Fedora | kulog

Certbotを使ってSSL化にしてみた

akahane — Sun, 22 Mar 2020 14:56:56 +0000

certbotを使ってブログをSSL化にしてみました｡

certbotとは
Let’s Encryptとは
certbotの設定について
WordPressの設定
Google AnalyticsとSearch Console
これで移行完了?

certbotとは

certbotはLet’s Encryptを自動的に更新してくれるツールです｡公式サイトへ行って使用しているOSとWebサーバを指定するだけで､インストールコマンドを表示してくれて非常に親切ですが､SSLを動作させるには苦労しました｡

Let’s Encryptとは

フリーの証明書基幹です｡フリーなだけに有効期間が90日間ととても短いです｡そのため､certbotを使い自動的にSSLを更新するシステムにするわけです｡

certbotの設定について

fedora 31でapacheの場合の話になりますが､手動設定が必要になったところだけ説明したいと思います｡

# dnf install certbot certbot-apache
# certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Error while running apachectl configtest.

AH00526: Syntax error on line 101 of /etc/httpd/conf.d/ssl.conf:
SSLCertificateFile: file '/etc/pki/tls/certs/localhost.crt' does not exist or is empty

上記のようにパッケージを入れてcertbotを実行すると応答式で設定完了するはずですが､エラーが出ます｡localhost.crtなんてファイルないよってね｡とりあえず､ここは気にせず設定をすすめます｡設定は通常と変わらないので割愛しますが､リダイレクト設定はしません｡

設定が終わったら､ssl.confを開いて証明書を指定しなおします｡

#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/letsencrypt/live/kulog.org/cert.pem

#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/letsencrypt/live/kulog.org/privkey.pem

#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
SSLCertificateChainFile /etc/letsencrypt/live/kulog.org/chain.pem

設定が終わったらhttpdを再起動するだけです｡

WordPressの設定

WordPressを使っている場合､管理画面で｢WordPress アドレス｣と｢サイトアドレス｣をhttpからhttpsに変更します｡これをやってからhttpsへのリダイレクト設定をします｡

WordPressアドレスが変更出来ない場合はwp-config.phpを編集します｡

次に､画像ファイル等のリンクをhttpからhttpsへ変更します｡プラグインのSearch Regexを使えば一括変換が出来ますので楽です｡これをしないと､せっかくSSL化にしても画像リンクがhttpのせいで警告がでてしまいます｡

Google AnalyticsとSearch Console

Analyticsは設定変更でOKです｡Google Search Consoleはhttpとhttpsを別サイトと認識するようなので､新たに追加しておきます｡

これで移行完了?

これでとりあえずSSL化は完了と思っています｡ほかに設定必要なことあるかな?

Fedora 27へ移行してnmcliを使ってネットワーク設定をしてみた

akahane — Wed, 14 Mar 2018 13:08:37 +0000

Fedora 27をクリーンインストールしてFedora 25から移行してみました。いままで使っていたFedora 25は18からアップデートを繰り返してあげていたのでクリーンインストールからの移行は…… まさかの5年ぶりです。

何が変わったのかなと楽しみにしていたのですが、Admin Consoleなるものがあってビックリしました。OSをインストールしたあとすぐに使うことが出来ます。
ブラウザで下記URLにアクセスするだけ！

https://ip address:9090/

ログインするとシステムのステータスなどが一目瞭然

ログも見ることが出来ます。
……sshd??

あーっ！ iptables設定忘れてた！！！
ここはfirewalldを使いたいところですが、すでにアタックされているのでまた今度の機会で。

あと変わったなぁと思ったのがNetwork Managerがメインとなっていたことです。nmtuiが使えない！ nmcliを覚えることになりました。なんかコマンドが長くて面倒！でも、なれるとちょいちょいと直しやすいかも。

ちなみに下記コマンドでネットワーク設定を行います。

デバイス名確認
# nmcli device

ネットワーク設定
# nmcli connection modify ens123 ipv4.addresses 192.168.1.100/24
# nmcli connection modify ens123 ipv4.gateway 192.168.1.1
# nmcli connection modify ens123 ipv4.dns 192.168.1.100
# nmcli connection modify ens123 ipv4.method manual
# nmcli connection modify ens123 connection.autoconnect yes
設定再読込
# nmcli connection reload ens123
設定確認
# nmcli device show ens123
設定が反映されない場合
# nmcli con down ens123; nmcli con up ens123

