Linux情報・技術・セキュリティ
Linux情報・技術・セキュリティ:記事リスト
Linux情報・技術・セキュリティのカテゴリーには以下の記事がリストされています。
RHEL 10がXorgを削除|VFX業界も動いたWayland移行の現実と、現役エンジニアのGUI環境対応
2025年5月にGA(一般提供)となった Red Hat Enterprise Linux 10 で、長年Linuxの画面表示を支えてきた X.Orgサーバー(Xorg) がついに削除されました。さらに2026年6月には、映画やアニメのVFX(視覚効果)を手がける制作業界までもがこの流れに本腰を入れ始め、Wayland移行が「一部のデスクトップ好きの話」では済まなくなっています。
この記事では、20年以上Linuxサーバーの現場にいる立場から、RHEL 10で実際に何が変わったのか、なぜVFX業界まで動いたのか、そして現役エンジニアが自分のGUI環境をどう守ればよいのかを、実務目線で整理します。なお、これはUbuntu 26.04でのXorg終了とは別の話で、エンタープライズ向けRHEL 10ならではの注意点に絞って解説します。
・RHEL 10(2025年5月GA)はXorgサーバーを削除しました。ただしXwaylandは残るため、大半のX11アプリは動き続けます。
・X11は「プロトコル」と「Xorgという実装」が別物です。削除されたのはXorg実装で、X11プロトコル自体はXwayland経由で使えます。
・移行の地ならしは段階的でした。RHEL 8でWaylandが既定、RHEL 9でXorgが非推奨、そしてRHEL 10で削除という流れです。
・2026年6月24日、Academy Software FoundationがVESと共同で「Wayland for Artists」ワーキンググループを発足し、VFX業界が公式に移行検討へ動きました。
・現役エンジニアの実務対応は、セッション種別の確認、アプリのXwayland互換確認、リモート接続方式の見直し、そして必要ならRHEL 9据え置きでの移行計画化、の4点が軸です。
続きを読む "RHEL 10がXorgを削除|VFX業界も動いたWayland移行の現実と、現役エンジニアのGUI環境対応"
Linuxカーネルからstrncpyが消えた日|6年362コミットが示す"安全なC"の現実解
Linuxカーネルから strncpy() が完全に削除されました。しかも一晩の作業ではなく、6年・362コミットをかけた長い掃除の末の達成です。Linux 7.2 のマージウィンドウで、Kernel Self Protection Project(KSPP)を率いる Kees Cook 氏が、最後に残っていた箇所を自ら片付けて完了しました。
20年以上 Linux サーバーの現場にいますが、「教科書的に安全」とされてきた関数が、これほどの労力をかけて駆逐されるのは珍しい出来事です。この記事では、攻撃手法の話ではなく、なぜ strncpy が危ないのか、そして自分のCコードで何を使えばいいのかという、文字列関数の現実解を整理します。
・Linuxカーネルから strncpy() が完全に削除された。6年・362コミット(一部報道は360超と表記)をかけた長期プロジェクトで、Linux 7.2 のマージウィンドウで完了。
・主導したのは KSPP(Kernel Self Protection Project)を率いる Kees Cook 氏。最後の残り箇所は本人が処理した。
・strncpy の問題は「NUL終端が保証されない」こと。コピー元が指定サイズ以上だと終端文字が付かず、その後の文字列操作が暴走する温床になる。
・一括置換できなかったのは、各呼び出し箇所の「意図」を読まないと正しい代替を選べないため。だから6年かかった。
・代替は strscpy()(NUL終端する安全な版)が基本。用途に応じて strscpy_pad() / strtomem_pad() / memcpy_and_pad() を使い分ける。
CVE-2026-12249(ADSys/CVSS9.0)徹底解説|UbuntuのAD連携で起きる通信乗っ取りと対処
これは Ubuntu を Windows の Active Directory(AD)で管理する公式ツール ADSys の脆弱性で、CVSSは 9.0(Critical)。社内ネットワークに割り込んだ攻撃者に、通信の盗み見やなりすましを許してしまう内容です。20年以上 Linux サーバーの現場にいますが、AD連携をしている組織にとっては、優先度を上げて当てるべき1件だと考えています。
この記事は「攻撃手法をどう再現するか」ではなく、現役の管理者が、今あるUbuntuにどうやってパッチをあてて検証するかという実務手順に絞って書きます。攻撃者視点の深掘りは別の専門サイトに譲り、ここでは「確認 → 適用 → 検証」の3ステップを地に足のついた形で整理します。
・CVE-2026-12249 は ADSys(Ubuntu の AD連携公式ツール)の脆弱性で、CVSSは9.0 Critical。証明書の自動取得を暗号化なしのHTTPで行っていた点が原因です。
・本質は中間者攻撃(MITM)。社内ネットワークに入り込んだ攻撃者が偽の証明書を端末に信じ込ませ、通信の盗聴やなりすましを許します。
・影響を受けるのは ADSys 0.13.0 ~ 0.16.2。修正版は 0.16.3 以降です。
・Ubuntu 24.04 / 22.04 LTS は
sudo apt update && sudo apt upgrade で対応できます。20.04 LTS は標準サポートが終了しているため、Ubuntu Pro(ESM)が必要です。・対応は「適用して終わり」ではありません。
apt policy adsys でバージョンを実機確認し、適用後の挙動まで見届けるのが現場の鉄則です。
続きを読む "CVE-2026-12249(ADSys/CVSS9.0)徹底解説|UbuntuのAD連携で起きる通信乗っ取りと対処"
Secure Boot証明書が2026年6月失効|UEFI CA 2011刷新でLinux管理者がやるべき確認と対応
そんな不安を抱えたまま情報を探している管理者は少なくないはずです。Microsoftが発行してきたSecure Bootの主要証明書(2011年版)が、2026年6月から段階的に有効期限を迎えます。WindowsだけでなくLinuxのブートにも関わる話のため、サーバー運用の現場でも無視できません。
この記事では、20年以上Linuxサーバーを運用してきた管理者目線で、どの証明書がいつ失効するのか、Linuxのブートに何が起きるのか、そしてshimやMOK、dbx更新をどう確認・対応すればよいのかを、Microsoftとレッドハットの一次情報をもとに整理します。
この記事のポイント
・失効するのはMicrosoft Corporation KEK CA 2011(2026年6月24日)とMicrosoft UEFI CA 2011(2026年6月27日)
・失効後も既存システムは起動できる。止まるのは「新しい署名済みバイナリやdbx更新の信頼」
・Linuxのshimに署名しているのはMicrosoft UEFI CA 2011。後継はMicrosoft UEFI CA 2023
・登録済み証明書の確認は mokutil --db で発行者と有効期限を見るのが基本
・db/KEK更新はfwupdmgr(LVFS)経由が原則。一部機種はフルファームウェア更新が必要
続きを読む "Secure Boot証明書が2026年6月失効|UEFI CA 2011刷新でLinux管理者がやるべき確認と対応"
Ubuntu 26.04 LTSをWSL2に導入する|wsl --install --from-fileの最新手順と確認ポイント
wsl --list --online に出てこない」と止まった方が多いはずです。私のところにも、この6月に入ってから同じ質問が立て続けに届きました。結論から書きます。2026年6月現在、Ubuntu 26.04 LTS は WSL の標準インストール一覧(Microsoft Store /
wsl --list --online)にはまだ並んでいません。代わりに、26.04 では新しく整備された .wsl 形式の配布イメージを wsl --install --from-file で読み込む手順が必要になります。本記事は、この「WSL2 上に Ubuntu 26.04 LTS を導入する」一点に軸を絞り、最新の手順と、入れた直後に確認しておくべきポイントを、20年以上 Linux サーバーの現場にいる立場から整理します。なお、USBメモリから実機(ベアメタル)に26.04を入れる手順や、WSL2をこれから初めて触る方向けの基礎は別記事に分けてあります。本記事は「WSL2 環境はすでにある/作れる」前提で、26.04 を載せる部分に集中します。導線は本文中で案内します。
この記事のポイント
- Ubuntu 26.04 LTS(Resolute Raccoon)は2026年4月23日リリース。だが2026年6月時点で
wsl --list --onlineには未掲載で、wsl --install Ubuntu-26.04では入らない。 - 導入の本筋は
.wsl形式イメージ(ubuntu-26.04-wsl-amd64.wsl)を releases.ubuntu.com から取得し、wsl --install --from-fileで読み込む方法。 --from-fileは比較的新しいオプションのため、まずwsl --versionで WSL 本体が最新かを確認するのが安全。古い環境では従来のwsl --importによる tar 取り込みでも導入できる。- 導入後は
cat /etc/os-releaseでUbuntu 26.04 LTSを、python3 --versionで 3.14 系を確認。systemd の有効化など WSL 固有の初期確認も併せて行う。
続きを読む "Ubuntu 26.04 LTSをWSL2に導入する|wsl --install --from-fileの最新手順と確認ポイント"
OpenZFS 2.4.3リリース|暗号化・ブロッククローン修正が現役Linux管理者に持つ実務的な意味
ZFSでストレージを組んでいる現役の管理者にとって、ポイントリリースの更新は「とりあえず後で」になりがちです。ですが今回のOpenZFS 2.4.3は、暗号化とブロッククローンまわりの修正が含まれていて、内容を読むと「これは放置していいやつではないな」と手が止まるはずです。
この記事では、OpenZFS 2.4.3で何が直ったのかを一次情報で整理し、それが現役のLinuxサーバー管理者にとって実務上どういう意味を持つのかを掘り下げます。リリースノートの単語をなぞるだけでなく、「自分の環境はこの修正の対象なのか」「いつ・どう上げるべきか」を判断できるところまで持っていきます。
続きを読む "OpenZFS 2.4.3リリース|暗号化・ブロッククローン修正が現役Linux管理者に持つ実務的な意味"
RHELメジャーアップグレード実践|leappでRHEL 8→9をin-placeで上げる手順とつまずき対処
RHEL 8の通常サポートは2029年5月まで続きますが、現場で「9に上げておきたい」という話はもう普通に出てきます。新しいパッケージ、新しいカーネル、コンテナ周りの改善。理由はいくらでもあります。そして、RHELには8から9へクリーンインストールせずに上げるin-place upgradeの仕組み、Leappが用意されています。
私自身、20年以上Linuxサーバーを触ってきて、メジャーバージョンのアップグレードは何度も「やる・やらない」で悩む場面に立ち会ってきました。クリーンインストールして移し替えるのが一番確実なのは間違いありません。ただ、台数が多い、止められない、設定が複雑、という現場ほどin-place upgradeの価値が出てきます。
この記事では、Leappを使ったRHEL 8から9へのin-place upgradeを、実際のコマンドの流れに沿って手を動かす目線で書いていきます。leapp preupgradeでレポートをどう読むか、leapp upgradeを流すとサーバーで何が起きるか、そしてリポジトリ・カーネル・SELinux・残存パッケージといった「つまずきポイント」をどうさばくか。延命するかどうかという経営判断ではなく、現場の手順書として読んでもらえればと思います。
続きを読む "RHELメジャーアップグレード実践|leappでRHEL 8→9をin-placeで上げる手順とつまずき対処"
Amazon Linux 2サポート終了2026年6月30日|AL2023移行手順と残存確認の実務
そんな状態のまま期限を迎えてしまう現場は、決して少なくありません。Amazon Linux 2(AL2)の終了日は2026年6月30日。この記事を公開している時点で、残りは半月ほどです。
この記事では、長年Linuxサーバーを運用してきた管理者目線で、AL2のEOLが実務上どういう意味を持つのか、残存インスタンスをどう洗い出すのか、後継のAmazon Linux 2023(AL2023)へどう移行を判断するのかを、一次情報をもとに整理します。
この記事のポイント
・Amazon Linux 2のEOLは2026年6月30日。AWS公式FAQが終了日を「2026-06-30」と明記している
・期限後も既存インスタンスは動き続けるが、セキュリティ更新・バグ修正・カーネルライブパッチが止まる
・後継のAmazon Linux 2023はサポートが2029年6月まで。yumがdnfに変わるなど中身が大きく変わる
・AL2からAL2023への「その場でのアップグレード(in-place upgrade)」は提供されない。新規構築での移行が前提
・残存確認はos-releaseの目視に加え、Systems Manager InventoryやAWS CLIで台数規模を一括把握するのが実務的
Arch LinuxのAURで400超パッケージにマルウェア混入|サプライチェーン攻撃の手口とユーザー対策
リナックスマスター.JPの宮崎智広です。いつもありがとうございます。
2026年6月11日から12日にかけて、Arch Linuxのユーザーリポジトリ「AUR(Arch User Repository)」で大規模なサプライチェーン攻撃が発覚しました。研究者が「Atomic Arch」と名付けたこの攻撃では、400を超えるパッケージが改ざんされ、情報窃取マルウェアとルートキットを配布する状態になっていました。
「自分はArchを使っていないから関係ない」と思った方こそ、最後まで読んでほしい内容です。今回の事件は、特定ディストリビューションの問題ではなく、現役のLinuxサーバー管理者全員が向き合うべき「コミュニティ運営のパッケージをどこまで信頼するか」という問いを突きつけているからです。
続きを読む "Arch LinuxのAURで400超パッケージにマルウェア混入|サプライチェーン攻撃の手口とユーザー対策"
Intel APX×AMDレジスタ拡張にKVMが対応|次世代CPU仮想化の実装動向
「次のCPUに替えれば仮想マシンも速くなる」と、漠然と期待している管理者は多いと思います。ただ実際には、ハードウェアの新機能がゲストOSの中まで届くには、Linuxカーネルとハイパーバイザ(KVM)側の対応が前提になります。CPUが32本のレジスタを持っていても、KVMがそれをゲストに見せる仕組みを実装していなければ、仮想マシンの中では使えません。
いま、その「橋渡し」の部分で大きな動きが二つ進んでいます。一つはIntelのAPX(Advanced Performance Extensions)をKVMゲストで使えるようにするパッチ群、もう一つはAMDのZen 5で入ったERAPSという分岐予測セキュリティ機能の仮想化対応です。どちらも、次世代CPUを仮想化基盤で運用する管理者にとって、知っておくと判断が変わる話です。本記事では、一次情報(kernel.orgのメーリングリスト・LWN・カーネル更新情報)で裏を取りながら、何が確定し、何がまだ開発中なのかを切り分けて整理します。
389 Directory ServerとOpenLDAPの違い|アーキテクチャから移行判断まで
「Linuxでディレクトリサービスを立てるなら、389 Directory ServerとOpenLDAPのどちらを選ぶべきか」。社内認証基盤の刷新や、RHEL系からの移行を検討する場面で、いまだに繰り返される問いです。私は20年以上Linuxサーバーの構築と運用に関わってきましたが、この二択は「どちらが優れているか」ではなく「自分の現場の前提に、どちらの設計思想が噛み合うか」で答えが変わります。
どちらもLDAPプロトコルを話すディレクトリサーバーで、表面的にはユーザーやグループの情報を木構造で持つという点で似ています。しかし中身を開けると、設定をどこに持つか、データベースに何を使うか、レプリケーションをどう設計するかといった根っこの部分がかなり違います。この記事では、389 Directory Server(Red Hat系・dirsrv)とOpenLDAP(slapd)のアーキテクチャ・運用・管理性の違いを公式ドキュメントで裏取りしながら整理し、現役の管理者目線で「どちらを選ぶか」「移行をどう判断するか」を掘り下げます。
Homebrew 6.0.0公開|サードパーティtap信頼確認でセキュリティ強化、Linuxユーザーの対応
いつもありがとうございます。
「LinuxサーバーにHomebrew(Linuxbrew)を入れているが、6.0でいきなりインストールが止まった」
「サードパーティのtapを使ったスクリプトやCIが、ある日突然エラーで落ちるようになった」
