Jump to content
openSUSE Leap 15.0

リリースノート

openSUSE Leap はお使いの PC やラップトップ、サーバなどで動作する、 Linux ベースの自由なオペレーティングシステムです。 Web の閲覧や電子メール/写真の管理、オフィス作業やビデオ/音楽の再生などを行なうことができます。お楽しみください!

発行日: 2019-11-26, : 15.0.20191126

openSUSE Leap 15.0 のメンテナンス期間は終了しました。システムを最新かつ堅牢な状態にするには、メンテナンス期間内にある openSUSE のバージョンにアップグレードしてください。なお、アップグレードを実施するにあたっては、 openSUSE Leap 15.0 に対して提供されている全てのメンテナンス更新が適用されていることをご確認のうえ、実施してください。

最新の openSUSE バージョンへの移行方法について、詳しくは https://ja.opensuse.org/SDB:%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89 をお読みください。

openSUSE Leap の旧バージョンからアップグレードした場合は、下記に示す旧バージョンのリリースノートもお読みください: http://ja.opensuse.org/openSUSE:Release_Notes

プロジェクトに関する情報は、 https://www.opensuse.org をご覧ください。

1 インストール

本章には、インストールに関連する説明が書かれています。アップグレードに関する詳しい手順については、下記で公開されている文書をお読みください: https://doc.opensuse.org/documentation/leap/startup/html/book.opensuse.startup/part.basics.html

なお、 4項 「ドライバとハードウエア」 もお読みください。

1.1 新しいシステムの役割 トランザクション型サーバ を利用した一括更新について

新しいインストーラでは、 openSUSE Kubic プロジェクトの成果の 1 つとして、 トランザクション型サーバ と呼ばれる新しい役割が追加されています。このシステムの役割は、更新を一括 (単一の操作) で適用し、必要であれば後から以前の状態に戻すことができるようにする仕組みです。この機能は、 SUSE や openSUSE ディストリビューションの依存するパッケージ管理システムをベースにして動作しているものですので、 openSUSE Leap 15.0 に対応する大多数のパッケージが、 トランザクション型サーバ でも利用できることになります。

注記
注記: 非互換のパッケージについて

RPM パッケージ内の %post スクリプト内で、 /var/srv の内容を書き換えるパッケージがそれに該当します。これらのパッケージは互換性のないパッケージですので、そのようなパッケージを見つけた場合には、バグ報告をお願いいたします。

これらの機能を提供するため、この更新システムは下記の仕組みを利用しています:

  • btrfs スナップショット:  システムの更新を開始する前に、ルートファイルシステムに対して新しい btrfs スナップショットを作成します。その後、必要な全ての更新内容をそのスナップショット内に保存します。更新を完了するには、システムを再起動して新しいスナップショットを利用するようにします。

    更新を元に戻すには、以前に採取したスナップショットから起動するだけです。

  • 読み込み専用のルートファイルシステム:  更新による問題やデータ損失を防ぐため、ルートファイルシステムには不用意な書き込みを発生させてはなりません。そのため、通常動作時には、ルートファイルシステムを読み込み専用にしてマウントします。

    このような仕組みを動作させるため、ファイルシステムに対して追加で 2 種類の変更が行なわれます: 利用者側での /etc への設定書き込みを許可するため、このディレクトリは OverlayFS を使用するように自動設定されます。また、 /var はプロセス側で書き込みができるよう、個別のサブボリュームが設定されます。

重要
重要: Transactional Server Needs At Least 12 GB of Disk Space

The system role Transactional Server needs a disk size of at least 12 GB to accommodate Btrfs snapshots.

トランザクション型更新を行なう場合、ソフトウエア管理にあたっては YaST や Zypper ではなく、必ず transactional-update コマンドをお使いください:

  • システムの更新: transactional-update up

  • パッケージのインストール: transactional-update pkg in パッケージ名

  • パッケージの削除: transactional-update pkg rm パッケージ名

  • 直近に採取したスナップショット (ルートファイルシステムに対して、更新を適用する前の状態) に戻すには、次回の再起動でそのスナップショットを利用するよう、下記のコマンドを実行します: transactional-update rollback

