カテゴリー別アーカイブ: サーバ設定

　自宅の作業PC用UPSであるAPC SmartUPS750と、サーバ用UPSのSmartUPS1500のバッテリを交換した。
　3.11以降、UPSの需要が増えたようで値下がりが激しく、安売り店では新品のSmartUPS1500が5万円程度で購入可能、対して純正の交換電池は4万円弱と、バッテリ変えるんだったら本体ごと買った方が良いんじゃ・・・？みたいな感じもしますね。
もっとも、本体交換した場合は一時シャットダウンが必要にはなりますが（SmartUPSは電源を入れたまま電池交換が可能）
　まぁ、自宅用ですので、電池は互換品で済ませるわけですが。
　そんなわけで、SmartUPS750用のバッテリは、WP7.2-12と言うバッテリを2個購入して両面テープで貼り付け、連結の端子は旧バッテリから取り外して使用します。　旧モデルのSmartUPS700もこの方法でOK。
　SmartUPS1500はWP18-12Iと言うバッテリで、こちらも2個購入して750同様に加工。　旧モデルの白も現行の黒もこれでOK。
　純粋な値段でいえば秋月が安いんだけど、ここのお店は廃バッテリーの回収をやってくれるので助かる。　下手に購入すると廃バッテリが軒先放置になる；　後は楽天ポイントが余ってたし。
　容量が大きいタイプもあるんだけど、数分で回復しない電源切断はどうせ回復が期待できずオートシャットダウンするし、同じサイズで容量の大きい電池は設計がきつくなって寿命が厳しくなるんじゃないかなと言う考え（実際、NiMHの単3とかは、一時期3000mAh近い物も出ていたけど、不良率等の問題で2000mAhあたりがメインストリームになってる）で、あえて容量が小さい方を買っている。

　ちなみにUPSを購入する場合の容量選択はAPCのUPS製品ページでプルダウンから電力を選ぶと、モデルごとのバックアップ時間が表示されるのが便利。
　作業PC本体とディスプレイが200W弱なので750で22分バックアップ可能。　5分間電源が回復しない場合にシャットダウンするとして、平均シャットダウン時間は3分程度なので2倍の余裕がある。
　サーバ、NAS、連動用ネットワーク機器が合計で400W弱なので1500で33分バックアップ可能。　こちらも同じポリシーでシャットダウンするとして、作業時間は平均10分かかるので、こちらも2倍の余裕がある。

(1134)

Tweet

　従来、VPSのFTPはSFTP(SSHトンネリングしたFTP)を使っていたんだけど、先日導入したQNAP NAS(TS-419P II)のバックアップサービスは、RSYNC・RTRR・FTP・FTPS（FTP over SSL/TLS）の対応だったので、セキュリティと導入容易性からFTPSを追加導入することとした。
　なお、QNAPはAmazonS3等のクラウドストレージにもバックアップすることが出来たが、既存のお名前.com VPSやさくらVPSの契約があれば、VPSを利用した方が容量あたりの計算でオトク度が高いと思う。
なので、今回は、先日契約したお名前2GBメモリプランに導入した。

yumでサービスを導入して設定編集

yum install vsftpd
vi /etc/vsftpd/vsftpd.conf

anonymous_enabled=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

ssl_enable=YES
rsa_cert_file=/etc/pki/tls/certs/my.crt
rsa_private_key_file=/etc/pki/tls/private/my.pem
force_local_logins_ssl=YES
force_local_data_ssl=YES
ssl_ciphers=HIGH

匿名ログイン禁止
ローカルユーザでのログイン許可
書き込み許可
ローカルユーザはchroot（ホームディレクトリをトップとして扱う）

SSL有効
RSA公開鍵ファイルを指定
RSA秘密鍵ファイルを指定
ログイン処理はSSLを強制
データ転送はSSLを強制
SSL処理をHIGH設定に（デフォルト強度だとネゴシエートできなかった）

/etc/init.d/vsftpd start
chkconfig vsftpd on

SSL鍵自体は、いつも記事に登場しているSSLボックスのRapidSSLを利用している。

(461)