2026年6月11日、Homebrewのメジャーアップデート「Homebrew 6.0.0」が公開されました。今回の目玉はtap trust(タップ信頼確認)というセキュリティ機構です。これは「公式以外のtapは、明示的に信頼するまでコードを実行しない」という、これまでのHomebrewの前提を大きく変える破壊的変更です。
私自身、20年以上Linuxサーバーを現場で触ってきましたが、パッケージマネージャの「信頼モデル」がここまで明確に変わるのは珍しいことです。macOSの話題として語られがちなHomebrewですが、LinuxでもLinuxbrewとして広く使われており、CIやデプロイ自動化に組み込んでいる現場ほど今回の変更の影響を受けます。
この記事では、Homebrew 6.0.0の変更点を一次情報で確認したうえで、LinuxでHomebrewを使う人が「何を確認し、どう対応すべきか」を、現役のLinuxサーバー管理者向けに実務手順として整理します。
・Homebrew 6.0.0は2026年6月11日に公開(公式リリースノートで確認)
・最大の変更は「tap trust」。公式以外のtapは明示的に信頼するまでコードを実行しない
・tapは検証済みメタデータのレジストリではなく、Rubyコードをユーザー権限で実行する。これがセキュリティ強化の理由
・Linuxではbuild・test・postinstallがBubblewrapサンドボックス内で実行されるようになった
・CIや自動化でサードパーティtapを使う場合、brew trustでの明示信頼か暫定の環境変数対応が必要
続きを読む "Homebrew 6.0.0公開|サードパーティtap信頼確認でセキュリティ強化、Linuxユーザーの対応"
AWS CLI v1が2026年7月にメンテナンスモード入り|v1残存確認とv2移行手順
いつもありがとうございます。
「サーバーに入っているaws-cliが、いつの間にか古いv1のままだった」
「AWS CLI v1がメンテナンスモードに入ると聞いたが、自分の運用に何が起きるのか」
2026年に入って、AWSから「AWS CLI v1をメンテナンスモードに移行する」という告知が出ました。長くLinuxサーバーを運用していると、デプロイスクリプトやcronのバックアップ処理の中に、何年も前に入れたaws-cli v1がそのまま生き残っていることがよくあります。私自身、20年以上現場でLinuxサーバーを触ってきましたが、こうした「気づかないうちに取り残されるツール」こそ、後で静かに事故を起こす原因になります。
この記事では、AWS CLI v1のメンテナンスモード移行の事実を一次情報で確認したうえで、サーバー上にv1が残っていないかをどう検出し、v2へどう安全に移行するかを、現役のLinuxサーバー管理者向けに実務手順として整理します。
・AWS CLI v1は2026年7月15日にメンテナンスモード、2027年7月15日にサポート終了(AWS公式告知)
・メンテナンスモードはEOL(サポート終了)とは別物。すぐ止まるわけではないが新機能・新API更新は止まる
・サーバー上のv1残存は「aws --version」「which aws」「pip list」の3点で確実に検出できる
・v2への移行は「v1をアンインストール→公式zipでv2導入」が公式推奨手順
・v2にはpager・タイムスタンプ・バイナリ・ecr get-loginなど、スクリプトを壊す破壊的変更がある
Steam DeckはなぜLinuxで成功したか|SteamOS・Proton・ValveのLinux投資を技術解説
Steam Deckが2022年2月25日に出荷されてから、現場のLinux管理者の間でも「Linuxでゲームが普通に動くらしい」という話を耳にする機会が一気に増えました。私は20年以上Linuxサーバーの構築と運用に関わってきましたが、デスクトップやゲーミングの世界でLinuxがここまで実用域に入ったのは、正直に言えば想定を超えています。
ただ、これを単なる「携帯ゲーム機の成功談」として消費してしまうのはもったいない。Steam Deckの中身は、私たちが日々サーバーで触っているArch Linux、immutableなファイルシステム、Vulkan、Wineといった「枯れた、あるいは尖った」Linux技術の集合体です。この記事では、ゲームの紹介ではなく、SteamOSとProtonの技術的な本質を分解し、ValveのLinux投資が「Linuxデスクトップとゲーミングの裾野」をどう変えたのかを、現役の管理者・学習者の目線で読み解きます。
続きを読む "Steam DeckはなぜLinuxで成功したか|SteamOS・Proton・ValveのLinux投資を技術解説"
Fedora 43のDovecot 2.4でOutlook受信不能|平文認証の既定変更と互換検証
ただ、見出しの「Outlookのバグ」という言い方には注意がいります。今回起きたことの本質は、Dovecot 2.4が「暗号化されていない接続での平文認証」を既定で拒否するようになった設定既定の変更です。Outlook側が、SSLを有効にしているつもりでも黙って平文ポート(POP3:110)へ繋ぎにいっていた古い挙動が、Dovecotの厳格化によって露呈しただけ。順序を取り違えると、原因の切り分けも対処も間違えます。
20年以上Linuxサーバーの現場にいますが、これは「ディストリのメジャーアップグレードでミドルウェアの既定が変わる」典型例です。受講生にも繰り返し伝えてきたテーマなので、現役のメールサーバ管理者がこの種の地雷をどう検証・回避するか、運用目線で1本まとめます。
この記事のポイント
- 本質はOutlookのバグではなく、Dovecot 2.4が非暗号接続での平文認証を既定で拒否するようになった設定既定の変更。CVE(脆弱性)ではない。
- Dovecot側ログに出るのは
-ERR [AUTH] Cleartext authentication disallowed on non-secure (SSL/TLS) connections.系のエラー。 - Outlookは設定でSSLを選んでいても、黙って平文ポート110へ接続していた。この挙動はOutlook 2007を含め約20年前から存在。
- 正しい対応はクライアントを暗号ポート(POP3S:995/IMAPS:993)+SSL必須に直すこと。Dovecot側で平文を許す設定に戻すのは暫定・非推奨。
- Dovecot 2.4は設定キー名・既定が大きく変わる。
disable_plaintext_authはauth_allow_cleartextへ。本番投入前のステージング検証とdoveconf -n差分確認が必須。
Rocky Linuxの商用サポート「RLC Pro」国内販売開始|エクセルソフトがCIQ代理店に、無償版との違いと選び方
これは単なる新製品の話ではありません。CentOS 終焉のあと、RHEL のサブスクリプションを避けて無償の Rocky Linux や AlmaLinux に逃げてきた現場に、「では本番で有償サポートが要るときどうするか」という次の問いが突きつけられた、という出来事です。
20年以上 Linux サーバーの現場に立ってきた立場で言うと、無償の Rocky を使えること自体はもう前提です。差がつくのは「どこから先は有償サポートに切り替えるべきか」を自分の言葉で語れるかどうか。今回の RLC Pro 国内販売は、その判断軸を整理し直す良いきっかけになります。
この記事のポイント
- エクセルソフトが CIQ 社の日本初の正規販売代理店となり、2026年6月10日から RLC Pro 等を国内販売開始(日本語サポート・円建て見積・請求書払い対応)。
- CIQ は Rocky Linux を主導する Gregory Kurtzer 氏が創業した企業で、Rocky Linux の創設スポンサー。RLC Pro は Rocky Linux に SLA ベースの商用サポートと FIPS 140-3 検証を付けたエンタープライズ版。
- 無償コミュニティ版 Rocky Linux にはベンダー保証も SLA もない。RLC Pro はそこに「契約に基づく保証と一次切り分けの後ろ盾」を足す製品。
- 金融・公共・規制業種、SLA や認証が要る本番では有償が現実解。学習・検証・社内ツール程度なら無償コミュニティ版で十分という両論併記が妥当。
- 価格は個別見積りで公開されていない。RHEL 代替の選択肢が「無償/有償サポート付き/サポートのみ別ベンダー」と広がった構図を押さえておく。
続きを読む "Rocky Linuxの商用サポート「RLC Pro」国内販売開始|エクセルソフトがCIQ代理店に、無償版との違いと選び方"
Apple container 1.0とContainer machine|Mac開発機のLinuxコンテナをDocker/WSL2と比べて評価する
20年以上Linuxサーバーの現場にいて、開発機はMac、本番はLinuxという構成を長く使ってきました。その立場から見て、これは「Macで開発するLinux管理者」にとって素通りできない発表です。一方で「これでDocker DesktopもWSLも要らなくなる」と早合点するのも違います。
この記事は発表まとめではありません。Mac開発機でLinuxコンテナを動かす手段として、Docker Desktop / Podman / colima / WSL2 と比べてどうか、サーバー管理者の検証用途で実際に使えるかを、礼賛も全否定もせずフラットに評価します。
この記事のポイント
- Appleの
containerは2026年6月9日にv1.0.0到達。各Linuxコンテナを軽量VM(Virtualization.framework)で個別に隔離して動かす設計で、Docker Desktopの単一大型VM方式とは異なる。 - 動作要件はApple silicon専用・macOS 26(Tahoe)必須。Intel Macでは動かない。
- v1.0の目玉「Container machine」は、macOSのユーザー名とホームディレクトリをLinux環境に自動共有。Mac側でコード編集→Linux側でビルド/テスト、というワークフローが組める。
containerはDockerそのものではない。OCIイメージは扱えるがdockerコマンド完全互換ではなく、container run等の独自CLI。- WSL2はWindows、
containerはMacで土俵が違う。Docker Desktopの代替としては有償ライセンス回避+軽量で魅力だが、composeやチーム標準がdockerなら移行コストは残る。
続きを読む "Apple container 1.0とContainer machine|Mac開発機のLinuxコンテナをDocker/WSL2と比べて評価する"
MariaDB Galeraの重大脆弱性(CVE-2026-49261ほか)|対象バージョン別アップデート手順とwsrep対応
先に一番大事な切り分けを置きます。今回の脆弱性が刺さるのは Galera Cluster(wsrep レプリケーション)を使っている構成だけです。1台で動かしているスタンドアロンのMariaDB、つまり
wsrep_on が無効なデフォルト構成は、MariaDB公式の修正リリース告知でも影響対象として挙がっていません。ここを最初に確認しないと、影響のないサーバーまで慌てて停めて余計な障害を作ります。もう一点、時系列も正直に書きます。話題化したのは2026年6月ですが、修正版(MariaDB Community Server)は2026年5月27日にすでに公開済みです。「6月に急に出た新しい穴」ではなく、「5月末に修正版が出ていたものが6月に広く流通した」という流れです。慌てる必要はありませんが、Galera構成なら確実に上げ切る、というのが今回の本筋です。
20年以上Linuxサーバーの現場にいますが、Galeraクラスタは「全停止せずに1台ずつ上げる」というローリングアップグレードの段取りが命です。本記事では、自分の構成が該当するかの判定から、系列別の上げ先、停止しない更新順序、wsrep関連の設定緩和までを通しでまとめます。
この記事のポイント
- 影響範囲は Galera Cluster(wsrep)構成に限定。スタンドアロン(
wsrep_on=OFF)のMariaDBは今回の対象外、と公式が明記。 - 修正版は 11.8.8 / 11.4.12 / 10.11.18 / 10.6.27(いずれも該当版以降)。2026年5月27日公開。話題化は6月だが修正版は5月末に出ている。
- 主軸は CVE-2026-49261(
wsrep_notify_cmdのパラメータインジェクション、CVSS 10.0)。ほか CVE-2026-48165 / 48163(SST joiner/donor 側、各CVSS 8.0)。 - Galeraは全停止せず 1ノードずつ離脱→更新→再JOIN のローリングで上げる。
wsrep_cluster_sizeを都度確認。 - 緩和として Galera通信ポート(4567 / 4568 / 4444)の外部遮断と
wsrep_notify_cmdスクリプトの権限・入力検証を点検。
続きを読む "MariaDB Galeraの重大脆弱性(CVE-2026-49261ほか)|対象バージョン別アップデート手順とwsrep対応"
OpenSSLが16件のCVEを一斉修正(2026-06-09)|RHEL/Ubuntuサーバの即時パッチ運用手順
私は20年以上Linuxサーバーの現場にいますが、OpenSSLの一斉修正で毎回つまずきやすいのは脆弱性の理解ではなく「upstream版数とディストリのパッケージ版数が一致しない」点と「更新しても再起動するまで古いライブラリがメモリに居座る」点の2つです。この記事はそこを運用手順とコマンド中心で整理します。
この記事のポイント
- OpenSSL公式advisoryのCVEは16件(High 1、Moderate 6、Low 9)。報道では18件とする集計もあるが、即時対応の判断軸はHighの1件に絞ってよい。
- 最重要はCVE-2026-45447(High、PKCS7_verify()のheap use-after-free、S/MIME署名処理経路でRCEリスク)。影響は4.0.0~1.0.2の全系列。
- upstream版数(4.0.1等)を直接見るのではなく、
rpm -q openssl/dpkg -l openssl+RHSA/USNで「ディストリが当てたか」を判断する。 - 動的リンクのため、
libssl/libcryptoを使う常駐プロセス(httpd / nginx / postfix / dovecot / openvpn / sshd等)はパッケージ更新後に再起動が必要。needs-restarting -r/checkrestart/lsofで判定する。
続きを読む "OpenSSLが16件のCVEを一斉修正(2026-06-09)|RHEL/Ubuntuサーバの即時パッチ運用手順"
国交省オープンデータをMySQLで使い倒す|GeoJSON取り込みと空間関数、そして座標軸の落とし穴
「国が無料で公開している地理データを、自社のシステムで使えないか」。中小企業の現場支援をしていると、こういう相談を受けることがあります。たとえば配送エリアの判定、店舗から一定距離内の施設抽出、ハザード情報の重ね合わせ。これらは、わざわざ高価なGISパッケージを買わなくても、手元のLinuxサーバーとMySQLだけでかなりのところまで実現できます。
鍵になるのが、国土交通省が公開しているオープンデータと、MySQLの空間データ型です。私は20年以上Linuxサーバーの運用に携わってきましたが、地理データを「専門家だけのもの」と身構える管理者がまだ多いと感じます。本記事では、国交省のGeoJSONデータをMySQLに取り込み、距離計算や領域判定を実務で回すまでの道筋を、現役管理者の目線で整理します。あわせて、ここでハマる人が後を絶たない座標軸の落とし穴も解説します。
Linux FoundationがAIコスト標準化財団「Tokenomics Foundation」設立へ|サーバー管理者目線で読む統治構造の意味
「AIの請求書が、いつの間にか自社で一番大きなITコストになっていた」。生成AIやエージェントを本番に乗せ始めた現場で、こんな声をよく聞くようになりました。これまでサーバー1台あたりいくら、回線でいくらと積み上げて管理してきたコストの世界に、「トークン」という新しい単位が割り込んできています。
2026年6月3日、そのトークンコストを業界横断で標準化しようという動きが表に出ました。Linux Foundationが、AIコスト管理のオープン標準づくりを目的とした新団体「Tokenomics Foundation」の立ち上げ意向を発表したのです。
私は20年以上、Linuxサーバーの構築・運用を生業にしてきました。この発表を見て真っ先に感じたのは、「またLinux Foundationが、ベンダーに任せておくと収拾がつかなくなる領域を引き取りに来たな」という既視感です。本記事では、この新財団が何を狙っていて、サーバーやインフラを預かる立場の人間にとってどんな意味を持つのかを、現役の管理者目線で整理します。
続きを読む "Linux FoundationがAIコスト標準化財団「Tokenomics Foundation」設立へ|サーバー管理者目線で読む統治構造の意味"
みずほ銀行がRHEL移行ゼロ延命を採用|SUSE Multi-Linux Supportの仕組みと延命3選択肢を管理者目線で比較
