第7章 インフラストラクチャーサービス

7.1. 時間同期

IT では、多くの理由で正確な時間の維持が重要です。Linux システムでは、Network Time Protocol (NTP) プロトコルがユーザースペースで実行しているデーモンにより実装されます。

7.1.1. NTP の実装

RHEL 7 がサポートする NTP プロトコルには、ntp および chrony の 2 種類あります。

RHEL 8 の NTP プロトコルは、chronyd デーモンからしか実装されません。このデーモンは、chrony パッケージで提供されます。

ntp デーモンは利用できなくなりました。RHEL 7 システムで ntp を使用した場合は「chrony の移行」 が必要になる場合があります。

chrony にサポートされない以前の ntp 機能の代わりとなる機能は、「chrony において、以前 NTP でサポートされていたいくつかの設定を実現」を参照してください。

7.1.2. chrony スイートの概要

chrony は、NTP の実装で、断続的なネットワーク接続、非常に混雑したネットワーク、気温の変化 (通常のコンピュータークロックは、気温の影響を受けやすい)、および継続して実行していないシステム、または仮想マシンで実行しているシステムなど、さまざまな条件で活躍します。

chrony を使用すると、以下のことができます。

  • システムクロックを、NTP サーバーと同期する
  • システムクロックを、GPS レシーバーなどの基準クロックと同期する
  • システムクロックを、手動で入力した時間と同期する
  • ネットワーク内の他のコンピューターにタイムサービスを提供する NTPv4(RFC 5905) サーバーまたはピアとして

chrony の詳細は「chrony スイートの概要」を参照してください。

7.1.2.1. chrony と ntp の相違点

chronyntp の相違点は、以下の資料を参照してください。

7.1.2.1.1. chrony が、うるう秒をデフォルトで修正

RHEL 8 では、デフォルトの chrony 設定ファイル /etc/chrony.conf には、leapsectz ディレクティブが含まれます。

leapsectz ディレクティブにより、chronyd で以下のことができます。

  • システムの tz データベース (tzdata) から、うるう秒に関する情報を取得する
  • システムは、正確な国際原子時 (TAI) クロック (CLOCK_TAI) を提供するために、システムクロックの TAI-UTC オフセットを設定する

このディレクティブは、leapsecmode ディレクティブおよび smoothtime ディレクティブで設定している chronyd サーバーなど、leap smear を使用して、クライアントからうるう秒を隠すサーバーの互換性がありません。クライアントの chronyd を、そのようなサーバーに同期するように設定している場合は、設定ファイルから leapsectz を削除します。

7.1.3. その他の情報

chrony スイートを使用した NTP の設定方法は、「Chrony スイートを使用した NTP の設定」を参照してください。

7.2. BIND - DNS の実装

RHEL 8 には、バージョン 9.11 の BIND (Berkeley Internet Name Domain) が含まれます。このバージョンの DNS サーバーには、新機能と、バージョン 9.10 からの機能変更が追加されました。

新機能:

  • セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
  • Domain Name System Cookies は、named サービスおよび dig ユーティリティーにより送信されるようになりました。
  • Response Rate Limiting 機能は、DNS 増幅攻撃の軽減を支援できます。
  • RPZ の (response-policy zone) のパフォーマンスが改善しました。
  • map と呼ばれる新しいゾーンファイルが追加されています。このフォーマットに保存されるゾーンファイルは、メモリーに直接マッピングされます。これにより、ゾーンがロードするのがかなり速くなります。
  • DNS データの検索、および DNS Security Extensions (DNSSEC) 検証を実行する dig のようなセマンティクスを使用して、delv (ドメインエンティティー検索および検証) が追加されています。
  • 新しい mdig コマンドが利用できるようになりました。このコマンドは、dig コマンドの中で、クエリーを送り、次のクエリーを送る前に応答を待つ代わりに、パイプラインで複数のクエリーを送って応答を待つバージョンです。
  • 再帰リゾルバーのパフォーマンスを改善する新しい prefetch オプションが追加されました。
  • ビュー間でゾーンデータを共有できる、新しい in-view ゾーンオプションが追加されました。このオプションが追加されると、新しいビューは、メモリーに複数のコピーを保存せずに、同じゾーンを命令的に保存できます。
  • ゾーンに最大の TTL を強制する新しい max-zone-ttl オプションが追加されました。高い TTL を含むゾーンが読み込まれると、読み込みに失敗します。より高い TTL を持つ動的 DNS (DDNS) は可能ですが、TTL は切り捨てられます。
  • 新しいクォータは、サービス拒否攻撃が発生している権威サーバーに再帰リゾルバーにより送信されたクエリーを制限するために追加されました。
  • nslookup ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。
  • named サービスは、その他のネームサーバープロセスが実行しているかどうかを確認します。
  • 署名付きゾーンを読み込むと、named が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。
  • ゾーン転送は、現在のネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。