    必要であれば、コマンドの末尾にスナップショット ID を追加して、特定の時点の状態に戻すこともできます。

When using this system role, by default, the system will perform a daily update and reboot between 03:30 am and 05:00 am. Both of these actions are systemd-based and if necessary can be disabled using systemctl:

tux@linux > sudo systemctl disable --now transactional-update.timer rebootmgr.service

トランザクション型更新について、詳しくは openSUSE Kubic プロジェクトのブログ投稿 https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ および https://kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/ (いずれも英語) をお読みください。

1.2 最小限のシステムインストールについて

最小限のシステムをインストールした場合、下記に示すとおり一般的に必要な機能がインストールされません:

  • ソフトウエアファイアウオールのフロントエンドがインストールされません。必要であれば、 firewalld パッケージをインストールしてお使いください。

  • YaST がインストールされません。必要であれば、 patterns-yast-yast2_basis パターンをインストールしてお使いください。

1.3 Installing on Hard Disks With Less Than 12 GB of Capacity

The installer will only propose a partitioning scheme if the available hard disk size is larger than 12 GB. If you want to set up, for example, very small virtual machines images, use the guided partitioner to tune partitioning parameters manually.

1.4 UEFI—Unified Extensible Firmware Interface

UEFI (Unified Extensible Firmware Interface) を利用して起動するシステムに openSUSE をインストールする場合、事前に製造元が推奨するファームウエア更新を必ずチェックし、可能であればインストールしておくことを強くお勧めします。 Windows 8 もしくはそれ以降のバージョンがプレインストールされているマシンの場合、お使いのシステムが UEFI である可能性が高いものと思われます。

背景 UEFI のファームウエアによっては、 UEFI のストレージ領域に多くのデータが書き込まれることで、起動に失敗してしまうバグを抱えています。もちろんこれはバグであるため、どれだけ 多くの データを書き込むことで問題を発生させるのかは、誰にもわかりません。

openSUSE では、 OS を起動するのに最低限必要となるデータ (UEFI に対して、 openSUSE のブートローダの場所を示すための情報) しか書き込まないようにすることで、このバグの発生を最小化しています。 Linux カーネルのオリジナル版では、 UEFI のストレージ領域に起動やクラッシュに関する情報を書き込む機能 (pstore) がありますが、既定では無効化しています。ただし、バグである都合上、ハードウエアの製造元が推奨するファームウエア更新については、必ずインストールしておくことをお勧めします。

1.5 UEFI, GPT, MS-DOS の各パーティションについて

EFI/UEFI の仕様には、新しい形式のパーティションテーブル GPT (GUID パーティションテーブル) が定義されています。この新しい方式では、ユニークな GUID (識別子; 32 桁の 16 進数で表わされる 128 ビットの値) を利用してデバイスとパーティション種別を識別します。

これに加えて、 UEFI の仕様では古い MBR (MS-DOS) 形式のパーティションテーブルにも対応しています。 Linux のブートローダ (ELILO, GRUB 2) では、これらの古い形式のパーティションに対して、自動的に GUID を割り当ててファームウエア内に書き込もうとします。この場合、 GUID は頻繁に変更されてしまうため、ファームウエアへの再書き込みも頻繁に発生することになります。この再書き込みには 2 つの操作、具体的には古い項目の削除と、それを置き換えるための新しい項目の作成が含まれます。

また、新しいファームウエアには、削除された項目を収集して古い項目用に確保したメモリを解放する、ガーベージコレクタ機能が用意されています。ファームウエアに不具合があると、これらの古い項目を収集できなかったり、メモリを解放しなかったりする場合があり、これにより起動が不可能になる場合があります。

このような問題が発生した場合は、古い MBR 形式のパーティションを GPT 形式のパーティションに更新して、問題を回避してください。

1.6 高 DPI ディスプレイのコンピュータにおけるインストーラ UI の表示について

既定では、 YaST インストーラは高 DPI ディスプレイ環境において、正しい縮尺での表示が行なわれません。お使いのコンピュータが高 DPI ディスプレイの環境である場合は、起動時に設定を行なうことで、 YaST に自動で縮尺を設定させることができます。具体的には、ブートローダのコマンドラインパラメータとして QT_AUTO_SCREEN_SCALE_FACTOR=1 を追加してください。

2 システムアップグレード

本章には、アップグレードに関する説明が書かれています。詳しいアップグレード手順については、下記で公開されている文書をお読みください: https://doc.opensuse.org/documentation/leap/startup/html/book.opensuse.startup/cha.update.osuse.html

なお、 4項 「ドライバとハードウエア」 もお読みください。

このほか、 3項 「パッケージの変更について」 についてもご覧ください。

2.1 openSUSE Leap 42.3 からのアップグレード

2.1.1 システムアップグレード時のパッケージのダウングレードについて

The RPM package information of packages shipped in openSUSE Leap 15.0 contain an added openSUSE Leap version string. For this reason, packages that contain the same upstream version of software as shipped in openSUSE Leap 42.3 will be displayed as downgrades, even though they actually contain the same software but compiled for a newer operating system.

