FC2ブログ

浅葱さんのブログ

ええ、以前はぷらしのすとか言っていましたよ

HTTPSホスト名を増やす

新サーバが一応動くようになってきたので、次第次第にホスト名を増やす。
あまり活用していないけどホスト名エイリアスがたくさんあるのだ。

DNSの設定をしてからletsencryptにアクセスする必要がある。

サイト設定は/etc/apache2/sites-available 以下に conf ファイルを増やして行う。
let's encryptが作ったSSL用設定ファイルがあるので、コピーしてServerNameだけ書き換える。

$ sudo certbot run --apache
$ sudo a2ensite
増やすべき設定ファイルを手打ち
$ sudo service apache2 reload


スポンサーサイト

HTTPSサーバを立ち上げようとしたが

まずSSL証明書を入手しなければならない。金があるやつはベリサインかなんか行けばいい。俺は金がないのでLet's
Encryptでいい。

まず https://letsencrypt.org/getting-started/ に行くと certbot
を使えという。

https://certbot.eff.org/ に apache on ubuntu だと入力すると
https://certbot.eff.org/lets-encrypt/ubuntuxenial-apache に案内される。

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository universe
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache

DNSサーバは良いやつじゃないんでプラグインとかは断念。

$ sudo a2enmod ssl
$ sudo vi /etc/apache2/sites-available/default-ssl.conf
$ sudo a2ensite default-ssl
$ sudo service apache2 restart

察するに設定ファイルディレクトリ/etc/apache2/sites-availableに
テンプレートが置かれていて、a2ensiteによって
/etc/apache2/sites-enabledにシンボリックリンクができたり消えたりして、
バーチャルホスト設定を入り切りするのであろう。
一昔前は一枚の設定ファイルの途中を編集していたのに、
なんでそんなめんどくさいことをするかというと、
たぶんansible対応で冪等にする必要があるのだ。

$ sudo certbot run --apache

これで一応設定はできたようなのだが、これまでローカルホストだけでテストしていたのが行けなかった。そとから接続するとno
route to hostと言って繋がらない。正確に言うとv6絡みでhost
unreacheableと言うのだけれどそれは別の話。

まず、no route to
hostはiptablesの設定がおかしくて、ufwでallowが入る上の行に無条件REJECTがあって切られていた。

$ sudo iptables -L --line-numbers

で REJECT とある行番号を探して

$ sudo iptables -d INPUT 6

のようにしてエントリを削除することでリジェクトしなくなる。あとは

$ sudo ufw allow from any to any app "Apache Full"
$ sudo ufw allow from any to any app "Postfix"
$ sudo ufw allow from any to any app "Postfix SMTPS"
$ sudo ufw allow from any to any app "Postfix Submission"
$ sudo ufw enable

とかする。SSH接続が切れないうちに、なるべくすばやく他の端末からSSHログインできることを確認する(このSSHセッションが切れると設定を戻せなくなるため)。もいちどいうが、ファイヤウォールの設定は間違うとログインできなくなるので、今回たまたまやったコマンドを丸写ししてサーバが電熱器になっても当局は一切関知しない。

次に呆れたのはapacheはIPv4とIPv6に同時にlistenできないということ。
バッドノウハウだがIPv4専用設定はここにある。
https://httpd.apache.org/docs/2.4/bind.html#ipv6

どうでもいいがUFWをenableしたらものすごいログが書かれるようになった。
もう攻撃されまくっているので頭が痛い。

(ubuntu) とりあえずapache

ウェブサーバもなしでは済まされない。

$ sudo apt install httpd

いきなりこれでサーバが起動する。これでいいのだ。

SSL証明書を作って https も起動して CGI もテストしたいが、とりあえず眠い。

nullmailerでOB25P規制超えの設定

UbuntuでMTAのパッケージというと使い慣れたpostfixの他にnullmailerというのがあって、ローカル配送をしないでスマートホスト(要するになんでも押し付ける先)だけ使うという。バッチジョブしか動かさないRaspberry
Piのエラー通知がほしいという目的にはぴったりだ(たぶんメモリ節約になっているが確認していない)。

さてまた例によってOB25P規制。自宅もそうであるわけで、自分のメル鯖のサブミッションポートに押し付けるにはポートを変えてSTARTTLSしなければならない。

ろくすっぽマニュアルがない nullmailer であるができる。

https://metzlog.srcbox.net/2012/11/nullmailer-with-starttls/

/etc/nullmailer/remotesファイルを編集する。あと、関係ないが
/etc/nullmailer/adminaddr
にエラー吐き用メールアドレスを書いておいたほうが良い。

Ubuntu・Raspbian インストールメモ

いろいろしているのでメモ。絶対すぐ忘れるから 続きを読む

FC2Ad