tksm.org

ubuntu20.04を使用中ですが、古いCentOSからsshでつながらんのでメモ

slogin xxx とすると

no kex alg

で、繋がらない。

要求されるキー交換アルゴリズムが対応できていないのでSSHサーバ側で対処

/etc/ssh/sshd_config

KexAlgorithms +diffie-hellman-group14-sha1

とか

KexAlgorithms +diffie-hellman-group1-sha1

group14のほうが強度は高そう、「＋」は追加する意味なので忘れないこと

Ubuntu 20.04をESXi上で動かしたらsyslogにmultipathdのログが大量にでる対応

 multipathd[791]: sda: add missing path
 multipathd[791]: sda: failed to get udev uid: Invalid argument
 multipathd[791]: sda: failed to get sysfs uid: Invalid argument
 multipathd[791]: sda: failed to get sgio uid: No such file or directory

→ESXiから情報が取れないので、仮想マシンのパラメータをTRUEに変更

disk.EnableUUID = "TRUE"

※これ変えるとどうなるんだっけな

→とりあえず止めたい場合
/etc/multipath.conf

blacklist {
    devnode "sd([a-z])"
}

systemctl restart multipathd.service

参考URL
https://tech.virtualtech.jp/entry/2020/07/07/124731(仮想化通信)
https://www.suse.com/support/kb/doc/?id=000016951(SUSE Support)

ChromeOSクローンとしては、CloudReadyがありますが、Androidアプリが使えないので、なんかいいのないかなと思ってたら、ちょっとグレーな方法だと思われるのですが、ChromeOSのリカバリイメージで復元すれば、本家のChromeOSとして動くんじゃねというのがあるようなので、使わなくなった中華PCがあるので試してみた。
　
　
Brunch Projectを使って作業します。
　
◆用意するもの
・UEFIブートできる素性のいいPC
・8GBか16GBぐらいのUSBメモリ
・https://www.linuxmint.com/download.phpからLinuxMintをUSBからブートして作業用に用意
・https://rufus.ie/からrufusでUSBブートメディアを作成するために用意

・https://github.com/sebanc/brunch/releases
brunch_r87_stable_20201227.tar.gzとかをダウンロードして解凍
・https://cros-updates-serving.appspot.com/
rammusのイメージで、上のBrunchに合わせたものをダウンロード「chromeos_13505.73.0_rammus_recovery_stable-channel_mp-v2.bin.zip」・https://raw.githubusercontent.com/shrikant2002/ChromeOS/master/install.shからインストール用スクリプトを用意
　
◆作業手順
1． 作業用のWindowsPCでRufusを起動して、LinuxMintをUSBへ書き込み
2． LinuxMintを焼いたUSBにエクスプローラーで適当にフォルダを作成して以下3つをコピー
　a) brunch_r87_stable_20201227.tar.gz の解凍したファイル
　b) chromeos_13505.73.0_rammus_recovery_stable-channel_mp-v2.bin.zipを解凍したイメージ
　→ install.shに合わせるなら「rammus_recovery.bin」にリネーム
　c) install.sh
3． ChromeOSにしたい、中身が消えてもいいPCで、作成したUSBでブートしてLinuxMintを起動
4． シェルを起動すると、/cdrom がUSB自身のフォルダになるので以下のようにインストール

  cd /cdrom
  sudo sh ./install.sh

5. メモ1
「/dev/sda」は違う可能性あり、eMMCなどの場合は、「/dev/mmcblk1」とかになるはず
lsblk とか df コマンドでディスクのデバイスを確認
6．メモ2
/cdrom はReadOnly(RO)なのでinstall.shが修正できないので

   sudo mount -o remount,rw /cdrom

とかすれば、書き換えできるかも
7. メモ3
install.sh をWindowsで作成するとCR+LFになるのでLFにして保存して
おいたほうがいいかも
　
　
今後のアップデートとかどうなるかわかりませんが、とりあえずChromeOSとして起動して、自分のGoogleアカウントでログインするとAndroidアプリも使用可能です。
　
目的はSSHでトンネルしてそこにRDPしたかったのですが、
ConnectBot(Google Play)
Remote Desktop 8(Google Play)
を使えばできそうな感じ。(途中で切れる時があるのは回線の品質のせい？)
　
Linuxもインストールできるのでsshでトンネルしてrdesktopかxfreerdpでもできそうか？
　
一応、技術的にはできそうなところまで確認、WindowsでRDPするより画面のレスポンスが悪いような気がするのは、マシンの性能なのかRDPクライアントのせいか？

