弊社では、CentOS8もしくはRHEL8からTCPWrapperが廃止されているOSのため、弊社ではnftablesを採用しております。
弊社提供のCentOS8もしくは、RHEL8(LGプラン等)で構成内にファイアウォールが構成内に含まれていた場合などに、サーバ間のローカルIPアドレスでSSH接続やFTP接続、Webmin(8001番ポート)につきましてはソフトウェアファイアウォール(nftables)の制御対象となります。
そのため標準では、サーバ間のローカルIPアドレスのSSH接続等をおこなうことができません。
サーバ間のSSH接続等の通信を開放ご希望の場合は。以下のフォームよりファイアウォールの開放のご申請をいただきますようお願い致します。
以下フォームの[対象サーバIPアドレス]欄および、[ソース・接続元IPアドレス]欄には、開放対象のプライベートIPアドレスをご入力をいただき、[備考欄]に「nftablesを開放希望」とご入力をいただきますようお願い致します。
<ファイアウォール設定変更申請フォーム>
https://spt.clara.jp/procedure/server/firewall/
CentOS8では、SFTPファイルアップロード時の標準のパーミッションが600もしくは、660となります。
標準の設定からご変更されたい場合は、SSHの設定ファイルのumask値を変更をいただきますようお願いいたします。
本手順は無保証となります。作業をされる際は、お客様の責任にてご実施ください。
※各コマンドの内容や、作業の結果につきましては弊社のサポートをおこなわせていただくことができません。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
変更対象ファイル
/etc/ssh/sshd_config
1.SSH 接続でサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
2.OSのバージョンを確認します。
cat /etc/redhat-release
3.設定ファイルのバックアップをとります。
cp -a /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%Y%m%d`.bak
4.以下のコマンドを実行し、設定ファイルのバックアップが存在するかどうかを確認します。
ls -la /etc/ssh/sshd_config*
例)/etc/ssh/sshd_config.”年月日”.bakファイルが存在していれば設定ファイルのバックアップが取得できております。
5.設定ファイルの[Subsystem sftp /usr/libexec/openssh/sftp-server]の記述を確認し、以下のように変更し保存します。サーバ上の全ユーザに対し変更がかかります。
■変更前
Subsystem sftp /usr/libexec/openssh/sftp-server
□変更後
Subsystem sftp /usr/libexec/openssh/sftp-server -u 022
6.記述の変更後に、SSHDサービスの再起動を実施します。
systemctl restart sshd
7.再起動後、SFTPでのファイルのアップロードを試し、パーミッションが644になったことを確認します。
以上となります。
お客様による Ghostscript 関連のパッケージのアップデート方法
2020年2月6日(木)
■問題の概要
平素は弊社サービスをご利用いただきましてありがとうございます。
弊社提供のサーバのOSに、RHEL7および、CentOS7を搭載しているサーバ 、Flex Mini Cubeシリーズ、Flex Webシリーズ(CentOS7のみ)、KUSANAGI with Cubeシリーズで遠隔の第三者によって細工されたファイルを Ghostscript が処理することで、Ghostscript の権限で任意のコマンドを実行される可能性があると公表がありました。
詳細につきましては、以下のリンクをご参照ください。
※なお、サーバOSにRHEL5,CentOS5,RHEL6,CentOS6を搭載したサーバ、Flex Mini シリーズおよび、Flex Mini 2シリーズは,本脆弱性の対象外となります。
Ghostscript におけるアクセス制限回避の脆弱性
RedHat社のページ(CVE-2019-14869)
■脆弱性を受ける可能性が高いOSバージョンおよび、サービス名
弊社提供のサーバのOSにRHEL7および、CentOS7を搭載しているサーバ 、Flex Mini Cubeシリーズ、Flex Webシリーズ(CentOS7のみ)、KUSANAGI with Cubeシリーズのみが対象となります。
■脆弱性の影響を受けるバージョン
- Ghostscript 9.27 およびそれ以前
なお、今回の脆弱性におきましては、 Ghostscript 関連のパッケージのアップデートをお勧めいたします。
本ページでは、お客様ご自身にて Ghostscript 関連のパッケージのアップデートをおこなう方法をご案内いたします。
※2020年2月6日現在の情報となります。
アップデートに関する注意事項
・本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
・お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