2.1.2 cryptconfig の削除について

以前のバージョンの openSUSE Leap では、 cryptconfig で個別に暗号化されたホームディレクトリに対応していました。ですが、 openSUSE Leap 15.0 では、この機能と cryptconfig が利用できなくなっています。

openSUSE Leap 15.0 でユーザデータを暗号化するには、ホームディレクトリを含むパーティションまたはボリュームの全体を暗号化してください。

ヒント
ヒント: アップグレード前の暗号解除について

We encourage you to decrypt encrypted home directories before performing an upgrade from openSUSE Leap 42.3. While under openSUSE Leap 15.0, existing encrypted home directories can still be used (the underlying technology, pam_mount, is still available), there may not be an easy upgrade path in the future.

なお、 openSUSE Leap 15.0 にアップグレードを行なってしまうと、追加したユーザのホームディレクトリを個別に暗号化することができなくなります。

2.1.3 Postfix Admin Uses Backwards-Incompatible Directory Layout

Starting with the version 3.2, as shipped in openSUSE Leap 15.0, Postfix Admin (package postfixadmin) uses a new and backwards-incompatible directory layout:

  • 設定ファイルが /etc/postfixadmin に移動されています。

  • PHP コードが /usr/share/postfixadmin に移動されています。

  • Smarty キャッシュが /var/cache/postfixadmin に移動されています。

Postfix Admin no longer reads configuration files from their previous locations and the configuration is not migrated automatically. Therefore, you need to migrate the following items manually:

  • config.local.php/srv/www/htdocs/postfixadmin から /etc/postfixadmin に移動します。

  • config.inc.php をカスタマイズしている場合は、カスタマイズしている項目を /etc/postfixadmin/config.local.php で設定しなおします。なお、 config.inc.php はそのまま変更せず残しておくことをお勧めします。

  • Apache 側の設定では、 /postfixadmin の別名定義 (エイリアス) を追加するか、有効にします:

    • 全ての仮想ホストに対して別名定義を有効化するには、下記のように実行します:

      tux@linux > sudo a2enflag POSTFIXADMIN && rcapache2 restart
    • 特定の仮想ホストに対してのみ別名定義を有効にするには、対象の仮想ホストの設定内に、別名定義を設定してください。

2.1.4 暗号化されたディスクが名前でマップされている場合にオフラインアップグレードが失敗する問題について

暗号化されたデータパーティション (たとえば /home など) が存在する状態で、コンピュータをインストールメディア経由でオフラインアップグレードすると、以前のバージョンのインストールを選択する際、 YaST がクラッシュしてしまいます。

これは、対象のデータパーティションが /etc/fstab 内でデバイスマッパーの名前で記載されている (例: /dev/mapper/cr_home) 場合に発生します。 YaST ではこれらのパスを、自動検出されたボリュームに関連づけることができません。

オフラインアップグレードの機能を利用できるようにするには、アップグレードを実施する前に /etc/fstab の内容を編集して、デバイス名ではなくデバイスの UUID を使用するように変更してください。なお、デバイスの UUID を表示するには、下記のコマンドを使用します:

tux@linux > blkid | grep "DEVICE_MAPPER_NAME"

上記のコマンドを実行すると、 UUID= の後ろに引用符で括られた UUID が表示されます。

2.1.5 GPG における新しい鍵データベース形式について

openSUSE Leap 42.3 shipped with GPG 2.0, while openSUSE Leap 15.0 includes GPG 2.2. In between these GPG versions, a new key database format was introduced. GPG 2.2 will automatically upgrade your key ring to the new format. However, the upgraded key ring cannot be used by older versions of GPG anymore.