ちなみにコマンドを下記のように省略することも出来ます。

connection > con > c
modify > mod > m
ipv4.addresses > ip4
ipv4.gateway > gw4

ip4の場合はipv4.addresses とipv4.method manualを実行したことと同じになります。
こんな感じになります。

# nmcli c m ens123 ip4 192.168.1.100/24
# nmcli c m ens123 gw4 192.168.1.1
# nmcli c m ens123 ipv4.dns 192.168.1.100

あとはNTPの標準がchronyになっていたことです。
設定はntpdとたいして変わらないので動作確認のコマンドだけメモします。

# chronyc sources
210 Number of sources = 3
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^+ str21.int-gw.kddi.ne.jp 2 10 377 776 +60us[ +74us] +/- 15ms
^+ str22.int-gw.kddi.ne.jp 2 10 377 509 -46us[ -46us] +/- 17ms
^* ntp-a3.nict.go.jp 1 10 377 691 -99us[ -85us] +/- 7534us

自分が使ってる分だとこの辺が変わった感じでした。
なにげにDockerとか気になっているのですが使用用途がさっぱり思いつかなくて、やる気起きないんですよね。そう考えるとFirewalldを覚えた方がやる気起きやすいのかも？

あとで知ったのですが下記をインストールするとnmtuiが使えました。

# dnf install NetworkManager-tui

logwatchでDNFのログを出してみた

akahane — Sat, 20 Feb 2016 00:57:04 +0000

Fedora 23を使っていますが、yumからDNFに乗り換えたところlogwatchでログが出力されません。なんとかならないかとググってみましたが、まだ対応していないようです。

ということで手動で追加してみました。

出力ログを追加するには、通常3つのファイルを作成しますが、今回は4つのファイルを作ります。ほとんどyum用のファイルを流用してるんですけどね！

サービス名を指定
/usr/share/logwatch/default.conf/services/dnf.conf

Title = “dnf”
LogFile = dnf

対象ログを指定
/usr/share/logwatch/default.conf/logfiles/dnf.conf

LogFile = dnf.rpm.log

出力スクリプトを作成
/usr/share/logwatch/scripts/services/dnf

$Debug = $ENV{'LOGWATCH_DEBUG'} || 0;

if ( $Debug >= 5 ) {
print STDERR "\n\nDEBUG: Inside DNF Filter \n\n";
$DebugCounter = 1;
}

while (defined($ThisLine = )) {
if ( $Debug >= 5 ) {
print STDERR "DEBUG($DebugCounter): $ThisLine";
$DebugCounter++;
}

if ( $ThisLine =~ s/INFO Upgraded: ([^ ]+)/$1/ ) {
$PackageUpgraded{$ThisLine}++;
} elsif ( $ThisLine =~ s/INFO Installed: ([^ ]+)/$1/ ) {
$PackageInstalled{$ThisLine}++;
} elsif ( $ThisLine =~ s/INFO Cleanup: ([^ ]+)/$1/ ) {
$PackageCleanup{$ThisLine}++;
} elsif ( $ThisLine =~ s/INFO Erased: ([^ ]+)/$1/ ) {
$PackageErased{$ThisLine}++;
} elsif ( $ThisLine =~ /logging initialized.*/o ) {
#
} else {
push @OtherList,$ThisLine;
}
}

if (keys %PackageInstalled) {
print "\nPackages Installed:\n";
foreach $ThisOne (keys %PackageInstalled) {
print " " . $ThisOne;
}
}
if (keys %PackageCleanup) {
print "\nPackages Cleanup:\n";
foreach $ThisOne (keys %PackageCleanup) {
print " " . $ThisOne;
}
}
if (keys %PackageUpgraded) {
print "\nPackages Upgraded:\n";
foreach $ThisOne (keys %PackageUpgraded) {
print " ". $ThisOne;
}
}
if (keys %PackageErased) {
print "\nPackages Erased:\n";
foreach $ThisOne (keys %PackageErased) {
print " ". $ThisOne;
}
}

if ($#OtherList >= 0) {
print "\n**Unmatched Entries**\n";
print @OtherList;
}

exit(0);

前日のログのみ検出？
/usr/share/logwatch/scripts/logfiles/dnf/applydate

use POSIX qw(strftime);
use Logwatch ':dates';

my $Debug = $ENV{'LOGWATCH_DEBUG'} || 0;

my $time = time;