Ghostscript 関連のパッケージのアップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。
(2). インストールされているパッケージの確認
| #rpm -qa | grep ghostscript |
特に何も表示されない場合には、 Ghostscript のパッケージが入っておりません。脆弱性影響の対象外となります。
脆弱性の対象バージョンは以下のようなコマンドの出力結果となります。
例)rpm -qa | grep ghostscript
ghostscript-devel-9.07-31.el7_6.11.x86_64
ghostscript-9.07-31.el7_6.11.x86_64 ←作業をおこなう必要がある対象バージョン
ghostscript-fonts-5.50-32.el7.noarch
(3). Ghostscript 関連のパッケージアップデートの実施
以下のコマンドを実行し、 Ghostscript 関連のパッケージのアップデートを行います。
| #yum update ghostscript |
(4). アップデート後のパッケージバージョンの確認
| # rpm -qa | grep ghostscript |
上記コマンドを再度実行し、セキュリティパッチが適用されているパッケージのバーション(以下の青文字を参照)かどうかを確認します。
■セキュリティパッチが適用されているGhostscriptのパッケージのバーション
RHEL7,CentOS7 ghostscript-9.25-2.el7_7.3.x86_64
(5). 運用中のWebサイトの動作確認
以上、となります。
なお、コントロールパネルにPlesk Onyxをご利用されている場合には、Plesk上からも特定パッケージのみ選択して更新をおこなうことができます。
詳細な手法については、以下のFAQをご確認をいただきますようお願い致します。
Plesk Onyxで特定のパッケージのみアップデートをおこないたい
なお、お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。
□メールのご依頼フォーマット
メールの件名: Ghostscript のアップデート依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無 (必要 or 不要)
※「必要」,「不要」のいずれかのご記載をいただきますようお願い致します。
回答
仮想化(Virtuozzo)環境のサーバでは、再起動等の際に、仮想化ソフトウェアが設定ファイルを上書きする可能性があるため、当該ファイルを編集しないでください。
/etc/resolv.conf
/etc/sysconfig/network
/etc/sysconfig/network-scripts/ifcfg-vent0
/etc/sysconfig/network-scripts/ifcfg-vent0:(数字)
/etc/HOSTNAME
/etc/conf.d/hostname
/etc/mtab
/etc/fstab
/etc/network/interfaces
/etc/inittab
/etc/sysctl.conf
これらのファイルを編集された場合、サーバ再起動等の際に仮想化ソフトウェアが上書きを行う場合があるため、サーバから外部に接続できなくなる等、サーバの動作に影響を及ぼす恐れがございますので、編集をされないようお願いいたします。
当社でのサポートは、設定ファイルを編集していないことを前提としております。設定を変更されますと、弊社のサポートのご提供範囲外となりますのであらかじめご了承ください。
対象サービス
Linux専用サーバ Flexシリーズ/FPS/VPS/Flex Mini/Flex Mini 2
■問題の概要
マイクロソフトより、2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響が公開されました。
それによりますと、「接続元クライアント5月更新プログラム提供状態+接続先サーバ3月適用更新プログラム未適用」の場合、Windowsのリモートデスクトップ接続ができなくなる可能性がございます。
・2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/
■解決方法
2018 年 5 月の更新プログラム適用後、リモートデスクトップ接続ができなくなった場合、お客様環境の接続元クライアント側のKBを削除し、接続先サーバ側のKBを適用した後に、接続元クライアントのKBを再度適用してくださいますようお願いいたします。
なお、接続元、接続先の対象KBに関しましては以下をご参照ください。
・2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響(「5. 参考情報」 をご参照ください)
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/#menu5
もし、先の方法が難しい場合は、以下をご参照し実施していただきますようお願いいたします。
・2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響(「4. 回避策」 をご参照ください)
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/#menu4
■問題点
yum で自動的にアップデートがおこなわれたり、不要なパッケージがインストールされるのを回避したい。