EnterpriseZineの2026年6月5日の報道によると、みずほ銀行(プラットフォームエンジニアリング部)が、第三者サポートサービス「SUSE Multi-Linux Support」(旧称SUSE Liberty Linux)を採用しました。RHELやCentOSを入れ替えることなく、サポートとパッチの供給元だけをSUSEに移す——そんな選択肢が、メガバンクの現場で現実の打ち手になったわけです。
この記事では、SUSE Multi-Linux Supportとは何なのか、技術的にどういう仕組みで「移行ゼロ」を実現しているのか、そして現役のLinuxサーバー管理者として、自分の環境にこの選択肢が向くのかどうかをどう判断すればいいのかを整理します。
この記事のポイント
・みずほ銀行がRHEL/CentOSの第三者サポート「SUSE Multi-Linux Support」(旧SUSE Liberty Linux)を採用したと報じられた
・OSは入れ替えず、パッチの取得リポジトリをRed HatからSUSEに切り替えるだけの「移行ゼロ」方式
・対象はRHEL 6/7/8/9とCentOS 7以降。背景にはRHEL 7のEOLとRHELライフサイクルの現実がある
・延命の選択肢はAlmaLinux/Rocky移行・Red Hat純正Long-Life Add-On・SUSE MLSの3つ。どれが向くかを管理者目線で整理する
続きを読む "みずほ銀行がRHEL移行ゼロ延命を採用|SUSE Multi-Linux Supportの仕組みと延命3選択肢を管理者目線で比較"
HTTP/2 BombをCodexが発見|CVE-2026-49975のメモリ枯渇DoSを現役Linux管理者目線で確認・対応
OpenAIのCodexが、10年以上前から知られていた2つの古い手口を組み合わせて掘り当てた、HTTP/2のメモリ枯渇型DoSです。通称は「HTTP/2 Bomb」、Apache httpd向けにCVE-2026-49975が割り当てられています。nginx・Apache httpd・IIS・Envoy・Cloudflare Pingoraと、HTTP/2をデフォルトで有効にしている主要サーバーが軒並み対象に挙がっています。
この記事では、HTTP/2 Bombとは何なのか、その技術的な本質はどこにあるのか、そして現役のLinuxサーバー管理者として自分の環境をどう確認し、何から手を打てばいいのかを整理します。
この記事のポイント
・OpenAIのCodexが既知の2手法を合成して見つけたHTTP/2のメモリ枯渇型DoS(通称HTTP/2 Bomb、CVE-2026-49975)
・以前報じた二重解放のCVE-2026-23918とは別件。手口も影響も異なる
・nginxは1.29.8で修正済み。Apache 2.4系はまだ未パッチで、設定での緩和が現実解
・自サーバーのHTTP/2有効・無効の確認と、ヘッダ数制限・HTTP/2無効化などの暫定対応を解説
続きを読む "HTTP/2 BombをCodexが発見|CVE-2026-49975のメモリ枯渇DoSを現役Linux管理者目線で確認・対応"
MySQL 9.6で外部キーのカスケードがバイナリログに記録|現役Linux管理者が押さえるFK挙動変更と移行
その長年の弱点に、MySQL 9.6が手を入れました。外部キーの検証とカスケード処理を、InnoDBストレージエンジンの内部からSQLレイヤーへ引き上げる変更です。地味に見えて、レプリケーションやバイナリログを使う現場には影響が小さくない話です。
この記事では、MySQL 9.6で外部キー制約とカスケード処理の何がどう変わったのか、そしてそれが既存スキーマや日々の運用にどう効いてくるのかを、現役のLinuxサーバー管理者の視点で整理します。
この記事のポイント
・MySQL 9.6で外部キーの検証・カスケードがInnoDBからSQLレイヤーへ移行
・これまでバイナリログに残らなかったカスケード変更が記録されるようになった
・レプリケーション・CDC(Debezium等)・監査ログの整合性が改善
・性能はほぼ同等、innodb_native_foreign_keysで一時的に旧挙動へ退避も可能
続きを読む "MySQL 9.6で外部キーのカスケードがバイナリログに記録|現役Linux管理者が押さえるFK挙動変更と移行"
Btrfs Direct I/Oがカーネル修正で約59%高速化|SB_NOSEC抜けによる直列化を読み解く
そう要約できる修正が、Btrfs に入ろうとしています。Direct I/O の書き込みスループットが、ベンチマーク条件によっては約59%、数値で言えば826 MB/s から1311 MB/s へ跳ね上がる。原因は新機能でもチューニングでもなく、2023年のmount API移行のときに設定が抜け落ちていた1つのフラグでした。
派手な新機能ではありませんが、現役のサーバー管理者にとっては「自分の環境のI/O性能が、ある日アップデートで素直に速くなる」話です。なぜ遅かったのか、どんなワークロードが恩恵を受けるのか、自分のサーバーは関係するのかを、落ち着いて整理します。
続きを読む "Btrfs Direct I/Oがカーネル修正で約59%高速化|SB_NOSEC抜けによる直列化を読み解く"
CIFSwitch(19年物のcifs.spnego特権昇格)でrootを取られる|影響ディストロと緩和手順
そのサーバーで、一般ユーザーのアカウントを1つ取られたら、root を取られる。19年前から仕込まれていた、と聞かされて、自分の管理してきたファイルサーバー群を頭の中で点検し始めました。
2026年5月下旬、Linux カーネルの CIFS サブシステムに潜む特権昇格の脆弱性「CIFSwitch」が、発見者 Asim Manizada 氏のブログと oss-security メーリングリストで公開されました。PoC(実証コード)も同時に出ています。非特権の一般ユーザーが、条件のそろった環境で root を取れる。しかも CentOS Stream 9、Rocky Linux 9、AlmaLinux 9、Kali、SLES など、既定構成のまま踏める環境が複数報告されています。
本稿では、現役のサーバー管理者の視点で「自分の環境は脆弱なのか」を切り分け、root を取られる前に今週中に何を確認・実行すべきかを書きます。CVE番号はまだ採番されていない(申請中)ため、本文ではCVE番号を断定しません。
続きを読む "CIFSwitch(19年物のcifs.spnego特権昇格)でrootを取られる|影響ディストロと緩和手順"
Fedora 45がPURL導入を検討|ソフトウェアサプライチェーン対策とSBOMをLinux管理者目線で整理
2026年5月末、FedoraプロジェクトがFedora 45でパッケージのメタデータに「PURL(Package URL)」を付与する変更提案を検討している、というニュースが流れました。一見地味な話ですが、これはソフトウェアサプライチェーンの脆弱性管理に直結する、現役Linux管理者にとって見逃せない動きです。
この記事では、PURLとは何か、Fedora 45で何が変わろうとしているのか、そしてサーバーを運用する側がこの流れをどう捉えればいいかを、実務観点で整理します。
この記事のポイント
・Fedora 45でパッケージにPURL(Package URL)メタデータを付与する変更提案が検討段階にある
・現時点では提案であり、FESCo(技術運営委員会)の投票を経て確定する。Fedora 45のGAは2026年後半(10月目安)
・PURLは「pkg:type/name@version」形式で、上流プロジェクトとパッケージを一意に対応づける識別子
・狙いは「どのパッケージにどの脆弱性が影響するか」を正確に突き合わせること、SBOM生成にも有用
・管理者は「いま使える脆弱性管理(dnf updateinfo・CVE突合)」を固めつつ、SBOMの流れを押さえておけばよい
続きを読む "Fedora 45がPURL導入を検討|ソフトウェアサプライチェーン対策とSBOMをLinux管理者目線で整理"
MariaDB 12.3.2 LTSリリース|既存系列からの移行判断とsnapshot isolation変更の注意点
2026年5月29日、MariaDB Foundationが新しい長期サポート版「MariaDB 12.3.2」をリリースしました。同時に既存LTS系列のメンテナンス版(11.8.8 / 11.4.12 / 10.11.18 / 10.6.27)もまとめて公開されています。
この記事では、Linuxサーバー上でMariaDBを運用してきた管理者に向けて、12.3 LTSへ移行すべきかどうかの判断軸と、既存LTS系列との差分を実務観点で整理します。
この記事のポイント
・MariaDB 12.3.2は2026年5月29日リリースの新LTS系列、メンテナンスは2029年6月まで
・MariaDBのLTSは「年1回・3年サポート」が基本ポリシー(12.3 / 11.8 / 11.4 / 10.11 / 10.6が現役LTS)
・12.3の最大の注意点はinnodb_snapshot_isolationがデフォルトでONに変わったこと(REPEATABLE READの挙動が変化)
・10.6は2026年7月にコミュニティEOL、10.11は2028年2月EOL。延命中の旧LTSは移行計画が必要
・移行は「いきなり12.3」より、検証環境で挙動確認→フルバックアップ→段階投入が鉄則
続きを読む "MariaDB 12.3.2 LTSリリース|既存系列からの移行判断とsnapshot isolation変更の注意点"
米「年齢確認法」がLinuxディストロを除外|OSSを救った「改変・再配布の自由」という一行
米国で、年齢確認の義務をWebサイトやアプリではなくOSレベルに課そうとする法案が動いています。当初の条文のままなら、Linuxディストリビューションも対象になりかねませんでした。
この記事では、カリフォルニア州とコロラド州の「年齢確認法」がLinux等のオープンソースOSを除外する方向に修正された経緯と、その決め手になった一行の定義について、OSS運用者の視点で整理します。技術の話ではなく、私たちが使うOSの「自由」が政策の場でどう扱われたかという話です。
この記事のポイント
・米2州がOSレベルの年齢確認を義務化、当初はLinuxも対象になり得た
・除外の決め手は「コピー・再配布・改変の自由」という定義
・コロラドSB26-051は除外を明記、カリフォルニアAB1856は審議中
・純粋なLinuxは除外、SteamOSのような独自部品入りは対象の可能性
Linuxカーネルが「x32 ABI」廃止へ|2027年めど、32bit運用への影響と確認方法
ニュースで「Linuxカーネルがx32 ABIを廃止へ」と聞いて、ふと不安になった現役管理者の方も多いと思います。
この記事では、Linuxカーネルが2027年をめどに廃止を検討している「x32 ABI」について、それが何だったのか、なぜ消えるのか、そして自分の運用環境に影響があるのかを、コマンドで確認する方法まで含めて解説します。結論から言うと、ほとんどの本番Linuxサーバーは無関係ですが、組み込みや一部の特殊ビルドでは確認しておく価値があります。
この記事のポイント
・x32 ABIは2027年めどにカーネルから削除される提案が進行中
・普及しなかった「64bitレジスタ+32bitポインタ」のハイブリッドABI
・確認は grep X32 /boot/config-$(uname -r) で一発
・大半の本番サーバーは無関係、影響は組み込み・特殊ビルドに限定
Ubuntu 24.04でLet's Encrypt自動更新を確実に動かす|Certbot snap/systemd-timer/cron 3パターン徹底比較
2026年5月時点で、Ubuntu 24.04 LTS上でCertbotを動かす方法は大きく3つ(snap版、aptパッケージ+systemd-timer、apt+手動cron)に分かれます。それぞれに利点と落とし穴があり、迷うのも当然です。
この記事では、Ubuntu 24.04でLet's Encryptの自動更新を確実に動かすための3パターンを、設置手順とログ確認、トラブル時の切り分けまで含めて徹底比較します。なお、汎用的な「SSL証明書更新エラー対処」の概論はすでに別記事で扱っているため、本稿はUbuntu 24.04特化の最新パターンに絞ります。
この記事のポイント
・Ubuntu 24.04のCertbot導入は「snap版」「apt+systemd-timer」「apt+手動cron」の3パターン
・EFFが公式推奨するのはsnap版(自動更新タイマー同梱、Certbot最新版に追従)
・apt版は安定だが、Certbot本体のバージョンがディストロのリリース時点で固定される
・snap版と他方式の混在は事故の温床。導入前に既存certbotを必ず確認・削除する
・更新失敗の切り分けはjournalctl -u snap.certbot.renew.serviceとdeploy-hookログから
続きを読む "Ubuntu 24.04でLet's Encrypt自動更新を確実に動かす|Certbot snap/systemd-timer/cron 3パターン徹底比較"
MySQL 8.0 EOL到来|Linux管理者のためのMySQL 8.4 LTS移行判断フレーム
2026年4月、MySQL 8.0は公式サポートを終了し、Oracleの「Sustaining Support」のみに移行しました。新規セキュリティパッチもバグ修正も提供されない状態です。さらに同月、新しいLTS(長期サポート版)であるMySQL 9.7がリリースされ、選択肢が一気に複雑になりました。
この記事では、Linuxサーバー上でMySQLを運用してきた管理者に向けて、MySQL 8.0からのバージョン移行判断フレームを実務観点で整理します。
この記事のポイント
・MySQL 8.0は2026年4月にEOL到達、Sustaining Support(新パッチなし)に移行した
・移行先はMySQL 8.4 LTS(~2029年4月Premier)か9.7 LTS(~2034年4月Premier)の2択
・8.0→8.4は直接アップグレード可、8.0→9.7は途中で8.4を経由する必要がある
・mysql_native_password廃止、innodb_log_file_size廃止、slave_*→replica_*改名など破壊的変更を確認
・MySQL Shell Upgrade Checkerでの事前互換確認とフルバックアップが投入前の必須手順
Ubuntu Core 26で2041年まで使える"不変Linux"|EU CRA対応とTPM/LUKS2鍵管理を読み解く
2026年5月19日、CanonicalはIoT・組込み向けの最小・不変型ディストリビューション「Ubuntu Core 26」をリリースしました。15年の長期セキュリティ提供、EU Cyber Resilience Act(CRA)への対応強化、そしてTPMで封印したLUKS2鍵管理という、Linux管理者にとって看過できない変更が並びます。
この記事では、Ubuntu Core 26の発表内容を「現役Linuxサーバー管理者の実務」に引きつけて整理します。組込みやIoTを直接担当していない管理者にとっても、EU CRAとTPM/LUKS2の話は、いずれ自分のサーバーOSにも降りてくるテーマです。
この記事のポイント
・Ubuntu Core 26は2026年5月19日リリース、Ubuntu 26.04 LTSベースで15年(2041年まで)の長期サポート
・EU CRAでCanonicalが「Manufacturer責任」を負い、IEC 62443-4-1準拠とCVE継続監視を提供する
・全ディスク暗号化はTPMで封印したLUKS2鍵をヘッダー内に直接格納する方式に刷新された
・OTA更新サイズが最大90%削減、ARM64でLivepatch(再起動不要のカーネルパッチ)が初対応
・通常のUbuntu Server運用者にとっても、TPM+LUKS2と不変OSの考え方は数年内に主流化する
続きを読む "Ubuntu Core 26で2041年まで使える"不変Linux"|EU CRA対応とTPM/LUKS2鍵管理を読み解く"
Linuxサーバー性能ベンチを30秒で取る方法|Yet-Another-Bench-ScriptでCPU/IO測定
2026年5月、GIGAZINEで紹介されたことで再注目されている「Yet-Another-Bench-Script(YABS)」は、まさにそのための定番ツールです。fio・iperf3・Geekbenchを1コマンドで走らせ、CPU・ディスクI/O・ネットワーク帯域を一気に可視化できます。
この記事では、YABSの基本的な使い方、結果の読み方、VPS選定・サーバー比較への活用、注意点を、20年以上のLinuxサーバー運用経験から整理します。
この記事のポイント
・YABSはfio・iperf3・Geekbenchを1コマンドで実行できるベンチマークスクリプト
・依存パッケージ・root権限不要、curl一発で実行可能
・ディスク4ブロックサイズ(4k/64k/512k/1MB)の読み書き性能を計測
・iperf3で世界各地へのネットワーク帯域を測定
・VPS選定、構成変更前後の比較、移行候補の評価で実務に直結する
続きを読む "Linuxサーバー性能ベンチを30秒で取る方法|Yet-Another-Bench-ScriptでCPU/IO測定"
Pwn2Own Berlin 2026で陥落したRHEL Workstations|ローカル権限昇格の含意と対策