Tweet

　先日契約したGMOクラウドのVPSの設定を継続。

WPのSEO Rank Reporterプラグイン用にPHPモジュール追加

yum install php-xml*

Apacheの余計な情報を削るhttpd.conf設定

ServerSignature Off
ServerTokens ProductOnly
Header unset X-Powered-By

ApacheのSSL設定

LoadModule ssl_module modules/mod_ssl.so
Listen 443
NameVirtualHost *:443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin

ApacheのSSL用VitualHost設定

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /etc/pki/tls/certs/ssl.crt
SSLCertificateKeyFile /etc/pki/tls/private/ssl.pem
SSLCertificateChainFile /etc/pki/tls/certs/rapidssl.crt
SSLCACertificateFile /etc/pki/tls/certs/rapidssl.crt

Apacheの第一VirtualhostのDocumentRootを/dev/nullにしておく（マッチしないHostでアクセスされた場合、第一Virtualhostにアクセスされる為）

Dovecot(POP3)の導入

yum install dovecot

Postfix関連の導入（smtps認証用にcyrus-sasl導入）

yum install postfix
yum install mailx
yum install cyrus-sasl*

Muninの導入

yum install munin*

旧サーバからの転送に必要なツールの導入

yum install rsync
yum install openssh-clients

タイムゾーンの修正（デフォルトはEDTだった）

rm /etc/localtime
ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

　あとは設定ファイルを書き書き。

　本番系のGMOクラウドのVPSへの移行が終わったら、開発系のさくらVPSの2GBプランを1本解約してお名前.com VPSの2GBを契約しようかな。　GMOインターネットの株式を家族名義でも取ってあるから、株主優待でお名前サーバはかなり安く利用できるし。

(386)

Tweet

　GMOクラウドVPSの申し込みして結構時間がかって、展開遅いなぁと思っていたら、システム不具合のため新規契約のサーバ準備が遅延しているというメールが来ていた。
　初っぱなから不安を感じさせてくれた訳だけど、今日になったやっと設定完了の通知が来たので早速ログイン。
　例によってUnixBenchを実施する。

• 初期起動
• yum install perl-Time*
• yum install make
• yum install gcc
• wget http://byte-unixbench.googlecode.com/files/UnixBench5.1.3.tgz
• tar xzf UnixBench5.1.3.tgz
• cd UnixBench
• ./Run

　前回使ったものに比べて低いが、共用だからこれくらいの変動はあるだろう。

　デフォルトでディスク容量が10GBしか振られていなかった。
　サポートサイトを確認すると、お問い合わせフォームから容量変更以来を出す必要があるとのこと。　めんどくさ・・・

　必要なパッケージ類の導入

rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-7.noarch.rpm
yum install mailx
yum install bind-utils
yum install httpd
yum install mod_ssl
yum upgrade openssl
yum install mysql-server
yum install php
yum install php-mysql
yum install php-mbstring

　例によってiptablesが動いているのでhttp/https/smtp/pop3sをオープン。
　旧サーバからの移行なので証明書をコピー。
　/etc/my.cnf に skip-networking を追加。

　次回は上物を移してApache設定とPostfix設定を実施。

(208)

Tweet

　Linuxの管理をしているとファイルのバックアップなんかをとるのによく使うのが tar コマンド。

tar -czf /mnt/backup/backup.tgz /var/www/html

みたいな感じで使うことが多いけど、セキュリティ保護すべきファイル（/etcとか）をバックアップする場合、ファイルを暗号化しておきたい。

　Linuxでファイルを暗号化する場合には、opensslパッケージを利用するのが簡単。

openssl enc -e 暗号メソッド -in 入力ファイル -out 出力ファイル　↓
openssl enc -e -aes256 -in plain.tgz -out enclypted.tgz

※AES256暗号でplain.tgzを暗号化してenclypted.tgzに出力する
みたいな感じで使う。
　復号は -e オプションに代えて -d オプションを使用する。

openssl enc -d -aes256 -in enclypted.tgz -out plain.tgz

　また、tarもopensslもパイプで接続することも出来るので

tar -cz /var/www/html | openssl enc -e -aes256 -out enclypted.tgz

のようにして暗号化することも出来る。

　パスワードを問われるが、-k オプションでパスワードを指定することが出来るので、バッチ化する場合などには

tar -cz /var/www/html | openssl enc -e -aes256 -out enclypted.tgz -k password

のようにする。

　更に発展させて

tar -cz /var/www/html | openssl enc -e -aes256 -k password | ssh backup-server.my.tld “cat > /mnt/storage/backup.tgz.aes”

