待望のUbuntu22.04 LTS(Jammy Jellyfish)の変更点を確認しインストールする

2022年4月21日にUbuntu22.04 LTS(Jammy Jellyfish)が公開予定です。既にベータ版がリリースされている為、リリースノートを確認した上でインストールを実施してみました。取り急ぎ、ufwによるFirewall設定までをご紹介させて頂きました。

なお、20.04 LTSからの主なパッケージの変更点は以下のようです(ベータ版でインストールしてバージョン確認したものがあります。リリース時に変更されていた場合訂正します。)

項目20.04 LTS22.04 LTS備考
Linux Kernel5.45.15
glibc2.312.35
gcc9.311.2
OpenJDK1111default-jdkのバージョンです
rustc1.411.58
Python3.8.23.10
ruby2.73.03.0.2p107でした
php7.48.1.2
perl5.35.34
golang1.131.18
GNOME3.3641
Samba4.114.15.5
Apache2.4.x2.4.52
PostgreSQL1214

Ubuntu22.04のメンテナンスアップデート期間は2027年4年となります。

Ubuntu22.04の変更点(特記事項)

  • os-proberがデフォルトで無効になる為、ブートローダで複数OSを切り替えて利用している場合、GRUB_DISABLE_OS_PROBERを変更して、update-grubする必要がある。
  • NFSマウントでUDPが利用不可となっています。
  • ファイアウォールのデフォルトのバックエンドがnftablesになりました(iptablesも入っていました)。
  • OpenSSHでssh-rsaがデフォルト無効化

アップグレードインストールの注意事項

OpenSSHでssh-rsaがデフォルト無効化されたことで、サーバにSSHでログインして20.04等からアップグレードする際に、ssh-rsa以外の接続を許可していない場合、サーバコンソールからログインして、SSHの設定変更が必要かもしれません。アップグレード中のみパスワード認証を有効にしておいた方が余計な心配をしなくていいかもしれません。

デフォルトインストール後のファイアウォール設定について

ファイアウォールのデフォルトのバックエンドがnftablesになったとあったのですが、nftablesコマンドはデフォルトではインストールされておらず、iptablesコマンドやufwコマンドが利用可能でした。

更に、同一ネットワークからnmapしたところ、空いているポートは全て検出できたことから、iptables -L の結果で全てACCEPTとなっていたことを加味して、デフォルトでは全通信を許可する設定となっていました。

上記から、もしもクラウド上でUbuntu22.04をインストールした際には、早々にファイアウォール設定を行った方が良いと思います。

# Ubuntu22.04サーバ上でのiptables -L の結果。
# (テスト用に80をREJECTするルールを追加しています)

sudo iptables -A INPUT -p tcp --dport 80 -j REJECT
iptables -L
# Chain INPUT (policy ACCEPT)
# target     prot opt source               destination
# REJECT     tcp  --  anywhere             anywhere             tcp dpt:http reject-with icmp-port-unreachable

# Chain FORWARD (policy ACCEPT)
# target     prot opt source               destination

# Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

# 別ホストからのnmap結果
Starting Nmap 7.80 ( https://nmap.org ) at 2022-04-03 13:41 JST
Nmap scan report for test.lan (10.1.0.151)
Host is up (0.0027s latency).
Not shown: 998 closed ports
PORT   STATE    SERVICE
22/tcp open     ssh
80/tcp filtered http
MAC Address: 00:0C:29:39:10:0F (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.42 seconds

上記結果よりも、デフォルトのFirewall設定はフルオープンのようですので、インストール直後にFirewall設定を入れる事をお勧めします。

インストール画面(Ubuntu22.04 LTS Server版)のご紹介

CDブート直後の画面です。

ランゲージセレクト画面です。

キーボードレイアウト選択画面です。

インストールタイプ選択画面です。

ネットワーク設定画面です。

Proxy設定画面です。特別な環境でない限り未設定でDoneで問題ありません。

Ubuntuのミラーサイト指定画面です。通常はデフォルトのままで問題無いはずです。

ストレージの設定画面です。デフォルトは今まで通りLVMの設定となっているようです。

面白いことに、インストーラが「/」には全容量を割り当てずに、残った容量はフリースペースとして残してくれていました。検証目的だったので、一旦は下記画面の様に「/」に全容量を指定しました。

また、ストレージのフォーマットには、ext4、xfs、btrfsが指定できるようです。(個人的にはzfsが好きなのですが、ライセンス的に厳しそうですね)

ストレージ画面(容量修正後)です。

ストレージ設定が終わった後にDoneを押すと、「HDDフォーマットして先に進めるけど良いですか?戻ってこれませんよ」と警告が出ますので、問題なければContinueを押します。

ユーザー名やパスワードの設定画面です。ここで作成したユーザーはsudo出来るユーザーとなります。

デフォルトではOpenSSHサーバにチェックが入っていませんが、たいていの場合にはチェックを入れてインストールすることが多いのかと思います。

サードパーティドライバの画面です。特に何もなければConotinueを押します(RAIDカード等を持っていた場合に指定する画面なのかと推察します)

ポピュラーなパッケージを追加インストールするか聞かれますので、必要に応じて選択してDoneを押します。

全てインストールが完了すると、Reboot Nowが押せるようになります。Security Updateがその間に入るのですが、私の場合、その処理が長かったです。

インストール後のFirewall設定

特に外部からアクセス可能な場所でUbuntuのインストールをした場合には、早々に下記を実行することをお勧めします。

# ufwを有効化する
sudo ufw enable
# Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
# Firewall is active and enabled on system startup

# ufwの状態確認。activeになっていれば有効です。inactiveだと無効です。
sudo ufw status
# Status: active

# 特定ホストからのSSH接続を許可します。fromのIPアドレスは適宜変更してください。
# クラウド上で設定しているのであれば、fromはルータ配下のプライベートIPではなく、
# ルータがプロバイダからもらっているIPとなります。
# もしも、ご契約のプロバイダがIPが固定ではない場合は、fromは指定せずに
# OpenSSH側で公開鍵認証等の対策をした方が良いです。
sudo ufw allow proto tcp from 10.1.0.3 to any port 22

# from指定無しパターン(IPv6も一緒に設定されます)
sudo ufw allow proto tcp to any port 22

# ufwの設定結果を確認します。
sudo ufw status
# Status: active
#
# To                         Action      From
# --                         ------      ----
# 22/tcp                     ALLOW       10.1.0.3

# 再起動後もFirewallが有効であることを念のために確認しておきます。
sudo reboot

# 再起動後に、指定したFirewall設定が有効であることを確認してください。
sudo ufw status

上記でIPアドレスのfromを指定してSSHの接続元を制限しました。クラウド上で公開しているサーバの場合には出来る限りfrom指定でSSHしてもいいホストを制限すると、セキュリティレベルがグッと上がります。・・・とは言っても、「そんな都合の良いプロバイダなんて・・・・」と思うかもしれませんが、実はニューロ光は契約後一度もIPが変わったことがありません(ホームゲートウェイ再起動や停電で数時間ホームゲートウェイが長時間使えなかった時を含む)。他にも同様のプロバイダをご存じであればコメント頂けると幸甚です。

タグ . ブックマークする パーマリンク.

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください