206376941
201975962

OSセットアップ情報(CentOS 7)

対象サービス・プラン
 

さくらインターネットが提供する「さくらのVPS」のOSセットアップ仕様は以下の通りとなります。
サービス運用にご活用ください。

はじめに

  • 「さくらのVPS」の標準OSインストールによって提供される「CentOS 7」での管理・運用上、有用と思われる情報を紹介しています。
  • 実行時に十分な注意が必要とされるものも含まれています。特に実運用環境下でのオペレーションの際には、必ず注意事項に従って作業をおこなうようにしてください。
  • 注意事項に記載があるにもかかわらず、誤った設定をおこなってしまったことによりシステムに深刻な打撃を与えてしまった場合、一切の責任を負いませんので、ご注意ください。
  • OSのアップグレードなどにより、記載されている内容が予告なく変更される可能性があります。
  • 内容は予告無く変更することがあります。
  • 記載されている内容について、さくらインターネットではいかなる責任を負うものではありません。
  • 2016/03/29以降にお申し込みになったお客様のみ「CentOS 7」をご利用できます。

ページの先頭へ

OS基本設定

CentOS 7 のインストール内容につきましては下記の通りとなります。

1. インストールOS

OS CentOS 7 x86_64

2. パーティション

パーティション番号 マウントポイント パーティション名 フォーマット 容量
1 /dev/vda1 bios_grubフラグ (EF02) 1024KB
2 /boot /dev/vda2 xfs(0700) 500 MB(各プラン共通)
3 swap /dev/vda3 tmpfs (8200) 4 GB(各プラン共通)
4 /dev/vda4 xfs(0700) vdaの残り(各プラン共通)
  • ※ カスタムインストール時の場合を除く。

3. ブートローダ

OS起動に関する変更

  • 起動時にRed Hat Graphical Bootではなくテキストモードを使用します。
  • 起動時にカーネルメッセージを表示します。

コンソール表示に関する変更

  • コンソールで使用するフォントをlatarcyrheb-sun16に変更します。
  • コンソールがblank状態になるのを抑止します。
  • カーネルのコンソールをtty1とttyS0に変更します。

その他の変更

  • カーネルダンプを取得しません。
  • NOOPスケジューラを使用します。
  • systemd/udevによるNIC命名を行ないません。
  • biosdevnameによるNIC命名を行いません。

ブートローダ GRUB2(OS標準)
設定ファイル /etc/default/grub
設定内容 GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL="serial console"
GRUB_SERIAL_COMMAND="serial --speed=115200"
GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sun16 consoleblank=0 nomodeset elevator=noop net.ifnames=0 biosdevname=0 console=tty1 console=ttyS0,115200n8r"
GRUB_DISABLE_RECOVERY="true"

4. ロケール

言語 C
タイムゾーン Asia/Tokyo

5. SELinux

SELinux は無効化された状態となっています。

設定ファイル /etc/sysconfig/selinux
設定内容 SELINUX=disabled

6. ランレベル(Linuxの動作モード)

デフォルトのランレベルは「 multi-user.target 」(テキストログインの通常のマルチユーザモード)です。

7. ホスト名設定

  • 初期状態では、ドメイン名に関する設定は一切おこなわれていません。
  • 名前の解決をおこなうためには、いくつかの手続きや設定が必要となります。
  • お客様のサーバ運用状況に合わせて手続き・設定をおこなってください。
  • 名前の解決ができるようになった後は、ご利用いただくアプリケーションの設定が必要となります。
    忘れずに設定してください。
設定ファイル /etc/hostname
設定値 localhost.localdomain
設定ファイル /etc/hosts
設定内容 127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6

8. IPアドレスの設定

設定ファイル /etc/sysconfig/network-scripts/ifcfg-eth0
設定内容 サーバ固有のグローバルIPアドレス 1つ ※
  • ※ eth0 に設定するIPアドレスの変更や追加は行わないでください。

設定ファイル /etc/sysconfig/network-scripts/ifcfg-eth1
設定内容 DEVICE="eth1"
ONBOOT="no"
TYPE="Ethernet"