古い鍵データベース形式のまま利用したい場合は、 openSUSE Leap 15.0 にアップグレードする前に、 ~/.gnupg ディレクトリをバックアップしておいてください。

2.1.6 ntpd の chrony への置き換えについて

時刻同期デーモンである ntpd は、より新しいデーモンである chrony に置き換えられています。

この変更により、 AutoYaST のプロファイルを設定する際、 ntp_client セクション内を新しい形式に更新する必要が生じています。 AutoYaST の ntp_client セクションに関する詳細は、 https://doc.opensuse.org/projects/autoyast/#Configuration.Network.Ntp をお読みください。

To synchronize time in intervals, YaST sets up a cron configuration file. From openSUSE Leap 15.0 on, the configuration file used for this is owned by the package yast2-ntp-client (previously no package owned it). The configuration file has been renamed from novell.ntp-synchronization to suse-ntp_synchronization to be consistent with other cron configuration files. The upgrade from previous versions of openSUSE Leap is performed automatically: If a file with the old name is found, it will be renamed and references to ntpd in it will be replaced by chrony references.

3 パッケージの変更について

3.1 廃止予定のパッケージについて

廃止予定のパッケージは、ディストリビューションの一部として現在も配布されているものの、次期バージョンの openSUSE Leap で削除される予定になっているものを示しています。これらのパッケージは移行を目的として残されていますが、使用は推奨されず、更新を受け取れない可能性があります。

インストール済みのパッケージがメンテナンスされているかどうかを確認するには、 lifecycle-data-openSUSE パッケージをインストールした後、下記のコマンドを実行してください:

tux@linux > zypper lifecycle

3.2 削除されたパッケージ

削除されたパッケージとは、ディストリビューションの一部として配布されなくなっているものを表わしています。

4 ドライバとハードウエア

4.1 nVidia GPU を含む複数のグラフィックカードが搭載されたマシンでのハングアップ現象について

openSUSE Leap 15.0 GM に同梱されているカーネルを利用した場合、 nVidia グラフィックカード用の nouveau ドライバを使用すると、再起動やシャットダウン時のほか、何らかの電源管理機能の処理を行なった場合にハングアップしてしまうことがあります。このバグは主に、内蔵の Intel グラフィックカードと専用の nVidia グラフィックカードの両方を搭載したラップトップで発生します。

このバグはカーネルのメンテナンス更新で修正される予定ですが、インストールイメージにはその更新が含まれていません。そのため、更新が提供された後であっても、インストールの際やインストール後の初回の起動で、この問題が発生する場合があります。この問題が発生した場合は、起動時のオプションに nouveau.modeset=0 を設定して回避してください。更新済みのカーネルをインストールした後は、このオプションを外してかまいません。

4.2 Wayland 環境での KDE におけるプロプライエタリ nVidia ドライバのサポートについて

KDE Plasma Wayland セッションは、プロプライエタリ版の nVidia ドライバでサポートしていません。 KDE をお使いの場合で、プロプライエタリ版の nVidia ドライバをお使いの場合は、 X セッションのままお使いください。

5 デスクトップについて

本章では、 openSUSE Leap 15.0 のデスクトップ関連の問題や変更点を説明しています。

5.1 既定での修飾キーの設定について

openSUSE の以前のバージョンでは、通常のキーボードレイアウトに含まれていない文字を入力するため、修飾キーの設定が行なわれていました。たとえば å を入力したい場合、 Shift右 Ctrl を押して離したあと、 a を 2 回押すことで実現できていました。

openSUSE Leap 15.0 では、 Shift右 Ctrl が期待通りに動作しなくなっているため、修飾キーの組み合わせ設定が行なわれていません。

  • システム全体に対して修飾キーの組み合わせを設定するには、 /etc/X11/Xmodmap ファイルを開いて、まずは下記のような行を探します:

    [...]
    !! Third example: Change right Control key to Compose key.
    !! To do Compose Character, press this key and afterwards two
    !! characters (e.g. `a' and `^' to get 342).
    !remove  Control  = Control_R
    !keysym Control_R = Multi_key
    !add     Control  = Control_R
    [...]

