月: 2024年9月

カテゴリー: Linux

ドメイン変更を伴うサーバのサイト移転を行いました。そこで、旧サーバのサイトのみの停止措置を行います。

環境

Ubuntu 20.04
Apache 2.4のバーチャルサイトを利用
Let's Encryptの自動更新を止める

再確認

データの移行が完全に済んでいることを確認します。

手順

設定ファイルを無効化します。

ディレクトリ移動

cd /etc/apache2/sites-enabled && pwd

有効化されているサイトの確認

ls -la

sites-le-ssl.confのように、Let's Encryptの自動更新を利用しているサイトにシンボリックリンクが張られていることを確認します。

コマンドによるサイト停止

sites-le-ssl.conf

リンクがないことを確認

ls -la

シンボリックリンクがないことを確認します。

旧サイトの設定ファイルを退避します。

ディレクトリ移動

cd /etc/apache2/sites-available/ && pwd

ファイル退避

sudo mv sites-le-ssl.conf /path/to/backup/directory/sites-le-ssl.conf.$(date +%Y%m%d)

ファイル退避確認

ls -la sites-le-ssl.conf

ファイルがないことを確認します。

ls -la /path/to/backup/directory/sites-le-ssl.conf.$(date +%Y%m%d)

ファイルがあることを確認します。

Apacheを再起動します。

構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

サービス再起動

sudo systemctl restart apache2.service

サービス稼働確認

systemctl status apache2.service

active (running)を確認します。

旧サイトにアクセスできないことを確認します。

Let's Encryptの一部の自動更新を無効化します。

sudo certbot delete --cert-name 無効化するドメイン

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Deleted all files relating to certificate ドメイン
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

のように、メッセージが出ればOKです。

Ubuntu 24.04のphp環境構築と環境設定。

By manualmaton

オン 2024年9月8日

カテゴリー: Linux

「Nextcloud等のLAMP環境が動くか」を考慮しながらUbuntu 24.04サーバを構築しています。

そこで、php8.3のインストール及びモジュールの追加を行います。

さっくりとした手順

レポジトリを追加します。
php並びに必要なパッケージを段階的にインストールします。
Nextcloud等で必要になるように設定をしていきます。

レポジトリ追加とアップデート

phpレポジトリの追加

sudo add-apt-repository ppa:ondrej/php

パッケージ全体のアップデート

sudo aptitude update

段階的なインストール

php本体

sudo aptitude install php8.3

周辺モジュール(APCuとMemcached)

sudo aptitude memcached php8.3-apcu

Webアプリに必要な周辺モジュール(MySQLを使う場合)

sudo aptitude install php8.3-{opcache,pdo,bcmath,calendar,ctype,fileinfo,ftp,gd,intl,json,ldap,mbstring,mysql,posix,readline,sockets,bz2,tokenizer,zip,curl,iconv,phar,xml,dev,imagick,gmp}

Webアプリに必要な周辺モジュール(Postgresを使う場合)

sudo aptitude install php8.3-{opcache,pdo,bcmath,calendar,ctype,fileinfo,ftp,gd,intl,json,ldap,mbstring,pgsql,pdo_pgsql,posix,readline,sockets,bz2,tokenizer,zip,curl,iconv,phar,xml,dev,imagick,gmp}

インストール確認

php -v

PHP 8.3.11 (cli) (built: Aug 30 2024 09:28:18) (NTS)
Copyright (c) The PHP Group
Zend Engine v4.3.11, Copyright (c) Zend Technologies
    with Zend OPcache v8.3.11, Copyright (c), by Zend Technologies

2024/09/06現在のバージョンです。

OPcacheとAPCuの有効化

Nextcloudはこの設定が無いと警告の対象となります。（或いはエラーが発生します）

設定ファイル待避

sudo mv /etc/php/8.3/mods-available/opcache.ini /path/to/backup/directory/opcache.ini.$(date +%Y%m%d)

sudo mv /etc/php/8.3/mods-available/apcu.ini /path/to/backup/directory/apcu.ini.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

設定ファイル差し替え

cat <<- __EOF__ | sudo tee -a /etc/php/8.3/mods-available/opcache.ini
; configuration for php opcache module
; priority=10
zend_extension=opcache.so
opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=16
opcache.max_accelerated_files=10000
opcache.memory_consumption=256
opcache.save_comments=1
opcache.revalidate_freq=1
__EOF__

cat <<- __EOF__ | sudo tee -a /etc/php/8.3/mods-available/apcu.ini
extension=apcu.so
[apcu]
apc.enabled=1
apc.shm_size=32M
apc.ttl=7200
apc.enable_cli=1
apc.serializer=php
__EOF__

