ponkotsu 26 April 2022

ubuntu22 eye catch

Ubuntu 22.04LTSはじめました

予定通り4/21にUbuntu 22.04LTSがリリースされました

WebArena IndigoではまだUbuntu 22.04LTSがリリースされていませんが、いち早く使ってみたいためUbuntu 20.04LTSからのアップグレードを行ってみました

Ubuntu 20.04LTSからUbuntu 22.04LTSへのアップグレード

Ubuntu 20.04LTSのインスタンス作成

まずはWebArena IndigoのコントロールパネルからUbuntu 20.04LTSのインスタンスを作成し起動します

基本設定

WebArena Indigo VPSでは鍵認証を利用したSSHログイン用ユーザ(ubuntu)は用意されていますが、コンソール接続用のアカウントは用意されていないため作成します。

WebAreaによるFAQはこちら

ユーザ追加

初期作成ユーザにパスワード設定しても良いですし、別のローカルユーザを作成しても構いません

今回はローカルユーザを作成し、パスワードを設定します

sudoによるroot権限行使を可能とするため所属グループはsudoとし、ログ閲覧も可能とするためadmグループにも所属します

# useradd -m -u 2000 -g sudo -G adm -s /bin/bash useraname
# passwd username

ホスト名変更

自信が分かりやすいホスト名に変更します

# hostnamectl set-hostname hostname.your-domain.com

標準エディタ変更

ぽんこつエンジニアはubuntu標準エディタであるnanoが苦手なので、標準エディタをviｍに変更します

# update-alternatives --set editor /usr/bin/vim.basic

Ubuntu 22.04 LTSへのアップグレード

事前準備

まずパッケージリストを最新化し、導入済みパッケージのアップグレードを行います

# apt update
# apt upgrade

続いて、ディストリビューションアップグレードの依存関係解決を行います

# apt dist-upgrade

アップデートマネージャパッケージのインストールを行います

# apt install update-manager-core

アップグレード実施

4/26現在のUbuntu 22.04 LTS初期版では、do-release-upgrade実行時に開発バージョン指定のオプション付与が必要でした「-d」

# do-release-upgrade -d

アップグレード実施はコンソール経由が推奨です

しかし、VPS環境でSSHから実行したいなど理由がある場合はSSHからの実行も可能です

Continue running under SSH?

This session appears to be running under ssh. It is not recommended
to perform a upgrade over ssh currently because in case of failure it
is harder to recover.

If you continue, an additional ssh daemon will be started at port
'1022'.
Do you want to continue?

Continue [yN] y

Starting additional sshd

To make recovery in case of failure easier, an additional sshd will
be started on port '1022'. If anything goes wrong with the running
ssh you can still connect to the additional one.
If you run a firewall, you may need to temporarily open this port. As
this is potentially dangerous it's not done automatically. You can
open the port with e.g.:
'iptables -I INPUT -p tcp --dport 1022 -j ACCEPT'

To continue please press [ENTER]

上記のような確認と、緊急アクセスのSSHポートとFWの穴あけを進められます

WebArena IndigoのUbuntu 20.04LTSからのアップグレードの際は、続いてライブラリアップデート時の確認が求められました

 ############################# Configuring libc6 #############################
 #                                                                           #
 # There are services installed on your system which need to be restarted    #
 # when certain libraries, such as libpam, libc, and libssl, are upgraded.   #
 # Since these restarts may cause interruptions of service for the system,   #
 # you will normally be prompted on each upgrade for the list of services    #
 # you wish to restart.  You can choose this option to avoid being           #
 # prompted; instead, all necessary restarts will be done for you            #
 # automatically so you can avoid being asked questions on each library      #
 # upgrade.                                                                  #
 #                                                                           #
 # Restart services during package upgrades without asking?                  #
 #                                                                           #
 #                    <Yes>                       <No>                       #
 #                                                                           #
 #############################################################################

ライブラリ類のアップグレード時に確認無しでのサービスのリスタートを実施してよいかの確認のため、「YES」としました

各種パッケージのアップグレードが完了した後に、廃止されたパッケージの削除確認があります

Remove obsolete packages?


77 packages are going to be removed.

 Continue [yN]  Details [d]

[YES]

「YES」を選択し廃止されたパッケージ類を削除します

以上でアップグレードが完了します

Processing triggers for dbus (1.12.20-2ubuntu4) ...

System upgrade is complete.

Restart required

To finish the upgrade, a restart is required.
If you select 'y' the system will be restarted.

Continue [yN]

リブート実施の確認がありますので「YES」とし再起動を行うとアップグレード完了です

WebArena Indigoにおける注意点

WebArena Indigoでは、外部からのログインにあたっては鍵認証によるSSH接続となりますが、公開鍵アルゴリズムがssh-rsaを利用しておりUbuntu 22.04LTSの標準設定では利用を禁止されSSHログインができなくなります

米国の標準化機関である米国立標準技術研究所（NIST）の暗号アルゴリズムに関するガイドラインSP800-131Aでは、SHA-1を2013年12月31日以降署名検証に使ってはならないとされています。

Ubuntu22.04LTSでは、デフォルトでSHA-1ハッシュ（ "ssh-rsa"）を使用したRSAキーに基づくデジタル署名をサポートしないようになりました。

試しにTeraterm経由でSSHログインを試みるとログ上には以下のようなメッセージが記載されます

# journactl 

sshd[841]: userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]

Windowsで良く使われているSSHクライアントであるTeratermではSHA-1を利用したssh-rsaしか対応していないため、ssh-rsaへの対応を進めます。

opensshのSHA-1ハッシュRSA鍵利用許可（ssh-rsa）

sshd設定ファイル/etc/ssh/sshd_configの末尾に「PubkeyAcceptedAlgorithms +ssh-rsa」を追加します

# vi /etc/ssh/sshd_config
(snip)
PubkeyAcceptedAlgorithms +ssh-rsa

設定変更後、sshdを再起動します

# systemctl restart sshd

これで、既存のRSA鍵を利用したSSH接続が可能となります

ひとまず、22.04LTSへのアップグレードが完了しましたので、今回はここまで。

Welcome to Ubuntu 22.04 LTS (GNU/Linux 5.15.0-25-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Tue Apr 26 00:28:39 UTC 2022

  System load:  0.0               Processes:              111
  Usage of /:   8.1% of 38.60GB   Users logged in:        2
  Memory usage: 12%               IPv4 address for ens10: XXX.XXX.XXX.XXX
  Swap usage:   0%

 * Super-optimized for small spaces - read how we shrank the memory
   footprint of MicroK8s to make it the smallest full K8s around.

   https://ubuntu.com/blog/microk8s-memory-optimisation

次回以降はUbuntu22.04LTSになり、PHP8.1に標準対応しましたので、このサーバでもメール・Web・Drupalのセットアップを進めていこうと思います

ubuntu22 eye catch