    上記の例でコメントアウトを元に戻すには、行頭の ! 文字を削除します。ただし、 setxkbmap をお使いの場合は、 Xmodmap の設定が上書きされ、元に戻ってしまうことに注意してください。

  • ユーザ固有の修飾キー設定を行ないたい場合は、お使いのデスクトップに対応するキーボード設定ツールをお使いいただくか、コマンドラインツールである setxkbmap をお使いください:

    tux@linux > setxkbmap [...] -option compose:COMPOSE_KEY

    COMPOSE_KEY の値には、たとえば下記のようなものを設定することができます: ralt, lwin, rwin, menu, rctl, caps

  • このほか、修飾キーを利用せずに文字を入力する方法として、 (日本語変換と同様に) IBus 入力メソッドを利用する方法もあります。

5.2 Use update-alternatives to Set Display Manager and Desktop Session

In the past, you could use /etc/sysconfig or the YaST module /etc/sysconfig Editor to define the display manager (also called the login manager) and desktop session. Starting with openSUSE Leap 15.0, the values are not defined using /etc/sysconfig anymore but with the alternatives system.

既定値を変更するには、下記の alternatives をお使いください:

  • Display manager: default-displaymanager

  • Wayland セッション: default-waylandsession.desktop

  • X デスクトップセッション: default-xsession.desktop

たとえば default-displaymanager の設定を表示したい場合は、下記のように実行します:

tux@linux > sudo update-alternatives --display default-displaymanager

default-displaymanagerxdm に切り替えるには、下記のように実行します:

tux@linux > sudo update-alternatives --set default-displaymanager \
  /usr/lib/X11/displaymanagers/xdm

alternatives をグラフィカルに管理したい場合は、 YaST モジュールの Alternatives をお使いいただくことができます。このモジュールをインストールするには、 yast2-alternatives パッケージをインストールしてください。

5.3 GDM 以外を利用した場合に GNOME Shell でスクリーンロックができない問題について

SDDM や LightDM など、 GDM 以外のログインマネージャを利用してログインし、 GNOME Shell を利用した場合、画面をブランクにしたりロックしたりすることができなくなってしまいます。また、ログアウトせずにユーザを切り替える機能も、動作しなくなってしまいます。

GNOME Shell で画面をロックできるようにするには、下記のようにしてログインマネージャを GDM に切り替えます:

  1. まずは gdm パッケージがインストールされていることを確認します。

  2. GDM をディスプレイマネージャとして設定します:

    tux@linux > sudo update-alternatives --set default-displaymanager \
      /usr/lib/X11/displaymanagers/gdm
  3. 最後にシステムを再起動してください。

5.4 高 DPI ディスプレイのコンピュータにおける SDDM UI の表示について

KDE の既定のログインマネージャである SDDM は、既定では高 DPI ディスプレイ環境において、正しい縮尺での表示が行なわれません。お使いのコンピュータが高 DPI ディスプレイの環境である場合は、設定ファイル /etc/sddm.conf 内に設定を行なうことで、自動で縮尺を設定させることができます:

[X11]
EnableHiDPI=true
ServerArguments=-nolisten tcp -dpi DPI_値

Replace DPI_VALUE with an appropriate DPI value, such as 192. For best scaling results, use a DPI value that is a multiple of the default 96 DPI.

5.5 高 DPI ディスプレイのコンピュータにおける YaST UI の表示について

既定では、 YaST は高 DPI ディスプレイ環境において、正しい縮尺での表示が行なわれません。お使いのコンピュータが高 DPI ディスプレイの環境である場合は、起動時に設定を行なうことで、 YaST に自動で縮尺を設定させることができます。具体的には、環境変数 QT_AUTO_SCREEN_SCALE_FACTOR=1 を設定してください。

5.6 高 DPI モニタと通常 DPI モニタの混在する環境での Qt アプリケーションの自動縮尺設定について

Qt では X の各モニタに対して、自動的に縮尺を設定する機能が提供されています。プライマリモニタに対しては、仮想 X スクリーンに対する DPI 値を使用してフォントサイズを計算します。既定では、この値は 96 DPI になっています。それ以外のモニタに対しては、プライマリモニタの DPI 値からの相対値を使用して、フォントサイズを計算します。

最もよく使用されている 2 種類のデスクトップをお使いの場合は、このような Qt の動作を下記のようにして無視するようになっています:

  • GNOME will set Xft.dpi to the configured multiple of 96 DPI.