2026年5月14日から16日にかけてベルリンで開催された「Pwn2Own Berlin 2026」で、Red Hat Enterprise Linux for Workstationsのローカル権限昇格が2件成功しました。攻撃者はuse-after-freeとレースコンディションという、Linuxカーネル系で定番の脆弱性タイプを突きました。
この記事では、Pwn2Own Berlin 2026のRHEL関連結果、ローカル権限昇格(LPE)の脅威モデル、そして実務での対策を、20年以上のLinux運用経験から整理します。
この記事のポイント
・Pwn2Own Berlin 2026でRHEL for Workstationsのローカル権限昇格が2件成功した
・Day 1にChompie(IBM XOR)がレースコンディションで$20,000を獲得
・Day 2にBen Koo(Team DDOS)がuse-after-freeで$10,000を獲得
・LPE脆弱性は「ローカルアクセスありき」の前提だが、横展開攻撃で致命傷になる
・対策はカーネル更新の徹底、SELinux/AppArmor有効化、最小権限運用の3層
続きを読む "Pwn2Own Berlin 2026で陥落したRHEL Workstations|ローカル権限昇格の含意と対策"
HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新
2026年5月20日、HP社がLinux向け印刷ソフトウェア「HPLIP(HP Linux Imaging and Printing)」の深刻な脆弱性2件を公表しました。CVSS 9.3の致命的な整数オーバーフローと、CVSS 8.5のコマンドインジェクションです。
この記事では、CVE-2026-8631/CVE-2026-8632の内容、影響範囲、修正方法、そしてLinuxサーバーで印刷機能を使う際の運用上の注意点を、20年以上のLinux運用経験から整理します。
この記事のポイント
・HPLIP 3.26.4未満のバージョンに権限昇格・任意コード実行の脆弱性が2件存在
・CVE-2026-8631(CVSS 9.3クリティカル)は整数オーバーフローによる権限昇格
・CVE-2026-8632(CVSS 8.5高)はコマンドインジェクションによる任意コード実行
・修正版はHPLIP 3.26.4以降。dnf/aptで早急に更新を実施する
・印刷機能が不要なサーバーはhplip・hplip-commonのパッケージごと無効化も検討
Red Hat Enterprise Linux 10.2/9.8新機能|AI支援とimage modeで何が変わるか
2026年5月21日、Red Hatが「Red Hat Enterprise Linux 10.2」と「9.8」を同時発表しました。AI支援の強化とimage modeの拡張が目玉ですが、それぞれが実務でどう効くのかは、リリースノートを読んだだけでは見えにくい部分です。
この記事では、RHEL 10.2/9.8の主な新機能を整理し、現場のサーバー運用・移行作業にどんな影響があるのかを、20年以上のLinux運用経験を踏まえて解説します。
この記事のポイント
・RHEL 10.2と9.8は2026年5月21日(米国時間)にRed Hat社が発表した最新マイナーリリース
・コマンドライン向けAI支援ツール「goose」がExtensions経由で提供される
・bootcベースのimage modeが拡張、更新の事前ダウンロードに対応
・Leappによる単一ステップでのメジャーバージョンアップグレード支援が強化
・Go 1.26、Rust 1.92、Python 3.14、PHP 8.4、PostgreSQL 18など開発ツールが最新版に
続きを読む "Red Hat Enterprise Linux 10.2/9.8新機能|AI支援とimage modeで何が変わるか"
Flipper One徹底解説|RK3576+RP2350のLinuxサイバーデッキは何ができるのか
2026年5月21日、Flipper Devicesが完全な8コアLinuxマシン「Flipper One」を発表しました。Flipper Zeroの正統進化系として注目されていますが、ハードもソフトもまったくの別物で、用途も価格帯も変わります。
この記事では、Flipper Oneの仕様、Flipper Zeroとの違い、Linuxを「ポケットに入れて持ち歩く」価値、現時点で買えるのかどうかを、Linuxエンジニアの目線で整理します。
この記事のポイント
・Flipper OneはRockchip RK3576(8コア)+ RP2350の2チップ構成でLinuxが動くポケットPC
・8GB RAM・NPU・デュアルGigabit Ethernet・Wi-Fi 6E・M.2スロットを搭載した本格仕様
・目標価格は350ドル未満、ただし2026年5月時点では未発売(EVT段階)
・「Flipper Zeroの上位機」ではなく「Linuxサイバーデッキ」という新カテゴリの製品
Azure Linux 4.0登場|Microsoftが本気で出した汎用LinuxとFedora系統
2026年5月、Microsoftが「Azure Linux 4.0」を発表しました。コンテナ向けに使ってきたAzure Linuxを汎用サーバーOSとして再設計し、しかも上流ベースをFedoraに切り替えるという、これまでとは様相の異なる発表です。
この記事では、Azure Linux 4.0が「Fedoraベース」になった意味、これまでのMariner系との関係、そしてRHELやUbuntuといった既存ディストロとどう棲み分けるのかを、Linuxサーバー運用の現場目線で整理します。
この記事のポイント
・Azure Linux 4.0はFedoraを上流ベースに据えたMicrosoft初の本格汎用Linuxである
・発表は2026年5月18日のOpen Source Summit、本格展開は6月2日のMicrosoft Buildを予定している
・Azure VM向けの汎用版と、コンテナ最適化のAzure Container Linuxの2系統に整理された
・RHEL・Ubuntu・Rocky Linuxとの棲み分けは「Azure依存度」と「サポート範囲」で判断する
Ubuntu 26.10「stonking」開発状況—Canonical監査AI「Redhound」の中身
2026年10月にリリース予定のUbuntu 26.10「Stonking Stingray」へ向けた開発が動き出していますが、今回その裏で特に目を引いたのが、Canonical社内で稼働している監査AIエージェント「Redhound」の存在です。Ubuntu Discourseと技術評論社のUbuntuトピックスでまとまった形で言及があり、ディストリビューション開発側のセキュリティ作業そのものをAIが支えに来ているという、サーバー管理者として見過ごせない話になっています。
私はLinuxサーバーを20年以上触ってきた立場ですが、ディストリビューション提供者がコードレビューや脅威モデリングのループにAIエージェントを組み込み、しかもLXDで実際に脆弱性を見つけた、という具体例まで出してきたのは初めての感覚です。今回はUbuntu 26.10「Stonking Stingray」のリリース位置づけを押さえたうえで、Redhoundの5フェーズ設計と、運用者側からの読み解き方を1記事に整理します。
軸は3つです。1つ目、26.10「Stonking Stingray」が開発カレンダー上どこに位置するかを正確に押さえる。2つ目、Redhoundがどんな手順で監査を回す設計なのかを5フェーズで分解する。3つ目、サーバー運用側として、ディストリの監査AI動向をどう自分の現場運用に翻訳するかを言語化する。AI統合方針(snapによるオープンウェイトモデル配布)は別記事で扱っているので、ここでは触れません。
続きを読む "Ubuntu 26.10「stonking」開発状況—Canonical監査AI「Redhound」の中身"
nginx 1.30.1/1.31.0 公開とnjs CVE-2026-8711|js_fetch_proxyヒープオーバーフローのstable系影響範囲とアップグレード手順
js_fetch_proxy ディレクティブのヒープバッファオーバーフローで、F5 公式の CVSS v4.0 は 9.2 CRITICALです。混乱しやすいのは、nginx 本体側の修正(6件のCVEを含む)と njs モジュール側の修正が、ほぼ同時に走った点です。「nginx を 1.30.1 に上げれば安心」と早合点しがちですが、njs を使っている環境では njs パッケージ側も別途上げる必要がある。
この記事では、stable 系(1.30.x)を本番で動かしている管理者を主読者に、影響範囲の切り分け、grep での自家診断、AlmaLinux / RHEL / Ubuntu / NGINX 公式リポジトリ別のアップグレード手順を整理します。
この記事のポイント
- CVE-2026-8711 は njs の
js_fetch_proxyディレクティブのヒープバッファオーバーフロー。0.9.4 で導入され 0.9.9 で修正。CVSS v4.0=9.2 CRITICAL。 - 発火条件は「
js_fetch_proxyに$http_*/$arg_*/$cookie_*など クライアント由来の変数を含めている」かつ「ロケーションの JS ハンドラがngx.fetch()を呼ぶ」状態。njs 自体を使っていなければ影響ゼロ。 - nginx 本体側は 1.30.1 stable / 1.31.0 mainline で CVE-2026-42945(NGINX Rift)他 6件を同時修正。stable 利用者も今回はサボれない。
- 切り分けは
grep -rn "js_fetch_proxy\|load_module.*ngx_http_js_module" /etc/nginx/で2分で終わる。 - NGINX Open Source の stable 系は基本的に CVE バックポートのみが入る系統。今回の 「stable 系にもセキュリティリリースが出た」というシグナルそのものが運用上は重要。
続きを読む "nginx 1.30.1/1.31.0 公開とnjs CVE-2026-8711|js_fetch_proxyヒープオーバーフローのstable系影響範囲とアップグレード手順"
Torvalds激怒「AIバグ報告」氾濫がLinuxカーネルMLを止めた件|OSS開発者と現役管理者が今すべき対応
2026年5月17日(日曜日)、Linus Torvalds が Linux 7.1-rc4 のリリース告知を LKML(Linux Kernel Mailing List)に投稿した際、本来は新カーネル機能の解説で済むはずの一節に、強い苛立ちを込めた一文が混ざりました。「the continued flood of AI reports has basically made the security list almost entirely unmanageable(AI レポートの洪水のせいで、セキュリティリストはほぼ完全に管理不能になった)」。Torvalds のこの発言を機に、カーネルのセキュリティバグ報告ルールが事実上書き換えられました。
直接の引き金は、複数の研究者が同じ AI 監査ツールを同じカーネルツリーに走らせて、同じバグを別々にプライベートな security メーリングリストへ送り続けていることでした。HAProxy 作者であり Linux カーネル stable メンテナーでもある Willy Tarreau が LWN へ投稿したコメントによると、2年前は週2~3件だった security 報告が、直近1年では週10件程度、2026年初頭からは日5~10件まで膨れ上がっています。20年以上 Linux サーバーを触ってきた私の感覚でも、この件数推移は「もう人手の triage(仕分け)では捌けない」レベルです。
この記事では、(1)Torvalds 発言の中身、(2)何が運用変更されたのか、(3)curl や他 OSS の先行事例との比較、(4)現役 Linux サーバー管理者・転職志望者がこの動きから読み取るべき教訓、を整理します。AI 監査ツールがコードを掘り返す時代に、私たちは「報告する側」「受け取る側」「運用する側」のどこに立つかで、対応の仕方が全く変わるからです。
続きを読む "Torvalds激怒「AIバグ報告」氾濫がLinuxカーネルMLを止めた件|OSS開発者と現役管理者が今すべき対応"
MongoDB CVE-2026-8053(OOB Write)|time-series由来の任意コード実行と自己ホスト機のsystemdローリング更新
JPCERT/CCが2026年5月20日の週次レポートで取り上げたMongoDB境界外書き込み(OOB Write)脆弱性は、CVE-2026-8053として公表されました。MongoDB Server 5.0系から8.3系まで現役6系列すべてが影響を受け、CVSS 4.0は8.7(High)です。time-series collectionの内部マッピング不整合を踏ませるとmongodプロセス内でメモリ破壊が起き、条件次第で任意コード実行に発展します。Atlasは適用済みですが、自己ホストはユーザー側で対応が必要です。本記事は影響評価・公式リポジトリでの更新・ReplicaSet/Sharded別のsystemdローリング手順・retryWrites設定を実務目線でまとめます。
続きを読む "MongoDB CVE-2026-8053(OOB Write)|time-series由来の任意コード実行と自己ホスト機のsystemdローリング更新"
PostgreSQL 18.4/17.10/16.14で11件のCVEを塞ぐ|マイナー更新で済む再起動手順とPGDG運用
PostgreSQL 18.4 / 17.10 / 16.14 / 15.18 / 14.23の5系列同時セキュリティリリースが2026年5月14日に公開され、JPCERT/CCも5月20日の週次レポートで取り上げました。同梱CVEは11件、うちCVSS 8.8の高危険度が4件含まれ、libpqクライアントのスタックを上書きできるCVE-2026-6477やrefintモジュールのスタックバッファオーバーフロー CVE-2026-6637など、攻撃成立時のインパクトが大きい構造です。本記事ではLinuxサーバー管理者向けに、CVE群の整理、ディストリ別パッケージ提供タイミング、pg_upgrade不要のマイナー更新手順、systemdでのローリング再起動、PgBouncer/Patroni併用での接続停止最小化を実務目線でまとめます。
続きを読む "PostgreSQL 18.4/17.10/16.14で11件のCVEを塞ぐ|マイナー更新で済む再起動手順とPGDG運用"
GitLab 18.11.3で25件のCVEを塞ぐ|self-managed omnibus-gitlabのアップグレード実務
GitLabのセキュリティパッチリリース「18.11.3 / 18.10.6 / 18.9.7」が2026年5月13日に公開されました。同梱CVEは25件、CVSS 8.7のXSS 4件とCVSS 7.5の未認証DoS 3件を含みます。JPCERT/CCも5月20日の週次レポートで取り上げており、self-managed(オンプレ)GitLabを社内に抱えている組織は後回しにできない案件です。GitLab.com(SaaS版)はGitLab側で適用済み、対応すべきは「自社で動かしているGitLab」のみです。本記事ではomnibus-gitlab運用エンジニア向けに、CVE群整理・影響判定・アップグレード実務・ゼロダウンタイム化・PG/Redis注意点・CI/CD継続性をまとめます。
続きを読む "GitLab 18.11.3で25件のCVEを塞ぐ|self-managed omnibus-gitlabのアップグレード実務"
livepatchを当てた後の運用設計|2026年5月Linuxカーネル LPEラッシュで現場が学んだ累積管理と再起動移行
livepatch は便利ですが、 「当てたら終わり」と思って累積で何枚も乗せ続けると、ある日突然ロード失敗・副作用・再起動時に何が変わるか読めない状態に追い込まれます。私が20年以上Linuxサーバーを運用してきて、livepatch で起きた事故はほぼすべて 「累積管理を怠った」「再起動移行を後回しにした」の2パターンに集約されます。
この記事は、 CVE個別の解説ではなく、livepatchを当てた後に必ず通る道——累積パッチの可視化、ロード失敗時の切り戻し、計画再起動への合流——を実務手順として整理します。CVE-2026-46333 / CVE-2026-46300 の 仕様や攻撃手法については別記事で扱っていますので、必要なら本文中の関連リンクからどうぞ。
この記事のポイント
- livepatch / kpatch / KernelCare で稼働中にカーネルパッチを適用したサーバーは、 「何枚積んだか」「いつ再起動するか」を台帳化するのが大前提。
- 累積上限の目安: Canonical Livepatch / kpatch / KernelCare のいずれも明示上限はないが、 四半期ごとに棚卸し、半年で再起動到達が現場の運用ライン。
- ロード失敗時の切り戻しは livepatch disable → 再起動 → 通常カーネル適用の順。手順を運用書に固定しておくと事故率が下がる。
- 再起動移行は「いつ」より「どの順番で」を決める。 冗長構成 → 単独本番 → 踏み台の順が安全。
