対象サービス・プラン
さくらインターネットが提供する「さくらのVPS」のOSセットアップ仕様は以下の通りとなります。
サービス運用にご活用ください。
はじめに
- 「さくらのVPS」の標準OSインストールによって提供される「Ubuntu16.04 LTS」での管理・運用上、有用と思われる情報を紹介しています。
- 実行時に十分な注意が必要とされるものも含まれています。特に実運用環境下でのオペレーションの際には、必ず注意事項に従って作業をおこなうようにしてください。
- 注意事項に記載があるにもかかわらず、誤った設定をおこなってしまったことによりシステムに深刻な打撃を与えてしまった場合、一切の責任を負いませんので、ご注意ください。
- OSのアップグレードなどにより、記載されている内容が予告なく変更される可能性があります。
- 内容は予告無く変更することがあります。
- 記載されている内容について、さくらインターネットではいかなる責任を負うものではありません。
- さくらのVPS バージョン v3 以降のお客様のみ「Ubuntu14.04 LTS」をご利用できます。
- 初期ログインユーザは 「ubuntu」 となります。rootではログインできませんのでご注意ください。
OS基本設定
Ubuntu16.04 LTS のインストール内容につきましては下記の通りとなります。
1. インストールOS
| OS | Ubuntu16.04 LTS amd64 |
|---|
2. パーティション
| パーティション番号 | マウントポイント | パーティション名 | フォーマット | 容量 |
|---|---|---|---|---|
| 1 | ‐ | /dev/vda1 | bios_grubフラグ (EF02) | 1024KB |
| 2 | swap | /dev/vda3 | tmpfs (8200) | 4 GB(各プラン共通) |
| 3 | / | /dev/vda4 | ext4 (8300) | vdaの残り(各プラン共通) |
※ カスタムインストール時の場合を除く。
3. ブートローダ
OS起動に関する変更
- 起動時にテキストモードを使用します。
- 起動時にカーネルメッセージを表示します。
コンソール表示に関する変更
- コンソールがblank状態になるのを抑止します。
- カーネルのコンソールをtty0とttyS0に変更します。
その他の変更
- カーネルダンプを取得しません。
- NOOPスケジューラを使用します。
- systemdによるNIC命名を行います
| ブートローダ | GRUB(OS標準) |
|---|
| 設定ファイル | /etc/default/grub |
|---|---|
| 設定内容 | GRUB_DEFAULT=0 GRUB_TIMEOUT=5 GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian` GRUB_TERMINAL=serial GRUB_SERIAL_COMMAND="serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1" GRUB_CMDLINE_LINUX_DEFAULT="noresume nomodeset consoleblank=0 elevator=noop console=tty0 console=ttyS0,115200n8 |
4. ロケール
| 言語 | en_US.UTF-8 |
|---|---|
| タイムゾーン | Asia/Tokyo |
5. ホスト名設定
- 初期状態では、hostnameをご契約された<仮想サーバホスト名>に変更しております。
- お客様のサーバ運用状況に合わせて手続き・設定をおこなってください。
- 名前の解決ができるようになった後は、ご利用いただくアプリケーションの設定が必要となります。忘れずに設定してください。
| 設定ファイル | /etc/hostname |
|---|---|
| 設定値 | ご契約の<仮想サーバホスト名> |
| 設定ファイル | /etc/hosts |
|---|---|
| 設定内容 | 127.0.0.1 localhost 127.0.1.1 <仮想サーバホスト名.ドメイン名> <仮想サーバホスト名> ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters |
6. IPアドレスの設定
| 設定ファイル | /etc/network/interfaces |
|---|---|
| 設定内容 | サーバ固有のグローバルIPアドレス 1つ を設定※ |
※ ens3 に設定するIPアドレスの変更や追加は行わないでください。
2017/4/18より 標準OSインストールにて新規にインストールされるOSはIPv6の設定が無効化されています。
有効化手順につきましては、以下のマニュアルをご参照ください。
7. TSOの無効化設定
| 設定ファイル | /etc/udev/rules.d/50-eth_tso.rules |
|---|---|
| 設定値 | ACTION=="add", SUBSYSTEM=="net", KERNEL=="eth*", RUN+="/sbin/ethtool -K %k tso off" ACTION=="add", SUBSYSTEM=="net", KERNEL=="ens*", RUN+="/sbin/ethtool -K %k tso off" |
8. リゾルバの設定
- サーバの参照ネームサーバとして、さくらインターネットのネームサーバを設定しています。
- DNSサーバの設定を変更する際には「/etc/network/interfaces」をご参照ください
| 設定ファイル | /etc/resolv.conf |
|---|---|