機能変更:

  • 静的チャンネルに対するバージョン 3 XML スキーマは、高速解析のための新しい統計および平坦化した XML ツリーが HTTP インターフェースにより提供されます。古いバージョンの 2 XML スキーマはサポートされなくなりました。
  • named サービスは、デフォルトで IPv6 および IPv4 のインターフェースでリッスンするようになりました。
  • named サービスは GeoIP をサポートしなくなりました。クエリー送信者の推定位置で定義される Access control lists (ACL) は利用できなくなりました。

7.3. 印刷

7.3.2. CUP ログの場所

CUPS は、ログを 3 種類提供します。

  • エラーログ
  • アクセスログ
  • ページログ

RHEL 8 では、その他のプログラムのログと一緒に、3 つのすべてのタイプが、systemd-journald のログに中心的に記録されます。

RHEL 8 では、RHEL 7 で使用されていた /var/log/cups ディレクトリーの特定ファイルに、ログが保存されなくなりました。代わりに、RHEL 8 では、その他のプログラムのログと一緒に、3 つのすべてのタイプが、systemd-journald のログに中心的に記録されます。

RHEL 8 で CUPS ログインを使用する方法は「Deploying different types of servers」を参照してください。

7.3.3. その他の情報

RHEL 8 で印刷を設定する方法は「Deploying different types of servers」を参照してください。

7.4. パフォーマンスおよび電源管理のオプション

7.4.1. 推奨される Tuned プロファイルの主な変更点

RHEL 8 では、tuned-adm recommend コマンドにより報告される、推奨される Tuned プロファイルが、次のルールに基づいて選択されるようになりました。

  • (syspurpose コマンドにより報告される) syspurpose ロールには「atomic」が含まれ、以下のようになります。

    • Tuned がベアメタルで実行している場合は、「atomic-host」プロファイルが選択されます。
    • Tuned が仮想マシンで実行している場合は、「atomic-guest」プロファイルが選択されます。
  • Tuned が仮想マシンで実行している場合は、「virtual-guest」プロファイルが選択されます。
  • syspurpose ロールに desktop または workstation が含まれ、シャーシタイプ (dmidecode が報告) が NotebookLaptop、または Portable の場合は、balanced プロファイルが選択されます。
  • 上記のどのルールにも一致しない場合は「throughput-performance」プロファイルが選択されます。

最初に一致したルールが有効になることに注意してください。

7.5. インフラストラクチャーサービスコンポーネントへのその他の変更

本セクションでは、特定のインフラストラクチャーサービスコンポーネントで他に注目すべき変更点を簡単に紹介します。

表7.1 インフラストラクチャーサービスコンポーネントへの主な変更

名前変更の種類その他の情報

bind

設定オプションの削除

dnssec-lookaside auto は削除されました。代わりに no を使用してください。

brltty

設定オプションの変更

--message-delay brltty は、--message-timeout に名前が変更になりました。

brltty

設定オプションの削除

-U [--update-interval=] は削除されました。

brltty

設定オプションの変更

Bluetooth デバイスアドレスに、コロン (:) の代わりにハイフン (-) を使用できるようになりました。デバイス修飾子のエイリアス bth: および bluez: がサポートされなくなりました。

cups

機能の削除

アップストリームは、セキュリティー上の理由から、インターフェーススクリプトのサポートを削除しました。OS または専用のものから提供される ppd およびドライバーを使用します。

cups

ディレクティブオプションの削除

/etc/cups/cupsd.conf の AuthType ディレクティブおよび DefaultAuthType ディレクティブから認証タイプ Digest および BasicDigest が削除されました。Basic に移行してください。

cups

ディレクティブオプションの削除

cupsd.conf から Include が削除されました。

cups

ディレクティブオプションの削除

cups-files.conf から、ServerCertificate および ServerKey が削除されました。代わりに Serverkeychain を参照してください。

cups

conf ファイル間を移動したディレクティブ

SetEnv および PassEnv を、cupsd.conf から cups-files.conf へ移動しました。

cups

conf ファイル間を移動したディレクティブ

cupsd.conf から cups-files.confPrintcapFormat を移行しました。

cups-filters

デフォルトの設定変更

cups-browsed が検出したリモート印刷キュー名は、プリンターのデバイス ID に基づいており、リモートの印刷キュー名ではありません。

cups-filters

デフォルトの設定変更

IPP プリンターのキューを自動作成する場合は、CreateIPPPrinterQueuesAll に設定する必要があります。

cups-filters

デフォルトの設定変更

cups-browsed がデフォルトでローカルの CUPS デーモンを使用するようになりました。

cyrus-imapd

データフォーマットの変更

Cyrus-imapd 3.0.7 のデータ形式が異なります。

dhcp

オプションの非互換性

-I オプションが standard-ddns-updates に使用されるようになりました。以前の機能 (dhcp-client-identifier) については、新しい -C オプションを使用します。

finger

機能の削除

 