$SearchDate = TimeFilter('%m/%d/%y %H:%M:%S');
$SearchNewDate = TimeFilter('%b %d %H:%M:%S');

if ( $Debug > 5 ) {
print STDERR "DEBUG: Inside ApplyDate (yum)…\n";
print STDERR "DEBUG: Looking For: " . $SearchDate . " or " . $SearchNewDate . "\n";
}

while (defined($ThisLine = )) {
# Here we actually remove the dates, as well
if ($ThisLine =~ s/^$SearchNewDate //o ||
$ThisLine =~ s/$SearchDate //o) {
print $ThisLine;
}
}

4つめのapplydateの存在に気付かなくて、前日のみ出力ってどうやるんだろうと悩みました。

動作確認で出力してみます。
# logwatch –service dnf

正常に出力されていればOKです。

dnf-automaticを修正してみた

akahane — Thu, 26 Nov 2015 15:22:08 +0000

自動アップデートされないなぁと思い、dnf-automaticのステータスを見てみたら動いていませんでした。対処方法が分からず、しばらく放置していたのですが意を決して調べてみました。

まずは、dnf-automaticのステータスです。
※ 一部省略してます。

# systemctl status dnf-automatic.service -l
● dnf-automatic.service – dnf automatic
Loaded: loaded (/usr/lib/systemd/system/dnf-automatic.service; static; vendor preset: disabled)
Active: failed (Result: exit-code) since 水 2015-11-26 22:54:52 JST; 20h ago
Process: 16700 ExecStart=/usr/bin/dnf-automatic /etc/dnf/automatic.conf –timer (code=exited, status=1/FAILURE)
Main PID: 16700 (code=exited, status=1/FAILURE)

dnf-automatic[16700]: return list(map(call_what, self))
dnf-automatic[16700]: File “/usr/lib/python2.7/site-packages/dnf/util.py”, line 304, in call_what
dnf-automatic[16700]: return method(*args, **kwargs)
dnf-automatic[16700]: File “/usr/lib/python2.7/site-packages/dnf/automatic/emitter.py”, line 110, in commit
dnf-automatic[16700]: print(msg)
dnf-automatic[16700]: UnicodeEncodeError: ‘ascii’ codec can’t encode characters in position 136-140: ordinal not in range(128)
systemd[1]: dnf-automatic.service: main process exited, code=exited, status=1/FAILURE
systemd[1]: Failed to start dnf automatic.
systemd[1]: Unit dnf-automatic.service entered failed state.
systemd[1]: dnf-automatic.service failed.

UnicodeEncodeErrorに注目して調べたところ分かりました。
Pythonのデフォルトエンコードはasciiなのにutf-8で処理しようとしてエラーが起きていたようです。

[Python] UnicodeEncodeErrorが発生した場合は、sitecustomize.pyでデフォルトのエンコーディングを指定する。

sitecustomize.pyを下記のように作成します。

# vi /usr/lib/python2.7/site-packages/sitecustomize.py
import sys
sys.setdefaultencoding(‘utf-8’)

これでデフォルトエンコードがutf-8になりました。
しばらく放置しているとdnf-automaticが無事に動作しました。

auditのログを止めてみた

akahane — Wed, 25 Nov 2015 13:54:17 +0000

Fedora 22になって/var/log/messages にauditのログがはき出されるようになりcronが走るたびにログが埋め尽くされるようになってしまいました。
なんとかする方法はないのかと調べたらありました。
Bug 1227379 – Audit events in /var/log/messages

なにやら、journalctlのためにauditのログもmessagesへはき出すような仕様にしたそうですが、強制しないでオンオフ出来るようにしてくれというユーザーとすごい言い争っているようです。もしかして違うかもしれませんが、そんなニュアンスだと思います。

一応、対策としてauditを停止してしまう方法がありました。
まずはauditの設定を確認します。

# auditctl -s
enabled 1
failure 1
pid 366
rate_limit 0
backlog_limit 320
lost 43
backlog 0
backlog_wait_time 60000
loginuid_immutable 0 unlocked

次にauditを無効化します。

# auditctl -e 0
# auditctl -s
enabled 0
failure 1
pid 366
rate_limit 0
backlog_limit 320
lost 43
backlog 0
backlog_wait_time 60000