※ メモリ量などは環境に合わせます。

設定反映

sudo systemctl restart apache2.service

Apache稼働確認

systemctl status apache2.service

active (running)を確認します。

Apacheのホームディレクトリを変更。

By manualmaton

オン 2024年9月7日

カテゴリー: Linux

Ubuntu系LinuxにapacheやnginxといったWebサーバをパッケージ管理システムでインストールすると、通常は

/var/wwwがホームディレクトリとなります。

コンテンツ系を/varに余り入れたくないという好みの問題があるため、ここを変えていきます。

通常、www-dataは/usr/sbin/nologinとなっているためシェルでログインはできませんが、rubyでbundle installを行う際にホームディレクトリを参照するケースがあるため、この措置を執ります。

さっくりとした手順

新たなホームディレクトリを作成して設定します。
/etc/passwdファイルを書き換えます。

ディレクトリの作成と設定

ディレクトリ作成

sudo mkdir -p /home/www-data

運用に合わせます。

ディレクトリの所有者変更

sudo chown -R www-data:www-data /home/www-data

設定確認

ls -ld /home/www-data

所有者がwww-dataになっていることを確認します。

passwdファイルの書き換え

※システム全体のアカウントを制御する重要なファイルです。取り扱いは慎重に行ってください。※

バックアップ作成

sudo cp -pi /etc/passwd /path/to/backup/directory/passwd.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

バックアップ作成確認

diff -u /path/to/backup/directory/passwd.$(date +%Y%m%d) /etc/passwd

エラーがなければバックアップは成功です。

ファイル書き換え

sudo sed -i 's|/var/www|/home/www-data|' /etc/passwd

書き換え確認

diff -u /path/to/backup/directory/passwd.$(date +%Y%m%d) /etc/passwd

以下の差分を確認します。

-www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
+www-data:x:33:33:www-data:/home/www-data:/usr/sbin/nologin

差分がこの2つだけであることを確認できたら設定完了です。

Ubuntu 24.04、Apacheのインストールと初期設定

By manualmaton

オン 2024年9月6日

カテゴリー: Linux

概要

Ubuntu24.04にWebサーバーApacheをインストールします。最近のトレンドではNginxではあるものの、

豊富なモジュールとカスタマイズ
動的コンテンツの設定をしやすい
小規模サイトを立ち上げる上での手間の少なさ

を考慮してのApache設定です。

さっくりとした手順

Apacheのインストールを行います。
Apacheの設定を行います。
設定の反映を確認します。

インストールを行います。

レポジトリ追加

sudo add-apt-repository ppa:ondrej/apache2

パッケージ全体のアップデート

sudo aptitude update

apacheのインストール

sudo aptitude install apache2

バージョン確認

apache2ctl -v

Server version: Apache/2.4.62 (Ubuntu)
Server built:   2024-07-22T12:37:10

サービス稼働確認

systemctl status apache2.service

enabledとactive (running)を確認します。

設定を行います。

設定ファイルのバックアップ

sudo cp -pi /etc/apache2/apache2.conf /path/to/backup/directory/apache2.conf.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

設定ファイルのバックアップ確認

diff -u /path/to/backup/directory/apache2.conf.$(date +%Y%m%d) /etc/apache2/apache2.conf

差分が無いことでバックアップを確認します。

設定ファイル追記

sudo tee /etc/apache2/apache2.conf > /dev/null << 'EOF'
ServerSignature Off
ServerTokens Prod
ServerName 自分のサーバー名
EOF

自分のサーバー名を英数字で置き換えてください。

サーバーの署名をオフにして
最小限の情報のみを公開し
Webサーバの名前を指定する

内容です。

追記確認

diff -u /path/to/backup/directory/apache2.conf.$(date +%Y%m%d) /etc/apache2/apache2.conf

