対象サービス・プラン
さくらインターネットが提供する「さくらのVPS」のOSセットアップ仕様は以下の通りとなります。
サービス運用にご活用ください。
はじめに
- 「さくらのVPS」の標準OSインストールによって提供される「CentOS 7」での管理・運用上、有用と思われる情報を紹介しています。
- 実行時に十分な注意が必要とされるものも含まれています。特に実運用環境下でのオペレーションの際には、必ず注意事項に従って作業をおこなうようにしてください。
- 注意事項に記載があるにもかかわらず、誤った設定をおこなってしまったことによりシステムに深刻な打撃を与えてしまった場合、一切の責任を負いませんので、ご注意ください。
- OSのアップグレードなどにより、記載されている内容が予告なく変更される可能性があります。
- 内容は予告無く変更することがあります。
- 記載されている内容について、さくらインターネットではいかなる責任を負うものではありません。
- 2016/03/29以降にお申し込みになったお客様のみ「CentOS 7」をご利用できます。
OS基本設定
CentOS 7 のインストール内容につきましては下記の通りとなります。
1. インストールOS
| OS | CentOS 7 x86_64 |
|---|
2. パーティション
| パーティション番号 | マウントポイント | パーティション名 | フォーマット | 容量 |
|---|---|---|---|---|
| 1 | ‐ | /dev/vda1 | bios_grubフラグ (EF02) | 1024KB |
| 2 | /boot | /dev/vda2 | xfs(0700) | 500 MB(各プラン共通) |
| 3 | swap | /dev/vda3 | tmpfs (8200) | 4 GB(各プラン共通) |
| 4 | ‐ | /dev/vda4 | xfs(0700) | vdaの残り(各プラン共通) |
- ※ カスタムインストール時の場合を除く。
3. ブートローダ
OS起動に関する変更
- 起動時にRed Hat Graphical Bootではなくテキストモードを使用します。
- 起動時にカーネルメッセージを表示します。
コンソール表示に関する変更
- コンソールで使用するフォントをlatarcyrheb-sun16に変更します。
- コンソールがblank状態になるのを抑止します。
- カーネルのコンソールをtty1とttyS0に変更します。
その他の変更
- カーネルダンプを取得しません。
- NOOPスケジューラを使用します。
- systemd/udevによるNIC命名を行ないません。
- biosdevnameによるNIC命名を行いません。
| ブートローダ | GRUB2(OS標準) |
|---|
| 設定ファイル | /etc/default/grub |
|---|---|
| 設定内容 | GRUB_TIMEOUT=5 GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" GRUB_DEFAULT=saved GRUB_DISABLE_SUBMENU=true GRUB_TERMINAL="serial console" GRUB_SERIAL_COMMAND="serial --speed=115200" GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sun16 consoleblank=0 nomodeset elevator=noop net.ifnames=0 biosdevname=0 console=tty1 console=ttyS0,115200n8r" GRUB_DISABLE_RECOVERY="true" |
4. ロケール
| 言語 | C |
|---|---|
| タイムゾーン | Asia/Tokyo |
5. SELinux
SELinux は無効化された状態となっています。
| 設定ファイル | /etc/sysconfig/selinux |
|---|---|
| 設定内容 | SELINUX=disabled |
6. ランレベル(Linuxの動作モード)
デフォルトのランレベルは「 multi-user.target 」(テキストログインの通常のマルチユーザモード)です。
7. ホスト名設定
- 初期状態では、ドメイン名に関する設定は一切おこなわれていません。
- 名前の解決をおこなうためには、いくつかの手続きや設定が必要となります。
- お客様のサーバ運用状況に合わせて手続き・設定をおこなってください。
- 名前の解決ができるようになった後は、ご利用いただくアプリケーションの設定が必要となります。
忘れずに設定してください。
| 設定ファイル | /etc/hostname |
|---|---|
| 設定値 | localhost.localdomain |
| 設定ファイル | /etc/hosts |
|---|---|
| 設定内容 | 127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain6 localhost6 |
8. IPアドレスの設定
| 設定ファイル | /etc/sysconfig/network-scripts/ifcfg-eth0 |
|---|---|
| 設定内容 | サーバ固有のグローバルIPアドレス 1つ ※ |
- ※ eth0 に設定するIPアドレスの変更や追加は行わないでください。
| 設定ファイル | /etc/sysconfig/network-scripts/ifcfg-eth1 |
|---|---|
| 設定内容 | DEVICE="eth1" ONBOOT="no" TYPE="Ethernet" |
自動起動設定をOFFにしております。
ローカル接続にてご利用いただく場合は、お客様で設定をお願いいたします。
| 設定ファイル | /etc/sysconfig/network-scripts/ifcfg-eth2 |
|---|---|
| 設定内容 | DEVICE="eth2" ONBOOT="no" TYPE="Ethernet" |
