Red Hat Training

A Red Hat training course is available for RHEL 8

第7章 インフラストラクチャーサービス

7.1. 時間同期

正確な時間を維持することは、さまざまな理由で重要です。Linux システムでは、Network Time Protocol (NTP) プロトコルがユーザー空間で実行しているデーモンにより実装されます。

7.1.1. NTP の実装

RHEL 7 がサポートする NTP プロトコルには、ntp および chrony の 2 種類あります。

RHEL 8 の NTP プロトコルは、chronyd デーモンからしか実装されません。このデーモンは、chrony パッケージで提供されます。

ntp デーモンは利用できなくなりました。RHEL 7 システムで ntp を使用していた場合は「chrony への移行」が必要になる場合があります。

chrony が対応していない以前の ntp 機能の代わりとなる機能は、「以前サポートされていた設定を chrony で実現」を参照してください。

7.1.2. chrony スイートの概要

chrony は、NTP の実装で、断続的なネットワーク接続、非常に混雑したネットワーク、気温の変化 (通常のコンピュータークロックは、気温の影響を受けやすくなります)、および継続して実行していないシステム、または仮想マシンで実行しているシステムなど、さまざまな条件で活躍します。

chrony を使用すると、以下のことができます。

  • システムクロックを、NTP サーバーと同期する
  • システムクロックを、GPS レシーバーなどの基準クロックと同期する
  • システムクロックを、手動で入力した時間と同期する
  • ネットワーク内の他のコンピューターにタイムサービスを提供する NTPv4(RFC 5905) サーバーまたはピアとして使用

chrony の詳細は「chrony スイートの概要」を参照してください。

7.1.2.1. chrony と ntp の相違点

chronyntp の相違点は、以下の資料を参照してください。

7.1.2.1.1. chrony が、うるう秒をデフォルトで修正

RHEL 8 では、デフォルトの chrony 設定ファイル /etc/chrony.conf に、leapsectz ディレクティブが含まれます。

leapsectz ディレクティブにより、chronyd で以下のことができます。

  • システムの tz データベース (tzdata) から、うるう秒に関する情報を取得する
  • システムは、システムクロックの TAI-UTC オフセットを設定して、正確な国際原子時 (TAI) クロック (CLOCK_TAI) を提供する

このディレクティブは、leapsecmode ディレクティブおよび smoothtime ディレクティブで設定している chronyd サーバーなど、leap smear を使用してクライアントからうるう秒を隠すサーバーと互換性がありません。クライアントの chronyd を、そのようなサーバーに同期するように設定している場合は、設定ファイルから leapsectz を削除します。

7.1.3. 関連情報

chrony スイートを使用した NTP の設定方法は、「Chrony スイートを使用した NTP の設定」を参照してください。

7.2. BIND - DNS の実装

RHEL 8 には、バージョン 9.11 に BIND (Berkeley Internet Name Domain) が含まれています。このバージョンの DNS サーバーには、バージョン 9.10 と比較して、複数の新機能と機能変更が追加されています。

新機能:

  • セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
  • Domain Name System Cookies は、named サービスおよび dig ユーティリティーにより送信されるようになりました。
  • Response Rate Limiting 機能は、DNS 増幅攻撃の軽減を支援できます。
  • RPZ の (response-policy zone) のパフォーマンスが改善しました。
  • map と呼ばれる新しいゾーンファイルが追加されています。このフォーマットに保存されるゾーンファイルは、メモリーに直接マッピングされます。これにより、ゾーンが読み込む速度が大幅に改善します。
  • DNS データの検索、および DNS Security Extensions (DNSSEC) 検証を実行する dig のようなセマンティクスを使用する、delv ツール (ドメインエンティティー検索および検証) が追加されています。
  • 新しい mdig コマンドが利用できるようになりました。このコマンドは、クエリーを送り、次のクエリーを送る前に応答を待つ代わりに、パイプラインで複数のクエリーを送って応答を待つ dig コマンドです。
  • 再帰リゾルバーのパフォーマンスを改善する新しい prefetch オプションが追加されました。
  • ビュー間でゾーンデータを共有できる、新しい in-view ゾーンオプションが追加されました。このオプションが追加されると、新しいビューは、メモリーに複数のコピーを保存せずに、同じゾーンを確実に保存できます。
  • ゾーンに最大の TTL を強制する新しい max-zone-ttl オプションが追加されました。高い TTL を含むゾーンを読み込むと、読み込みに失敗します。動的 DNS (DDNS) により高い TTL を設定することは可能ですが、TTL は切り捨てられます。
  • 新しいクォータは、再帰リゾルバーが、サービス拒否攻撃が発生している権威サーバーに送信するクエリーを制限するために追加されました。
  • nslookup ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。
  • named サービスは、起動する前に、その他のネームサーバープロセスが実行しているかどうかを確認します。
  • 署名付きゾーンを読み込むと、named が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。
  • ゾーン転送は、ネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。

機能変更:

  • 静的チャンネルに対するバージョン 3 の XML スキーマでは、高速解析を行うために、HTTP インターフェースにより、新しい統計および平坦化した XML ツリーが提供されます。古いバージョンの 2 XML スキーマに対応しなくなりました。
  • named サービスは、デフォルトで IPv6 および IPv4 のインターフェースでリッスンするようになりました。
  • named サービスは GeoIP に対応しなくなりました。クエリー送信者の推定位置で定義される Access control lists (ACL) は利用できなくなりました。

7.3. DNS 解決

RHEL 7 では、nslookup ユーティリティーおよび host ユーティリティーが、リストされているネームサーバーからの recursion available フラグなしで、あらゆる応答を許可できるようになりました。RHEL 8 では、nslookuphost は、最後に設定されているネームサーバーでない限り、再帰だけの応答を無視します。最後に設定したネームサーバーでは、recursion available フラグがなくても応答が許可されます。

ただし、最後に設定したネームサーバーが応答しない場合や到達できない場合は、名前解決に失敗します。このような失敗を防ぐためには、以下のいずれかの方法を使用できます。

  • 設定したネームサーバーが、recursion available フラグが設定されている状態で常に応答することを確認します。
  • すべての内部クライアントに再帰を許可します。

必要に応じて、dig ユーティリティーを使用して、再帰が利用可能かどうかを検出することもできます。

7.4. postfix

RHEL 8 では、Postfix は、後方互換性のために TLS で MD5 フィンガープリントを使用します。ただし、FIPS モードでは、MD5 ハッシュ関数は利用できません。これにより、デフォルトの Postfix 設定で TLS が不適切に機能する可能性があります。回避策として、postfix 設定ファイルでハッシュ関数を SHA-256 に変更する必要があります。

詳細は、関連するリンク https://access.redhat.com/articles/5824391 を参照してください。https://access.redhat.com/articles/5824391

7.5. 印刷

7.5.2. CUP ログの場所

CUPS は、ログを 3 種類提供します。

  • エラーログ
  • アクセスログ
  • ページログ

RHEL 8 では、RHEL 7 で使用されていた /var/log/cups ディレクトリーの特定ファイルに、ログが保存されなくなりました。代わりに、その他のプログラムのログと一緒に、3 つのすべてのタイプが、systemd-journald のログに中心的に記録されます。

RHEL 8 で CUPS ログインを使用する方法は『さまざまな種類のサーバーのデプロイメント』を参照してください。

7.5.3. 関連情報

RHEL 8 で印刷を設定する方法は『さまざまな種類のサーバーのデプロイメント』を参照してください。

7.6. パフォーマンスおよび電源管理のオプション

7.6.1. 推奨される Tuned プロファイルの主な変更点

RHEL 8 では、tuned-adm recommend コマンドにより報告される、推奨される Tuned プロファイルが、次のルールに基づいて選択されるようになりました。

  • (syspurpose show コマンドにより報告される) syspurpose ロールには「atomic」が含まれ、以下のようになります。

    • Tuned がベアメタルで実行している場合は、「atomic-host」プロファイルが選択されます。
    • Tuned が仮想マシンで実行している場合は、「atomic-guest」プロファイルが選択されます。
  • Tuned が仮想マシンで実行している場合は、「virtual-guest」プロファイルが選択されます。
  • syspurpose ロールに desktop または workstation が含まれ、シャーシタイプ (dmidecode が報告) が NotebookLaptop、または Portable の場合は、balanced プロファイルが選択されます。
  • 上記のどのルールにも一致しない場合は「throughput-performance」プロファイルが選択されます。