自動起動設定をOFFにしております。
ローカル接続にてご利用いただく場合は、お客様で設定をお願いいたします。


設定ファイル /etc/sysconfig/network-scripts/ifcfg-eth2
設定内容 DEVICE="eth2"
ONBOOT="no"
TYPE="Ethernet"

自動起動設定をOFFにしております。
ローカル接続にてご利用いただく場合は、お客様で設定をお願いいたします。

9. TSOの無効化設定

設定ファイル /etc/udev/rules.d/50-eth_tso.rules
設定内容 ACTION=="add", SUBSYSTEM=="net", KERNEL=="eth*", RUN+="/sbin/ethtool -K %k tso off"
ACTION=="add", SUBSYSTEM=="net", KERNEL=="ens*", RUN+="/sbin/ethtool -K %k tso off"

10. リゾルバの設定

サーバの参照ネームサーバとして、さくらインターネットのネームサーバを設定しています。

設定ファイル /etc/resolv.conf
設定内容 nameserver 210.188.224.10
nameserver 210.188.224.11
nameserver 2001:e42::2
または
nameserver 210.224.163.3
nameserver 210.224.163.4
nameserver 2403:3a00::1
または
nameserver 133.242.0.3
nameserver 133.242.0.4
nameserver 2401:2500::1

11. NTPの設定(時刻の同期)

  • 上位NTPサーバをntp1.sakura.ad.jpに設定し、時刻問い合わせをおこないます。
  • 自身がNTPサーバとしては動作しません。(時刻の問い合わせに対し応答しません)
  • chronydをユーザchronyの権限で動作させます。
  • hronydをRAM上で動作させページアウトをおこないません。
設定ファイル /etc/chrony.conf
設定内容 server ntp1.sakura.ad.jp iburst
bindcmdaddress 127.0.0.1
bindcmdaddress ::1
port 0
user chrony
cmddeny all
lock_all

12.Firewall(firewalld/fail2ban)

firewalld

  • 初期設定ではeth0のゾーンはpublic、サービスはデフォルト設定(dhcpv6-client, sshのみ許可)となっています。

fail2ban

  • 有効(10分間にSSHのログイン試行5回失敗で10分間接続拒否:デフォルト)となっています。
  • /var/log/fail2ban.logにログを出力します。

設定ファイル /etc/fail2ban/fail2ban.conf
設定内容 logtarget = /var/log/fail2ban.log
設定ファイル /etc/fail2ban/jail.d/local.conf
設定内容 [DEFAULT]
banaction = firewallcmd-ipset
backend = systemd

[sshd]
enabled = true
  • ※ 閾値を変更する場合/etc/fail2ban/jail.confの設定を元に、本ファイルを更新してください。

13. インストール済みパッケージ

Package Group @ Base
@ Development Tools
Package epel-release
fail2ban
chrony
Exclusion Package microcode_ctl
ntp
rdma

14. anacron設定

  • 日次/週次/月次にて行われる定期実行におけるランダムディレイ設定幅を大きくします。
設定ファイル /etc/anacrontab
設定内容 RANDOM_DELAY=240
  • 時次にて行われる定期実行における実行時間をランダム(※1)に変更します。
設定ファイル /etc/cron.d/0hourly
設定内容 13 * * * * root run-parts /etc/cron.hourly ※1