そもそもこのPCを使わなくなったのが、英語配列のキーボードのせいなので、Youtubeとかネットだけならいいのだけど、普段使いは、キーボードでストレスたまりそうなので、ドンキPCとか買ってきてやってみればいいかな(^^;

＜参考URL＞
公式 Chrome OS で Dell Inspiron 14-3452 を Chromebook 化してみた。(PC-FREEDOM)
GooglePlay入りの純粋な「ChromeOS」を普通のパソコンにインストールする方法(SMART ASW)

メールサーバが海外からのアクセスがうっとおしいので、日本だけの制限する。

いろいろググっていろんなパターンがあるのを参考にさせてもらいましたが、ゾーンを新しく作成してipsetを作ってファイルから読み込ませるのが自分的にすっきりしていたので、以下のような感じ。

#!/bin/sh
set -x

IPLIST=cidr.txt

#ホワイトリストなどあれば
touch ip.txt
#echo 127.0.0.1          > ip.txt
#echo xxx.xxx.xxx.xxx/24 >> ip.txt


#cidr.txt あれば一応退避
if [ -e $IPLIST ]; then
    mv $IPLIST "${IPLIST}_${date}"
fi

# IPリストを取得する
wget http://nami.jp/ipv4bycc/$IPLIST.gz
gunzip -d $IPLIST.gz

# JPだけ抜き出す
sed -n 's/^JP\t//p' $IPLIST >> ip.txt

# 新しいゾーンを作成
firewall-cmd --permanent --new-zone=JP
firewall-cmd --permanent --zone=JP --set-target=ACCEPT

# 制限したいサービスを作成したzoneにいれる
firewall-cmd --permanent --zone=JP --add-service=smtp
firewall-cmd --permanent --zone=JP --add-service=submission
firewall-cmd --permanent --zone=JP --add-service=pop3

# ipsetを作成し、ファイルから取り込む
# deleteはエラーがでますが作り直す用にいれてあります
firewall-cmd --permanent --delete-ipset=jp_ip
firewall-cmd --permanent --new-ipset=jp_ip --type=hash:net
firewall-cmd --permanent --ipset=jp_ip --add-entries-from-file=ip.txt
firewall-cmd --permanent --zone=JP --add-source=ipset:jp_ip

# firewalldの再読み込み
firewall-cmd --reload
firewall-cmd --list-all-zone

<参考URL>
firewalldで国内IPのみ許可(システムエクスプレス株式会社)

CentOS8(samba-4.11.2)で、ファイル共有つくってWindows10で接続すると初回接続が遅い問題。
(たぶんSambaは関係ない)

Windows10が初回の接続時にWebDAVで接続を試している様子、Linux側はFirewalldでsambaしかあけてないのでhttpがDropとなるのでタイムアウト待ちで遅いように見える。(調べきれてないので想像もあり)

今回は、Webサーバは不要なのでblockゾーンにhttp入れればいいかとおもったけど、うまくいかなかったので、Firewalldでhttp開けておいた、Apacheとかは上がってなくもいい様子。

dnf --enablerepo=PowerTools install nkf

CentOS8(1905)の環境を(1911)にアップデートした際にfirewalldの仕様が変わったのか繋がらなくなってしまったのですが、仕様変更があったのか、使い方が間違っていたのかわからんのでメモ

状況としては、
インターフェースはens192のみで、publicゾーンでhttp,httpsを公開、srcアドレス追加してでDMZゾーンを作成して、制限したIPセグメントからは追加でSSHを許可するようにしてたのですが、以前は、dmzでマッチしたあとpublicも評価されていたようなのですが、1911からは、dmzゾーンだけの評価になったのか、publicのhttp,httpsが繋がらなくなってしまったような・・・