GeoIP

機能の削除

 

grep

動作変更

grep は、現在のロケールをバイナリーとして不適切にエンコードしたデータを含むファイルを扱います。

grep

動作変更

無効な UTF-8 データを指定すると、grep -P はエラーを報告して終了します。

grep

動作変更

GREP_OPTIONS 環境変数が使用されると grep が警告を表示するようになりました。エイリアスまたはスクリプトを代わりに使用してください。

grep

動作変更

grep -P はエラーをエクスポートし、UTF-8 以外のマルチバイトの文字エンコーディングを使用したロケールで終了します。

grep

動作変更

バイナリーデータを検索する場合は、grep が、ラインターミネーターとして非テキストバイトを処理できます。パフォーマンスに大きな影響を及ぼします。

grep

動作変更

grep -z が、バイト「\200」をバイナリーデータとして自動的に処理しなくなりました。

grep

動作変更

コンテキストは、-m のために除外されるように選択された行を除外しなくなりました。

irssi

動作変更

SSLv2 および SSLv3 がサポート対象外になりました。

lftp

オプションの変更

xfer:log および xfer:log-file が非推奨になりました。log:enabled コマンドおよび log:file で利用できます。

ntp

機能の削除

ntp は削除されました。代わりに chrony を使用してください。

postfix

設定変更

3.x バージョンには、アップグレード後に後方互換性のデフォルト設定で Postfix プログラムを実行すると、互換性のセーフティーネットがあります。

postfix

設定変更

Postfix MySQL データベースクライアントでは、デフォルトの option_group 値が client に変更し、後方互換性のある動作のために、空の値を設定します。

postfix

設定変更

postqueue コマンドは、メッセージの到着時間をすべて UTC に報告することを強制しなくなりました。以前の動作に戻す場合は、main.cf に TZ=UTC を設定します。

postfix

設定変更

ECDHE - smtpd_tls_eecdh_gradeauto にデフォルト設定されます。曲線の名前を持つ新しいパラメーター tls_eecdh_auto_curves はネゴシエートされます。

postfix

設定変更

デフォルトの変更: append_dot_mydomain (new: no, old: yes)、master.cf chroot (new: n, old: y)、smtputf8 (new: yes, old: no)

postfix

設定変更

デフォルトの変更: relay_domains (以前は $mydestination で、現在は空)。

postfix

設定変更

mynetworks_style のデフォルト値が、subnet から host へ変更になりました。

powertop

互換性オプションの削除

-d は削除されました。

powertop

互換性オプションの変更

-d は削除されました。

quagga

機能の削除

 

sane-backends

破損しているサードパーティーのドライバー

バイナリーを /usr/lib/sane に置いているため、特定のスキャナードライバーが 1.0.27 から動作しなくなりますが、適切なディレクトリーは /usr/lib64/sane です。

sendmail

設定変更

sendmail は、圧縮していない IPv6 アドレスをデフォルトで使用します。これにより、より詳細に一致するゼロサブネットを許可します。設定データは同じ形式を使用する必要があるため、8.15 を使用する前に、IPv6:[0-9a-fA-F:]*::IPv6:: などのパターンを更新してください。

spamassasin

コマンドラインオプションの削除

spamd から --ssl-version が削除されました。

spamassasin

サポートされる SSL バージョンへの変更点

spamc および spamd では、SSLv3 がサポートされなくなりました。

spamassasin

機能の削除

sa-update では、フィルタリングルールの SHA1 検証がサポートされなくなり、代わりに SHA256/SHA512 検証が使用されるようになりました。

vim

デフォルトの設定変更

vim は、~/.vimrc ファイルが利用できない場合に default.vim スクリプトを実行します。

vim

デフォルトの設定変更

vim が、端末からの括弧付きペーストをサポートします。以前の動作のために、vimrc に「set t_BE=」を追加します。

vsfptd

デフォルトの設定変更

anonymous_enable が無効になりました。

vsfptd

デフォルトの設定変更

strict_ssl_read_eof はデフォルトで YES にになります。

vsfptd

機能の削除

tcp_wrappers がサポート対象外になりました。

vsfptd

デフォルトの設定変更

TLSv1 および TLSv1.1 がデフォルトで無効になりました。

wireshark

Python バインディングの削除

dissector は、Python で記述されなくなりました。代わりに C を使用してください。

wireshark

オプションの削除

非同期の DNS 名前解決の -N オプションのサブオプション -C が削除されています。

wireshark

出力変更

-H オプションを使用すると、出力には SHA1、RIPEMD160、および MD5 のハッシュが表示されなくなりました。表示されるハッシュは、SHA256、RIPEMD160、および SHA1 です。

wvdial

機能の削除