ページの先頭へ

起動デーモン

初期出荷時に自動起動設定(稼働中)のデーモンです。
インストール時のまま提供しておりますので、ご利用用途に合わせて無効にしてください。

kdump.serviceにつきましてはカーネルオプションで無効化しているためサービスについても無効化しています。

デーモン名 機能説明
手動の起動、停止方法
外部からの
接続ポート
abrt-ccpp.service C/C++ 問題のアナライザーを提供する ABRT サービス -
abrt-oops.service カーネル oops のアナライザーを提供する ABRT サービス -
abrt-vmcore.service カーネルのパニックアナライザーおよびレポーターを提供する ABRT サービス -
abrt-xorg.service X.Org server のクラッシュについてのアナライザーを提供するABRT サービス -
abrtd.service 自動バグ報告ツール(ABRT)サービス -
atd.service コマンドの遅延実行を有効にするサービス -
auditd.service システムコールの監査サービス -
chronyd.service 時刻同期サービス (旧ntpd)
※ntpdサーバとしての機能は停止
-
crond.service 定期的にジョブを実行するためのcronサービス -
dbus-org.fedoraproject.FirewallD1.service Firewalldが プロセス間通信をおこなうためのメッセージバスサービス -
dbus-org.freedesktop.NetworkManager.service NetworkManager がプロセス間通信をおこなうためのメッセージバスサービス -
dbus-org.freedesktop.nm-dispatcher.service nm-dispatcher がプロセス間通信をおこなうためのメッセージバスサービス -
dmraid-activation.service Device-mapper RAID や dmraid はディスクをひとつの RAID セット -
fail2ban.service 不正の兆候がある接続を拒否する機能 -
firewalld.service ゾーンに対応し、動的に設定をおこなうファイアウォール -
getty@.service 起動時に仮想端末に自動ログインする -
irqbalance.service マルチプロセッサな環境での IRQ の割り込み処理用のサービス -
libstoragemgmt.service 外部ストレージアレイ管理プラグイン -
lvm2-monitor.service LVM2のモニタリングサービス -
mdmonitor.service ソフトウェアRAIDをモニターするサービス -
NetworkManager-dispatcher.service ネットワークに接続したときにサービスを起動し、切断したときにサービスを停止する機能 -
NetworkManager.service ネットワークデバイスと接続を動的に管理するサービス -
postfix.service メールのMTA 機能 25/smtp
rngd.service ハードウェア側の機能で乱数を発生させるサービス -
rsyslog.service システムログなどを利用するサーバ監視ツール -
smartd.service Self Monitoring and Reporting Technology (SMART) サービス -
sshd.service SSH(Secure Shell)サーバサービス 22/tcp
sysstat.service システムのさまざまな情報を取得するサービス -
systemd-readahead-collect.service 起動時のディスク使用パターン収集サービス -
systemd-readahead-drop.service systemd-readahead-collect.service にて収集したデータをシステム更新時に削除するサービス -
systemd-readahead-replay.service systemd-readahead-collect.service にて収集したデータを中継するサービス -
tuned.service システムコンポーネントの使用を監視し動的にシステム設定をチューニングするサービス -

ページの先頭へ

パッケージ管理ツール

RPMパッケージ管理コマンド「 yum 」を使用することでRPMパッケージのインストール・アップデートをおこなうことができます。
yum コマンドにて下記リポジトリに含まれるパッケージのインストールが可能です。

