server ブログサーバの移転ログ サーバ移転することにしたのでUbuntu環境を構築します。 移転といってもさくらのVPS→さくらのVPSです、メモリやディスク容量などをアップデートします。 環境 Before After 運営 さくらVPS v4 さくらVPS v5 CPU 仮想2core 仮想3core MEM 1GB 2GB SSD 50GB 200GB OS確認 $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 22.04.1 LTS Release: 22.04 Codename: jammy Emacsインストール $ sudo apt update $ sudo apt
ssl Lets'Encryptの証明書が期限切れになっていた Lets'Encryptの証明書が期限切れになっていたので作り直した。 renewの方法が悪かったような気もする。以前に certbot-auto はインストールしていたので、インストールについては省略。 作り直す証明書は下記の3つ。 1. ikenie3.org 2. www.ikenie3.org 3. blog.ikenie3.org # rootになる $ sudo su - # 既存の証明書をバックアップ(nginxを再起動するとき使うかもしれない $ mv /etc/letsencrypt /etc/letsencrypt.back 証明書作成の対話モードを開始 $ certbot-auto certonly -d ikenie3.org,www.ikenie3.org,blog.ikenie3.org 証明書の認証方法を決める。nginxを使って認証したいので1 How would you like to authenticate
server Let's Encryptの証明書を自動更新する Let's Encryptの証明書でSSL対応を行ったので、Let's Encryptの証明書を自動更新するよう設定しました。 自動更新を行うスクリプト ScientificLinux6.6にSoftware Collectionを使用してpython2.7をインストールしたのでenvの設定が必要でした。 #!/bin/sh # # Cronから実行されるhttps証明書更新用スクリプト # # load bashrc and profiles sudo -u root -i env cd /root # try renew /usr/local/src/certbot/certbot-auto renew -q -q オプションは出力をしない設定です Silence all output except errors. Useful for automation via cron. Implies --non-interactive. (default: False) その他のオプションはこれで確認できました。 certbot-auto
server WebサイトのSecure証明書設定評価をA以上にする 前回のHTTPS対応に引き続き、今度はQualys SSL LabsというWebサイトでSSLSererの評価を行いました。 設定できました。A+になりました。対応ブラウザもIE6とJava6が非対応ということなので、こんなもんでまぁいいかなと思っています。 参考にしたWebサイトはたくさんありすぎてわけがわからないことになりました。基本的に検証結果で評価が低くなる原因など記載されていたので、それをググって評価を上げていきました。 Ghost.conf ## blog.ikenie3.org server { listen 443 ssl; server_name blog.ikenie3.org; ssl on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; # https://weakdh.org/sysadmin.html ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-E
linux ScientificLinux6+Nginx+Ghost+SSL+LetsEncrypt このブログで使用しているドメイン blog.ikenie3.org をhttps対応しました。 今までhttpで済ませていたのは「Secureじゃなくても別にいいかな」という適当な考えだったのですが、httpsの環境を作る必要が出たので対応方法の勉強のために対応しました。 このブログ環境の構成 * サーバ: さくらVPS * OS: Scientific Linux 6 * Webサーバ: Nginx * ブログエンジン: Ghost 最終目標 blog.ikenie3.org をhttpsに対応して、httpのリクエストはhttpsにリダイレクトする。 やったこと OSのアップデート OSはScientific Linux 6といっても6.2と古かったので6.6(final)にマイナーアップデートを行いまいました。 # OSバージョンの確認 cat /etc/redhat-release rpm -qa sl-release --qf '%{v}\n' # リポジトリ更新 sudo yum --releasever=
server Ghostをアップデートした 久しぶりにGhostをアップデートした。nodeのバージョンも古かったので少し手間がかかった。 構成 * nginx * node&npm(nvm) * ghost v0.6.4 nginx nginxは特に何も変更無いので端折る。 node&npm(nvm) nodeとnpmはnvmでインストールしてます。 nodeのバージョンが0.10.3Xだったのでアップデートします。 nvm install v0.10.40 nvm alias default v0.10.40 npm install -g node-gyp npm install -g forever ghost http://support.ghost.org/how-to-upgrade/#command-line-upgrade-on-linux のとおり。 コマンドにするとこんな感じか(動作未確認 GHOST_
server Gitlabをアップデートした omnibus版は便利とは聞くけどソースで管理している。 https://github.com/gitlabhq/gitlabhq/tree/master/doc/update ここにあるコマンドを使えばokだったけど、rbenvを使っていたためにsudoコマンドを使うとbundlerが/usr/bin/bundlerを見てしまっていたのでmdファイルに記載のコマンドでsudo -u git -Hは使わなかった。 注意点はそれくらいでアップデートできました。
server Gitlabソースインストールのアップグレードメモ 1. https://github.com/gitlabhq/gitlabhq/blob/master/doc/update/upgrader.md 2. https://github.com/gitlabhq/gitlabhq/tree/master/doc/update
server Linuxで起動時にスクリプトを実行 このblogはghostを使っているのでサーバが再起動されたときにスクリプトを走らせてあげる必要があったけど、そんな設定してなくてっていうか再起動なんて滅多に走らせていなかったので特に気にしていなかったけど再起動のたびにログインしてスクリプト実行というのもだるいので起動時にスクリプトを走らせるようにした $ sudo emacs /etc/rc.local 以下、追記 su -l -c "sh "
server Postfixとsshdに迷惑なログが来てた sudo cat /var/log/maillog | grep auth とか sudo cat /var/log/secure | grep auth とかしてみたら見た限り踏み台にもsshログインもされていないようだったけど迷惑なので対策した。 iptables -A INPUT -s "" -m limit --limit 1/s -j LOG --log-prefix "deny_host: " iptables -A INPUT -s "" -j DROP って感じで。 あと、ググってたらここが参考になりましたっていうかほぼ同じ感じでした。ありがとうございます。 同じようにブルートフォースアタックというアタックを受けていたようなので下記コマンドでユーザ名を見た。 sudo cat /var/log/secure* | grep sshd | grep "Invalid