■回答
yum の設定ファイル( /etc/yum.conf )に記述をする事で回避ができます。
設定例
例1:kernelのアップデートを回避する場合、以下を追記します。
exclude=kernel*
例2:複数ファイルのアップデートを回避する場合、以下を追記します。
exclude=kernel* php*
※それぞれ”/etc/yum.conf” の[main]のセクション以下に記述する必要がございます。
回答
ご利用いただいている専用サーバの、kernel のアップデートは非常に高いリスクをともないます。
ご希望のお客様は、お問い合わせフォーム よりテクニカルサポートまでご相談ください。
弊社へのご相談なくお客様ご自身の判断でアップデートを行われた場合、一切の損害、責任については弊社では負いかねますので、あらかじめご了承ください。
なお Flex シリーズをご利用の場合は、仮想化ソフトウェア Virtuozzo の上に OS が搭載されておりますので、お客様任意での kernel のアップデートはできかねます。
対象サービス
Linuxを搭載しているすべてのサーバ
回答
Pleskからのご操作で、各アプリケーションバージョンをご確認をいただくことができます。
例としてPHPのバージョンの確認方法と致しましては、下記のとおりでございます。
※マイナーバージョンの違いによって、FAQに記載されている手順や画面に差異がある場合がございます。
Plesk Obsidianの場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→画面右上の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.4.16-48.el7」のような表記の場合は、5.4.16-48.el7をご利用されております。
Plesk Onyxの場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→画面右上の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.4.16-46.el7」のような表記の場合は、php-5.4.16-46をご利用されております。
Plesk 12の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[サーバ]→画面左下の[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.3.3-46.el6_6」のような表記の場合は、php-5.3.3-46をご利用されております。
Plesk 11の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.3.3-40.el6_6」のような表記の場合は、php-5.3.3-40をご利用されております。
Plesk 10の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[ツールと設定]→[サーバコンポーネント]を選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.3.3-38.el6」のような表記の場合は、php-5.3.3-38をご利用されております。
Plesk 9の場合の操作手順(PHPの場合) 1.Plesk にログインします。
2.メニューから[設定]→[サーバコンポーネント]のアイコンを選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.1.6-43.el5_10」のような表記の場合は、php-5.1.6-43をご利用されております。
Plesk 8の場合の操作手順(PHPの場合)
1.Plesk にログインします。
2.メニューから[サーバ]→[Pleskコンポーネントの情報]のアイコンを選択。
3.次の画面の中から、[コンポーネント名]に「php」をお探しいただき、右側の数値が
ご利用中のphpのバージョンとなります。
例)「5.1.6-43.el5_10」のような表記の場合は、php-5.1.6-43をご利用されております。
※ご注意
この操作を行われた場合、弊社がご提供させていただくサポート及びサービス保証に関する一切の範囲を超えるため、お客様の責任において十分な注意と情報収集を行われることを強く推奨いたします。またこの操作を行うことにより、関連するアプリケーションの脆弱性が将来発見された場合にサーバのセキュリティに重大な問題を引き起こすことがあります。さらに、PHP自体のセキュリティ脆弱性が発生してアップデートを必要とする際、弊社からのサポートをご提供することが出来ませんので、あらかじめご了承ください。
■解決
PHPのSafe Mode(セーフモード)を変更する場合には、サーバにSSHでログインし、su コマンドでroot権限へ昇格したあと、/etc/php.ini に記載されている「safe_mode = On」を「safe_mode = Off」へ変更することで、OnからOffへの変更が可能です。その後、Apache の再起動( /etc/init.d/httpd restart )を行っていただく事で設定の変更が可能となります。
なお、Plesk がインストールされている環境下では本設定では適切に反映されませんので、変更はお奨め致しません。
