Yugien

AlmaLinuxでアップデート：怖がらず、こまめにやるのがサーバー管理の基本

サーバーを運用していると、必ず向き合うことになるのが「アップデート」です。

でも多くの初心者がこう思います。

• 触るのが怖い
• 何が変わるのか知らない
• そのまま放置しても動いているから大丈夫じゃない？

結論から言うと、アップデートはサーバーの安全と安定のために絶対必要です。

むしろ、アップデートを止めてしまうことの方が危険です。

攻撃者は常に、世界中のサーバーの “弱い部分（脆弱性）” を探しています。

古いソフトや古いカーネルは、既に見つかっている弱点が放置されている状態。

そこを狙われれば、パスワードの漏洩、データ消失、乗っ取り、改ざんなど、最悪の未来が待っています。

つまりアップデートは、

• 攻撃から守る
• サーバーを安定させる
• 不具合やトラブルを防ぐ

という、サーバー運用の「最優先タスク」のひとつです。

Ubuntu と違って、AlmaLinuxは「dnf」でアップデートする

Linuxと一口に言っても、系統によって操作が違います。

Ubuntu や Debian では apt を使いますが、AlmaLinux は dnf（旧来はyum）を使います。

ここでは、怖くない、安全なアップデート方法だけを扱います。

基本のアップデート（初心者でもそのまま使える）

sudo dnf upgrade -y

sudo

管理者として実行

dnf

AlmaLinuxで使うパッケージ管理ツール

upgrade

パッケージをまとめて最新へ

-y

途中で「OK？」と聞かれても自動で YES を答えてくれる

この1行で、大多数のアップデートが完了します。

もし「内容を確認してから進めたい」という場合は、こちらでも大丈夫です。

sudo dnf check-update
sudo dnf upgrade

-y を付けないので、途中で更新内容をしっかり確認できます。

安全性は変わりません。落ち着いて進めればOKです。

不要になったパッケージを掃除したいとき

長く使っていると、依存関係で入ったパッケージが残り、ディスクを圧迫したり、管理が複雑になったりします。

sudo dnf autoremove -y

「消しても問題ないものだけ」が削除されるため、基本的に壊れる心配はありません。

※ただし、削除候補に不安がある場合は -y を付けず確認しましょう。

再起動が必要なとき

アップデートの中には、サーバーの“心臓部”であるカーネルの更新が含まれる場合があります。

そのときは再起動しないと変更が反映されません。

sudo reboot

再起動が必要かどうかは、「いま動いているカーネル」と「インストール済みの最新カーネル」が同じかで判断できます。

まず、いま動いているカーネル（＝起動中のカーネル）を確認します。

uname -r

次に、インストール済みカーネルの中で「いちばん新しいもの」を確認します。

rpm -q kernel --last | head

ここで出てくる先頭（いちばん上）のカーネルと、uname -r の結果が同じなら、いまのところ再起動は急がなくてOKです。

逆に、違っていたら「新しいカーネルは入ったけど、まだそれで起動していない状態」なので、都合のいいタイミングで再起動しましょう。

sudo reboot

※カーネルは起動時に読み込まれるため、更新しても再起動しない限り切り替わりません。

なぜアップデートが必要なのか？（ここを理解すると怖くなくなる）

多くの初心者は「アップデートしたら壊れるのでは？」という不安を抱えます。

実際、可能性ゼロではありませんが、アップデートしないほうが圧倒的に危険です。

理由は３つあります。

セキュリティの穴をふさぐ

攻撃者は、古いバージョンの弱点を知っています。

アップデートしていないサーバーは、鍵のかかっていない家のようなものです。

OSが古いと「サポートが終わる」

サポート終了後は修正パッチが来ません。

つまり、弱点が見つかっても放置されたまま。

古い環境ほど、トラブルが自己解決できない

エラーを検索しても情報が古い、環境が特殊、サポートも受けにくい。

結局、アップデートしておいた方が楽です。

逆に、アップデートで壊れることはある？

ごくまれにあります。

ただし、そのほとんどに共通しているのは

• よく分からないパッケージを大量に追加した
• 無理な設定や特殊な構成を使っていた
• 更新前のバックアップを取っていなかった

というケースです。

つまり、

• 普段から必要なものだけ入れる
• 設定ファイルを編集するときはバックアップを残す
• 心配なら check-update で内容を確認する

このあたりを守っていれば、「アップデートが原因で壊れる確率」は限りなく低いです。

何よりも危険なのは、「怖いから放置する」ことです。

アップデートを自動化するという選択肢

実運用では、こまめに手動で実行してもいいですが、一定の規模になったら 自動アップデート という手段もあります。

ただし、自動更新は便利な一方で、

• 更新直後に再起動が必要になる
• まれに設定と相性が悪い更新が入る

というリスクもあります。

そのため、

• 小規模
• 重要なサービスを持たない
• 障害が起きてもすぐ対応できる

という条件なら便利です。

重要サービスの場合は「手動で様子を見ながら」が安心です。

アップデート後にやっておくと安心なチェック

必須ではありませんが、万が一のトラブルを早く見つけるために

# nginx を使っているなら（使ってないなら読み飛ばしOK）
sudo systemctl --no-pager --full status nginx