差分内容

+ ServerSignature Off
+ ServerTokens Prod
+ ServerName 自分のサーバー名

設定反映を確認します。

構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

サービス再起動

sudo systemctl restart apache2.service

サービス再起動確認

systemctl status apache2.service

active (running)を確認します。

設定反映確認

curl -I http://localhost

以下のように、ServerヘッダーにApacheのみが表示されていることを確認します。

Server: Apache

WebARENA Indigo®のファイアウォール設定。

By manualmaton

オン 2024年9月5日

カテゴリー: ガジェット

ufwとfail2banの前段に、vpsが備えているファイアウォールを挟ませることで、サーバの負荷を抑えます。

手順

管理画面にログインします。

ネットワーク管理＞ファイアーウォールをクリック。

右上の「ファイアウォールの作成」をクリック。

ファイアウォール名:任意の名前
インバウンドルール
- HTTP(80) IPアドレス→0.0.0.0 (全てのIPアドレスを許可)
- HTTPS(443) IPアドレス→0.0.0.0 (全てのIPアドレスを許可)
- Custom / TCP / 22 IPアドレス→0.0.0.0 (全てのIPアドレスを許可)

を設定します。これは基本的なWebサーバ用の設定なので、許可したいポートが他にあればそれに合わせます。

設定後、インスタンスへの適用→作成したインスタンスを選び、設定を保存します。

固定IPを持っていれば、SSHのIPアドレスを指定することで、それ以外のIPをシャットアウト可能です。

Ubuntu24.04サーバの初期設定。(ufwとfail2ban)

By manualmaton

オン 2024年9月4日

カテゴリー: Linux

インターネット上に公開されたWebサーバを運営している
IPアドレスが固定されていない

場合に必要な措置となる、NW保護を行います。

環境

Ubunt 24.04

さっくりとした手順

ufwを有効化します。
fail2banをインストールします。
fail2banの設定をします。

SSHとWeb通信のみを有効化させます。

SSH接続を許可するが過度な接続を制限する

sudo ufw limit proto tcp from any to any port 22

http通信を許可

sudo ufw allow 80/tcp

https通信を許可

sudo ufw allow 443/tcp

ufwの設定を反映

sudo ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)?はyで続けます。

反映確認

sudo ufw status

以下を確認します。

状態: アクティブ

To                         Action      From
--                         ------      ----
22/tcp                     LIMIT       Anywhere                  
80/tcp                     ALLOW       Anywhere                  
443/tcp                    ALLOW       Anywhere                  
22/tcp (v6)                LIMIT       Anywhere (v6)             
80/tcp (v6)                ALLOW       Anywhere (v6)             
443/tcp (v6)               ALLOW       Anywhere (v6)

別ウィンドウで新たなSSH接続を行い、通信できるかを確認します。

再起動後でもufwが有効であることを確認

sudo reboot

再起動後、SSH接続ができることを確認します。

sudo ufw status

上記、許可された設定が有効になっていることを確認します。

fail2banをインストールします。

インストール

sudo aptitude update && sudo aptitude install fail2ban

インストール確認

systemctl status fail2ban.service

active(running)を確認します。

fail2banを設定します。

jail.localの作成

教義と進行に沿ったエディタを用いて/etc/fail2ban/jail.localを管理者権限で編集します。

[ufw]
enabled=true
filter=ufw.aggressive
action=iptables-allports
logpath=/var/log/ufw.log
maxretry=1
bantime=-1
ignoreip = 127.0.0.0/8 ::1
# ignoreipは任意の(ある程度アクセス元が判明しているIPアドレス)を指定ください。スペース区切りで複数指定できます。

[sshd]
enabled=true
filter=sshd
mode=normal
port=22
protocol=tcp
logpath=/var/log/auth.log
maxretry=3
bantime=-1
ignoreip = 127.0.0.0/8 ::1
# ignoreipは任意の(ある程度アクセス元が判明しているIPアドレス)を指定ください。スペース区切りで複数指定できます。

ufw.aggressiveを作成

sudo tee /etc/fail2ban/filter.d/ufw.aggressive.conf > /dev/null << 'EOF'
[Definition]
failregex = [UFW BLOCK].+SRC=<HOST> DST
ignoreregex =
EOF

設定反映

sudo systemctl restart fail2ban.service

systemctl status fail2ban.service

active(running)を確認します。

設定確認

sudo cat /var/log/fail2ban.log

この時点で、

2024-09-01 17:14:26,476 fail2ban.filter         [1720]: INFO    [ufw] Found xxx.xxx.xxx.xxx - 2024-09-01 17:14:26
2024-09-01 17:14:26,623 fail2ban.actions        [1720]: NOTICE  [ufw] Ban xxx.xxx.xxx.xxx
2024-09-01 17:14:44,198 fail2ban.filter         [1720]: INFO    [ufw] Found yyy.yyy.yyy.yyy - 2024-09-01 17:14:44
2024-09-01 17:14:44,647 fail2ban.actions        [1720]: NOTICE  [ufw] Ban yyy.yyy.yyy.yyy