弊社で提供している(Linux・Windows専用サーバ/FPS/VPS/Flex Mini/SolaCloud )において、サーバのOSをクリーンインストールする必要がございますが、変更は可能です。
クリーンインストールは、専用サーバサービスの場合32,400円/回、FPS/VPS/Flex Mini/SolaCloudサービスの場合は10,800円/回にて承っております。
なおクリーンインストールの際、完全にサーバ上のデータが削除されますので、作業前にお客様にてデータのバックアップを行って頂きますよう、お願い申し上げます。
弊社では、作業前にバックアップを実施しませんのでご注意下さい。
回答
更新日2023年4月12日
クララオンラインで採用している主要なソフトウェアのバージョン(2021年8月現在)は、次のとおりです。基本的にOSが採用しているミドルウェアのバージョンを弊社では基本的にサポートしております。
主なソフトウェアのバージョン
| OS | RHEL 5 CentOS 5 |
RHEL 6 CentOS 6 |
RHEL 7 CentOS 7 |
RHEL 8 |
RHEL 8 CentOS 8 AlmaLinux 8 (2021年11月以降開通分) |
| Apache | 2.2.3 | 2.2.15 | 2.4.6 | 2.4.37 | 2.4.37 |
| PHP | 5.1.6 | 5.3.3 | 5.4.16 | 7.2.24 | 7.4 |
| MySQL | 5.0.77 | 5.1.73 | – | – | – |
| MariaDB ※1 | – | – | 5.5.68 | 10.3.28 | 10.3.28 |
| PostgreSQL | 8.1.18 | 8.4.20 | 9.2.24 | 10.17 | 10.17 |
| Perl | 5.8.8 | 5.10.1 | 5.16.3 | 5.26.3 ※3 | 5.26.3 ※3 |
| ImageMagick | 6.2.8 | 6.7.2.7 | 6.9.10 | 提供無し | 提供無し |
| gd ※2 | 2.0.33 | 2.0.35 | 2.0.35 | 2.2.5 | 2.2.5 |
| Sendmail | 8.13.8 | 提供無し | 提供無し | 提供無し | 提供無し |
| qmail | 1.0.3 | 提供無し | 提供無し | 提供無し | 提供無し |
| Postfix | 2.3.3 | 2.6.6 | 2.10.1 | 3.3.9 | 3.3.9 |
| BIND | bind-9.3.6 | bind-9.8.2 | bind-9.11.4 | bind-9.11.26 | bind-9.11.26 |
| openssl | 0.9.8e-27.el5_10.3 | 1.0.1e-58.el6_10 | 1.0.2k-21.el7 | 1.1.1g-12.el8 | 1.1.1g-12.el8 |
情報は、本ページ作成時点のものです。ソフトウェアのバージョンは、予告なく変更される場合がございます。当社では、RedHat社のOSで採用しているミドルウェアのバージョンを採用しています。そのため、各ミドルウェア更新の最新版と、OSで採用しているミドルウェアのバージョンに差が発生します。
例)Alma8のApacheの場合には、2.4.37の後ろの数字(-43)が、パッケージアップデート後に数字が上がります。2.4.37は固定されるOS(パッケージ)の仕様となります。
httpd-2.4.37-43.module_el8.5.0+2631+6f259f31.3.alma.x86_64
※1 MySQLと互換性をもつデータベースとなります。
CentOS 7以降の標準データベースが、MySQLから、MariaDBへ変更になりました。CentOS 7以降でMySQLをインストールしなければならない場合は、お客様にて作業をご実施いただきますようお願いいたします。なお、お客様にてCentOS 7以降でMySQLをインストールされた場合、弊社サポートをおこなわせていただくことができません。
※2 PHP上で利用できるGDライブラリとは異なります。RHEL4 の PHP4.3.9、RHEL5 の PHP5.1.6 に は GIF イメージの読み書き可能な GD 2.0.28compatibleがバンドルされています。 RHEL3付属のPHP 4.3.2には GIF イメージは読み取りのみ(書き込み不可)の GD 2.0.12 compatibleがバンドルされています。
※3 Perl 5.26のバージョンから仕様上モジュールのインクルードパスからカレントディレクトリ「.」が削除されており、移行時にはWebのプログラム(CGI等)の修正が必要な場合がございます。詳細につきましては、Webアプリケーションの作成元へご確認いただきますようお願い致します。
ご利用サーバのミドルウェアのバージョンの確認方法につきましては、下記FAQをご確認ください。
PHPのバージョンを教えてください。(Plesk環境の場合)
また、コントロールパネルPlesk Onyx 以降をご利用の場合には、追加でPHP7をインストールしていただければ、ドメイン毎にPHPバージョンを選択いただくことができます。インストール方法は、以下のFAQをご参照ください。
Plesk Onyx でPHP7系を利用したいがどうすればいいか?
Plesk Obsidianの最新版に限り、PHP8をインストールしドメイン毎にPHPバージョンを選択することができます。
Plesk ObsidianでPHP8を利用したいがどうすればいいか?