  • KDE Plasma では Qt の自動縮尺設定を無効化し、 KDE 側で縮尺を設定しています。

On other desktops, this behavior of Qt can lead to undesirable situations such as the following: If the primary display is High-DPI (>= 144 DPI), fonts in Qt applications that request scaling, such as VLC, are effectively scaled to half the desired size on all monitors. Applications which do not request scaling, such as YaST (with default settings), use the same DPI value on all monitors. Hence, they will look smaller on the High-DPI monitor.

この問題を回避するには、下記の回避策の中からいずれか 1 つを実施してください:

  • プライマリモニタとして通常 DPI のモニタを使用する。縮尺機能を必要とするアプリケーションは、高 DPI モニタでも適切に表示されるようになります。

  • フォントの DPI (Xft.dpi) を適切に設定する。お使いのデスクトップ環境で提供されている設定ユーティリティをお使いいただいて設定するほか、ログイン時に下記のコマンドを実行してもかまいません:

    tux@linux > echo Xft.dpi:DPI_値 | xrdb -nocpp -merge

    DPI_値 の箇所をプライマリモニタの DPI 値に置き換えてお使いください。

5.7 Wayland 環境下の Firefox や Chromium で画面共有が動作しない問題について

Firefox と Chromium は、ビデオ会議アプリケーションなどの Web ベースツールなどで、画面全体や個別のアプリケーションウインドウを共有することができます。ですが、この機能は Wayland セッションをお使いの場合、どのブラウザでもサポートされていません。

Firefox や Chromium をお使いの場合で、画面共有を利用したい場合は、 X セッションをお使いください。

5.8 MP3 メディアファイルの再生について

MP3 メディアファイルを再生するためのコーデックが、標準のリポジトリ内で提供されるようになりました。

このデコーダを、 Rhythmbox または Totem などの gstreamer ベースのアプリケーションやフレームワークで使用するには、 gstreamer-plugins-ugly パッケージをインストールしてください。

5.9 LibreOffice で Type-1 フォントをサポートしない問題について

LibreOffice 5.3 およびそれ以降のバージョンでは、古い形式である Type-1 フォント (.afm.pfb などの拡張子のフォントファイル) には対応しなくなりました。ほとんどのユーザにとって、この変更による影響はありません。なぜなら、現在提供されているフォントの多くは、 TrueType 形式 (.ttf) や OpenType (.otf) 形式のフォントであるためです。

もしもこの問題でお悩みの場合は、古い Type-1 フォントを TrueType などの形式に変換したあと、そのフォントをお使いください。変換は、 openSUSE 内に含まれている FontForge (fontforge パッケージ) で行なうことができます。また、このような変換をスクリプトで実施したい場合は、 https://fontforge.github.io/en-US/documentation/scripting/ (英語) をお読みください。

5.10 FreeType フォント描画方法の変更について

FreeType 2.6.4 では、新しい既定のグリフヒンティングインタプリタ (バージョン 38) が提供されるようになり、他のオペレーティングシステムに非常に近い表示を行なうようになっています。ですが、この仕組みは、環境によっては ぼやけた 表示のように見えてしまう場合があります。以前の FreeType の描画方法に戻したい場合は、任意のレベル (システム全体/ユーザ単位/プログラム単位) で下記の環境変数を設定してください:

FREETYPE_PROPERTIES="truetype:interpreter-version=35"

5.11 KDE Plasma におけるブラウザ統合の有効化について

Firefox および Chromium/Chrome に対応する Plasma のブラウザ統合を利用することで、 KDE のシステムツール経由でマルチメディアの状態を監視したり、ダウンロードを監視したりすることができるほか、 KDE Plasma デスクトップ内の コマンドの実行 (Run Command) バーから、ブラウザにアクセスすることができるようになります。

ブラウザ統合の機能は、相互に動作する下記の 2 種類のパーツから構成されています:

ただし、この機能は現在も開発途上のものであり、 openSUSE Leap 15.0 では早期バージョンとして公開されているものになります。

5.12 Emacs の psgml モジュールの読み込みについて

既定のインストールでは emacs モジュール間で競合が発生することから、 openSUSE Leap 15.0 では psgml モジュールを自動では読み込まなくなっています。詳しくは README ファイル (psgml パッケージ内) をお読みください。

6 セキュリティ

本章では、 openSUSE Leap 15.0 におけるセキュリティ機能の変更について説明しています。

6.1 GPG が GPG V3 の鍵をサポートしなくなったことによって Zypper/rpm が警告を発する問題について

openSUSE Leap 42.3 shipped with GPG 2.0, while openSUSE Leap 15.0 includes GPG 2.2. In between these GPG versions, support for GPG V3 keys was removed. If your system's key database still contains GPG V3 keys, you may receive warnings about this when executing Zypper or rpm commands, as these commands are checking the integrity of the package database. These warnings take the form warning: Unsupported version of key: V3.