あたりまえだと言われたらそうなんだけど、オーバーライドしなくなったのかしらん。

dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources: xxx.xxx.xxx.0/24
  services: ssh
  ports: 
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources:
  services: http https
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

推奨されないので外れてしまっているのですが。。。
鍵を作り直すのが面倒なやつがあるのでDSAキーで鍵認証できるように。

CentOS8(RHEL8)からupdate-crypto-policiesってやつで用意されているパターンをを変更することで暗号化ポリシーを簡単に変更できる

→現在の確認

update-crypto-policies --show

→設定変更(DEFAULT,LEGACY,FUTURE,FIPS)

update-crypto-policies --set LEGACY

ファイル格納フォルダ

/usr/share/crypto-policies

　
　
　
全部のポリシーがヨワヨワになるのも困るので、
SSHServerのみ、LEGACYへ置き換えてでDSAをOKにする

cd /usr/share/crypto-policies/DEFAULT/
\cp -p opensshserver.txt opensshserver.txt.org
\cp -f ../LEGACY/opensshserver.txt opensshserver.txt
systemctl restart sshd.service

　
参考
第3章 システム全体の暗号化ポリシーの使用(Redhat)

ところで、CentOS と 8 の間には「-」があるのが正しいのか？
　
　
待望？のCentOS-8がリリースされました、さっそくインストールしたわけですが、-boot.isoだとリポジトリがとれなくて、ミラーサイトのURLを適当にいれて、このサイトの家サーバにもインストール完了して、データの移行完了。

＃仮想基盤は、-dvd.isoでいれましたが、家サーバの物理に入れるのは、DVD作るとサイズがデカイので二層DVDになったり、USBメモリも探すの面倒だったので、-boot.isoでいれてみた。

CentOS-8 (1905) リリースノート(wiki.centos.org)
　
　
CentOS7からは、大幅に変わった点はない感じですが、リリース直後は、Ubuntuなどとちがってパッケージ数が少なそうなので、EPELなど外部リポジトリなども使いたくなると困るかも。
と書いてみいけど、よく考えたら、PHP7になったり、ApacheはHTTP/2できるようになったり結構違うわ(笑)

ちょっと気になるのは「yum module list」で、モジュールという概念ができたこと、PHPとかApacheとかありますが、CentOS-8のサポート中で別の新しいバージョンがでてきて、同居はできないけど、新しいのに入れ替えは可能になるもってことでいいのかな？、CentOS7みたいにPHP5.4のままで、どうするよ？ということにはならない反面、どこかで入れ直ししないといけなくなるのでは？

　
「8-Stream」とかってローリングリリースタイプができた模様、すこしだけ新しいものを追っかけようみたいな感じ？

Postfixで送信する際にTLSで暗号化する件。
送信の場合は、証明書無くてもよかったことを知らなかったのでメモ

main.cf に以下を追加する

smtp_tls_security_level = may
smtp_tls_loglevel = 1
#smtp_tls_CAfile = /etc/pki/tls/cert.pem

　
smtp_tls_CAfile は、証明書の確認をするのですが、なければ無いで送信はできる模様(デフォルトはEmpty)
入れておけば証明書の検証もされる。
また、「/etc/pki/tls/cert.pem」はパッケージのアップデートで「ca-certificates」をアップデートしておかないと証明書が更新されないので注意。
　
　
◆ログサンプル

Trusted TLS connection established to aa.bb.cc[xxx.xxx.xxx.xxx]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Untrusted TLS connection established to xx.yy.zz[xxx.xxx.xxx.xxx]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)

Ubuntuにしたら、
psql -l とかでPagerがlessとかで止まるのが面倒なので確認

psql
template1=# \pset pager off

→psql -lとかはこちらでないとうまくいかなかった

echo '\pset pager off' >> ~/.psqlrc

UbuntuのApacheを入れて古いEUCのPHPのコードを動かしたら文字化けしたのでメモ

Apacheの設定であれば、「AddDefaultCharset」かと思ったのですがUbuntuのApacheはデフォルトOffのようなのでなんでやんと思ったら、PHP側にもそんな設定があったのをしらなかった。

