FC2ブログ

浅葱さんのブログ

ええ、以前はぷらしのすとか言っていましたよ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

apt-get upgrade に失敗したら根気よく繰り返す

セキュリティパッチはすぐに未適用が何十個も溜まっていってしまいます。すると apt-get upgrade しても何十個もダウンロードしようとするわけですね。家のネットワークはあまり品質がよくなくて、遠くラズビアンのサイトからメガバイト単位のファイルを何十個も落とすとひとつやふたつダウンロードに失敗するわけですね。

でもあきらめてはいけません。

ダウンロードに失敗する前のファイルは手元に残っているので、根気よく繰り返していくと、だんだん取得ファイル数が少なくなって、ついにはアップグレードが完遂できます。

いまが今まで気が付かなかったよ(手打ちでパッケージ名指定して進めていた)。

スポンサーサイト

ようつべからツイッターへの連携の終わり

グーグルからお知らせメールが来て、YouTubeで高く評価した動画がツイッターに通知される機能が1月末で廃止になるんだという。
さみしくなるなあ。



メールが滞留する

メールサーバ切り替えをした後遺症。 続きを読む

HTTPSホスト名を増やす

新サーバが一応動くようになってきたので、次第次第にホスト名を増やす。
あまり活用していないけどホスト名エイリアスがたくさんあるのだ。

DNSの設定をしてからletsencryptにアクセスする必要がある。

サイト設定は/etc/apache2/sites-available 以下に conf ファイルを増やして行う。
let's encryptが作ったSSL用設定ファイルがあるので、コピーしてServerNameだけ書き換える。

$ sudo certbot run --apache
$ sudo a2ensite
増やすべき設定ファイルを手打ち
$ sudo service apache2 reload


HTTPSサーバを立ち上げようとしたが

まずSSL証明書を入手しなければならない。金があるやつはベリサインかなんか行けばいい。俺は金がないのでLet's
Encryptでいい。

まず https://letsencrypt.org/getting-started/ に行くと certbot
を使えという。

https://certbot.eff.org/ に apache on ubuntu だと入力すると
https://certbot.eff.org/lets-encrypt/ubuntuxenial-apache に案内される。

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository universe
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache

DNSサーバは良いやつじゃないんでプラグインとかは断念。

$ sudo a2enmod ssl
$ sudo vi /etc/apache2/sites-available/default-ssl.conf
$ sudo a2ensite default-ssl
$ sudo service apache2 restart

察するに設定ファイルディレクトリ/etc/apache2/sites-availableに
テンプレートが置かれていて、a2ensiteによって
/etc/apache2/sites-enabledにシンボリックリンクができたり消えたりして、
バーチャルホスト設定を入り切りするのであろう。
一昔前は一枚の設定ファイルの途中を編集していたのに、
なんでそんなめんどくさいことをするかというと、
たぶんansible対応で冪等にする必要があるのだ。

$ sudo certbot run --apache

これで一応設定はできたようなのだが、これまでローカルホストだけでテストしていたのが行けなかった。そとから接続するとno
route to hostと言って繋がらない。正確に言うとv6絡みでhost
unreacheableと言うのだけれどそれは別の話。

まず、no route to
hostはiptablesの設定がおかしくて、ufwでallowが入る上の行に無条件REJECTがあって切られていた。

$ sudo iptables -L --line-numbers

で REJECT とある行番号を探して

$ sudo iptables -d INPUT 6

のようにしてエントリを削除することでリジェクトしなくなる。あとは

$ sudo ufw allow from any to any app "Apache Full"
$ sudo ufw allow from any to any app "Postfix"
$ sudo ufw allow from any to any app "Postfix SMTPS"
$ sudo ufw allow from any to any app "Postfix Submission"
$ sudo ufw enable

とかする。SSH接続が切れないうちに、なるべくすばやく他の端末からSSHログインできることを確認する(このSSHセッションが切れると設定を戻せなくなるため)。もいちどいうが、ファイヤウォールの設定は間違うとログインできなくなるので、今回たまたまやったコマンドを丸写ししてサーバが電熱器になっても当局は一切関知しない。

次に呆れたのはapacheはIPv4とIPv6に同時にlistenできないということ。
バッドノウハウだがIPv4専用設定はここにある。
https://httpd.apache.org/docs/2.4/bind.html#ipv6

どうでもいいがUFWをenableしたらものすごいログが書かれるようになった。
もう攻撃されまくっているので頭が痛い。

FC2Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。