このような警告メッセージが表示されたとしても、通常はシステムで既に使用していないリポジトリであったり、鍵を更新して置き換え済みのものであったりするため、特に問題にはなりません。ただし、提供元のリポジトリで今もこのバージョンの鍵を使用している場合は、できる限り早急に鍵を置き換えなければなりません:

  • openSUSE Leap 15.0 のパッケージ管理ツールでは、これらの鍵を利用してパッケージを検証することができなくなっています。

  • その鍵自身も、もはや安全とは呼べなくなっています。そのため、古いパッケージ管理ツールがそれらの鍵を利用して、パッケージの検証を行なっている場合も、検証結果が信頼に足るものとは言えなくなっています。

これらの鍵を削除するには、下記の通り実施してください:

  1. まずは rpm コマンドを詳細出力を行なうモードで実行し、出力結果を確認します:

    tux@linux > rpm -vv -qf /etc
    ufdio: 1 reads, 18883 total bytes in 0.000006 secs
    [...]
    D: read h# 168 Header sanity check: OK
    warning: Unsupported version of key: V3
    [...]

    上記の例では、ヘッダ 168 に古い鍵が存在していることになります (警告メッセージがそのヘッダのチェック直後に表示されているためです) 。

  2. 次にヘッダ番号から鍵を探します:

    tux@linux > rpm -q --querybynumber ヘッダ番号

    ここで、 ヘッダ番号 にはヘッダの番号を指定します。上記の例では 168 になります。

    すると、このコマンドは gpg-pubkey- で始まる鍵の識別子を返します。

  3. 表示された鍵の識別子 (鍵_ID) をもとに、鍵に関する情報を取得します:

    tux@linux > rpm -qi 鍵_ID
  4. あとはシステムから鍵を削除します:

    tux@linux > sudo rpm -e 鍵_ID
  5. 鍵を削除してもパッケージ管理ツールが警告メッセージを表示し続ける場合は、上記までの手順を繰り返してください。

6.2 systemctl stop apparmor が動作しない問題について

以前のバージョンでは、 systemctl のサブコマンド reloadrestart は似たような名前であるため、動作の違いに気付きにくくなってしまっていました:

  • systemctl reload apparmor は、全ての AppArmor プロファイルを再読み込みします (これは、 AppArmor のプロファイルを再読み込みさせる方法としては、現在も将来も適切な方法です) 。

  • systemctl restart apparmor は AppArmor をいったん停止させ、全てのプロファイルの読み込みを開放したあと、起動し直します。この方法では、既存のプロセスに対する制約が解除されてしまい、新しく起動したプロセスのみが制約の対象となってしまいます。

残念なことに systemd では、各ユニット (サービスを記述するファイル) 内で restart の動作を変更することができず、解決できない仕組みになってしまっています。

そのため、 AppArmor 2.12 以降のバージョンでは systemctl stop apparmor を動作しないようにしました。この動作変更により、 systemctl restart apparmor でも、適切に AppArmor プロファイルを再読み込みできるようになっています。

逆に、全ての AppArmor プロファイルの読み込みを開放するために、 aa-teardown と呼ばれるコマンドを提供するようにしました。これは従来の systemctl stop apparmor の動作と同じ意味を持ちます。

詳しくは https://bugzilla.opensuse.org/show_bug.cgi?id=996520https://bugzilla.opensuse.org/show_bug.cgi?id=853019 をお読みください。

7 テクニカル

7.1 btrfs サブボリュームの配置変更について

openSUSE Leap 15.0 では、下記の要件を満たす目的で、 btrfs のサブボリュームの配置が変更されています:

  • スナップショットとロールバックの簡略化

  • 不用意なデータ損失の防止

  • /var 内に保存されるデータベースや VM イメージの性能改善

従来は /var 以下のサブディレクトリに対して複数のサブボリュームを設定していましたが、 openSUSE Leap 15.0 では、 /var に対して単一のサブボリュームを設定するようになっています。また、新しく設定するサブボリュームには、 copy-on-write の機能を無効化しています。