と、fail2banが不審なアクセスを弾いています。

sudo fail2ban-client status ufw

設定して10分も経たないうちに100ほどのIPアドレスがブロックされていました。

Ubuntu24.04のSSHとSSLの脆弱性対応。（OSインストール後最初に行うこと)

By manualmaton

オン 2024年9月3日

カテゴリー: Linux

vpsを利用して立ち上げたUbuntu 24.04。

まずは2024年7月に発生した脆弱性に対応させます。

openssl

openssl version -a

OpenSSL 3.0.13 30 Jan 2024 (Library: OpenSSL 3.0.13 30 Jan 2024)
built on: Fri Aug  9 02:33:21 2024 UTC
platform: debian-amd64
options:  bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -fzero-call-used-regs=used-gpr -DOPENSSL_TLS_SECURITY_LEVEL=2 -Wa,--noexecstack -g -O2 -fno-omit-frame-pointer -mno-omit-leaf-frame-pointer -ffile-prefix-map=/build/openssl-uVxJzP/openssl-3.0.13=. -fstack-protector-strong -fstack-clash-protection -Wformat -Werror=format-security -fcf-protection -fdebug-prefix-map=/build/openssl-uVxJzP/openssl-3.0.13=/usr/src/openssl-3.0.13-0ubuntu3.3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=3
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-3"
MODULESDIR: "/usr/lib/x86_64-linux-gnu/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0x9fb82203478bfffd:0x0

openSSH

ssh -V

OpenSSH_9.6p1 Ubuntu-3ubuntu13.5, OpenSSL 3.0.13 30 Jan 2024

脆弱性に対応していないバージョンだったので、まずはここから対応します。

環境

Ubuntu 24.04LTS
インストールしたばかりの状況

さっくりとならない手順

【オプション】ロケールを変更します。
【OpenSSL】必要なパッケージをインストールします。
【OpenSSL】githubレポジトリから最新安定版のソースコードをダウンロードします。
【OpenSSL】ソースからインストールしていきます。
【OpenSSL】設定を行います。（コンフィグを反映させ、パスを通します）
【OpenSSL】バージョンアップを確認します。
【OpenSSL】自動アップデートを無効化します。
システム全体の再起動を行います。（1回目）
【OpenSSH】コンフィグに必要なディレクトリの作成を行います。
【OpenSSH】作業用ディレクトリに移動します。
【OpenSSH】ソースをダウンロードします。
【OpenSSH】OpenSSHをソースからビルドします。
システム全体の再起動を行います。（2回目）
【OpenSSH】バージョンアップを確認します。

※脆弱性対応のため、切り戻しは一切考慮しません。※

ロケール変更

ロケール確認

localectl

System Locale: LANG=C.UTF-8
VC Keymap: (unset)     
X11 Layout: us
X11 Model: pc105

使えるロケールを確認

localectl list-locales

C.UTF-8
en_US.UTF-8

→ 日本語がないので、追加することから確認します。

日本語を追加

sudo aptitude install language-pack-ja

ロケール追加確認

localectl list-locales

C.UTF-8
en_US.UTF-8
ja_JP.UTF-8

追加を確認しました。

日本語ロケールに設定

sudo localectl set-locale LANG=ja_JP.UTF-8

これで各種メッセージが日本語で表示されるようになります。

必要なパッケージをインストールします。

sudo apt install aptitude

パッケージ管理はこちらが好みなので先にインストールします。

sudo aptitude install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev libkrb5-dev checkinstall zlib1g-dev git

【OpenSSL】root昇格

ソースコードからコンパイルしてインストールするため、この作業は全て管理者権限で実行します。

sudo su -

【OpenSSL】ソースコード取得

作業用ディレクトリに移動

cd /hoge && pwd

任意のディレクトリ名を指定します。

git clone

git clone https://github.com/openssl/openssl -b openssl-3.3.1

2024/09/01現在の最新版を指定します。

ディレクトリ移動

cd openssl && pwd

【OpenSSL】ソースからインストール

コンフィグ

./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib

コンフィグ成功時の出力

Configuring OpenSSL version 3.3.1 for target linux-x86_64
Using os-specific seed configuration
Created configdata.pm
Running configdata.pm
Created Makefile.in
Created Makefile
Created include/openssl/configuration.h