# ディスク（容量 / inode）
df -h
df -i

# メモリ
free -m

この4つで「サービスは生きているか」「ディスクは詰まっていないか（容量と inode）」「メモリは足りているか」を、数十秒で点検できます。

nginx の部分は、あなたのサーバーで動かしているサービス名に置き換えてください（例：sshd / php-fpm / mariadb など）

とくに「サービスが落ちていないか」「ディスクがいっぱいになっていないか」に加えて、inode（ファイル数の上限）が尽きていないかも、実務では頻出のチェックポイントです。

sudo systemctl --no-pager --full status nginx（サービスが生きているか）

まずは、アップデートで影響を受けやすいサービス（ここでは nginx）が、ちゃんと起動しているかを確認します。

期待される結果（表示）

• Active: active (running) になっている
• Loaded: が enabled（自動起動が有効）になっている
• code=exited, status=0/SUCCESS が並んでいて、起動処理が失敗していない

表示例

● nginx.service - The nginx HTTP and reverse proxy server
     Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; preset: disabled)
    Drop-In: /etc/systemd/system/nginx.service.d
             └─php-fpm.conf
     Active: active (running) since Sun 2026-02-01 12:59:23 JST; 54s ago
    Process: 659 ExecStartPre=/usr/bin/rm -f /run/nginx.pid (code=exited, status=0/SUCCESS)
    Process: 667 ExecStartPre=/usr/sbin/nginx -t (code=exited, status=0/SUCCESS)
    Process: 675 ExecStart=/usr/sbin/nginx (code=exited, status=0/SUCCESS)
   Main PID: 686 (nginx)
      Tasks: 2 (limit: 2649)
     Memory: 488.0K (peak: 5.4M)
        CPU: 50ms
     CGroup: /system.slice/nginx.service
             ├─686 "nginx: master process /usr/sbin/nginx"
             └─687 "nginx: worker process"

結果（表示）の見方

Loaded:

enabled なら「OS起動時に自動で起動する」設定です。監視対象のサービスは、基本 enabled にしておくと事故が減ります。

Active:

active (running) が最重要です。ここが failed / inactive なら、その時点で「Webが落ちる」可能性があります。

Main PID: / Tasks:

プロセスが存在し、極端に増えていないかを見ます。ここでは Tasks: 2 なので正常に見えます。

Memory: / CPU:

「いま急増していないか」を見るための目安です。ここでは Memory: 488.0K と軽く、起動直後も落ち着いています。

注視する箇所

• Active が active (running) か
• ExecStartPre や ExecStart が status=0/SUCCESS か（失敗が混じっていないか）
• Drop-In（追加設定）が入っている場合は、その内容が意図通りか（ここでは php-fpm.conf が適用）

注意するポイント

• status が長いときは、下のログ（journal）にエラー原因が出ています。エラーが見えたら、まず journalctl -u nginx --no-pager -n 50 で直近を確認します。
• nginx は設定テスト nginx -t が SUCCESS でも、証明書・ポート競合・権限などで起動に失敗することがあります。Active の結果を最優先で見ます。

df -h（ディスク容量が詰まっていないか）

df -h は「ディスクの空き容量」を人間が読みやすい単位（GBなど）で確認するコマンドです。

期待される結果（表示）

• ルート（/）の Use% が高すぎない（目安：80%超は要警戒、90%超は危険）
• /run や /dev/shm などの一時領域が異常に埋まっていない

表示例

Filesystem      Size  Used Avail Use% Mounted on
devtmpfs        4.0M     0  4.0M   0% /dev
tmpfs           227M     0  227M   0% /dev/shm
tmpfs            91M  2.4M   89M   3% /run
/dev/vda2        25G  7.3G   17G  32% /
tmpfs            46M  4.0K   46M   1% /run/user/1000

