プロファイルが、次のルールに基づいて選択されるようになりました。

  • (syspurpose show コマンドにより報告される) syspurpose ロールには「atomic」が含まれ、以下のようになります。

    • Tuned がベアメタルで実行している場合は、「atomic-host」プロファイルが選択されます。
    • Tuned が仮想マシンで実行している場合は、「atomic-guest」プロファイルが選択されます。
  • Tuned が仮想マシンで実行している場合は、「virtual-guest」プロファイルが選択されます。
  • syspurpose ロールに desktop または workstation が含まれ、シャーシタイプ (dmidecode が報告) が NotebookLaptop、または Portable の場合は、balanced プロファイルが選択されます。
  • 上記のどのルールにも一致しない場合は「throughput-performance」プロファイルが選択されます。

最初に一致したルールが有効になることに注意してください。

7.6. インフラストラクチャーサービスコンポーネントへのその他の変更

本セクションでは、特定のインフラストラクチャーサービスコンポーネントで他に注目すべき変更点を簡単に紹介します。

表7.1 インフラストラクチャーサービスコンポーネントへの主な変更

名前変更の種類関連情報

acpid

オプションの変更

-d (debug) には、-f (foreground) が含まれません。

bind

設定オプションの削除

dnssec-lookaside auto は削除されました。 代わりに no を使用してください。

brltty

設定オプションの変更

--message-delay brltty は、--message-timeout に名前が変更になりました。

brltty

設定オプションの削除

-U [--update-interval=] は削除されました。

brltty

設定オプションの変更

Bluetooth デバイスアドレスに、コロン (:) の代わりにハイフン (-) を使用できるようになりました。デバイス修飾子のエイリアス bth: および bluez: がサポートされなくなりました。

cups

機能の削除

アップストリームでは、セキュリティー上の理由から、インターフェーススクリプトのサポートが削除されました。OS またはプロプライエタリーから提供される ppd およびドライバーを使用します。

cups

ディレクティブオプションの削除

/etc/cups/cupsd.conf の AuthType ディレクティブおよび DefaultAuthType ディレクティブから認証タイプ Digest および BasicDigest が削除されました。Basic に移行してください。

cups

ディレクティブオプションの削除

cupsd.conf から Include が削除されました。

cups

ディレクティブオプションの削除

cups-files.conf から、ServerCertificate および ServerKey が削除されました。代わりに Serverkeychain を参照してください。

cups

ディレクティブ が conf ファイル間を移動

SetEnv および PassEnv を、cupsd.conf から cups-files.conf へ移動しました。

cups

ディレクティブ が conf ファイル間を移動

cupsd.conf から cups-files.confPrintcapFormat を移動しました。

cups-filters

デフォルトの設定変更

cups-browsed が検出したリモート印刷キュー名は、プリンターのデバイス ID に基づいており、リモートの印刷キュー名ではありません。

cups-filters

デフォルトの設定変更

IPP プリンターのキューを自動作成する場合は、CreateIPPPrinterQueuesAll に設定する必要があります。

cyrus-imapd

データフォーマットの変更

Cyrus-imapd 3.0.7 のデータ形式が異なります。

dhcp

動作変更

dhclient は、デフォルトでハードウェアアドレスをクライアント識別子として送信します。client-id オプションは設定可能です。詳細は、/etc/dhcp/dhclient.conf ファイルを参照してください。

dhcp

オプションの非互換性

-I オプションが standard-ddns-updates に使用されるようになりました。以前の機能 (dhcp-client-identifier) には、新しい -C オプションを使用します。

dosfstools

動作変更

データ構造がクラスターサイズに合わせて自動的に調整されるようになりました。アライメントを無効にするには、-a オプションを使用します。fsck.fat は、以前は -r オプションで選択する必要がありました。

finger

機能の削除

 