のようにして、ファイルをまとめて、暗号化して、SSHを経由して他のホストにバックアップファイルを作る、みたいな一連の動作が出来る。
SSHがパスワード認証だとインタラクティブにパスワード入力を要求されるので、バッチ化する場合にはSSHの認証を公開鍵認証にして対応する（opensslコマンドでの暗号化も公開鍵を使った場合、鍵自体を別途バックアップしておかないと復元できなくなってしまうから注意）

　ファーストサーバの件もあるので、ある程度重要な処理を行っているVPSなら、さくらVPSとお名前.com VPSを両方契約して、SSH転送パターンを使って相互でバックアップをとる、みたいな動きにしておきたいところ。

(5214)

Tweet

　お名前.com VPSのサーバを契約してWordpressを動かすまでの最短ルートをメモっておく。
　ポイントは、お名前.com VPSの基本状態では、iptablesによりポート22（SSH）しか許可されていないので、これを設定し直すこと。

;必要なパッケージを導入
yum install mysql-server
yum install mysql
yum install php
yum install php-mysql
yum install httpd
yum install vim
yum install wget
yum install unzip

;Apache設定をする（仮想ドメイン等を使わなければとりあえずそのままで動く）
vim /etc/httpd/conf/httpd.conf

;iptablesを設定する。
iptables -I INPUT -p tcp –dport http -j ACCEPT
service iptables save

;サービスのスタート設定
chkconfig httpd on
chkconfig mysqld on
/etc/init.d/httpd start
/etc/init.d/mysqld start

;mysqlでデータベースの作成とパスワード設定をする
mysql
>SET PASSWORD FOR ‘root’@’localhost’ = PASSWORD(‘パスワード’);
>CREATE DATABASE wordpress;

;Wordpressファイルの展開と所有権設定
cd /var/www/
wget http://ja.wordpress.org/wordpress-3.4-ja.zip
unzip wordpress-3.4-ja.zip
rmdir html
mv wordpress html
chown apache:apache html -R

;Wordpressのセットアップ画面で設定を実施。
;DBユーザroot 設定したパスワードとデータベースで構築（本来はrootではなくユーザ追加した方が安全性が高い）
;wp-config.phpの内容をコピって貼り付けてCTRL+D・・・
cat >wp-config.php

　以上でWordpressが使用可能になったはず。
　さくらVPS等、ほかのCentOS系のVPSレンタルサーバでも、同じ方法で導入できる。

　DB直いじりすることがあるならphpMyAdmin位は入れておくのもいいかも。　最後のphpMyAdminは定型で狙われやすいので適当にキーフレーズ的なパスにするのも良い＞mv phpMyAdmin-3.5.1-all-languages getwildbytmn みたいにして、http://hoge.tld/getwildbytmn にphpMyAdminを置く。

cd html
wget http://sourceforge.net/projects/phpmyadmin/files/phpMyAdmin/3.5.1/phpMyAdmin-3.5.1-all-languages.tar.gz/download
tar xzf phpMyAdmin-3.5.1-all-languages.tar.gz
mv phpMyAdmin-3.5.1-all-languages phpMyAdmin

(438)

Tweet

　以前の記事で、ffmpegを使ってお名前.com VPSやさくらVPS上でTS録画をMP4変換する記事を書いた。
　普段、Android標準ブラウザやChromeで見ていると普通に疑似ストリーミングが出来ていたんだけど、仕事関係でIEやFirefoxで見たら、QuickTimeプラグインが立ち上がって、ファイルダウンロード完了しないと再生できないことに気づいた。
　対応方法は、MP4BoxでMP4コンテナを作り直すこと。
　MP4BoxはWindowsでメジャーだけど、GPACの中にもあるので、LinuxでもGPACをビルドして、変換後のMP4を再構築するようにしてやればIEやFirefoxでも疑似ストリーミング出来るようになる。
　もっとも、個人利用でPCはChrome、スマホはAndroidだから、わざわざ変換しないでも良いんだけど、何となくメモっておく。

(348)

Tweet