- 緊急パッチ後の振り返り定例(postmortem)を 3日以内に回すと、次回の判断が速くなる。
続きを読む "livepatchを当てた後の運用設計|2026年5月Linuxカーネル LPEラッシュで現場が学んだ累積管理と再起動移行"
バックエンドエンジニア年収923万円|Linuxスキル保有者が年収レンジで優位に立つ条件
2026年5月18日、フリーランスボードがバックエンドエンジニア案件の平均年収を「923万円」と発表しました。月額平均単価76.9万円を12ヶ月換算した数値で、対象は同サイトに掲載された133,542件の案件です。職種別シェアは26.09%で1位。しかし、この923万円は「フリーランスとして稼働する場合の単価相場」であり、誰でも届く水準ではありません。本記事では、923万円の中身を分解したうえで、年収レンジを押し上げるLinuxスキルの効き方を、募集要件の実データから読み解きます。
Ubuntu 26.04 LTSにAIは入らない|Snapd配布のオープンウェイトモデル運用とCanonicalの統合方針を読み解く
CanonicalがUbuntuにAIを載せていく方針を、Ubuntu Discourseで明確に打ち出しました。気をつけたいのは「Ubuntu 26.04 LTSにAI機能がいきなり入る」という話ではなく、26.04 LTSは従来どおりのLTSで、AI機能のopt-inプレビューは2026年10月の26.10「Stonking Stingray」から段階的に出てくるという点です。
私はLinuxサーバーを20年以上触ってきましたが、ディストリビューション本体がここまで踏み込んでローカルLLM実行環境を語るのは、正直なところ初めての感覚です。「snapパッケージとして配り、サンドボックスで囲い、不要なら外せる」というシンプルな設計思想に、Canonicalらしさが強く出ています。今回はこの方針発表をAI統合という1点に絞って整理しておきます。
この記事のポイントは3つです。1つ目、26.04 LTSと26.10のAI機能の関係を時系列で正確に押さえる。2つ目、Snapによるオープンウェイトモデル配布の技術的本質を理解する。3つ目、Linux管理者として何を準備しておくかを具体化する。汎用LTSの変更点・移行手順は別記事で扱っているので、ここでは触れません。
続きを読む "Ubuntu 26.04 LTSにAIは入らない|Snapd配布のオープンウェイトモデル運用とCanonicalの統合方針を読み解く"
Apache Flinkに認証ユーザーRCE CVE-2026-35194|SQL生成のエスケープ漏れでTaskManagerが取られる
Apache Flinkの脆弱性「CVE-2026-35194」が2026年5月15日に公開されました。重要度はApache公式評価で「クリティカル」、CVSS v3.1は8.1(CISA-ADP評価)です。SQL生成時の文字列エスケープ処理の不備で、クエリ送信権限を持つ認証済みユーザーが細工したSQL文を送ると、TaskManager上で任意コード実行(RCE)が成立します。
影響範囲は1.15.0~1.20.3、2.0.0~2.2.0(RC1・RC2含む)と広く、現役の運用クラスタはほぼ全部が射程に入ります。私の現場感覚で言うと、これは「クラスタ全停止して当ててから帰る」レベルの脆弱性です。
この記事では、Apache Flinkを動かしているLinux管理者の視点で、なぜこの脆弱性が深刻なのか、自分のクラスタが踏まれていないかをどう確認するか、復旧と恒久対応をどう設計するかをまとめます。
続きを読む "Apache Flinkに認証ユーザーRCE CVE-2026-35194|SQL生成のエスケープ漏れでTaskManagerが取られる"
RHELを期限なしで延命できる時代へ|Long-Life Add-On発表の中身を管理者目線で読み解く
2026年5月12日、Red Hat Summitの基調講演で「Red Hat Enterprise Linux Long-Life Add-On」というオプションが発表されました。要するに、特定バージョンのRHELを終了日なしで使い続けられる年次更新サブスクリプションです。
第一報を読んだとき、私は素直に「ついに来たか」と思いました。20年以上Linuxサーバーをやっていると、止められないシステムは本当に止められないという現実に何度もぶつかります。今回の発表は、そういう現場の声を公式の延長サポート体系として呑み込んだ大きな動きです。
この記事では、現役のLinuxサーバー管理者として一次情報を整理しながら、Long-Life Add-Onが何を意味するのか、Extended Life Cycle Premiumとの関係、Ubuntu ProやSUSE LTSSとの違い、そして「自分の現場でどう判断すべきか」までを書いていきます。
Fragnesia(CVE-2026-46300)をRHEL系で検知する|auditd・Falco・eBPFで非特権ユーザーの怪しいXFRM呼び出しを掴む
2026年5月13日、Linuxカーネルに新しい権限昇格脆弱性 Fragnesia(CVE-2026-46300、CVSS 7.8) が公開されました。XFRM ESP-in-TCP の論理バグで、非特権ユーザーがレースコンディションなしで /usr/bin/su の page cache を書き換え、root を取れます。PoCはGitHubで公開済み。
Fragnesia(CVE-2026-46300)の脆弱性概要・Dirty Fragパッチとの関係・ディストロ別パッチ運用については別記事「Fragnesia(CVE-2026-46300)の全体像とパッチ運用」で網羅しました。本記事はその実装編として、RHEL/Rocky Linux/AlmaLinux/CentOS Stream 系運用環境で auditd・Falco・eBPF を使って「非特権ユーザーの怪しいXFRM/unshare/splice 呼び出し」を掴む検知シグネチャの具体実装に絞ります。
RHEL系を運用している立場で、いま気になっているのは「パッチ」より「検知」です。Fragnesia は決定論的で失敗イベントを残さないため、auditd の標準設定だけでは痕跡を拾えません。本記事のメインは auditd・Falco・eBPF で「非特権ユーザーの怪しいXFRM/unshare/splice 呼び出し」を掴むシグネチャ実装と、パッチ適用後の page cache 事後検証です。20年以上Linuxの現場で運用してきましたが、「パッチ後に挙動がおかしい」という相談はだいたい再起動とpage cacheに行き着きます。
続きを読む "Fragnesia(CVE-2026-46300)をRHEL系で検知する|auditd・Falco・eBPFで非特権ユーザーの怪しいXFRM呼び出しを掴む"
Webサーバー管理者向けNGINX Rift対応マニュアル|影響判定・apt/dnfパッチ・WAF緩和を30分で
そう言われて素直に「いや、さすがに最新版だよ」と返せた人は、たぶんそんなにいないと思います。私自身、最初に CVE-2026-42945 の概要を見たとき、頭の中に浮かんだのは検証機のことではなく、何年も前にお客さんに納品して、その後リプレースされずに動き続けている本番のリバースプロキシのことでした。
2026年5月13日、F5 とセキュリティ研究者集団 depthfirst が、nginx の ngx_http_rewrite_module に18年潜伏していた重大なヒープバッファオーバーフロー脆弱性を公開しました。CVE 番号は CVE-2026-42945、通称は「NGINX Rift」。CVSS v4.0 は 9.2、CRITICAL です。影響範囲は 0.6.27 から 1.30.0 までと、現役で動いている nginx のほぼ全世代を巻き込みます。
本稿は「設計思想の話」ではなく、今日・明日のうちに本番機で何を打つかという実務オペ寄りに振った内容です。影響有無の判定、apt と dnf の両系統でのパッチ適用、それからすぐに再起動できない事情を抱えているサーバーのための一時的緩和まで、コマンド付きで整理します。手元に検証機を1台立ち上げて、上から順に試しながら読んでください。
続きを読む "Webサーバー管理者向けNGINX Rift対応マニュアル|影響判定・apt/dnfパッチ・WAF緩和を30分で"
rootは取られていない、しかしSSHホスト鍵と/etc/shadowは漏れた|CVE-2026-46333(ssh-keysign-pwn)の正体と運用手順
そう聞かされた瞬間、頭の中で「うちのサーバーで誰か一般アカウントを取られていたら、もう ssh のホスト鍵も /etc/shadow も漏れている」という絵が浮かびました。
2026年5月14日、Qualys Threat Research Unit が Linux カーネルの脆弱性を security@kernel.org に報告し、同日中に Linus Torvalds が修正コミット 31e62c2ebbfd を mainline に push しました。翌5月15日に CVE-2026-46333 として採番、各 stable 系列でも修正版が公開されています。公開エクスプロイトの呼称は「ssh-keysign-pwn」。
やっかいなのは、これが「rootを取られる」タイプの脆弱性ではないことです。攻撃者は root にはなりません。ですが ssh のホスト秘密鍵を読まれ、/etc/shadow を読まれます。実害として「root を取られた」と何が違うのか、と問われると、答えに詰まる程度には深刻です。本稿では現役のサーバー管理者の視点で、今週中に本番機で何を確認・実行すべきかを書きます。
続きを読む "rootは取られていない、しかしSSHホスト鍵と/etc/shadowは漏れた|CVE-2026-46333(ssh-keysign-pwn)の正体と運用手順"
nginxに18年潜伏したCVE-2026-42945|Apache mod_rewrite世代のサーバー管理者が踏みやすい罠と設計レベルの回避策
2008年(v0.6.27)から混入していたものを、depthfirst の自動コード解析が 6時間で掘り当てた、というのが事件の本筋です。
ただニュースの多くは「世界Webサーバーの3割が危険」「未認証RCE」というショッキングな見出しで止まっています。Apache mod_rewrite の時代から20年以上 Linux サーバーの現場を触ってきた立場から見ると、もっと根が深い問題がここにあります。
それは 「$1 / $2 思考のまま書いた rewrite が踏みやすい構造になっている」ということ。Apache mod_rewrite の発想で nginx.conf を書いた人が、知らないうちに地雷を設置していた可能性が高い。
この記事のポイント
- CVE-2026-42945 は ngx_http_rewrite_module のヒープバッファオーバーフロー。CVSS v3.1=8.1 HIGH、CVSS v4.0=9.2 CRITICAL。
- 発火条件は3つAND。「rewrite の置換文字列に ? を含む」「unnamed PCRE capture($1, $2 等)を使う」「続けて if / set / rewrite が同一スコープにある」。1つ欠けると発火しない。
- 影響は NGINX Open Source 0.6.27 ~ 1.30.0。修正は 1.30.1 / 1.31.0。NGINX Plus は R32 P6 / R36 P4。
- 暫定回避策は 「unnamed capture を named capture(?<name>...)に書換える」これだけ。F5公式と depthfirst の見解が一致。
- Apache mod_rewrite には named capture という発想がそもそもない。Apacheから nginx に移行した管理者ほどこの罠を踏みやすい構造的理由がある。
続きを読む "nginxに18年潜伏したCVE-2026-42945|Apache mod_rewrite世代のサーバー管理者が踏みやすい罠と設計レベルの回避策"
Ubuntu運用者が今日打つapt自動更新とPro Livepatchの判断——22.04 / 24.04 / 26.04の差分整理
linux パッケージで "Needs evaluation"、注釈は "Fix is only in netdev tree for now"。AlmaLinux と Fedora は配布済、Debian と RHEL と Ubuntu は未配布。Ubuntu 利用者が今いる位置はそこです。書こうと決めたのは、Fragnesia 解説を出した同じ日の昼に、受講生から「うちの 24.04 サーバー、unattended-upgrades 任せだけど、これって自動で当たるんですか」と聞かれたから。20年以上 Linux サーバーの現場にいますが、Ubuntu の自動更新と Livepatch の判断を「最速で組む」必要に迫られたのは今回が一番強い局面です。
先に結論。Ubuntu の場合、apt の手当て・unattended-upgrades の挙動確認・Ubuntu Pro Livepatch の有効化、この3点を LTS 版数ごとに同時に組む必要があります。「ただ待つ」は最悪手です。
この記事のポイント
- Ubuntu CVE tracker 上、Dirty Frag・Fragnesia ともに USN 未発番。22.04 / 24.04 / 26.04 すべての
linuxパッケージが "Needs evaluation"(2026-05-15時点)。 - 影響範囲は Linux 4.11 系以降。22.04 GA(5.15)、22.04 HWE(6.8)、24.04 GA(6.8)、24.04 HWE(6.17)、26.04(7.0)すべて該当。フレーバ変更では逃げられない。
- Canonical 公式緩和は
esp4 / esp6 / rxrpcの modprobe.d ブラックリスト化+update-initramfs -u -k allまでが1セット。 - unattended-upgrades は
-securitypocket のカーネル更新を当てるが、再起動は自動ではない。新カーネルが入っても古いカーネルで走り続ける状態になりやすい。 - Ubuntu Pro Livepatch は個人5台無料・HWE 対応・10年カバー。USN を待たずに先に有効化しておくのが現実解。
続きを読む "Ubuntu運用者が今日打つapt自動更新とPro Livepatchの判断——22.04 / 24.04 / 26.04の差分整理"
Fragnesia(CVE-2026-46300)|パッチが新たな穴を作った2026年5月のLinuxカーネル事件
/usr/bin/su や /etc/passwd を直接改変して root を取られる類です。書こうと決めたのは、5/10の「Dirty Frag」記事で「次に同種バグが出る前提で備える」と書いた、その「次」が3日で来たからです。20年以上Linuxサーバーの現場にいますが、パッチを当てた結果が次のバグを生むケースをスポット速報で扱うのは記憶にありません。
先に結論。「Dirty Fragパッチを当てた」だけのカーネルは Fragnesia にまだ無防備です。パッチを当てて再起動した管理者ほど、もう一度棚卸しが必要だと思います。
この記事のポイント
- Fragnesia(CVE-2026-46300)は Dirty Frag のパッチ起因で表面化した新しいLPE。発見者 William Bowling 氏(V12)、公開2026-05-13。
- 根本原因は
skb_try_coalesce()がSKBFL_SHARED_FRAGを伝播しない欠陥。少なくとも2013年から潜伏。 - race condition 不要で page cache を決定論的に書き換えられる。Dirty Frag より悪用が安定。
- Dirty Fragパッチ済カーネルでも Fragnesia は別途未パッチ。RHEL / Ubuntu / Debian は5/15時点で公式パッチ未配布。
- Dirty Frag 公式緩和(esp4 / esp6 / rxrpc 無効化)は Fragnesia にも有効。「Dirty Frag対応済」と「Fragnesia対応済」を分けて棚卸しする必要がある。
続きを読む "Fragnesia(CVE-2026-46300)|パッチが新たな穴を作った2026年5月のLinuxカーネル事件"
生成AIがゼロデイを発見する時代|GoogleがLinux管理者に突きつけた「初の実例」
Google脅威インテリジェンスグループ(GTIG)が公開した報告書に、こう書かれていました。「私たちは、犯罪者がAIモデルを使ってゼロデイ脆弱性を発見し、武器化した世界初の実例を確認した」と。
20年以上Linuxサーバーの運用に関わってきましたが、正直、これは来ないでほしかった話です。「いつかは来る」と思っていた。でも「もう来た」は、心の準備ができていなかった。
本稿では、GTIGレポートの核心を現役Linux管理者の目線で整理し、今週中に確認すべきことを具体的に書きます。
Ubuntuパッケージ管理どれを使う?apt/Snap/Flatpakの違いを現役講師が整理