| 設定内容 | nameserver 210.188.224.10 nameserver 210.188.224.11 nameserver 2001:e42::2 |
| または nameserver 210.224.163.3 nameserver 210.224.163.4 nameserver 2403:3a00::1 |
|
| または nameserver 133.242.0.3 nameserver 133.242.0.4 nameserver 2401:2500::1 |
9. 時刻同期の設定
- 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせをおこないます。
- 自身がNTPサーバとしては動作しません(時刻の問い合わせに対し応答しません)
| 設定ファイル | /etc/ntp.conf |
|---|---|
| 設定内容 | driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server ntp1.sakura.ad.jp iburst restrict -4 default ignore restrict -6 default ignore restrict ntp1.sakura.ad.jp kod notrap nomodify nopeer noquery limited restrict 127.0.0.1 restrict ::1 restrict source notrap nomodify noquery |
10. Firewall(iptables/fail2ban)
iptables
- 初期設定では ssh/icmpのみ許可しています。
- /etc/network/if-pre-up.d/iptables より、下記設定ファイルを読み込んでおります。
| 設定ファイル | /etc/iptables/iptables.rules |
|---|---|
| 設定内容 | *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT |
fail2ban
- 有効(10分間にSSHのログイン試行5回失敗で10分間接続拒否:デフォルト)
| 設定ファイル | /etc/fail2ban/jail.d/defaults-debian.conf |
|---|---|
| 設定内容 | [sshd] enabled = true
|
11. 追加インストールパッケージ
| Package | ncurses-term openssh-server ntp fail2ban traceroute sysv-rc-conf anacron acpid ethtool |
|---|
12. cron設定
- 定期実行における実行時間(※1)をランダムに変更します。
| 設定ファイル | /etc/crontab |
|---|---|
| 設定内容 | ※1 * * * * root cd / && run-parts --report /etc/cron.hourly ※1 X * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily ) ※1 X * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly ) ※1 X 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly ) |
アプリケーション設定
表記の各アプリケーションの基本バージョンは、ディストリビューションによって今後アップデートされる場合があります。
1. sshd
| 動作 | 自動起動設定 |
|---|---|
| インストール方法 | dpkg システムを使用 |
| 利用プロトコル | sshd(22/tcp) |
| アクセスログ | /var/log/auth.log(1週間毎にローテーション) |
| ログ保存期間 | 4週間 |
デフォルトからの変更点
- パスワードでのログイン許可
| 設定ファイル | /etc/ssh/sshd_config |
|---|---|
| 設定内容 | PasswordAuthentication yes |
参考情報
サポートするプロトコルはSSH2のみ有効となっておりますので、SSHを使用したサーバへのログインにつきましては、以下にございますようなSSH2対応のクライアントソフトをご利用ください。
Ubuntu16.04 LTS FAQ
1. 日本語環境を使用する
初期状態では、英語環境となっております。メッセージを日本語化するには以下のコマンドを実行しLANG="ja_JP.UTF-8" としてください。
# apt-get -y install language-pack-ja-base language-pack-ja ibus-mozc # localectl set-locale LANG=ja_JP.UTF-8 LANGUAGE="ja_JP:ja"
初期状態
# localectl
System Locale: LANG=en_US.UTF-8
LANGUAGE=en_US:en
VC Keymap: n/a
X11 Layout: jp
変更後
# localectl
System Locale: LANG=ja_JP.UTF-8
LANGUAGE=ja_JP:ja
2. OSのセキュリティアップデート
OSのセキュリティ情報については、下記のsecurity notices情報が参考になります。
- <参考URL> https://www.ubuntu.com/usn/
3. OSのバージョンアップについて
新しいバージョンがリリースされると、下記でリリースノートが公開されます。
バージョンアップの留意点などにつきましても、こちらのリリースノートに記載されます。
OS のバージョンアップによる動作に関しましては、弊社では保障致しかねますので、予めご了承ください。