**********************************************************************
***                                                                ***
***   OpenSSL has been successfully configured                     ***
***                                                                ***
***   If you encounter a problem while building, please open an    ***
***   issue on GitHub <https://github.com/openssl/openssl/issues>  ***
***   and include the output from the following command:           ***
***                                                                ***
***       perl configdata.pm --dump                                ***
***                                                                ***
***   (If you are new to OpenSSL, you might want to consult the    ***
***   'Troubleshooting' section in the INSTALL.md file first)      ***
***                                                                ***
**********************************************************************

make

make

時間がかかります。状況を時々見ながら待ちます。

makeの整合性確認

make test

これも時間がかかります。

インストール

make install

【OpenSSL】インストール後の設定

設定ファイル追記

cat <<- __EOF__ | tee -a /etc/ld.so.conf.d/openssl-3.3.1.conf
/usr/local/ssl/lib64
__EOF__

設定反映

ldconfig -v

既存プログラムの退避

mv /usr/bin/c_rehash /path/to/backup/c_rehash.$(date +%Y%m%d)

mv /usr/bin/openssl /path/to/backup/openssl.$(date +%Y%m%d)

それぞれ、任意のディレクトリを指定します。

パスを通す

sudo sed -i 's|^PATH=.*|#&\nPATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/usr/local/ssl/bin"|' /etc/environment

通したパスの反映

source /etc/environment

パスの反映

echo $PATH

/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/usr/local/ssl/bin と表示されるのを確認します。

【OpenSSL】バージョンアップ後の確認

openssl version -a

OpenSSL 3.3.1 4 Jun 2024 (Library: OpenSSL 3.3.1 4 Jun 2024)
built on: Sun Sep  1 05:14:25 2024 UTC
platform: linux-x86_64
options:  bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DZLIB -DNDEBUG
OPENSSLDIR: "/usr/local/ssl"
ENGINESDIR: "/usr/local/ssl/lib64/engines-3"
MODULESDIR: "/usr/local/ssl/lib64/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0x9fb82203478bfffd:0x0

これで、バージョンが3.0.1から3.3.1に変わります。

【OpenSSL】自動アップグレード無効

その後のシステムアップグレードでパスなどが変わるのを防ぎます。

sudo apt-mark hold openssl

sudo aptitude hold openssl

【OpenSSL】システム全体の再起動(1回目)

reboot

再起動すると同時に、rootから抜けます。

【OpenSSH】ディレクトリ作成と設定

むしろここからが本番。CVE-2024-6378の致命的な脆弱性の対応を行います。

sudo mkdir /var/lib/sshd && sudo chmod -R 700 /var/lib/sshd/ && sudo chown -R root:sys /var/lib/sshd/

【OpenSSH】作業用ディレクトリに移動

cd /hoge && pwd

任意のディレクトリを指定します。

【OpenSSH】ソースのダウンロードと展開

ソース取得

wget -c http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

ソース展開

tar -xvzf openssh-9.8p1.tar.gz

ディレクトリ移動

cd openssh && pwd

【OpenSSH】展開したソースコードをインストール

OpenSSLの位置を確認

which openssl

/usr/local/ssl/bin/opensslを確認

本手順でSSLのバージョンアップを行った場合の環境となります。

コンフィグ

./configure --with-kerberos5 --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl

--with-ssl-dir=/usr/local/sslは、opensslがあるディレクトリを指定します。

make

make

インストール

sudo make install

インストール確認

ターミナルクライアントソフトは開いたまま、新たなウィンドウで開き、ログインできることを確認します。

バージョンアップ確認

ssh -V

OpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024

これで、SSH接続の脆弱性に対応。一番の危険は去りました。

WebARENA Indigo®を利用したUbuntu 24.04サーバへの立ち上げ。

By manualmaton

オン 2024年9月2日

カテゴリー: Linux, PC

概要

Ubuntu 20.o4サーバのEOLが近づいてきたため、現時点でのUbuntu最新版LTSサーバのvpsを立ち上げたときの記録です。

選定したサービス:WebARENA Indigo®

https://web.arena.ne.jp/indigo

今回は国産vpsを選定です。

円安の影響下でAWS Lightsailが高額になった
回線キャリアが運営しているだけあってNWが安定（アップロードも500Mbps/ベストエフォート)
Lightsailと同じく月額課金のため安心