自動起動設定をOFFにしております。
ローカル接続にてご利用いただく場合は、お客様で設定をお願いいたします。
2017/4/18より 標準OSインストールにて新規にインストールされるOSはIPv6の設定が無効化されています。
有効化手順につきましては、以下のマニュアルをご参照ください。
9. TSOの無効化設定
| 設定ファイル | /etc/udev/rules.d/50-eth_tso.rules |
|---|---|
| 設定内容 | ACTION=="add", SUBSYSTEM=="net", KERNEL=="eth*", RUN+="/sbin/ethtool -K %k tso off" ACTION=="add", SUBSYSTEM=="net", KERNEL=="ens*", RUN+="/sbin/ethtool -K %k tso off" |
10. リゾルバの設定
サーバの参照ネームサーバとして、さくらインターネットのネームサーバを設定しています。
| 設定ファイル | /etc/resolv.conf |
|---|---|
| 設定内容 | nameserver 210.188.224.10 nameserver 210.188.224.11 nameserver 2001:e42::2 |
| または nameserver 210.224.163.3 nameserver 210.224.163.4 nameserver 2403:3a00::1 |
|
| または nameserver 133.242.0.3 nameserver 133.242.0.4 nameserver 2401:2500::1 |
11. NTPの設定(時刻の同期)
- 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせをおこないます。
- 自身がNTPサーバとしては動作しません。(時刻の問い合わせに対し応答しません)
- chronydをユーザchronyの権限で動作させます。
- hronydをRAM上で動作させページアウトをおこないません。
| 設定ファイル | /etc/chrony.conf |
|---|---|
| 設定内容 | server ntp1.sakura.ad.jp iburst bindcmdaddress 127.0.0.1 bindcmdaddress ::1 port 0 user chrony cmddeny all lock_all |
12.Firewall(firewalld/fail2ban)
firewalld
- 初期設定ではeth0のゾーンはpublic、サービスはデフォルト設定(dhcpv6-client, sshのみ許可)となっています。
fail2ban
- 有効(10分間にSSHのログイン試行5回失敗で10分間接続拒否:デフォルト)となっています。
- /var/log/fail2ban.logにログを出力します。
| 設定ファイル | /etc/fail2ban/fail2ban.conf |
|---|---|
| 設定内容 | logtarget = /var/log/fail2ban.log |
| 設定ファイル | /etc/fail2ban/jail.d/local.conf |
|---|---|
| 設定内容 | [DEFAULT] banaction = firewallcmd-ipset backend = systemd [sshd] enabled = true
|
13. インストール済みパッケージ
| Package Group | @ Base @ Development Tools |
|---|---|
| Package | epel-release fail2ban chrony |
| Exclusion Package | microcode_ctl ntp rdma |
14. anacron設定
- 日次/週次/月次にて行われる定期実行におけるランダムディレイ設定幅を大きくします。
| 設定ファイル | /etc/anacrontab |
|---|---|
| 設定内容 | RANDOM_DELAY=240 |
- 時次にて行われる定期実行における実行時間をランダム(※1)に変更します。
| 設定ファイル | /etc/cron.d/0hourly |
|---|---|
| 設定内容 | 13 * * * * root run-parts /etc/cron.hourly ※1 |
起動デーモン
初期出荷時に自動起動設定(稼働中)のデーモンです。
インストール時のまま提供しておりますので、ご利用用途に合わせて無効にしてください。
kdump.serviceにつきましてはカーネルオプションで無効化しているためサービスについても無効化しています。
| デーモン名 | 機能説明 手動の起動、停止方法 |
外部からの 接続ポート |
|---|---|---|
| abrt-ccpp.service | C/C++ 問題のアナライザーを提供する ABRT サービス | - |
| abrt-oops.service | カーネル oops のアナライザーを提供する ABRT サービス | - |
| abrt-vmcore.service | カーネルのパニックアナライザーおよびレポーターを提供する ABRT サービス | - |
| abrt-xorg.service | X.Org server のクラッシュについてのアナライザーを提供するABRT サービス | - |
| abrtd.service | 自動バグ報告ツール(ABRT)サービス | - |
| atd.service | コマンドの遅延実行を有効にするサービス | - |
| auditd.service | システムコールの監査サービス | - |
| chronyd.service | 時刻同期サービス (旧ntpd) ※ntpdサーバとしての機能は停止 |
- |
| crond.service | 定期的にジョブを実行するためのcronサービス | - |