◆UTF-8以外のコンテンツがある場合はApacheでデフォルトのCharasetをOffにする
httpd.confなど

AddDefaultCharset UTF-8
→AddDefaultCharset Off

◆phpのCharset設定
php.ini

default_charset = "UTF-8"
→default_charset = ""   (無しにする)

※「PHP 5.6.0 以降は “UTF-8” がデフォルトになり」だった模様
(CentOS6のPHP5.4.16が多かったので知らんかった)

　
　
◆確認
デベロッパーツール(Network)などで確認すると「content-type」が「text/html; charset=UTF-8」となっているので「charset=UTF-8」を外したい。
※変更前

※変更後

Ubuntuにしたらsshが新しくなった(7系？)ので古いCentOSに鍵認証(id_dsa)で繋がらなくなったのでメモ
鍵を作り直せばいいのですが、いろいろ手間もあるので、とりあえずつながるようにする方法

.ssh/configに追加

Host *
    PubkeyAcceptedKeyTypes +ssh-dss

　
　
次に、そんなものが残ってるかはおいといて、RHEL3とかにはさらに、ChipherスイートがNGなので、つながるようにするメモ

# ssh xxx.xxx.xxx.xxx
Unable to negotiate with xxx.xxx.xxx.xxx port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se

こんなメッセージでるので、
　
.ssh/configに追加

Host xxx.xxx.xxx.xxx
  Ciphers aes128-cbc

もう一つ
sshdサーバとなる側で、鍵認証のキーを弱くしたい場合(クライアント側がed25519が新しすぎて対応できない場合)
/etc/ssh/sshd_config

PubkeyAcceptedKeyTypes=+ssh-dss

を追記

SMTPとかPOP3とかSSHとか外部からの攻撃が面倒だけど、開けないわけにもいかないので日本のみとかでフィルタする方法

世界の国別 IPv4 アドレス割り当てリスト(Office Nami)

そのものズバリなリストがあるので、しかも適宜更新されているようなのでありがたく使わせていただくと。

http://nami.jp/ipv4bycc/cidr.txt.gz

がCIDR方式のファイルで、iptablesにも加工して入れやすいので、このページにもサンプルありますが、sedなどで加工してiptablesのコマンドに投げてあげればOKかと。

Allow,Deny式であれば以下のような感じ(抜粋)

iptables -P INPUT ACCEPT

wget http://nami.jp/ipv4bycc/cidr.txt.gz
gunzip -d cidr.txt.gz

sed -n 's/^JP\t//p' cidr.txt | while read ipaddress; do
    iptables -A INPUT -s $ipaddress -j ACCEPT -p TCP -m multiport --dports 25,587,465
#    iptables -A INPUT -s $ipaddress -j ACCEPT -p TCP --dports 25
#    iptables -A INPUT -s $ipaddress -j ACCEPT
done

iptables -A INPUT -j DROP -p TCP -m multiport --dports 25,587,465

CentOS7をなにげにyum updateしたらFTPが繋がらなくなって久しぶりに(しかも二重で)ハマったのでメモ

＜1件目＞
vsftpd を使用していて、かつ、Tcp Wrapperをつかっていて、IPはIPv4のみ。

おそらく、vsftpd-3.0.2-24 で、IPv6の認識が修正された点(詳細は未確認)により、
Tcp Wrapperで「/etc/hosts.allow」にIPv4のIPが記載されているものがマッチでき
なくて、「Connection refused: tcp_wrappers denial.」となってしまう。

2018-05-16 - Ond?ej Lyson?k  - 3.0.2-24
- Fix reverse hostname lookup with IPv6
- Resolves: rhbz#1576705

→対処
vsftpdがIPv6を使用しないように変更
/etc/vsftpd/vsftpd.conf

< listen=NO
< listen_ipv6=YES
> listen=YES
> listen_ipv6=NO

＜2件目＞
FTP専用ユーザなので、ログインシェルを「/sbin/nologin」にしていたら
つながらなくなった。

setup-2.8.71-10.el7.noarch へのアップデートで、「/etc/shells」の
「/sbin/nologin」「/usr/sbin/nologin」が削除された。(なにしてくれんねん)