が選定理由です。

申し込みそのものは

サインイン
クレジットカード情報の入力
携帯電話を利用した本人確認

で、アカウント作成後は

こんな形のダッシュボードができました。

ここからUbuntuサーバを立ち上げていくのですが、罠が待っていました。

Ubuntu24.04サーバの罠-rsa秘密鍵、再び-

上記ダッシュボードから

サービス管理
インスタンス管理
SSH鍵

で鍵を作成後、

インスタンス
インスタンス作成

で、Ubuntu 24.04インスタンスを作成するとログインできません。

過去にもこういう事例があったので、それに沿って対応します。

AWS LightsailでのUbuntu20.04立ち上げとUbuntu22.04へのアップグレード。

これと同じく、

(SSH-1アルゴリズムによるRSA認証が無効化されます)

に引っかかるので、

Ubuntu 20.04でインスタンスを立ち上げる
アクセスできるアカウントを作成する
Ubuntu 22.04/24.04に対応した秘密鍵を作成する
その上でUbuntuのアップグレードをする

回りくどい方法を採りました。

最初のインスタンスへのアクセス

WebARENAのコンソールからSSH鍵を作ります。
- SSH鍵の作成
- SSH鍵名を入力して作成をクリック
- ダウンロードされた秘密鍵を利用
Ubuntu20.04でインスタンスを立ち上げます。
- インスタンス管理＞インスタンスに移動
- イメージの選択「Ubuntu」＞「Ubuntu20.04」を選択
- 自分の運用に沿ったサイズを選択
- SSH鍵は上記で作成したものを選択
- インスタンス名は任意のものを入力
- 「インスタンスの作成」をクリック
インスタンスを起動します。OSがインストールされたら、「操作」から「インスタンスの起動」をクリックします。
- AWSと違って、最初からグローバルのIPアドレスがアタッチされているのが利点です。
- ドメインとDNS登録できる環境があれば、この時点で名前解決できるようにします。
ターミナルクライアントソフトから、インポートされた秘密鍵を使ってアクセスします。
- アクセス先：アタッチされたIPアドレス
- ユーザー名：ubuntu
- 秘密鍵を利用
- パスワード：空白

Ubuntu 22.04以降に対応したアカウントの作成

root昇格

sudo su -

パスワードは設定されていないので空エンターです。

ユーザー作成

adduser hoge

hogeは任意のユーザー名です。その後、パスワードなどを設定していきます。

作成したユーザーを管理者グループに入れる

usermod -G sudo hoge

hogeは自分が作成したユーザー名です。

作成したユーザーに切り替え

su - hoge

ユーザー名確認

whoami

作成したユーザー名であることを確認します。

root昇格確認

sudo su -

パスワード入力後、作成したユーザーがrootに昇格できることを確認します。

作成したユーザーに戻る

exit && whoami

作成したユーザーであることを確認します。

秘密鍵作成

edEd25519での秘密鍵作成

ssh-keygen -t ed25519

鍵の格納場所は初期値(/home/hoge/.ssh)なので空エンターです。特別な運用がない限りはパスワードを設定します。

秘密鍵確認

cd .ssh && pwd

/home/hoge/.sshにいることを確認します。

ファイルの内容確認

ls -l

id_ed25519
id_ed25519.pub

の2つを確認します。

cat id_ed25519

cat id_ed25519.pub

とした上で内容をコピーし、ローカル環境に貼り付けて保管します。この、秘密鍵と公開鍵はサーバセキュリティの生命線です。管理と保管は厳密に行ってください。

サーバ上から秘密鍵を削除

rm id_ed25519

サーバにアクセスするための秘密鍵がサーバ上にあっては意味がありません。「ローカルに秘密鍵があることを再確認した上で」秘密鍵を削除します。

公開鍵の名前と権限変更

mv id_ed25519.pub authorized_keys

chmod 600 authorized_keys

公開鍵の名前をauthorized_keysに変更して、所有者のみがアクセスできるようにします。

ローカルPCからアクセスできることを確認します。

ターミナルクライアントソフトで

IPアドレス（設定していればドメイン名）
作成したユーザー名とパスワード
ローカルに保管した秘密鍵

を用いてアクセスできることを確認します。

Ubuntuのアップグレード

Ubuntu 20.04から24.04まで上げるので、二段階に上げます。

また、OSの再インストールなので、休憩時間を一切挟まず、一気通貫で行ってください。

Ubuntu 20.04→22.04

root昇格

sudo su -

ここから全てroot権限で設定します。

パッケージの最新化とアップグレード前の再起動

apt update && apt upgrade && apt autoremove

パッケージを最新版にして不要パッケージを削除します。途中で不要パッケージを消すかを求められるので[y]で消去します。

reboot

再起動を行います。

再ログインしてroot昇格

sudo su -

OSのアップグレード

do-release-upgrade

アップグレード中にプロンプトから質問されたこと

以下、主要な質問事項です。コメント(#の後)に概要を書いています。

Reading cache

Checking package manager

Continue running under SSH?

This session appears to be running under ssh. It is not recommended
to perform a upgrade over ssh currently because in case of failure it
is harder to recover.

If you continue, an additional ssh daemon will be started at port
'1022'.
Do you want to continue?

# SSHのポートを追加するか
# → y

Starting additional sshd 

To make recovery in case of failure easier, an additional sshd will 
be started on port '1022'. If anything goes wrong with the running 
ssh you can still connect to the additional one. 
If you run a firewall, you may need to temporarily open this port. As 
this is potentially dangerous it's not done automatically. You can 
open the port with e.g.: 
'iptables -I INPUT -p tcp --dport 1022 -j ACCEPT' 

To continue please press [ENTER]

# 設定を変更するか
# → Enter

Do you want to start the upgrade?


4 packages are going to be removed. 85 new packages are going to be
installed. 555 packages are going to be upgraded.

You have to download a total of 247 M. This download will take about
49 seconds with a 40Mbit connection and about 6 minutes with a 5Mbit
connection.

Fetching and installing the upgrade can take several hours. Once the
download has finished, the process cannot be canceled.

 Continue [yN]  Details [d]

# アップグレード前の最終確認
# → y

There are services installed on your system which need to be restarted when certain libraries, such as libpam, libc, and libssl, are upgraded. Since these restarts may cause interruptions of service for the system, you will     x
   x normally be prompted on each upgrade for the list of services you wish to restart.  You can choose this option to avoid being prompted; instead, all necessary restarts will be done for you automatically so you can avoid being   x
   x asked questions on each library upgrade.                                                                                                                                                                                            x
   x                                                                                                                                                                                                                                     x
   x Restart services during package upgrades without asking?

# アップグレード時、各種サービスを再起動前にプロンプトでy/nを確認するか
# → 質問されるのがめんどいので yes

# この間、SSH等の設定変更を行うか訊いてきます。プロンプトの選択を変えずに先に進みました
# keep the local version currently installed

Remove obsolete packages? 

# 不要パッケージの削除
# → Yes

System upgrade is complete.

Restart required

To finish the upgrade, a restart is required.
If you select 'y' the system will be restarted.

Continue [yN]

# アップグレード完了後にリブートするか
# → y

22.04へのアップグレードを確認

再起動後、再びアクセスします。

cat /etc/lsb-release

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=22.04
DISTRIB_CODENAME=jammy
DISTRIB_DESCRIPTION="Ubuntu 22.04.1 LTS"

となっていればまずはアップグレード完了です。

Ubuntu 22.04 → 24.04

root昇格

sudo su -

OSのアップグレード

do-release-upgrade

途中のプロンプトはほぼ同じなので割愛。再起動後、

cat /etc/lsb-release

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=24.04
DISTRIB_CODENAME=noble
DISTRIB_DESCRIPTION="Ubuntu 24.04.1 LTS"

にて成功です。

初期ユーザーの無効化

WebARENAのコンソールで作成された初期ユーザーはパスワードがない状態なので、無効化します。

root昇格

sudo su -

初期ユーザーのsshディレクトリに移動

cd /home/ubuntu/.ssh

公開鍵退避

mv authorized_keys ../

以上、仕様によって「すぐに立ち上げ」というわけには行きませんでしたが、クラウドでUbuntu24.04サーバを立ち上げることができました。

ベースデッキ、ベースアップ。(統率者メモ:2024/09/01)

By manualmaton

オン 2024年9月1日

カテゴリー: MtG, 統率者

動物のベースデッキ。(統率者メモ:2024/08/12)