新しい btrfs のサブボリューム配置にアップグレードする方法は提供されておりません。そのため、上記のメリットを生かしたい場合は、 openSUSE Leap 15.0 をアップグレードではなく 新規にインストールしてください。

変更前後の btrfs のサブボリューム配置について、詳しくは https://ja.opensuse.org/SDB:BTRFS をお読みください。

7.2 Wicked: Using RFC 4361 DHCPv4 client-id on Ethernet

RFC 4361 では、 RFC 2132 のセクション 9.14 で規定されている クライアント ID が更新され、 DHCP 6 の クライアント ID (duid) と互換性が保たれるようになっています。 RFC 4361 の適用は Infiniband (RFC 4390) では必須となっているほか、イーサネット上で DHCP 4 と DHCP 6 のアドレスに対して、同じゾーンを更新するように設定されている DNS レコードを運用するにあたっても、必要な機能となっています。

openSUSE Leap 15.0 では、下記のようになっています:

  • ISC DHCP 4.3.x サーバは新しい RFC 4361 に対応しています (DNS の更新を行なうために必要となるため)

  • Wicked 側では クライアント ID を送信したり、 DHCPv6 ベースの クライアント ID を DHCPv4 で自動的に使用したりするためのオプション (Infiniband で使用します) が提供されています。

インストール時に クライアント ID を送信するには、 linuxrc (詳しくは https://ja.opensuse.org/SDB:Linuxrc をお読みください) の ifcfg に下記の例のような内容を設定します:

ifcfg=eth0=dhcp,DHCLIENT_CLIENT_ID=01:03:52:54:00:02:c2:67,DHCLIENT6_CLIENT_ID=00:03:52:54:00:02:c2:67

詳しい情報については、 man 5 wicked-config, wicked duid --help, wicked iaid --help 内の dhcp4 "create-cid", dhcp6 "default-duid" オプションに対する説明をお読みください。

RFC 2132 の DHCPv4 におけるイーサネット上の クライアント ID は、ハードウエアの種類 (イーサネットの場合 01) とハードウエアアドレス (MAC アドレス) を続けて記述することで作成していました。たとえば下記のようになります:

01:52:54:00:02:c2:67

RFC 4361 の クライアント ID は、 (ハードウエアの種類の代わりに) 0xff から始まり、その後に DHCPv6 の IAID (マシン内でのインターフェイス情報を記述するハードウエアアドレス関連 ID) と DHCPv6 DUID (マシンの識別情報となる クライアント ID) を続けます。

上述のハードウエア種類とハードウエアアドレスをベースにした DUID (既定で使用される LLT タイプ) を使用する場合、新しい RFC 4361 DHCPv4 の クライアント ID は、下記のようになります:

  • IAID として MAC アドレスの後ろ側を埋め込む方法: ff:00:02:c2:67:00:01:xx:xx:xx:xx:52:54:00:02:c2:67

  • IAID にシンプルな順序番号を埋め込む方法: ff:00:00:00:01:00:01:xx:xx:xx:xx:52:54:00:02:c2:67

DUID-LLT 内での xx:xx:xx:xx は、作成した時点でのタイムスタンプを表わします。 DUID-LL (00:03:00:01:MAC アドレス) にはタイムスタンプが含まれません。

8 さらに詳しい情報とフィードバック

  • まずはメディア内の README 文書をお読みください。

  • また、特定のパッケージに対する詳細な変更点を RPM パッケージから表示するには、下記のコマンドを実行します:

    tux@linux > rpm --changelog -qp FILENAME.rpm

    ファイル名 の箇所を RPM の名前に置き換えてお使いください。

  • また、メディアのルートディレクトリには ChangeLog ファイルがあります。ここには、更新されたパッケージに対する全ての変更点が時系列順に並んでいます。

  • そのほか、 メディアの docu ディレクトリには、さらに詳しい情報があります。

  • 追加のドキュメンテーションや更新されたドキュメンテーションをお読みになりたい場合は、 https://doc.opensuse.org/ をご覧ください。

  • また、 openSUSE からの最新の製品ニュースについては、 https://www.opensuse.org をご覧ください。

Copyright © SUSE LLC

このページを印刷