最初に一致したルールが有効になることに注意してください。

7.7. インフラストラクチャーサービスコンポーネントへのその他の変更

本セクションでは、特定のインフラストラクチャーサービスコンポーネントで他に注目すべき変更点を簡単に紹介します。

表7.1 インフラストラクチャーサービスコンポーネントへの主な変更

名前変更の種類関連情報

acpid

オプションの変更

-d (debug) には、-f (foreground) が含まれません。

bind

設定オプションの削除

dnssec-lookaside auto は削除されました。 代わりに no を使用してください。

brltty

設定オプションの変更

--message-delay brltty は、--message-timeout に名前が変更になりました。

brltty

設定オプションの削除

-U [--update-interval=] は削除されました。

brltty

設定オプションの変更

Bluetooth デバイスアドレスに、コロン (:) の代わりにハイフン (-) を使用できるようになりました。デバイス修飾子のエイリアス bth: および bluez: がサポートされなくなりました。

cups

機能の削除

アップストリームでは、セキュリティー上の理由から、インターフェーススクリプトのサポートが削除されました。OS またはプロプライエタリーから提供される ppd およびドライバーを使用します。

cups

ディレクティブオプションの削除

/etc/cups/cupsd.conf の AuthType ディレクティブおよび DefaultAuthType ディレクティブから認証タイプ Digest および BasicDigest が削除されました。Basic に移行してください。

cups

ディレクティブオプションの削除

cupsd.conf から Include が削除されました。

cups

ディレクティブオプションの削除

cups-files.conf から、ServerCertificate および ServerKey が削除されました。代わりに Serverkeychain を参照してください。

cups

ディレクティブ が conf ファイル間を移動

SetEnv および PassEnv を、cupsd.conf から cups-files.conf へ移動しました。

cups

ディレクティブ が conf ファイル間を移動

cupsd.conf から cups-files.confPrintcapFormat を移動しました。

cups-filters

デフォルトの設定変更

cups-browsed が検出したリモート印刷キュー名は、プリンターのデバイス ID に基づいており、リモートの印刷キュー名ではありません。

cups-filters

デフォルトの設定変更

IPP プリンターのキューを自動作成する場合は、CreateIPPPrinterQueuesAll に設定する必要があります。

cyrus-imapd

データフォーマットの変更

Cyrus-imapd 3.0.7 のデータ形式が異なります。

dhcp

動作変更

dhclient は、デフォルトでハードウェアアドレスをクライアント識別子として送信します。client-id オプションは設定可能です。詳細は、/etc/dhcp/dhclient.conf ファイルを参照してください。

dhcp

オプションの非互換性

-I オプションが standard-ddns-updates に使用されるようになりました。以前の機能 (dhcp-client-identifier) には、新しい -C オプションを使用します。

dosfstools

動作変更

データ構造がクラスターサイズに合わせて自動的に調整されるようになりました。アライメントを無効にするには、-a オプションを使用します。fsck.fat は、以前は -r オプションで選択する必要がありましたインタラクティブな修復モードにデフォルト設定されています。

finger

機能の削除

 

GeoIP

機能の削除

 