正直に告白すると、私もしばらく Snap を雑に扱っていた時期があります。受講生から「Snap版の Slack が起動しないんですが」と聞かれて、その場でうまく答えられず、夜にドキュメントを読み直した、という反省があります。Ubuntu 26.04 LTS が出た 2026年4月以降、apt と Snap と Flatpak の3方式が同じデスクトップに同居する場面が一気に増えました。20年以上Linuxサーバーを触ってきましたが、サーバー運用とデスクトップとでは、選ぶ基準がまったく違います。本稿では、現役管理者の目線で「サーバー運用 / デスクトップ / 学習用検証機」の判断軸を1本通しながら、apt・Snap・Flatpak の違いを整理します。Ubuntu 26.04 LTS の全体像を先に把握しておきたい方は「Ubuntu 26.04 LTS 変更点まとめ|25.10から何が変わったか現役講師が解説」を先に読んでおくと、本稿の細かい話がスッと入ります。
Apache 2.4.67で塞ぐ11件|HTTP/2の二重解放(CVE-2026-23918)が本命の理由
本命は CVE-2026-23918。HTTP/2 のストリーム処理で起きる二重解放(Double Free)で、CVSS 8.8 HIGH。リモートコード実行(RCE)の可能性まで踏み込んだ書きぶりが、Apache 公式・NVD・oss-security の3経路で出ています。
ただ、ここを「未認証RCEだ」と一足飛びに断定するのは、NVDの CVSS ベクターを読む限りやや踏み込みすぎだと思っています。後で詳しく書きますが、NVD は PR:L(低権限を要する)です。一方で第三者ベンダーの解説には「unauthenticated」と書くものもあり、扱いが割れています。
20年以上 Linux サーバーの現場にいますが、HTTP/2 の double free でここまで CVSS が振れるのは記憶にないレベルです。Apache HTTP Server を本番で使っているなら、11件の俯瞰よりも CVE-2026-23918 をどう塞ぐかに時間を割いた方が筋がいい。
この記事のポイント
- Apache 2.4.67 で修正された CVE は11件。本命は CVE-2026-23918(HTTP/2 二重解放、CVSS 8.8 HIGH)。
- 影響を受けるのは 2.4.66 のみ。古いバージョンを使っているサーバーは別の意味で危険ですが、CVE-2026-23918 単体の対象範囲は限定的です。
- 認証要否は両論あります。NVDではPR:L(低権限要)。一方ベンダーレポートには「unauthenticated」と書くものもある。運用環境次第で実質ほぼ無認証に近いケースもあるので、「PR:Lだから安心」という読み方は危険です。
- 「mod_http2 を無効化すれば塞げる」は Apache 公式アナウンスの暫定回避策ではありません。ベンダー解説の援用です。本記事でも区別して書きます。
- 残り10件は Moderate×2(mod_rewrite 権限昇格、mod_auth_digest タイミング攻撃)と Low×8。AJP系が多いので、リバースプロキシでAJPを使っていない環境なら影響は限定的です。
続きを読む "Apache 2.4.67で塞ぐ11件|HTTP/2の二重解放(CVE-2026-23918)が本命の理由"
古いPCをLinuxサーバー学習機に再生する方法|Q4OS・Mint Xfce・Zorin OS 18比較とUbuntu Server/AlmaLinux導入手順【2026年版】
正直に言うと、私もしばらくクラウドのインスタンスばかり触っていた時期があり、手元の検証機を雑に扱っていた反省があります。
万が一、クラウドが止まっても、自宅の物理マシンなら関係なく動きます。20年以上Linuxサーバーの運用に関わってきて、若手が伸びる瞬間を何度か見てきましたが、共通していたのは「いつでも壊して戻せる自分専用機がある」ことです。
本稿では、現役管理者の目線で、古いPCをLinuxサーバー学習用の検証機として再生する方法を、5本のディストロのインストール手順を交えて整理します。
続きを読む "古いPCをLinuxサーバー学習機に再生する方法|Q4OS・Mint Xfce・Zorin OS 18比較とUbuntu Server/AlmaLinux導入手順【2026年版】"
apt updateが急に遅い・失敗する原因と対処法|2026年5月Canonical DDoS障害で取るべきミラー切替手順
ゴールデンウィーク明け、出社前のコーヒー片手に運用機にSSHした瞬間、画面が止まりました。
2026年5月1日の朝のことです。前日4月30日の夕方(米時間)からCanonicalのインフラがDDoS攻撃を受けていて、archive.ubuntu.com も security.ubuntu.com も Snap Store も Launchpad も、ぜんぶ反応が鈍くなっていた。日本時間で見ると、5月1日朝に「世界的に何かおかしい」と認識された格好です。20年以上Linuxサーバーの運用に関わってきましたが、apt update がここまで広範に詰まる事象は記憶にないです。本稿では、現役の管理者目線で「apt update が急に遅い・失敗する」と感じたときに、現場でどう切り分けて、どう逃がすかを順序立てて書きます。
続きを読む "apt updateが急に遅い・失敗する原因と対処法|2026年5月Canonical DDoS障害で取るべきミラー切替手順"
Dirty Frag(CVE-2026-43284 / 43500)とは何か——Copy Failの暫定策が効かない理由と未パッチ期の管理者アクション
通称は「Dirty Frag」。CVE番号は2件チェーンで、CVE-2026-43284(xfrm-ESP / IPsec ESP処理)とCVE-2026-43500(RxRPC)です。発見者は Hyunwoo Kim 氏(@v4bel)。oss-security メーリングリストでの正式公開は 2026-05-08 03:56 KST。embargo中に第三者が公開コミットからn-day再構築してしまい、結果として早期公開に踏み切ったというのが今回の経緯です。
記事を書こうと決めたのは、Copy Fail(CVE-2026-31431)の続報を待っている読者が周りに何人もいたからです。Copy Fail公開からわずか9日。3週連続でLinuxカーネルのLPEが出てきている。20年以上Linuxサーバーの現場にいますが、ここまで間隔が詰まる時期は記憶にありません。
先に結論から書きます。Copy Failで打った algif_aead のブラックリストは、Dirty Frag には効きません。入口のモジュールが違うからです。「先週やったから大丈夫」と思っているサーバーは、もう一度棚卸しが必要です。
この記事のポイント
- Dirty Frag は CVE-2026-43284(xfrm-ESP)と CVE-2026-43500(RxRPC)の2件チェーン。Linux 4.11 系以降のほぼ全主流カーネルが対象です。
- Debian、AlmaLinux、Amazon Linux、SUSE は配布開始済(2026-05-08〜09)。RHEL と Ubuntu は本記事執筆時点(2026-05-10)で公式パッチ未配布、bulletin と CVE tracker の運用状態のみです。
- Copy Fail で打った algif_aead ブラックリストは Dirty Frag には無効。入口モジュールが esp4 / esp6 / rxrpc に変わっています。
- 未パッチ期に管理者がやれることは、カーネル更新最優先・必要なら esp4/esp6/rxrpc 無効化・最小権限と局所化(コンテナ隔離・SSHアクセス制限・SELinux強制)の3点に絞れます。
- Dirty Pipe → Copy Fail → Dirty Frag。3週連続のカーネルLPE公開は、運用現場に「カーネル更新を後回しにできない時代」を突きつけています。
続きを読む "Dirty Frag(CVE-2026-43284 / 43500)とは何か——Copy Failの暫定策が効かない理由と未パッチ期の管理者アクション"
732バイトでrootが取れる|CVE-2026-31431「Copy Fail」とLinuxサーバー管理者が今日打つべき一手
そう聞いた瞬間、心臓のあたりが冷たくなりました。
2026年4月29日、Theori社の Taeyang Lee 氏が、AI支援セキュリティ監査ツール「Xint Code」で発見したカーネル脆弱性を公開しました。CVE-2026-31431、通称「Copy Fail」。CVSS 3.1 で 7.8(HIGH)。Linuxカーネル crypto/algif_aead モジュールに2017年から潜んでいた論理バグです。
影響範囲は 5.10〜6.19 系列のほぼ全主流カーネル。Ubuntu、Debian、RHEL、SUSE、Amazon Linux、Fedora、Arch。要するに、現役で動いている自社サーバーのほとんどが該当します。20年以上Linuxサーバーの運用に関わってきましたが、ここまで「広く・浅く・確実に」効く脆弱性は久しぶりです。本稿では、現役のサーバー管理者目線で、月曜の朝に本番機で何を確認・実行するかを書きます。
続きを読む "732バイトでrootが取れる|CVE-2026-31431「Copy Fail」とLinuxサーバー管理者が今日打つべき一手"
パッチを当てても消えないバックドア|FIRESTARTERから学ぶLinuxサーバの永続化検知
そう思っていたのが、ここ数日で揺らいでいます。
2026年4月24日、CISA(米国サイバーセキュリティ・社会基盤安全保障庁)が勧告 AR26-113A を出しました。Ciscoのファイアウォール製品(ASA/Firepower)に、Linuxの実行ファイル形式(ELF)で書かれた永続化バックドア「FIRESTARTER」が仕込まれていた、という内容です。攻撃者はUAT-4356。2024年に騒がれた ArcaneDoor と同じグループだそうです。
正直、最初に読んだとき「これはきつい」と声に出ました。
何がきついかというと、パッチを当てても消えないからです。ファームウェアを更新しても消えない。普通に再起動しても消えない。
この記事では、20年以上Linuxサーバーの運用に関わってきた立場から、FIRESTARTERのインシデントを「Cisco機器の話」で終わらせず、汎用Linuxサーバーの永続化バックドア検知という実務にどう落とすかを書きます。
auditd、AIDE、systemd、ss、lsof、/proc、rkhunter、YARA。記事を読み終わるころには、自分のサーバーで何を見るべきかが具体的に分かる構成にしました。
日本のLinuxエンジニアに迫るキャリア転機|フランス250万台移行が示す需要シフト
このニュースを「海外の話」で終わらせてしまうとしたら、それはもったいない判断です。
この動きが示しているのは、世界規模でLinuxエンジニアの需要が構造的に変化しているということです。20年以上Linuxサーバーを運用し、3,100名以上にLinuxを指導してきた経験から言うと、こうした大規模な業界変化の前に動けるかどうかが、エンジニアのキャリアの分岐点になります。
この記事では、フランスの移行事例を入口に、日本のLinuxエンジニアが今すぐ準備すべきスキルとキャリア戦略を解説します。
この記事のポイント
・フランス250万台移行が示すLinux需要の構造的変化
・日本のエンジニア市場でLinuxスキルが希少価値を持つ理由
・Windows担当エンジニアとの差別化に必要な具体的スキル
・需要拡大の波に乗るために今すぐ始めるべき準備
systemdを疑うエンジニアが増えている——MX Linux人気上昇が示す「init設計」の本質
セミナーでこんな質問を受けることがあります。MX Linuxが海外レビューサイトで好意的に取り上げられることが増え、「systemdを使わないディストリビューション」というキーワードが注目を集めているのを見て、疑問を持った方からの質問です。
この記事では、20年以上Linuxサーバーを運用してきた経験から、systemdが普及した背景、なぜ反systemdの動きが根強いのか、そして現場エンジニアはこの論争をどう受け止めるべきかを3軸で整理します。
結論から言えば、「systemdが正しいかsysVinitが正しいか」を決めることより、「どちらを選んだかを語れること」の方が、現場での価値につながります。
この記事のポイント
・systemdが標準になった経緯と、その設計思想が批判される理由
・MX Linuxが支持される理由は「軽さ」ではなく「設計判断への共感」
・init系の変遷を知ることで、現場での会話力と設計判断力が上がる
・「使えるLinuxエンジニア」と「語れるLinuxエンジニア」の差は知識の体系化にある
MCPがLinux Foundation傘下になった意味を、現役Linuxエンジニアが正直に語る|AIエージェントとLinuxサーバーの接点として今どう位置づけるか
「AIとLinuxサーバーが連携するって、現場でどういう意味を持つの?」
そんな疑問を持っている方に向けて書きました。
この記事では、20年以上Linuxサーバーを運用してきた経験から、2025年11月に発表されたMCP(Model Context Protocol)のLinux Foundation移管について、技術仕様の話ではなく、「Linux Foundationが管理するということの重み」と「AIエージェントとLinuxサーバーの接点として今どう位置づけるか」を正直にお伝えします。
3,100名以上のエンジニアを指導してきた中で、こうした業界動向を早めに押さえている人ほど、現場での意思決定の質が違うと感じています。
この記事のポイント
・Linux Foundationへの移管は「特定企業の製品」から「業界標準」へのシフトを意味する
・MCPはAIエージェントがLinuxサーバーのリソースを操作するための共通プロトコル
・エンタープライズ現場でのMCP採用は2026年から本格化する段階に入っている
・Linuxエンジニアが今MCPを学ぶ優先度は高く、学習順序も整理できる
続きを読む "MCPがLinux Foundation傘下になった意味を、現役Linuxエンジニアが正直に語る|AIエージェントとLinuxサーバーの接点として今どう位置づけるか"
Linux 7.1でNTFSドライバが"復活"|4年越しの全面書き直しをTorvaldsが承認した理由
そう思ったことがある方に、今回は少し明るい知らせをお届けします。
2026年4月、Linuxカーネル開発コミュニティで「NTFSの復活」と呼ばれる出来事がありました。
4年越しに全面書き直しされたNTFSドライバが、Linus Torvalds本人の承認を得てLinux 7.1へのマージが確定したのです。
この記事では、NTFSドライバの歴史的経緯と今回の変更が何を意味するのか、デュアルブートで使っているエンジニアの目線から解説します。
・Linux 7.1で「NTFS Resurrection」と呼ばれるNTFSドライバの全面書き直しがマージ確定
・Linus Torvalds自身が"NTFSの復活"とコメントして承認した経緯
・4年越しの書き直しがなぜ必要だったか(ntfs3ドライバの問題と背景)
・デュアルブート環境での読み書き信頼性が今後どう変わるか
高年収エンジニア110人調査:77%がLinux基礎学習を若手に勧める理由とは|LPI-Japan調査から読み解く基礎力の本質
そう思っているエンジニアに、ぜひ知ってほしいデータがあります。2026年1月、特定非営利活動法人LPI-Japanが実施した調査で、年収700万円以上のインフラエンジニア110名に「若手エンジニアへのLinux・OS基盤技術の学習」について聞いたところ、77.3%が「推奨する」と回答しました。
この記事では、その調査結果を詳しく読み解きながら、20年近くLinuxサーバーを運用し、3,100名以上にLinuxを教えてきた経験から「なぜ今、基礎を固めることが最も重要なのか」をお伝えします。
【この記事でわかること】
・LPI-Japan調査で高年収エンジニアの77.3%がLinux基礎学習を推奨した理由
・なぜ今の若手はOS/基盤技術を学ぶ機会が減っているのか
・高年収エンジニアが若手に伝えたい「本当に役立った学習法」
・今すぐLinux基礎を固めるべき具体的な理由と第一歩
続きを読む "高年収エンジニア110人調査:77%がLinux基礎学習を若手に勧める理由とは|LPI-Japan調査から読み解く基礎力の本質"
LinuxカーネルがAIコード受入れポリシーを策定した意味|20年運用してきたエンジニアの視点
2025年12月23日にパッチメールで提案され、2026年1月6日にLinuxカーネルのソースツリーにコミットされた coding-assistants.rst。この59行の文書は、2025年のMaintainers Summitでの議論を経て、AI生成コードをどう扱うかの公式ルールを定めたものです。
この記事では、20年近くサーバーを運用してきた経験から、このポリシーが何を意味するのか、そしてAI時代にLinuxエンジニアとして何が求められるのかを、私なりの視点で語ります。
【この記事でわかること】
・Linuxカーネルが採択したAIコード受入れポリシーの核心
・Signed-off-byとAssisted-byタグの役割と意味
・他のOSSプロジェクトとの対応の違いから見えるLinuxの合理性
・AI時代にLinuxエンジニアに求められる姿勢
Linux 7.0カーネルを実務視点で読む|Rust正式化とext4・XFS改良がサーバー運用に与える影響
ただ、こういうメジャー番号の変更は、商用ソフトウェアの「大型アップデート」とは意味合いが違います。派手な見出しに振り回されず、実務にどう効くかを冷静に読み解く必要があります。
この記事では、20年近くLinuxサーバーを運用してきた一人の現役エンジニアとして、Linux 7.0の変更点を「現場の目線」で整理します。Rustの正式化、ext4とXFSの改良、そしてサーバー用途別の評価まで、2026年の実装現場で押さえておくべき論点に絞って解説します。
・Linux 7.0は11,588件の非マージコミットを含む実務直結のリリース
・Rustが「実験」を卒業、今後のドライバ実装の正規選択肢に
・ext4のconcurrent direct I/O改善とXFSの自律自己修復で運用が変わる
・Webサーバー/DBサーバー/ストレージサーバー別に評価ポイントを整理
続きを読む "Linux 7.0カーネルを実務視点で読む|Rust正式化とext4・XFS改良がサーバー運用に与える影響"
Anthropic「Project Glasswing」とは?意味とAIがLinuxカーネルの脆弱性を自律発見するサイバーセキュリティ構想
この問いに、Anthropicが2026年4月7日、具体的な答えを突きつけました。
「Project Glasswing(プロジェクト・グラスウィング)」——Linuxカーネル、Firefox、OpenBSDといった世界中で使われるソフトウェアの脆弱性を、AIが自律的に発見するサイバーセキュリティ構想です。
AWS、Apple、Google、Microsoft、Linux Foundationなど11の大手企業・団体が参加し、AIを「防衛側」として活用する歴史的な取り組みがスタートしました。
【この記事でわかること】
・Project Glasswingとは何か、なぜ今注目されているのか
・AIモデル「Claude Mythos Preview」が発見した具体的な脆弱性事例(Linuxカーネル・OpenBSD・FFmpegなど)
・参加企業・出資規模(最大1億ドル)の詳細
・LinuxエンジニアやIT管理者が知っておくべき今後の影響
続きを読む "Anthropic「Project Glasswing」とは?意味とAIがLinuxカーネルの脆弱性を自律発見するサイバーセキュリティ構想"
Linux 7.1でi486 CPUサポートが終了|現場エンジニアが知っておくべき32ビット時代の幕引き
そう思ったことがある方に、今回はLinuxカーネル開発の重要な節目をお伝えします。
2026年、Linuxカーネル7.1において、Intel i486プロセッサへのサポートが正式に廃止されることが発表されました。
1989年に登場したi486は、実に37年にわたってLinuxカーネルにサポートされ続けていましたが、ついにその幕を閉じることになります。
この記事では、i486サポート終了の背景と技術的な意味、そして現場エンジニアへの実際の影響を解説します。
この記事のポイント
・Linux 7.1でIntel i486 CPUのサポートが正式に廃止される
・37年間続いた互換性が終了。現代の実務環境への影響はほぼゼロ
・サポート廃止の背景にはカーネル品質向上とメンテナンス効率化がある
・古いハードウェアを使い続けたい場合は旧バージョンのカーネルを使う
続きを読む "Linux 7.1でi486 CPUサポートが終了|現場エンジニアが知っておくべき32ビット時代の幕引き"
GitHubに潜む「不可視文字攻撃」GlassWormとは|Linuxエンジニアが知るべきOSSサプライチェーンの脅威
OSSを日常的に活用するLinuxエンジニアにとって、ここ最近もっとも注意すべき脅威が水面下で急拡大しています。
日経クロステックの報道(2026年4月)によると、「GlassWorm」と呼ばれる新型サイバー攻撃がGitHubやnpm、Open VSXといったコード管理プラットフォームで猛威を振るっており、151件以上のGitHubリポジトリと433件以上のソフトウェアパッケージが汚染されていることが確認されています。
この記事では、GlassWormの仕組みをLinuxエンジニア向けにわかりやすく解説し、現場での対策を考えます。
この記事のポイント
・GlassWormはUnicode不可視文字を使い、コードレビューをすり抜けてマルウェアを埋め込む
・1行のコードの中に1万8000行以上の悪意あるコードが隠せることが判明
・GitHubのOSSを利用する開発・運用現場は今すぐ対策が必要
・検出にはテキストエディタでのUnicode確認や専用ツールの活用が有効
続きを読む "GitHubに潜む「不可視文字攻撃」GlassWormとは|Linuxエンジニアが知るべきOSSサプライチェーンの脅威"
Ubuntu 26.04 LTSにすぐアップグレードすべきか?現役講師が語る移行判断の勘所と注意点
サーバー管理者にとって、LTSの新バージョンが出るたびに必ず直面する問いです。
この記事では、15年以上Linuxサーバーを運用し、3,100名以上にLinuxを指導してきた立場から、Ubuntu 26.04 LTS(コードネーム:Questing Quokka)の主要な変更点と、企業サーバー環境での移行判断ポイントを解説します。
・Ubuntu 26.04 LTSの主要な変更点とカーネル6.14系がもたらす影響
・本番サーバーはリリース直後にアップグレードすべきでない理由と推奨スケジュール
・Snap化の加速がサーバー運用に与える影響と注意点
・RHEL 10との比較で見えるUbuntu 26.04 LTSの立ち位置
Linuxに安易なパスワード設定すると、こんな被害に遭う?
リナックスマスター.JPの宮崎智広です。
いつもありがとうございます。
少し前にこんなニュースがあったのを知っていますか?
要約すると、
「セキュリティが甘いLinuxに大々的にハッキングを仕掛けるよ。だから注意してね。」
ってニュースです。
元々は海外ニュースだったんですが、マイナビさんが翻訳してくれてました。
攻撃は、「Tsunami DDoSボット」により行われ、
侵入されると色々なマルウェアを感染させるとあります。
Tsunamiなんて言葉が入っているから、
作成者は日本人?なんて思っちゃいますが、
「Tsunami」は世界中で使われているのでそうとも限りませんね。
この攻撃自体はとても単純なんですよね。
Red Hat Insightsを無効にする
メッセージが表示されるようになりました。
Register this system with Red Hat Insights: insights-client --register
Create an account or view all your systems at https://red.ht/insights-dashboard
Red Hat Insightsとは
Red Hat Insightsは、OSにインストールされたクライアントがシステムの情報を吸い上げ、Red Hat社が提供するInsightのサイトに情報を送付しWebUIを通して可視化するものです。
このInsightsを用いることで、各システムの「現在のヘルスチェック」を行うようなことが出来ます。
【ポストCentOS5選】CentOSサポートが遂に終了。次にくるディストリビューションは?
【ポストCentOS5選】CentOSサポートが遂に終了。次にくるディストリビューションは?
遂にCentOS8のサポートが、2021年12月31日で終了します。
それに伴い、今後CentOS9のリリースはなく、RHELのアップストリームに位置する
「CentOS Stream」に移行します。
実際につい先日、
「CentOS Stream 9」の提供がスタートしました。
あなたは、CentOSの次、「何を使えば良いのか。」
悩んでいませんか?
特に長期に使うことが前提の企業の場合、
選択は間違えたくないですよね。
そこで...
ポストCentOSになり得る
ディストリビューションを紹介します。
いずれも無償で利用できて、
RHELのダウンストリームに位置しますので参考にしてください。
サポート終了したCentOS5をアップデートする
それ以降yumを使用したアップデートができなくなっています。
サポート終了した時点で、次期バージョンに移行し終わっているのが理想ですが、
クローズド環境で運用しているシステムでは、何らかの理由で次期バージョンに
移行できないケースがあります。
そのような場合でもある程度時間が経過すると
アップデートしたいという要望があると思いますので、
今回は、サポート終了したCentOS5でyumアップデートする手順を紹介します。
サポート終了したCentOS5のyumアップデート手順
yumアップデートを実行するとシステムに不具合で出る場合があります。実行する前にテスト環境で充分検証を行うことを推奨します。
作業実施にはroot権限が必要になります。
今回はCentOS5.7をCentOS5.11にアップデートします。
1.CentOS5のバージョンを確認する
# cat /etc/redhat-release
CentOS release 5.7 (Final)
2.カーネルバージョンを確認する
# uname -a
Linux Mail_001_Enetmercury.localdomain 2.6.18-274.3.1.el5xen #1 SMP Tue Sep 6 20:57:11 EDT 2011 x86_64 x86_64 x86_64 GNU/Linux
LinuxにUSB外付けHDDを接続する(NTFSフォーマットの場合要注意)
その際、NTFSフォーマットのUSB外付けHDDを利用する際の注意手順も紹介します。
LinuxにUSB外付けHDDを接続
1.messagesファイルのログをリアルタイムで表示します。
# tail -f /var/log/messages
2.USB外付けHDDを接続しデバイス名が表示されるか確認します。
下記ログが表示され、カーネルにUSB外付けHDDが認識されることが分かります。
しかし、例では自動で割り当てるはずのデバイス名が割当られません。
その場合、Windows用のNTFSフォーマットが読み込めないのが原因になります。
引き続き、
「3.NTFSフォーマットHDDを読み込めるようにする」以降の作業を行ってください。
デバイス名が表示される場合は、
「8.messagesファイルのログをリアルタイムで表示しつつ、USB外付けHDDを再度接続する」
から参照してください。
Mar 3 17:45:18 Tiger kernel: usb 1-1: new high-speed USB device number 2 using ehci-pci
Mar 3 17:45:18 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:19 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:19 Tiger kernel: usb 1-1: new high-speed USB device number 3 using ehci-pci
Mar 3 17:45:19 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:20 Tiger kernel: usb 1-1: device descriptor read/64, error 18
Mar 3 17:45:20 Tiger kernel: usb usb1-port1: attempt power cycle
Mar 3 17:45:20 Tiger kernel: usb 1-1: new high-speed USB device number 4 using ehci-pci
Mar 3 17:45:20 Tiger kernel: usb 1-1: Invalid ep0 maxpacket: 9
Mar 3 17:45:20 Tiger kernel: usb 1-1: new high-speed USB device number 5 using ehci-pci
Mar 3 17:45:20 Tiger kernel: usb 1-1: Invalid ep0 maxpacket: 9
Mar 3 17:45:20 Tiger kernel: usb usb1-port1: unable to enumerate USB device
3.NTFSフォーマットHDDを読み込めるようにする
epel-releaseリポジトリを追加します。
# yum install epel-release
読み込んだプラグイン:fastestmirror, langpacks
Determining fastest mirrors
* base: ftp.riken.jp
* extras: ftp.riken.jp
* updates: ftp.riken.jp
base | 3.6 kB 00:00:00
extras | 2.9 kB 00:00:00
updates | 2.9 kB 00:00:00
(1/4): base/7/x86_64/group_gz | 165 kB 00:00:00
(2/4): extras/7/x86_64/primary_db | 159 kB 00:00:00
(3/4): updates/7/x86_64/primary_db | 6.7 MB 00:00:03
(4/4): base/7/x86_64/primary_db | 6.0 MB 00:00:11
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ epel-release.noarch 0:7-11 を インストール
--> 依存性解決を終了しました。
依存性を解決しました
====================================================================================================
Package アーキテクチャー バージョン リポジトリー 容量
====================================================================================================
インストール中:
epel-release noarch 7-11 extras 15 k
トランザクションの要約
====================================================================================================
インストール 1 パッケージ
総ダウンロード容量: 15 k
インストール容量: 24 k
Is this ok [y/d/N]: y ←「y」を入力します。
Downloading packages:
epel-release-7-11.noarch.rpm | 15 kB 00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
警告: RPMDB は yum 以外で変更されました。
インストール中 : epel-release-7-11.noarch 1/1
検証中 : epel-release-7-11.noarch 1/1
インストール:
epel-release.noarch 0:7-11
完了しました!
[root@Tiger ~]#
RHEL7/CentOS7が重要カーネルセキュリティアップデートをリリース【CVE-2019-14821/CVE-2019-15239】
重要なカーネルセキュリティアップデートのアナウンスがされています。
RHSA-2019:3979 - Security Advisory
Red Hat Enterprise Linux 7 and CentOS 7 Receive Important Kernel Security Update
対象となる脆弱性
対象となる脆弱性は下記になり、それを修正します。・CVE-2019-14821
・CVE-2019-15239
これらの脆弱性は、潜在的な権限昇格、カーネルパニック、情報の不正改ざん、
不正取得、サービス運用妨害 (DoS) 状態にされるなどの危険性があります。
続きを読む "RHEL7/CentOS7が重要カーネルセキュリティアップデートをリリース【CVE-2019-14821/CVE-2019-15239】"
Fedora 31リリース
2019年11月5日、「Fedora 31」が正式リリースされました。
オフシャルエディションは下記2つになります。
・デスクトップ版「Fedora Workstation」
・サーバー版「Fedora Server」
上記の他に、
プレビュー版として下記3つのエディションがリリースされています。
・コンテナワークロードに最適化された「Fedora CoreOS」
・デスクトップをイミュータブルに設計した「Fedora Silverblue」
・IoTやエッジコンピューティングに特化した「Fedora IoT」
Linuxの「sudo」コマンドにroot権限奪取の脆弱性
Linuxの「sodo」コマンドに深刻な脆弱性が発見されました。
本来であれば、root権限を使用できない
ユーザーでもそれが奪取可能になるというものです。
これは、sudoの権限設定ファイル「sudoers」を
正しく設定していも発生する脆弱性になり、
完全にrootとして振る舞えます。
速やかなsudoコマンドの更新が必要ですが、
2019/10/16現在、ディストリビューションによっては、
更新が用意できていない場合があります。
CentOS8とCentOS7の違い、変更点のまとめ
これまでのCentOS7との違いはどこにあるのでしょうか?