| dbus-org.fedoraproject.FirewallD1.service | Firewalldが プロセス間通信をおこなうためのメッセージバスサービス | - |
| dbus-org.freedesktop.NetworkManager.service | NetworkManager がプロセス間通信をおこなうためのメッセージバスサービス | - |
| dbus-org.freedesktop.nm-dispatcher.service | nm-dispatcher がプロセス間通信をおこなうためのメッセージバスサービス | - |
| dmraid-activation.service | Device-mapper RAID や dmraid はディスクをひとつの RAID セット | - |
| fail2ban.service | 不正の兆候がある接続を拒否する機能 | - |
| firewalld.service | ゾーンに対応し、動的に設定をおこなうファイアウォール | - |
| getty@.service | 起動時に仮想端末に自動ログインする | - |
| irqbalance.service | マルチプロセッサな環境での IRQ の割り込み処理用のサービス | - |
| libstoragemgmt.service | 外部ストレージアレイ管理プラグイン | - |
| lvm2-monitor.service | LVM2のモニタリングサービス | - |
| mdmonitor.service | ソフトウェアRAIDをモニターするサービス | - |
| NetworkManager-dispatcher.service | ネットワークに接続したときにサービスを起動し、切断したときにサービスを停止する機能 | - |
| NetworkManager.service | ネットワークデバイスと接続を動的に管理するサービス | - |
| postfix.service | メールのMTA 機能 | 25/smtp |
| rngd.service | ハードウェア側の機能で乱数を発生させるサービス | - |
| rsyslog.service | システムログなどを利用するサーバ監視ツール | - |
| smartd.service | Self Monitoring and Reporting Technology (SMART) サービス | - |
| sshd.service | SSH(Secure Shell)サーバサービス | 22/tcp |
| sysstat.service | システムのさまざまな情報を取得するサービス | - |
| systemd-readahead-collect.service | 起動時のディスク使用パターン収集サービス | - |
| systemd-readahead-drop.service | systemd-readahead-collect.service にて収集したデータをシステム更新時に削除するサービス | - |
| systemd-readahead-replay.service | systemd-readahead-collect.service にて収集したデータを中継するサービス | - |
| tuned.service | システムコンポーネントの使用を監視し動的にシステム設定をチューニングするサービス | - |
パッケージ管理ツール
RPMパッケージ管理コマンド「 yum 」を使用することでRPMパッケージのインストール・アップデートをおこなうことができます。
yum コマンドにて下記リポジトリに含まれるパッケージのインストールが可能です。
| リポジトリ設定ファイル | /etc/yum.repos.d 以下 |
|---|
| repo id | repo name | status | リポジトリ設定ファイル |
|---|---|---|---|
| base/7/x86_64 | CentOS-7 - Base | enabled | CentOS-Base.repo |
| extras/7/x86_64 | CentOS-7 - Extras | enabled | CentOS-Base.repo |
| updates/7/x86_64 | CentOS-7 - Updates | enabled | CentOS-Base.repo |
| centosplus/7/x86_64 | CentOS-7 - Plus | disabled | CentOS-Base.repo |
| cr/7/x86_64 | CentOS-7 - cr | disabled | CentOS-CR.repo |
| base-debuginfo/x86_64 | CentOS-7 - Debuginfo | disabled | CentOS-Debuginfo.repo |
| fasttrack/7/x86_64 | CentOS-7 - fasttrack | disabled | CentOS-fasttrack.repo |
| c7-media | CentOS-7 - Media | disabled | CentOS-Media.repo |
| base-source/7 | CentOS-7 - Base Sources | disabled | CentOS-Sources.repo |
| centosplus-source/7 | CentOS-7 - Plus Sources | disabled | CentOS-Sources.repo |
| extras-source/7 | CentOS-7 - Extras Sources | disabled | CentOS-Sources.repo |
| updates-source/7 | CentOS-7 - Updates Sources | disabled | CentOS-Sources.repo |
| C7.0.1406-base/x86_64 | CentOS-7.0.1406 - Base | disabled | CentOS-Vault.repo |