リポジトリ設定ファイル /etc/yum.repos.d 以下
repo id repo name status リポジトリ設定ファイル
base/7/x86_64 CentOS-7 - Base enabled CentOS-Base.repo
extras/7/x86_64 CentOS-7 - Extras enabled CentOS-Base.repo
updates/7/x86_64 CentOS-7 - Updates enabled CentOS-Base.repo
centosplus/7/x86_64 CentOS-7 - Plus disabled CentOS-Base.repo
cr/7/x86_64 CentOS-7 - cr disabled CentOS-CR.repo
base-debuginfo/x86_64 CentOS-7 - Debuginfo disabled CentOS-Debuginfo.repo
fasttrack/7/x86_64 CentOS-7 - fasttrack disabled CentOS-fasttrack.repo
c7-media CentOS-7 - Media disabled CentOS-Media.repo
base-source/7 CentOS-7 - Base Sources disabled CentOS-Sources.repo
centosplus-source/7 CentOS-7 - Plus Sources disabled CentOS-Sources.repo
extras-source/7 CentOS-7 - Extras Sources disabled CentOS-Sources.repo
updates-source/7 CentOS-7 - Updates Sources disabled CentOS-Sources.repo
C7.0.1406-base/x86_64 CentOS-7.0.1406 - Base disabled CentOS-Vault.repo
C7.0.1406-centosplus/x86_64 CentOS-7.0.1406 - CentOSPlus disabled CentOS-Vault.repo
C7.0.1406-extras/x86_64 CentOS-7.0.1406 - Extras disabled CentOS-Vault.repo
C7.0.1406-fasttrack/x86_64 CentOS-7.0.1406 - CentOSPlus disabled CentOS-Vault.repo
C7.0.1406-updates/x86_64 CentOS-7.0.1406 - Updates disabled CentOS-Vault.repo
C7.1.1503-base/x86_64 CentOS-7.1.1503 - Base disabled CentOS-Vault.repo
C7.1.1503-centosplus/x86_64 CentOS-7.1.1503 - CentOSPlus disabled CentOS-Vault.repo
C7.1.1503-extras/x86_64 CentOS-7.1.1503 - Extras disabled CentOS-Vault.repo
C7.1.1503-fasttrack/x86_64 C CentOS-7.1.1503 - Extras disabled CentOS-Vault.repo
C7.1.1503-updates/x86_64 CentOS-7.1.1503 - Updates disabled CentOS-Vault.repo
epel/x86_64 Extra Packages for Enterprise Linux 7 - x86_64 enabled epel.repo
epel-debuginfo/x86_64 Extra Packages for Enterprise Linux 7 - x86_64 - Debug disabled epel.repo
epel-source/x86_64 Extra Packages for Enterprise Linux 7 - x86_64 - Source disabled epel.repo
epel-testing/x86_64 Extra Packages for Enterprise Linux 7 - Testing - x86_64 disabled epel-testing.repo
epel-testing-debuginfo/x86_64 Extra Packages for Enterprise Linux 7 - Testing - x86_64 - Debug disabled epel-testing.repo
epel-testing-source/x86_64 Extra Packages for Enterprise Linux 7 - Testing - x86_64 - Source disabled epel-testing.repo

ページの先頭へ

アプリケーション設定

表記の各アプリケーションの基本バージョンは、ディストリビューションによって今後アップデートされる場合があります。

1. sshd

動作 自動起動設定
インストール方法 rpm システムを使用
利用プロトコル sshd(22/tcp)
アクセスログ /var/log/secure(1週間毎にローテーション)
ログ保存期間 4週間
設定ファイル /etc/ssh/sshd_config
設定内容 GSSAPIAuthentication yes コメントアウト
  • GSSAPI認証を無効にする

参考情報

サポートするプロトコルはSSH2のみ有効となっておりますので、SSHを使用したサーバへのログインにつきましては、以下にございますようなSSH2対応のクライアントソフトをご利用ください。

2. postfix

動作 自動起動設定
インストール方法 rpm システムを使用
プロトコル mail(25/tcp)
ログ /var/log/maillog(1週間毎にローテーション)
ログ保存期間 4週間
設定ファイル群 /etc/postfix 以下
/etc/aliases
設定内容 rpm パッケージのクリーンインストール状態から下記の設定をおこなっています。
  • ご提供時には外部からの接続に対しての LISTEN は無効となっています。
  • お試し期間中は外部へのメール送信が出来ません。
    お試し期間中の制限をご確認ください。

ページの先頭へ

CentOS 7 FAQ

1. 日本語環境を使用する

初期状態では、英語環境となっております。
メッセージを日本語化するには以下のコマンドを実行し、LANG="ja_JP.UTF-8" としてください。

# localectl set-locale LANG=ja_JP.utf8

初期状態

# localectl

   System Locale: LANG=C
       VC Keymap: jp106
      X11 Layout: jp

変更後

# localectl

   System Locale: LANG=ja_JP.utf8
       VC Keymap: jp106
      X11 Layout: jp

2. OSのセキュリティアップデート

OSのセキュリティ情報については、下記の上位ベンダーのエラータ情報が参考になります。

また、個々の対応状況についてはCentOS-announceメーリングリストで確認することができます。

3. OSのバージョンアップについて

新しいバージョンがリリースされると、下記でリリースノートが公開されます。
バージョンアップの留意点などにつきましても、こちらのリリースノートに記載されます。

OS のバージョンアップによる動作に関しましては、弊社では保障致しかねますので、予めご了承ください。

4. サーバ構築で参考となるウェブページ

下記に主要アプリケーションの設定方法がまとめられています。

関連する項目

さくらのサポート情報

メニューを閉じる