このデッキの改良案が何か無いかと思っていたところ、

ちょうどうってつけの記事を見つけました。

https://note.com/96sun/n/nfa072deb2bd2

こちらをほぼコピーしつつ、自分の手持ちのコンボパーツと合わせました。

統率者

根花のヘイゼル/Hazel of the Rootbloom

デッキ

クリーチャー

マリオネットの見習い/Marionette Apprentice
ズーラポートの殺し屋/Zulaport Cutthroat
ネイディアの夜刃/Nadier's Nightblade
悲哀の徘徊者/Woe Strider
巣穴の魂商人/Warren Soultrader
さえずる魔女/Chittering Witch
ヘイゼルの醸造主/Hazel's Brewmaster
強欲な果食動物/Insatiable Frugivore
無慈悲な略奪者/Pitiless Plunderer
無情な屍技術師/Ruthless Technomancer
溜め込む親玉/Hoarding Broodlord
金のガチョウ/Gilded Goose
茨越えの餌あさり/Thornvault Forager
献身のドルイド/Devoted Druid
ペレグリン・トゥック/Peregrin Took
不屈の補給兵/Tireless Provisioner
リスの小走り/Scurry of Squirrels
リスの将軍、サワギバ/Chatterfang, Squirrel General
秘密を知るもの、トスキ/Toski, Bearer of Secrets
永久の証人/Timeless Witness
深き森の隠遁者/Deep Forest Hermit
貪欲なるリス/Ravenous Squirrel
蔦刈りの導師/Vinereap Mentor
種選奴、カメリア/Camellia, the Seedmiser
抜け目ない狩人/Savvy Hunter
甘歯村の断罪人、グレタ/Greta, Sweettooth Scourge
どっきりドングリ団/The Odd Acorn Gang
リスの巣の守り手/Drey Keeper
ベレドロス・ウィザーブルーム/Beledros Witherbloom
歩行バリスタ/Walking Ballista
アカデミーの整備士/Academy Manufactor
カルドーサの鍛冶場主/Kuldotha Forgemaster
マイアの戦闘球/Myr Battlesphere

インスタント

命取りの論争/Deadly Dispute
切断マジック/Saw in Half
新緑の命令/Verdant Command
蓄え放題/Cache Grab
ウィンドグレイスの裁き/Windgrace's Judgment

ソーサリー

リスのお喋り/Chatter of the Squirrel
根鋳造の弟子入り/Rootcast Apprenticeship
群がり庭の虐殺/Swarmyard Massacre
大渦の脈動/Maelstrom Pulse
戦争の犠牲/Casualties of War

エンチャント

アクロゾズの約定/Promise of Aclazotz
想起の拠点/Bastion of Remembrance
美食家の才能/Gourmand's Talent
パンくずの道標/Trail of Crumbs
獣使いの昇天/Beastmaster Ascension
殺しのサービス/Killer Service
似通った生命/Parallel Lives

アーティファクト

太陽の指輪/Sol Ring
恐竜の遺伝子/Dino DNA
頭蓋骨絞め/Skullclamp
秘儀の印鑑/Arcane Signet
反発のタリスマン/Talisman of Resilience
ゴルガリの印鑑/Golgari Signet
忘却の偶像/Idol of Oblivion
アシュノッドの供犠台/Ashnod's Altar
ミミックの大桶/Mimic Vat
ヌカコーラ自動販売機/Nuka-Cola Vending Machine
仮面林の結節点/Maskwood Nexus
前兆の時計/Clock of Omens
囀り吐き/Chitterspitter

プレインズウォーカー

呪われた狩人、ガラク/Garruk, Cursed Huntsman

土地

8:沼/Swamp
8:森/Forest
ボジューカの沼/Bojuka Bog
平穏な茂み/Tranquil Thicket
草むした墓/Overgrown Tomb
ゴルガリの腐敗農場/Golgari Rot Farm
憑依されたぬかるみ/Haunted Mire
ジャングルのうろ穴/Jungle Hollow
ラノワールの荒原/Llanowar Wastes
屍花の交錯/Necroblossom Snarl
汚れた森/Tainted Wood
疾病の神殿/Temple of Malady
黄昏のぬかるみ/Twilight Mire
森林の墓地/Woodland Cemetery
緑ばんだ沼/Viridescent Bog
統率の塔/Command Tower
風変わりな果樹園/Exotic Orchard
祖先の道/Path of Ancestry
不気味な辺境林/Grim Backwoods
群がりの庭/Swarmyard
新緑の地下墓地/Verdant Catacombs

太字のところが自分が入れたカード。

ヘイゼルの醸造主/Hazel's Brewmaster ＆献身のドルイド/Devoted Druid
ヌカコーラ自動販売機/Nuka-Cola Vending Machine ＆ペレグリン・トゥック/Peregrin Took

あたりの無限を仕込んでいます。

他にも前兆の時計/Clock of Omensとカルドーサの鍛冶場主/Kuldotha Forgemasterなどの展開コンボ。

デッキの動きを見る度に楽しいので、これは鍛えがいがあります。

2024年9月
月	火	水	木	金	土	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30