| C7.0.1406-centosplus/x86_64 | CentOS-7.0.1406 - CentOSPlus | disabled | CentOS-Vault.repo |
| C7.0.1406-extras/x86_64 | CentOS-7.0.1406 - Extras | disabled | CentOS-Vault.repo |
| C7.0.1406-fasttrack/x86_64 | CentOS-7.0.1406 - CentOSPlus | disabled | CentOS-Vault.repo |
| C7.0.1406-updates/x86_64 | CentOS-7.0.1406 - Updates | disabled | CentOS-Vault.repo |
| C7.1.1503-base/x86_64 | CentOS-7.1.1503 - Base | disabled | CentOS-Vault.repo |
| C7.1.1503-centosplus/x86_64 | CentOS-7.1.1503 - CentOSPlus | disabled | CentOS-Vault.repo |
| C7.1.1503-extras/x86_64 | CentOS-7.1.1503 - Extras | disabled | CentOS-Vault.repo |
| C7.1.1503-fasttrack/x86_64 C | CentOS-7.1.1503 - Extras | disabled | CentOS-Vault.repo |
| C7.1.1503-updates/x86_64 | CentOS-7.1.1503 - Updates | disabled | CentOS-Vault.repo |
| epel/x86_64 | Extra Packages for Enterprise Linux 7 - x86_64 | enabled | epel.repo |
| epel-debuginfo/x86_64 | Extra Packages for Enterprise Linux 7 - x86_64 - Debug | disabled | epel.repo |
| epel-source/x86_64 | Extra Packages for Enterprise Linux 7 - x86_64 - Source | disabled | epel.repo |
| epel-testing/x86_64 | Extra Packages for Enterprise Linux 7 - Testing - x86_64 | disabled | epel-testing.repo |
| epel-testing-debuginfo/x86_64 | Extra Packages for Enterprise Linux 7 - Testing - x86_64 - Debug | disabled | epel-testing.repo |
| epel-testing-source/x86_64 | Extra Packages for Enterprise Linux 7 - Testing - x86_64 - Source | disabled | epel-testing.repo |
アプリケーション設定
表記の各アプリケーションの基本バージョンは、ディストリビューションによって今後アップデートされる場合があります。
1. sshd
| 動作 | 自動起動設定 |
|---|---|
| インストール方法 | rpm システムを使用 |
| 利用プロトコル | sshd(22/tcp) |
| アクセスログ | /var/log/secure(1週間毎にローテーション) |
| ログ保存期間 | 4週間 |
| 設定ファイル | /etc/ssh/sshd_config |
|---|---|
| 設定内容 | GSSAPIAuthentication yes コメントアウト
|
参考情報
サポートするプロトコルはSSH2のみ有効となっておりますので、SSHを使用したサーバへのログインにつきましては、以下にございますようなSSH2対応のクライアントソフトをご利用ください。
2. postfix
| 動作 | 自動起動設定 |
|---|---|
| インストール方法 | rpm システムを使用 |
| プロトコル | mail(25/tcp) |
| ログ | /var/log/maillog(1週間毎にローテーション) |
| ログ保存期間 | 4週間 |
| 設定ファイル群 | /etc/postfix 以下 /etc/aliases |
|---|---|
| 設定内容 | rpm パッケージのクリーンインストール状態から下記の設定をおこなっています。
|
CentOS 7 FAQ
1. 日本語環境を使用する
初期状態では、英語環境となっております。
メッセージを日本語化するには以下のコマンドを実行し、LANG="ja_JP.UTF-8" としてください。
# localectl set-locale LANG=ja_JP.utf8
初期状態
# localectl
System Locale: LANG=C
VC Keymap: jp106
X11 Layout: jp
変更後
# localectl
System Locale: LANG=ja_JP.utf8
VC Keymap: jp106
X11 Layout: jp
2. OSのセキュリティアップデート
OSのセキュリティ情報については、下記の上位ベンダーのエラータ情報が参考になります。
また、個々の対応状況についてはCentOS-announceメーリングリストで確認することができます。
3. OSのバージョンアップについて
新しいバージョンがリリースされると、下記でリリースノートが公開されます。
バージョンアップの留意点などにつきましても、こちらのリリースノートに記載されます。
OS のバージョンアップによる動作に関しましては、弊社では保障致しかねますので、予めご了承ください。
4. サーバ構築で参考となるウェブページ
下記に主要アプリケーションの設定方法がまとめられています。