※Plesk Onyx以前のバージョンではご利用はできません。
ご利用には、Plesk Onyx 以降を搭載したサーバへのご移行が必要となりますので、移行をご検討をいただきますようお願い致します。以下のサーバへのご移行もご検討ください。
・Clara Cloud 専有プラン
・Clara Cloud LGプラン(共有)
・Clara Cloud Flex
また、各OSのサポート期間につきましては、以下のURLに記載がございますのでご確認をいただきますようお願い致します。
OSに関するご案内https://spt.clara.jp/other/os-info/
■問題点
PHPでFatal error: Allowed memory size of 8388608 bytes exhaustedというエラーが出ます。
■原因
弊社がご提供させていただいているPHP のパッケージでは、標準で8MB (8byte*1024*104=8388608 bytes)までのメモリを割り当てられるようになっております。このエラーメッセージはこの制限値を超える割り当てを要求した場合に出されるエラーメッセージです。
■解決方法
お客様にて /etc/php.ini を書き換えることによって、PHPへのメモリの割当量を変更させることが可能です。
その後、変更した内容を反映させるため、Webサーバのみのサービスの再起動を実施する必要がございます。
最大実行時間を60秒、メモリ制限を12MBに変更する例
変更前
max_execution_time = 30 ; Maximum execution time of each script, in seconds
memory_limit = 8M ; Maximum amount of memory a script may consume (8MB)
変更後
max_execution_time = 60
memory_limit = 12M
なお、ご契約サーバに搭載されているメモリの量が限られておりますので、極端に大きな数値にした場合にはサーバが停止したり、予期せぬ動作をすることがありますのでご注意ください。
回答
弊社のLinux専用サーバサービス・VPS・FPS・Flex Mini・SolaCloudサービスでは、IPアドレスの割り当てを標準では1アドレスとしております。サーバに割り当てるIPアドレスの追加をご希望の場合は、以下にございます 「IPアドレス追加申込書」をダウンロードし、必要事項をご記入の上、弊社までお申し込みください。 追加IPをご利用の場合は、料金として初期費用 0円、月額費用1,080円(年額費用12,960円)がかかります。ただし、無償で追加できるIPアドレス数が設定されているプランをご利用の場合は、無償で追加できるIPアドレス数まで無償で利用できます。
VPS・FPS・Flex Mini・SolaCloud サービスについては、無償で追加出来る IPアドレスはございません。Linux専用サーバサービスの上位サービスに限り、無償で複数個の割り当てをさせていただきます。 詳細につきましては、以下のページをご参照下さい。 ご参考:専用サーバ:IPアドレスの追加について
標準以上の割り当てをご希望の場合
IPアドレスの追加をご希望の場合は、「IPアドレス追加申込書」をダウンロードし、必要事項をご記入の上、弊社までお申し込みください。
なお、APNIC(Asia Pacific Network Information Centre, アジア太平洋地域のIPアドレス管理を行う非営利組織)のポリシーにより、SSLを導入するサイト(ドメイン)を1サーバで複数運用されるなど、構成として必ずIPアドレスの追加が必要となる場合以外には割り当てさせていただくことはできません。また、APNIC によるIPアドレスの利用状況の報告要求があった場合には、追加割り当てをさせていただいたIPアドレスを利用しているWebサイトのURLの情報等を開示させていただく場合があります。
また、お客様のサーバを設置しているセグメントにIPアドレスの割り当て余裕が無い場合、追加することが出来ない場合がございます。あらかじめご了承下さい。なお、お客様のサーバのIPアドレスを変更して頂くことが可能な場合、IPアドレスに余裕のある別セグメントへサーバを移設させていただいた後、追加させていただくことも可能です。この場合、IPアドレスの変更作業は、平日昼間の作業とさせていただきますが、日程や時間帯はお客様と別途ご相談とさせていただきます。
回答
SSH でサーバにログインをしていただき、du コマンドをご利用頂くことで、特定のディレクトリ以下の使用量をお調べ頂
くことが可能です。
■解決方法
例)
例えば、/var/www/html/ 以下の容量を調べたい場合には、以下のコマンドを実行すると、/var/www/html/ 以下の
現在の使用量がMByte(メガバイト)単位で表示されます。
# du -ms /var/www/html/
なお、Flex Mini2,Flex Mini,VPS、FPSサービス環境下でございましたら、ブラウザ上でディレクトリ容量をご確認いただく
ことができますので下記FAQをご参考にいただけますでしょうか。
サーバ(Flex Mini2,Flex Mini,VPS、FPS環境下のみ)で、ファイルのディスク使用容量を確認したい。
回答
サポート終了日以降に緊急性の高いセキュリティ脆弱性が発表された際につきましては、 設定変更などの方法で回避可能な場合にはその旨のご案内を、それ以外の場合にはバージョン アップやサービス移行のご案内をさせていただく場合がございます。
なお、各種OSのサポート期限につきましては下記URLをご参照ください。
OSに関するご案内
また、ベンダによる継続したサポートをご希望の場合には、最新版 Plesk を採用したサービスへの移行をお勧めいたします。 各サービス内容の詳細や価格の情報、お申込につきましては、弊社サービスサイトにてご案内させていただいております。
▼弊社サービスサイト
https://www.clara.jp/
https://www.sthark.com/
なお、お客様側でご移行作業が難しい場合は、弊社では移行を支援させていただく有償サービスもございますので、併せてご検討いただきますようお願い致します。
移行代行サービス