興味があったのでまとめてみました。
パフォーマンスが向上
開発者のツイートでは、 「EPYC 7742 2P」で38%、「Xeon Platinum 8280 2P 」で33%の向上が確認出来たそうです。また、こちらの記事の検証では、約10%のパフォーマンス向上が認めらたそうです。ImageMagick脆弱性暫定対応(CVE-2016-3714)
G.W中に「ImageMagick」の脆弱性がアナウンスされました。
ImageMagickを対処済の最新バージョンに更新することで対応可能ですが、
現時点でディストリビューターから最新バージョンの提供がない場合、
ImageMagickの設定ファイル「policy.xml」を編集して、
一部処理について制限を行うことで脆弱性に暫定対応できます。
※本対策を行うと、これまで可能であった動作においても、
エラーが発生する可能性があります。
※本対策はディストリビューターから正式なアップデートが
提供されるまでの暫定措置となり、制限は解除予定です。
glibc にバッファオーバーフローの脆弱性(CVE-2015-7547)
GNUのCライブラリ「glibc」に、深刻なバッファオーバーフローの脆弱性が発見されました。
2008年5月に公開された「同2.9」以降のすべてのバージョンが影響を受け、
遠隔の攻撃者によって、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を
受けたりする可能性があります。
各開発者が提供する情報をもとに、アップデートを適用する必要があります。
■関連情報
・glibc ライブラリの脆弱性 (CVE-2015-7547) に関する注意喚起
・glibc にバッファオーバーフローの脆弱性
・Linuxなどで利用する「glibc」に深刻な脆弱性 - コード実行のおそれ
・CVE-2015-7547(Red Hat 英語)
今回アップデート手順を実施した環境は、CentOS7.1になります。
[root@Tiger ~]# cat /etc/redhat-release
CentOS Linux release 7.1.1503 (Core)
対象はCentOS6、CentOS7になり、CentOS5は影響を受けないので対象外です。
ntpdの脆弱性アップデート手順(CVE-2014-9298,CVE-2014-9297・・・etc)
ネットワーク経由で時刻調整を行うntpdに複数の脆弱性が発見されています。
今回は、ntpdの脆弱性アップデート手順を紹介します。
■関連情報
Network Time Protocol daemon (ntpd) に複数の脆弱性
ntpd 脆弱性におけるパッケージのアップデートについて
今回対応できる脆弱性は下記になります。
・スプーフィングによる認証回避 (CWE-290) - CVE-2014-9298
ソースアドレスを IPv6 アドレス ::1 に偽装されると、ACL による制限を回避される可能性があります。
・プログラムの異常状態や例外条件を適切に検査しない (CWE-754) - CVE-2014-9297
ntp_crypto.c において拡張フィールドの長さ (vallen) の値が正しく検証されていないため、
情報漏えいやプログラムの異常終了が発生する可能性があります。
・PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293
ntp.conf ファイルで auth key が設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。
・暗号における脆弱な PRNG の使用 (CWE-338) - CVE-2014-9294
4.2.7p230 より前のバージョンの ntp-keygen は、弱いシード値で暗号論的に
不適切な乱数生成器を使い、対称鍵を生成します。
・スタックバッファオーバーフロー (CWE-121) - CVE-2014-9295
ntpd の crypto_recv() (autokey 認証利用時)、ctl_putdata()、および configure() には、
細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
・エラー条件、戻り値、状態コード (CWE-389) - CVE-2014-9296
ntpd において特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、
エラー発生時に処理が停止しない問題があります。
OpenSSLの脆弱性アップデート手順(CVE-2014-3570,CVE-2014-3571・・・etc)
昨年からHeartbleedや、POODLEなどの脆弱性が報告されている
OpenSSLのアップデート手順を紹介します。
今回アップデート手順を実施した環境は、CentOS6.5になります。
[root@Tiger ~]# cat /etc/redhat-release
CentOS release 6.5 (Final)
今回対応できる脆弱性は下記になります。
・CVE-2014-3570
攻撃者に暗号保護メカニズムを破られやすい。
・CVE-2014-3571
攻撃者が細工したDTLSメッセージを使うことで、
NULLポインタ参照とアプリケーションのクラッシュによるサービス妨害を引き起こします。
・CVE-2014-3572
ECDHE-to-ECDH ダウングレード攻撃されます。
・CVE-2014-8275
攻撃者が細工されたデータを送ることで、保護メカニズムが破られます。
・CVE-2015-0204
SA-to-EXPORT_RSA ダウングレード攻撃や、
ブルートフォース復号で、弱いRSAキーを提供します。
・CVE-2015-0205
細工されたTLS Handshake Protocol により、CertificateVerifyメッセージを
必要とせずにDiffie-Hellman (DH)証明書でクライアント認証を受け入れます。
・CVE-2015-0206
攻撃者が多くのレコードを送ることにより、
メモリリークによるサービス停止を引き起こします。
続きを読む "OpenSSLの脆弱性アップデート手順(CVE-2014-3570,CVE-2014-3571・・・etc)"
bashの脆弱性アップデート手順(CVE-2014-6271, CVE-2014-7169)
Linuxで使用されているbashに脆弱性が見つかりました。
米国立標準技術研究所(NIST)が出した脅威評価は、
10段階中「10」と最も重大に位置づけられています。
ディストリビューターから対策済みプログラムが提供されていますので、
下記手順を実施し、速やかにアップデートを適用する必要があります。
今回の実行環境はCentOS6.4になりますが、
CentOS5、CentOS7にも同じ手順で適用できます。
CentOS6.4をLinuxカーネル3.10.0にアップデートしてみました(カーネル再構築)
2013年06月30日にLinuxカーネル3.10.0がリリースされました。
今回のアップデートでは、SSDをハードディスクのキャッシュとして利用することで高速化する
「bcache」が導入されています。
また、タイマーを使わずにマルチタスクを実現する「Timer free multitasking」を導入したことで、
CPUの消費電力削減や処理パフォーマンスの向上といった効果が期待できます。
早速、CentOS6.4にLinuxカーネル3.10.0を導入(カーネル再構築)してみたので、
その手順を紹介します。
(基本的に本サイトで過去行なってきたカーネル再構築と同じ手順で出来ます。)
※本ページで紹介しているアップデートは自己責任でお願いいたします。
1.現在のバージョンを確認します。
カーネルバージョンが2.6、CentOS6.4です。
[pakira@Tiger ~]$ su -
パスワード:
[root@Tiger ~]# cd /usr/local/src
[root@Tiger src]# uname -r
2.6.32-358.el6.i686
[root@Tiger src]# cat /etc/redhat-release
CentOS release 6.4 (Final)
makeコマンドのコンパイルを「-j」オプションで高速化
MySQLなどをmakeでコンパイルしようとした場合、処理に時間が掛かります。
そのような場合、マルチプロセッサ環境であれば、makeコマンドに「-j」オプションを
付けて実行すると、コンパイルが並列処理され、時間短縮することができます。
書式
make -j ジョブ数
■実行環境
・VMware Player5
・仮想マシンのスペック
・CentOS6.4
・メモリ :1GB
・CPUコア数:4
コンパイルソフト:Apache 2.2.24
処理時間を測定するために、timeコマンドを付けてmakeを実行しました。
■-jオプション無しで実行
[root@Tiger httpd-2.2.24]# time make
real 5m2.725s
user 0m49.494s
sys 5m14.875s
CentOS6.4がリリースされました。
2013年3月9日にCentOS6.4がリリースされました。
一時期、他のRed Hat Enterprise Linux(RHEL)クローンディストリビューションに比べ、
リリースが遅れ気味でしたが、ここ最近は対応が早いですね。
■CentOS 6.4登場
■「CentOS 6.4」が公開、Microsoft Hyper-Vドライバなどを追加
主な変更点や既知の問題は、CentOS 6.4リリースノートにまめられ公開されています。
■CentOS 6.4リリースノート(英文)
今回のアップデートでは、
マイクロソフトのHyper-Vサーバーにインストールされた時の利便性を上げるため、
Hyper-Vドライバの追加(これによりHyper-V上でCentOSを動作させるとパフォーマンスが向上するらしい)と、
Active Directory(AD)ドメインとの相互接続性を改善するために、Samba4対応が特徴です。
CentOS6.4のダウンロードは下記公式サイトから行えます。
■CentOS公式サイト
CentOS6.4の無料サーバー構築マニュアルは↓からダウンロードできます。
■CentOS6.4の無料サーバー構築マニュアル
CentOS6.4サーバー構築手順紹介ページ
■CentOS6.4のサーバー構築手順はこちらのページで見られます。
CentOS6.3をLinuxカーネル3.8にアップデートしてみました(カーネル再構築)
2013年02月20日にLinuxカーネル3.8がリリースされました。
今回のアップデートでは、
Ext4(fourth extended file system)ファイルシステムで、
inode内にファイルを埋め込む機能が追加されたことで、
ディスク容量の無駄な消費を低減し、読み込み速度の向上を図っています。
また、既に多くのディストリビューションで採用されている
次世代ファイルシステム「Btrfs(B-tree file system)」の強化も行われ、
複数のストレージデバイスに渡ってファイルシステムを利用している場合、
新たに追加されたreplace機能により、ファイルシステムをアンマウントせずとも
ストレージデバイスの置き換えが可能になっています。
さらに、現状では実験的な位置づけですが、
SSD向けファイルシステム「F2FS (Flash-Friendly File System) 」が
新たに導入されています。
この他に、ARMプロセッサのサポートが進化したのと同時に、
以前よりアナウンスされていた386プロセッサのサポートが廃止されています。
早速、CentOS6.3にLinuxカーネル3.8を導入(カーネル再構築)してみたので、その手順を紹介します。
※本ページで紹介しているアップデートは自己責任でお願いいたします。
1.現在のバージョンを確認します。
カーネルバージョンが2.6、CentOS6.3です。
[pakira@Tiger ~]$ su -
パスワード:
[root@Tiger ~]# cd /usr/local/src
[root@Tiger src]# uname -r
2.6.32-279.el6.i686
[root@Tiger src]# cat /etc/redhat-release
CentOS release 6.3 (Final)
CentOS6.3をLinuxカーネル3.6にアップデートしてみました(カーネル再構築)
10月1日にリリースされたばかりのLinuxカーネル3.6を
CentOS6.3に導入してみたので、その時の手順を紹介します。(カーネル再構築)
※本ページで紹介しているアップデートは自己責任でお願いいたします。
1.現在のバージョンを確認します。
カーネルバージョンが2.6、CentOS6.3です。
[root@Tiger ~]# cd /usr/local/src
[root@Tiger src]# uname -r
2.6.32-279.el6.i686
[root@Tiger src]# cat /etc/redhat-release
CentOS release 6.3 (Final)
LinuxがプリインストールされているPC|System76・Tuxedo・ThinkPad認定モデルの選び方
「Windows用PCに入れたら画面が真っ黒、Wi-Fiも掴まない」
こうした「動くはずだったのに動かない」という相談は、私のセミナーでも毎月のように受けます。
この記事では、LinuxがプリインストールされているPC(以下、Linuxプリインストール機)のメリット・選び方・2026年時点の主要メーカーまでを、サーバー管理者の現場目線で解説します。
Windows用PCに無理やりLinuxを入れて消耗するくらいなら、「最初からLinuxが動くPC」を選ぶ方が、学習にも実務にも圧倒的に近道です。
この記事のポイント
・LinuxプリインストールPCは「Wi-Fi・サスペンド・指紋認証」が初日から動く
・代表メーカーはSystem76/Tuxedo/Slimbook/Star Labs/Dell XPS Developer Edition
・国内入手は直販輸入か、Linux認定モデル指定でThinkPadを買う2択
・自作・中古PCでLinuxを動かす場合はLVFSとカーネルバージョンを必ず確認する
続きを読む "LinuxがプリインストールされているPC|System76・Tuxedo・ThinkPad認定モデルの選び方"
Linuxが使えるパソコンって?
こんにちわ。
リナックスマスター.JPの宮崎です。
LinuxメルマガやLinuxサイトを運営してると、色々な質問をもらいます。
その中で一番多い質問が「Linuxが使えるパソコンって?」という類のものです。
例えば、
1.DELLの●●という機種を使っているのですが、Linuxはインストールできますか?
2.Linuxがインストールできるパソコンを教えてください。
などなどの質問です。
1については、メーカーに直接聞いてください(笑)
メーカーサイトに行けば、動作保証しているLinuxが掲載されていますし、
そもそも私も同じ機種を持っているわけではないので分かりません。
ちなみに、サイトに動作保証対象外のLinuxについて問い合わせても
「自己責任確認してください。」と言われてしまいます(笑)
(過去に確認済み)
2については私が使用しているPCを教えれば良いのですが、
既に販売が終了したサーバーしか所有してない為、あまり意味がありません。
ネットで検索すれば、LinuxをプリインストールしたPCを売っている
メーカーがありますので、そのようなところで購入するのが良いと思います。
つまり、メーカーが動作保証していないLinuxについては、
実際にインストールしてみないとわからないという事になります。
残念な事に、
メールサーバー構築において注意すべき3つのポイント
こんにちわ。
リナックスマスター.JPの宮崎です。
今回はメールサーバーを構築する際において、
外すことの出来ない重要なセキュリティ対策を3つ紹介します。
メールサーバー技術を習得するには、実際に構築して技術を
習得することも大切ですが、その前段階として絶対に外せない
セキュリティ上のポイントを押える必要があります。
そのポイントを出来るだけサラっと読めるようにしましたので、
5分だけお付き合いください。
■スパムメール(迷惑メール)対策
昨今、非常に問題になっているスパムメールは
メールサーバー構築において必要な対策の一つになっています。
スパムメールとは、自分で登録した覚えがないのに
商品広告の案内や出会い系サイトの案内メールなどが届くと言うものです。
あなたも一度はスパムメールを受信した経験があるのではないでしょうか?
VMware Player3を使うメリット
こんにちわ。
リナックスマスター.JPの宮崎です。
今日は本サイトでも紹介しているVMware Player3を使うメリットに
ついてお話したいと思います。
VMware Playerは、1 台のPC上で複数のオペレーティングシステム(以下OS)を
同時に実行することができます。例えば、Windowsにインストールした場合、
Windows上でLinuxやMacOSを動かすことが可能です。
↓の画像のようにWindows上でCentOSを稼働させることができます。
Vine Linux5.1がリリースされました。
こんにちわ。
リナックスマスター.JPの宮崎です。
2010年2月26日にVine Linux5.1がリリースされましたね。
Vine Linux5になってから起動時間が大幅に短縮されたり、
収録ソフトウエアが大幅に刷新されたりと随所に改良がみられます。
Vine Linuxを使うメリットととしては、やはり安定志向を重視している
ディストリビューションであるため、比較的サーバー用途に向いている
ということではないかと思います。
古いバージョンのCentOSをダウンロードするには?
こんにちわ。
リナックスマスター.JPの宮崎です。
突然ですが、あなたが好きなLinuxって何ですか?
Vine Linuxですか?
Fedoraですか?
それともUbuntuでしょうか?
CentOSという人も結構多いのではないかと思います。
でも、CentOSって新しいバージョンがリリースされると
過去の旧バージョンは公式サイトから削除され
ダウンロード出来なくなってしまいます。
(Vine Linuxは旧バージョンもダウンロードできます。)
今日は削除されてダウンロード出来なくなった旧バージョンの
CentOSをダウンロードする方法をご紹介します。