これで/var/log/messagesへの書き込みどころか/var/log/audit/ への書き込みも停止します。この設定は一時的なので再起動しても反映されるようにします。

# vi /etc/audit/audit.rules
#-D コメントアウト
-e 0 追記

# vi /etc/audit/rules.d/audit.rules
#-D コメントアウト
-e 0 追記

この２つのファイルを修正することでauditのログが消えてすっきりしますが、cronが走るたびに下記のログが流れるのは止まりません。

systemd: Starting Paths.
systemd: Reached target Sockets.
systemd: Starting Sockets.
systemd: Reached target Timers.
systemd: Starting Timers.
systemd: Reached target Basic System.
systemd: Starting Basic System.
systemd: Reached target Default.
systemd: Startup finished in 9ms.
systemd: Starting Default.

これを止めるには/etc/systemd/system.conf のLogLevelをnoticeにするといいそうですがダメでした。systemdの仕様を調べてみるとsyslogの設定に準ずるらしいのでrsyslogの設定を変えてみました。

# vi /etc/rsyslog.conf
#*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.notice;mail.none;authpriv.none;cron.none /var/log/messages

# systemctl restart rsyslog.service

これで余計なログが消えました。
このauditのログはjournalの仕様が確定しないと解決しなさそうです。
~~なにげにこれでauditを止めてもlogwatchではauditのログが出てきます。これはlogwatchが修正されないとダメなんでしょうね。~~

近々、Fedora23にして見ようと思います。
こんどはどんなバグが出てくるんだろうなぁ

追記：2015/11/26
logwatchにログが出てませんでした。
設定を変えて数日経ってからlogwatchを実行したらauditログが出てたので勘違いしてました。もう一日待ってから確認すればよかった。

追記： 2016/04/21
/etc/audit/rules.d/audit.rulesも編集しないとauditは完全に無効化出来ませんでした。

Fedora21から22へアップデートしてみた

akahane — Sun, 27 Sep 2015 11:27:10 +0000

前回に引き続きFedora21からFedora22へアップデートしてみました。
これで5分置きに出てくるsystemdのログが消えるでしょうか。

アップデート方法はこちらに掲載されていました。
Upgrading Fedora using yum

# rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-22-$(uname -i)
# yum update yum
# yum clean all
# yum –releasever=22 distro-sync

うまくいくのかと思ったら依存性の処理で止まってしまいました。
「perl-PlRPC-0.2020-15.fc20.noarch」が原因のようです。
ちょっと調べてみましたが対処方法が見当たらないのでオプション「–skip-broken」を使ってみたところアップデートは無事に進みました。

# yum –skip-broken –releasever=22 distro-sync

インストール 5 パッケージ (+16 個の依存関係のパッケージ)
更新 387 パッケージ
飛ばしました (依存性の問題) 352 パッケージ

352パッケージも飛ばしちゃうの！？
大丈夫なのでしょうか。不安ですがYesと実行！

……

おお！無事に終わりました。
再起動も問題なく出来ました。
Fedora22になったよ！

Fedora22からはyumではなくdnfでアップデートを行います。
yum-cronの代替としてdnf-automaticを使います。

dnf-fastestmirrorを有効
# vi /etc/dnf/dnf.conf
fastestmirror=true # 追記

yum-cronを停止
# systemctl stop yum-cron
# systemctl disable yum-cron

dnf-automaticを追加
# dnf install dnf-automatic
# systemctl start dnf-automatic.timer
# systemctl enable dnf-automatic.timer

dnf-automatic設定変更
# vi /etc/dnf/automatic.conf
apply_updates = yes # yesに変更

これで自動アップデートもOKです。
あとは使っていたパッケージが止まっていないかチェックして終わりです。
ちなみに私の場合はdhcpdが止まっていました。

これで、systemdから5分置きに出るログは止まったでしょうか。

……

とまってねえええええ！！！
うーん、systemdのログレベルとかいじるといいのかなぁ
来月にはFedora23が出るし、そんときまで待つかもうちょい調べてみようかな。

追記：2015/10/12
Fedora22にアップグレードしたあと、DNFでパッケージのアップデートをしようとしたところアップデート前にも引っかかったperl-PlRPCが原因でperlがアップデート出来なくなっていました。「–best –allowerasing」オプションを付けることでアップデートが出来るようになります。