結果（表示）の見方

Mounted on

どの場所の空き容量かを示します。最重要はサーバー全体の土台になる /（ルート）です。

Use%

使用率です。ここでは / が 32% なので余裕があります。

tmpfs / devtmpfs

メモリ上の一時領域です。通常は大きく埋まりませんが、ログを一時領域に吐く設計にしていると詰まることがあります（設計ミスの早期発見に役立ちます）。

注視する箇所

• / の Use%（ここでは 32%）
• もし /var や /home を別パーティションで切っている場合は、そのマウントポイントの Use%

注意するポイント

• Use% が急に増えたときは、ログ肥大化・バックアップの取り忘れ・一時ファイルの溜まりなどが疑われます。まずは sudo du -sh /var/log/* | sort -h のように「大きいものから当てる」考え方が安全です。
• ディスクが 100% になると、サービスが起動できない・ログが書けない・SSHログイン後に操作が詰む、などの事故につながります。

df -i（inode 枯渇が起きていないか）

df -i は「ファイル数の上限（inode）」の使用状況を確認します。ディスク容量が空いていても、小さいファイルが大量に増えると inode が尽きて詰むことがあります。

期待される結果（表示）

• ルート（/）の IUse% が高すぎない（目安：80%超は要警戒）
• ログやキャッシュが増えやすい領域で inode が急増していない

表示例

Filesystem      Inodes  IUsed   IFree IUse% Mounted on
devtmpfs         53005    385   52620    1% /dev
tmpfs            58075      2   58073    1% /dev/shm
tmpfs           819200    592  818608    1% /run
/dev/vda2      1638400 175092 1463308   11% /
tmpfs            11615     24   11591    1% /run/user/1000

結果（表示）の見方

Inodes

そのファイルシステムが持つ inode の総数（ファイルを作れる最大枠）です。

IUsed / IFree

使っている inode と、残りの inode です。ここでは / が IUsed 175092、残り IFree 1463308 で十分余裕があります。

IUse%

inode の使用率です。ここでは / が 11% なので安全圏です。

注視する箇所

• / の IUse%（ここでは 11%）
• メールスプール・ログ・キャッシュが大量に出る設計の場合は、該当パーティションの IUse%

注意するポイント

• inode が尽きると「ディスク容量は空いているのにファイルが作れない」状態になります。典型例は、/var/log に小さなログが大量に生成され続けるケースです。
• 対処は「原因のファイル群を減らす（ログローテーション、キャッシュ掃除）」が基本です。いきなり削除せず、まず find で数を把握してから進めるのが安全です。

free -m（メモリとスワップが枯れていないか）

free -m は、メモリ（RAM）とスワップ（Swap）の使用状況をMB単位で確認します。

期待される結果（表示）

• available が十分に残っている
• スワップ（Swap）が大量に消費され続けていない（目安：継続的に増えるなら要調査）

表示例

              total        used        free      shared  buff/cache   available
Mem:            453         201          14           7         256         252
Swap:          2047           4        2043

結果（表示）の見方

available

実質的に「いま追加で使えるメモリ」です。ここでは 252MB あります。小さなVPSではこの値が「急に減る」ことが事故のサインになります。

buff/cache

Linuxが高速化のために使うキャッシュ領域です。ここが大きいのは普通で、必要なら自動で空きます。

Swap

メモリが足りないときの退避先です。ここでは 4MB しか使っておらず、健全に見えます。

注視する箇所

• available が「普段より明らかに小さい」
• Swap の used が増え続けていない（短時間で増える場合は要注意）

注意するポイント

• free（空き）だけを見ると誤解します。Linuxは空きメモリをキャッシュに使うため、判断は available を基準にします。
• スワップが増え続けると、体感的にサーバーが重くなります。Webなら応答遅延、DBならタイムアウト増加などの症状に繋がります。

運用メモ（迷ったときの判断軸）

• まず systemctl status で「落ちていない」を確認
• 次に df -h で容量、df -i で inode を確認
• 最後に free -m でメモリ枯渇の兆候を確認