2018-06-21 - Ondrej Vasik  - 2.8.71-10
- fix crudp name in /etc/protocols (#1566469)
- do not list /sbin/nologin and /usr/sbin/nologin in /etc/shells
(#1571104)

→対処
「/etc/shells」に「/sbin/nologin」「/usr/sbin/nologin」をviなどで追加しなおす

　
　
　
まぁ、テキトーにupdateしたのが悪いのですが、どちらもちょっとなんだかなーとおもいながら他のサーバのアップデートの際に気をつけよう

CentOS7のサーバを複製してみる(Hyper-V → VMWare)
VHDをコンバートしてってもできそうな気もしますが、ssh経由のdump,restoreを使って複製してみる

パーティションは「/」だけにした。
スワップパーティションを作ってもいいし、swapファイルを作ってマウントしておいてもいいかと。
あとは自分用メモなので、コマンドの参考にでも。　
　
　
空のゲストOSを作成
複製したいサーバと同じLANインターフェースにする(つながればルータ超えてもかまわない)
CentOS7のISOファイルをマウントしてrescureモードで立ち上げ
fdiskでパーティション作成
mkfs.xfs でフォーマット
　
レスキューモードの複製先のサーバにIPアドレスを付与

  ip addr add 192.168.1.200/24 dev eno16780032

　
マウントポイント作成しディスクマウント

mkdir /dump
mount -t xfs /dev/sda1 /dump

　
複製先から複製元へSSHで繋いでdump,restoreで複製
xfsなので、xfsdump,xfsrestoreを使用(ext3などならdump,restore)

ssh 192.168.1.100 /sbin/xfsdump - /dev/sda1 | /sbin/xfsrestore - /dump/boot
ssh 192.168.1.100 /sbin/xfsdump - /dev/mapper/centos-root | /sbin/xfsrestore - /dump/

　
一旦リブートし、再度ISOファイルからブートしてレスキューモードで起動

chroot /mnt/sysimage/

　
起動用のRAMディスク再作成

cd boot
mv initramfs-3.11.9-200.fc19.i686.PAE.img initramfs-3.11.9-200.fc19.i686.PAE.img.old
dracut initramfs-3.11.9-200.fc19.i686.PAE.img 3.11.9.200.fc19.i686.PAE

　
/etc/default/grubを確認(vga=771にしとけばコンソールがデカくならない)

GRUB_CMDLINE_LINUX="vga=771"

　
起動用のgrub.cfgを自動作成して、grubをブートローダーに書き込む
(grub2になって、configが手書きするのは難しいので自動作成する)

grub2-mkconfig -o /boot/grub2/grub.cfg 
/sbin/grub2-install /dev/sda

　
再起動してちゃんと起動すれば完了

従来は/etc/inittabの変更でしたが、CentOS7から変わったのでメモ

id:3:initdefault:

ランレベル変更(CentOS7)

RunLevel 1（Single)  sytemctl set-default rescue.target
RunLevel 3（CLI）     systemctl set-default multi-user.target
RunLevel 5（GUI）     systemctl set-default graphical.target

CentOS7でも懲りずにvpopmail使っていますが、IMAPするのにDovecot使いたいのでSRPMからパッケージ再作成してインストールして設定してみる。
以下は、qmailとvpopmailはインストール済みでメールサーバとしては動いているところからになります。
　
qmail+vpopmail+Dovecot(CentOS5)のCentOS7への書き直し版
(ちょっとメモが不十分なので違うところがあるかも)
　
　
◆Dovecotのパッケージ作成とインストール
※とりあえず今のdovecotをアンインストール

rpm -e dovecot

※RPMをとってくる(バージョンなどは随時新しいファイル名で)

wget http://vault.centos.org/7.5.1804/os/Source/SPackages/dovecot-2.2.10-8.el7.src.rpm