GeoIP

機能の削除

 

grep

動作変更

grep は、現在のロケールをバイナリーとして誤ってエンコードしたデータを含むファイルを扱います。

grep

動作変更

無効な UTF-8 データを指定した場合に、grep -P がエラーを報告して終了しなくなりました。

grep

動作変更

GREP_OPTIONS 環境変数が使用されると、grep が警告を表示するようになりました。代わりにエイリアスまたはスクリプトを使用してください。

grep

動作変更

grep -P では、エラーをエクスポートし、UTF-8 以外のマルチバイトの文字エンコーディングを使用したロケールで終了します。

grep

動作変更

バイナリーデータを検索する場合は、grep が、非テキストバイトをラインターミネーターとして処理できます。パフォーマンスに大きな影響を及ぼします。

grep

動作変更

grep -z が、バイト「\200」をバイナリーデータとして自動的に処理しなくなりました。

grep

動作変更

コンテキストは、-m を使用して除外するように選択した行を、除外しなくなりました。

irssi

動作変更

SSLv2 および SSLv3 がサポート対象外になりました。

lftp

オプションの変更

xfer:log および xfer:log-file が非推奨になりました。log:enabled コマンドおよび log:file コマンドで利用できます。

ntp

機能の削除

ntp は削除されました。代わりに chrony を使用してください。

postfix

設定変更

3.x バージョンには、アップグレード後に後方互換性のデフォルト設定で Postfix プログラムを実行する、互換性のセーフティーネットがあります。

postfix

設定変更

Postfix MySQL データベースクライアントでは、デフォルトの option_group 値が client に変更し、後方互換性のある動作のために、空の値を設定します。

postfix

設定変更

postqueue コマンドが、メッセージの到着時間をすべて UTC に報告することを強制しなくなりました。以前の動作を取得するには、main.cf:import_environmentTZ=UTC を設定します。この変更は、Postfix のすべてのユーティリティーおよびデーモンに影響します。

postfix

設定変更

ECDHE - smtpd_tls_eecdh_gradeauto にデフォルト設定されます。曲線の名前を持つ新しいパラメーター tls_eecdh_auto_curves はネゴシエートできます。

postfix

設定変更

デフォルトの変更 - append_dot_mydomain (以前は yes で、現在は no)、master.cf chroot (以前は y で、現在は n)、smtputf8 (以前は no で、現在は yes)

postfix

設定変更

デフォルトの変更 - relay_domains (以前は $mydestination で、現在は空)。

postfix

設定変更

mynetworks_style のデフォルト値が、subnet から host へ変更になりました。

powertop

オプションの削除

-d は削除されました。

powertop

オプションの変更

-h は、--html のエイリアスではなくなりました。--help のエイリアスになりました。

powertop

オプションの削除

-u は削除されました。

quagga

機能の削除

 

sendmail

設定変更

sendmail は、圧縮していない IPv6 アドレスをデフォルトで使用します。これにより、より詳細に一致するゼロサブネットを許可します。設定データは同じ形式を使用する必要があるため、8.15 を使用する前に、IPv6:[0-9a-fA-F:]*::IPv6:: などのパターンを更新してください。

spamassasin

コマンドラインオプションの削除

spamd から --ssl-version が削除されました。

spamassasin

コマンドラインオプションの変更

spamc では、コマンドラインオプション -S/--ssl を使用して SSL/TLS バージョンを指定することはできなくなりました。このオプションは、TLS を有効にする引数なしでのみ使用できるようになりました。

spamassasin

サポートされる SSL バージョンへの変更点

spamc および spamd では、SSLv3 がサポートされなくなりました。

spamassasin

機能の削除

sa-update では、フィルタリングルールの SHA1 検証がサポートされなくなり、代わりに SHA256/SHA512 検証が使用されるようになりました。

vim

デフォルトの設定変更

vim は、~/.vimrc ファイルが利用できない場合に default.vim スクリプトを実行します。

vim

デフォルトの設定変更

vim が、端末からの括弧付きペーストをサポートします。以前の動作のために、vimrc に「set t_BE=」を追加します。

vsftpd

デフォルトの設定変更

anonymous_enable が無効になりました。

vsftpd

デフォルトの設定変更

strict_ssl_read_eof はデフォルトで YES になります。

vsftpd

機能の削除

tcp_wrappers がサポート対象外になりました。

vsftpd

デフォルトの設定変更

TLSv1 および TLSv1.1 がデフォルトで無効になりました。

wireshark

Python バインディングの削除

dissector は、Python で記述されなくなりました。代わりに C を使用してください。

wireshark

オプションの削除

非同期の DNS 名前解決の -N オプションのサブオプション -C が削除されています。

wireshark

出力変更

-H オプションを使用すると、出力には SHA1、RIPEMD160、および MD5 のハッシュが表示されなくなりました。表示されるハッシュは、SHA256、RIPEMD160、および SHA1 です。

wvdial

機能の削除

 

このページには機械翻訳が使用されている場合があります (詳細はこちら)。