手動でアップデートする頻度は？

結論から先に言うと、「最低でも月に1回」

そして、できれば 「1〜2週間に1回」 が理想です。

理由は3つあります。

セキュリティ更新は予告なく来るから

攻撃者は、脆弱性が見つかったソフトを優先して狙います。

古い状態で放置すると、知らないうちに危険な扉が開いたままになることがあります。

アップデート量が少ないほど安全・簡単

3ヶ月放置したアップデートと、1週間分のアップデートではリスクが全く違います。

小出しで更新していくほど、トラブルが起きにくく、作業もすぐ終わります。

エラーが出ても原因が特定しやすい

例えば1年分のアップデートを一気に適用すると、「どの更新が悪かったのか？」が分かりません。

短いスパンなら、原因の切り分けが圧倒的に楽です。

つまり、初心者におすすめの運用はこうなります。

忙しい人

月に1回チェック＆更新

少し余裕がある人

1〜2週間に1回

セキュリティを強めたい人

毎週チェック

実際、サーバー会社・企業でも「定期的に更新する運用」が一般的です。

アップデート前にバックアップは必要？

結論：
100％安全を求めるなら、バックアップは取るべきです。

ただし、多くの初心者はこう思います。

• いちいちバックアップなんて面倒
• そもそもどうやるのか分からない
• 更新のたびにやる必要があるの？

現実的な運用としては、次の考え方が安心で現実的です。

【最低限】この場合はバックアップ必須

• OSやカーネルの大きなアップデート
• 重要なサービス（Web、DBなど）が動いている
• 設定ファイルをいじった直後

もしサービスが止まったら困る場合、何としてもバックアップを取るべきです。

【安心ライン】一般的な運用

• 月に1回のアップデート
• サイトやアプリを公開している
• 不特定多数がアクセスできる状態

このレベルなら、バックアップしてから更新することをおすすめします。

アップデートで壊れる確率は低いですが、「万が一」のときに心のダメージが全く違います。

【たまにある誤解】

「アップデートしたら壊れたから、だからバックアップした方がいい」

…ではありません。

正しくは、

壊れたときに元に戻せるから、安心してアップデートできる

です。

アップデートは敵ではありません。

バックアップがあれば怖くない味方になります。

そもそも何をバックアップすればいい？

初心者はここが分からずつまずくので、明確にします。

最低限必要なのは、

• Webサイトのファイル
• DB（データベース）
• 設定ファイル（特に nginx / apache / php.ini / sshd_config / 証明書 など）