grep

動作変更

grep は、現在のロケールをバイナリーとして誤ってエンコードしたデータを含むファイルを扱います。

grep

動作変更

無効な UTF-8 データを指定した場合に、grep -P がエラーを報告して終了しなくなりました。

grep

動作変更

GREP_OPTIONS 環境変数が使用されると、grep が警告を表示するようになりました。代わりにエイリアスまたはスクリプトを使用してください。

grep

動作変更

grep -P では、エラーをエクスポートし、UTF-8 以外のマルチバイトの文字エンコーディングを使用したロケールで終了します。

grep

動作変更

バイナリーデータを検索する場合は、grep が、非テキストバイトをラインターミネーターとして処理できます。パフォーマンスに大きな影響を及ぼします。

grep

動作変更

grep -z が、バイト「\200」をバイナリーデータとして自動的に処理しなくなりました。

grep

動作変更

コンテキストは、-m を使用して除外するように選択した行を、除外しなくなりました。

irssi

動作変更

SSLv2 および SSLv3 がサポート対象外になりました。

lftp

オプションの変更

xfer:log および xfer:log-file が非推奨になりました。log:enabled コマンドおよび log:file コマンドで利用できます。

ntp

機能の削除

ntp は削除されました。代わりに chrony を使用してください。

postfix

設定変更

3.x バージョンには、アップグレード後に後方互換性のデフォルト設定で Postfix プログラムを実行する、互換性のセーフティーネットがあります。

postfix

設定変更

Postfix MySQL データベースクライアントでは、デフォルトの option_group 値が client に変更し、後方互換性のある動作のために、空の値を設定します。

postfix

設定変更

postqueue コマンドが、メッセージの到着時間をすべて UTC に報告することを強制しなくなりました。以前の動作を取得するには、main.cf:import_environmentTZ=UTC を設定します。以下に例を示します。

import_environment = MAIL_CONFIG MAIL_DEBUG MAIL_LOGTAG TZ=UTC XAUTHORITY DISPLAY LANG=C.

postfix

設定変更

ECDHE - smtpd_tls_eecdh_gradeauto にデフォルト設定されます。曲線の名前を持つ新しいパラメーター tls_eecdh_auto_curves はネゴシエートできます。

postfix

設定変更

デフォルトの変更 - append_dot_mydomain (以前は yes で、現在は no)、master.cf chroot (以前は y で、現在は n)、smtputf8 (以前は no で、現在は yes)

postfix

設定変更

デフォルトの変更 - relay_domains (以前は $mydestination で、現在は空)。

postfix

設定変更

mynetworks_style のデフォルト値が、subnet から host へ変更になりました。

powertop

オプションの削除

-d は削除されました。

powertop

オプションの変更

-h は、--html のエイリアスではなくなりました。--help のエイリアスになりました。

powertop

オプションの削除

-u は削除されました。

quagga

機能の削除

 

sendmail

設定変更

sendmail は、圧縮していない IPv6 アドレスをデフォルトで使用します。これにより、より詳細に一致するゼロサブネットを許可します。設定データは同じ形式を使用する必要があるため、8.15 を使用する前に、IPv6:[0-9a-fA-F:]*::IPv6:: などのパターンを更新してください。

spamassasin

コマンドラインオプションの削除

spamd から --ssl-version が削除されました。

spamassasin

コマンドラインオプションの変更

spamc では、コマンドラインオプション -S/--ssl を使用して SSL/TLS バージョンを指定することはできなくなりました。このオプションは、TLS を有効にする引数なしでのみ使用できるようになりました。

spamassasin

サポートされる SSL バージョンへの変更点

spamc および spamd では、SSLv3 がサポートされなくなりました。

spamassasin

機能の削除

sa-update では、フィルタリングルールの SHA1 検証がサポートされなくなり、代わりに SHA256/SHA512 検証が使用されるようになりました。

vim

デフォルトの設定変更

vim は、~/.vimrc ファイルが利用できない場合に default.vim スクリプトを実行します。

vim

デフォルトの設定変更

vim が、端末からの括弧付きペーストをサポートします。以前の動作のために、vimrc に「set t_BE=」を追加します。

vsftpd

デフォルトの設定変更

anonymous_enable が無効になりました。

vsftpd

デフォルトの設定変更

strict_ssl_read_eof はデフォルトで YES になります。

vsftpd

機能の削除

tcp_wrappers がサポート対象外になりました。

vsftpd

デフォルトの設定変更

TLSv1 および TLSv1.1 がデフォルトで無効になりました。

wireshark

Python バインディングの削除

dissector は、Python で記述されなくなりました。代わりに C を使用してください。

wireshark

オプションの削除

非同期の DNS 名前解決の -N オプションのサブオプション -C が削除されています。

wireshark

出力変更

-H オプションを使用すると、出力には SHA1、RIPEMD160、および MD5 のハッシュが表示されなくなりました。表示されるハッシュは、SHA256、RIPEMD160、および SHA1 です。

wvdial

機能の削除

 
このページには機械翻訳が使用されている場合があります (詳細はこちら)。