※環境作るのに必要そうなものをyumでインストール

yum install rpm-build
yum install pam-devel bzip2-devel libcap-devel libtool autoconf automake sqlite-devel postgresql-devel mysql-devel openldap-devel quota-devel gettext-devel clucene-core-devel libcurl-devel xz-devel tcp_wrappers-devel

※SRPMをインストール
/home/vpopmail 以下のライブラリを見るのでroot以外だとvpopmailのユーザか/home/vpopmailを0755とかにしないとうまくいかないので、rootで作業したほうが楽

su -
cd 
rpm -ihv dovecot-2.2.10-8.el7.src.rpm

※specファイルを編集
configure のオプション内に「–with-vpopmail」を入れる
→rpmbuild/SPECS/dovecot.spec

%configure                       \
    --with-vpopmail              \ ← 追加

※コンパイル(パッケージ作成)

rpmbuild -bb --clean rpmbuild/SPECS/dovecot.spec

※作成されたパッケージをインストール

rpm -Uhv rpmbuild/RPMS/x86_64/dovecot-2.2.10-8.el7.x86_64.rpm

　
　
◆yumでアップデートされないように
→/etc/yum.conf

exclude=dovecot

　
　
◆Docecotの設定
→/etc/dovecot/dovecot.conf

#protocols = imap pop3 lmtp
protocols = imap           ←必要なプロトコルだけにしておく
#listen = *, ::
listen = 127.0.0.1         ←WebMailなどでローカルだけの接続でよければこちら

→/etc/dovecot/conf.d/10-auth.conf
「!include auth-system.conf.ext」をコメントにし、「!include auth-vpopmail.conf.ext」をコメントアウト

#!include auth-system.conf.ext
#!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
!include auth-vpopmail.conf.ext
#!include auth-static.conf.ext

(実はこの後「!include auth-system.conf.ext」が残っていてメーラからIMAPで繋がらなくてハマった)

→/etc/dovecot/conf.d/auth-vpopmail.conf.ext
コメントアウトをはずす

  args = quota_template=quota_rule=*:backend=%q

　
　
その他設定(Quota機能でディスクの使用容量を取得させる)
→20-imap.conf

protocol imap {
  mail_plugins = quota imap_quota
}

→90-quota.conf

plugin {
  quota = maildir
}

サービスの自動起動など

systemctl enable dovecot

やって意味があるかどうかわからないですが、別の切り分けでCentOS7のIPv6を停止した時に確認したのでメモ

とりあえず一時的であれば

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 1 > /proc/sys/net/ipv6/conf/default/disable_ipv6

とか

sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

　
　
恒久的にであれば
/etc/sysctl.d/disable_ipv6.conf とかを作成して(ファイル名は任意)

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

再起動か、「sysctl -p」で更新

　
　
留意事項としては、
◆Postfix
ipv4だけ使うよう指定する
/etc/postfix/main.cf

#inet_protocols = all
inet_protocols = ipv4

ipv6を無効、かつinet_protocols=allだとpostfixを起動出来ない。
　
　
◆SSH
AddressFamily を anyからinetに変更
/etc/ssh/sshd_config

#AddressFamily any
AddressFamily inet

こっちはどっちでも動いたような気もしますが、一応

MySQLサーバの引っ越し中、ダンプしたファイルを食わせたらエラーになったのでメモ

ERROR 2006 (HY000) at line 580: MySQL server has gone away

/etc/my.cnf

[mysqld]のところに追記
max_allowed_packet = 32M

32Mでいいのかはわからんがとりあえず通るサイズしてみる
　
　
ってそれじゃなんなんで、値を調べる方法

mysql -u root -p

変更前
MariaDB [(none)]> show variables like 'max_allowed_packet';
+--------------------+---------+
| Variable_name      | Value   |
+--------------------+---------+
| max_allowed_packet | 1048576 |
+--------------------+---------+
1 row in set (0.00 sec)

32MBに変更後
MariaDB [(none)]> show variables like 'max_allowed_packet';
+--------------------+----------+
| Variable_name      | Value    |
+--------------------+----------+
| max_allowed_packet | 33554432 |
+--------------------+----------+
1 row in set (0.00 sec)

→CentOS7のMariadbのデフォルトは1MBの模様