これだけでも「元の状態に戻せる」確率がかなり上がります。

余裕が出てきたら

• VPS全体のスナップショット
• ファイルシステム丸ごとバックアップ

という手段もあります。

「バックアップなしでアップデート」って危険？

実は、一般的なアプリや軽い更新だけならアップデートが原因でサーバーが壊れることはほとんどありません。

しかし、

• 大量の更新をまとめて適用した
• パッケージの削除や依存関係の変更が多い
• カーネル更新を含む

こんな時は壊れやすいです。

だからこそ

• 定期的に
• こまめに
• 少しずつ

更新するほうが安全なんです。

バックアップを取る方法

アップデート前に「元に戻せる状態」を作っておけば、怖いことはありません。

ここでは、初心者でも安全にできる方法を優先して紹介します。

（基本）設定ファイルのバックアップ

設定ファイルは、壊れた時に最も復旧が大変な部分です。

そこで、変更前に必ずコピーを残します。

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak

ポイント

• .bak や .old など分かる名前にしておく
• 元に戻したいときは逆にコピーし直せばOK

sudo cp /etc/nginx/nginx.conf.bak /etc/nginx/nginx.conf

（安全）Webサイトやアプリのバックアップ

sudo cp -r /var/www /var/www_backup

• -r はフォルダを丸ごとコピー
• ディスク容量が心配なら、圧縮も可能

sudo tar czvf backup_$(date +%F).tar.gz /var/www

（※ backup_2025-11-05.tar.gz のように日付で保存されます）

（重要）データベースのバックアップ

Webサイトやアプリの心臓部がデータベースです。

mysqldump -u root -p --all-databases > db_backup_$(date +%F).sql

mysqldump -u root -p database_name > dbname_$(date +%F).sql

mysql -u root -p < db_backup_2025-11-05.sql

（最強）VPS全体のスナップショット

運営会社が提供している「スナップショット機能」がある場合、丸ごと元に戻せる 最強のバックアップです。

• 個別のファイル管理不要
• DBも設定もOSも丸ごと保存
• アップデート後に問題が出ても一発復旧

可能なら最優先で使う価値があります。

アップデートに失敗したときの復旧方法

「アップデートでサーバーが壊れたらどうするの？」

初心者が一番怖いのはここですが、対処方法はちゃんとあります。

（よくあるケース）設定が壊れた

sudo systemctl status nginx

設定にエラーがある場合は

sudo nginx -t

と表示され、原因のファイルを教えてくれます。

エラー内容を直すか、バックアップに戻します。

sudo cp /etc/nginx/nginx.conf.bak /etc/nginx/nginx.conf
sudo systemctl restart nginx

（依存関係の問題）パッケージが壊れた

アップデート中にエラーが出た場合：

sudo dnf --refresh upgrade

または

sudo dnf distro-sync

これで依存関係が整うことがあります。

（最強）スナップショットから戻す

もし起動すらできないレベルで壊れた場合
→ VPS管理画面からスナップショット復元

これが最も安全で、確実です。

「アップデートは怖くない」と言い切れる理由がここです。

自動更新の設定方法

「忙しくて毎回手動でやるのは無理」

という場合に役立ちます。

ただし注意点：

• 再起動が必要な更新が来ても自動では再起動しない場合がある
• ごくまれに相性問題が出ても気づけない

そのため、小規模サイトや個人利用で特に有効です。

自動更新をインストール

sudo dnf install dnf-automatic -y

設定ファイルを開く：

sudo nano /etc/dnf/automatic.conf

以下の設定がおすすめ：

apply_updates = yes
emit_via = commandline

サービスを有効化：

sudo systemctl enable --now dnf-automatic.timer

これで定期的に自動アップデートが実行されます。

自動再起動まで行いたい場合

自動再起動はリスクもあるため、

• 深夜帯
• アクセスが少ないサーバー向け

方法例（cronなどで再起動を仕込む）：

sudo crontab -e

深夜4時に再起動する場合：

0 4 * * * /usr/sbin/reboot

※慎重に検討してください。

重要なサービス運用中なら手動がおすすめ。

よくあるエラーと対処方法

アップデートで起きがちなエラーを事前に知っておけば、焦りません。

「Locked」エラー（別のdnfが動いている）

メッセージ例：

Existing lock /var/run/dnf.pid

原因：別のアップデートが裏で走っている

対処：

# まず、別の dnf が動いてないか見る
ps aux | grep -E "dnf|yum" | grep -v grep

# 動いていたら、基本は「終わるまで待つ」のが安全
# どうしても止めたいときだけ、表示された PID を指定して止める（ここは慎重に）
sudo kill <PID>

まずは“裏でアップデートが動いてないか”を確認しましょう。動いていたら、基本は終わるまで待つのが安全です。どうしても止める必要があるときだけ、PID を指定して止めます。

依存関係のエラー

sudo dnf distro-sync

環境を正しいバージョンに揃えます。

Cannot find repos / レポジトリエラー

ネットワークやDNSの問題が多いです。

ping 8.8.8.8
ping google.com

IPが通るが名前が通らない → DNSエラー

対処：

sudo nano /etc/resolv.conf

中に

nameserver 8.8.8.8

を追記して保存。

※/etc/resolv.conf は環境によっては自動管理されていて、あとで元に戻ることがあります。戻る場合は NetworkManager 側の設定が必要になります。

カーネル更新後、古いカーネルに戻したい

起動時のGRUBメニューで古いカーネルを選択できます。

どうしても起動しない場合は、スナップショットやバックアップから復元が確実です。

まとめ：アップデートは怖くない、むしろ守りの要

• 月1回は必ずチェック
• できれば1〜2週間に1回
• 設定ファイル・Web・DBのバックアップで安心度が桁違い
• 自動更新も選択肢になる
• トラブル時は systemctl status、nginx -t、distro-sync などで復旧可能
• 最悪でもスナップショットが救ってくれる

アップデートを怖がる必要はありません。

備えておけば、サーバー運用で最大の安心を得られます。