# dnf upgrade –best –allowerasing

Fedora 20から21へアップデートしてみた

akahane — Sat, 26 Sep 2015 08:47:32 +0000

ここしばらくFedora20の調子がおかしかったので、Fedora20から21へアップデートしてみました。

アップデート方法はこちらに掲載されていました。
Upgrading Fedora using yum

# rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-21-$(uname -i)
# yum update yum
# yum clean all
# yum –releasever=21 distro-sync

アップデートが終わるまでに1時間ぐらいかかりましたが何事もなく終了しました。

# yum install system-release-nonproduct

Fedora 21からプロダクトがWorkStation, Cloud, Serverと分かれたためどのプロダクトか選択する必要があるようですが、どれにも属さないNoProductと設定しました。

# shutdown -h now
Failed to start poweroff.target: Connection timed out
Failed to open /dev/initctl: No such device or address
Failed to talk to init daemon.

さて再起動してみようと思ったのですができません。
シャットダウンも行えません。
メッセージはちょっと違ってましたがメモるのを忘れてました。
仕方がないので強制シャットダウンしましたが無事にFedora21になりました。

調子がおかしいのも改善されてばっちり！
と思ったつかの間、messageログに5分置きにログが出力されるようになったのです。

記事は続きます。

Fedora20でDovecotアタック対策をしてみた

akahane — Fri, 02 May 2014 04:07:52 +0000

たびたび、Dovecotに辞書アタックされています。
IP制限をかけているので突破されることはありませんが
サーバの負荷が重くなってしまいます。
そこで前からやりたかったDovecotアタック対策をしてみました。

よくある対策としてiptablesを使うやり方です。
Fedora20の標準FWであるFirewalldを使いたいところですが
体調不良で考える力がないので、iptablesを使うことにしました。

まず、iptablesを使えるようにします。

# systemctl stop firewalld
# systemctl disable firewalld

# yum install iptables-services

# systemctl start iptables
# systemctl enable iptables

iptablesにルール追加

# iptables -A INPUT -p tcp –dport pop3 -m hashlimit –hashlimit-name pop3 –hashlimit 30/h –hashlimit-burst 10 -j ACCEPT
# iptables -A INPUT -p tcp –dport imap -m hashlimit –hashlimit-name imap –hashlimit 30/h –hashlimit-burst 10 -j ACCEPT

簡単に説明するとpop3とimapに対して
1時間に30回までしかアクセス出来ないようにします。

iptablesの設定を保存しておわり

# iptables-save > /etc/sysconfig/iptables

なんだかiptablesの保存方法が変わった気がしますが
気のせいかな。

Fedora20にしてみた

akahane — Wed, 01 Jan 2014 14:25:25 +0000

サーバのイメージフォルダのファイル数が5000を超えて
ftp接続が遅くなったのでいろいろいじっているついでに
サーバをFedora18からFedora20へ変更してみました！

結局はFedora20にしても接続時間は変わらなかったので
フォルダを分割することにしました。

それにしてもFedoraの構築は毎回苦労させられます。
なぜかNetworkMnagerを無効にするとネットワークが
接続できなくなったのは謎でした。
あとで調べておこうかなぁ

それとMySQLからMariaDBになりましたね！
互換アプリなのでなにも変わらないんですけどね。

DiCEの設定

akahane — Mon, 04 Feb 2013 14:45:31 +0000

DiCEの設定に戸惑ったのでメモを残します。

DiCEのインストール

# cd /usr/local/bin
diced01914.tar.gzをアップ
# tar xzvf diced01914.tar.gz

必要パッケージのインストール

# yum install nkf
# yum install ld-linux.so.2

onamae.comを使う場合は32bitのlibssl.so.0が必要です。

# locate libssl.so
/usr/lib64/.libssl.so.1.0.1c.hmac
/usr/lib64/.libssl.so.10.hmac
/usr/lib64/libssl.so.1.0.1c
/usr/lib64/libssl.so.10

32bit版がないのでパッケージを探します。

# yum provides */libssl*
/usr/lib/libssl.so.1.0.1cを使っているパッケージを探す

# yum install openssl-libs-1.0.1c-7.fc18.i686
# ln -s /usr/lib/libssl.so.1.0.1c /usr/lib/libssl.so.0

これで下準備は終了です。

# /usr/local/bin/DiCE/diced | nkf -uw

ここからの設定は省略！