カテゴリー: Linux Page 15 of 52

カテゴリー: Linux, PC

「やらかしてしまった」メモです。

起こしてしまったこと

事象

aws lightsailで動かしているUbuntu20.04サーバにアクセスできない事象が発生しました。

Webサイトはもちろん、sshにもつながりません。

確認と一時対処。

awsの管理画面にログインしてリソース状況を確認したら、CPUがバースト。いわゆる暴走状態なのでこの状態を止めます。

「停止」→「起動」を選択。（再起動では完全に暴走が止まりませんでした）

それから程なくしてssh接続ができるまでは回復。ですが、

netstat -lntp

を実行してもWebサービスがリッスンしていません。

systemctl status apache2.service

でサービスは動いていることを確認。状態を確認できたところで原因を特定します。

事象発生前に何をしていたか？

バーストが発生しているサーバで、ufwの作業をしていました。これ以外に設定は特にやっていないので、ほぼおおそらくこれが問題だろうと判断。

取り急ぎ、

sudo ufw disable

を行い

サイトが見られることを確認しました。判断するに

ルールの数を増やしすぎて処理性能が追いつかなくなった。
増やしたルールがコンフリクトやループを起こしハングアップ。

等でバースト、暴走したと考えられます。

不審なアクセスを無計画に弾いていたことが徒になった形です。

対処

ufwの強制リセットと最小限の設定

ufwが原因だと特定したものの、サーバ内のFWが有効化されていないのは危険です。そこで、以下のようにして設定を強制リセットしました。

設定の強制リセット

sudo ufw --force reset

sshとweb通信のみを有効化

sudo ufw limit proto tcp from any to any port 22

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

設定反映

sudo ufw enable

設定確認

ステータス確認

sudo ufw status

状態: アクティブ

To                         Action      From
--                         ------      ----
22/tcp                     LIMIT       Anywhere                  
80/tcp                     ALLOW       Anywhere                  
443/tcp                    ALLOW       Anywhere

を確認しました。

通信確認

ssh接続ができること
このサーバで稼働しているWebサイトが見られること

を確認し、対処完了です。

本件の教訓

「FWをいじるだけだから、特に作業履歴をやらなくてもいいだろう」という慢心から起きたものでした。

個人で運営しているサーバだったことに救われた形です。

また、この程度の作業ということで、システム全体のバックアップを取らなかったことも冷や水でした。

自分の作業によって起きる影響
ufwの効率的な管理
作業前のバックアップ確認

といった基本的な運用の管理への意識を改める自戒の出来事でした。

Ubuntu20.04サーバにApacheのDoS対策モジュール(mod_evasive)を導入。

By manualmaton

オン 2024年8月17日

カテゴリー: Linux

概要

DoS/DDoS対策ができるモジュールをApacheに導入したときのメモです。

環境

Ubuntu 20.04
Apache 2.4系
FWにufwを利用

さっくりとした手順

mod_evasiveモジュールをインストールします。
apache2実行ユーザー(www-data)がufwを利用できるように設定します。
mod_evasiveモジュールの設定をします。
設定の反映を行います。

まずはサーバにターミナルログインするところから始めます。

mod_evasiveのインストール

sudo aptitude install libapache2-mod-evasive

このとき、postfixが依存関係でインストールされる場合があります。メール機能が使えない（AWS等で送信が制限されているなど）は、途中の設定で「何もしない」を選択します。

apache2実行ユーザーの権限変更

これは、www-dataがufwを実行する場合の処理です。権限昇格の危険性を承知した上で、慎重に作業を行ってください。

sudoersファイルのバックアップ

sudo cp -pi /etc/sudoers /path/to/backup/directory/sudoers.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

diffによるバックアップ確認

sudo diff -u /path/to/backup/directory/sudoers.$(date +%Y%m%d) /etc/sudoers

差分がないことを確認します。

ファイル追記

echo 'www-data ALL=(ALL) NOPASSWD: /usr/sbin/ufw' | sudo tee -a /etc/sudoers

ファイル追記確認

sudo diff -u /path/to/backup/directory/sudoers.$(date +%Y%m%d) /etc/sudoers

以下の差分を確認します。

+www-data ALL=(ALL) NOPASSWD: /usr/sbin/ufw

evasiveの設定変更

ファイルバックアップ

sudo cp -pi /etc/apache2/mods-available/evasive.conf /path/to/backup/directory/evasive.conf.$(date +%Y%m%d)

diffによるバックアップ確認

sudo diff -u /path/to/backup/directory/evasive.conf.$(date +%Y%m%d) /etc/apache2/mods-available/evasive.conf

差分がないことを確認します。

以下のファイルを教義・信仰に沿ったエディタで編集していきます。
- /etc/apache2/mods-available/evasive.conf
編集例

    DOSHashTableSize    3097
    DOSPageCount        100
    DOSSiteCount        100
    #かなり緩く設定して、後で狭めていった方が偽陽性を防げます。
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10

    #DOSEmailNotify      you@yourdomain.com
    #メール通知を行わないため、ここを省いています
    DOSSystemCommand    "sudo ufw deny proto tcp from %s to any port 80,443"
    # 検証時に自分のサイトがブロックされるのを防ぐため、ポートは80/443に絞っています
    DOSLogDir           "/var/log/mod_evasive"
    DOSWhitelist        127.0.0.1
    DOSWhitelist        xx.xx.xx.xx
    # 対象外としたいIPアドレス（自分の環境など）

参考：Apache の DoS攻撃対策モジュール mod_evasive

設定編集確認

sudo diff -u /path/to/backup/directory/evasive.conf.$(date +%Y%m%d) /etc/apache2/mods-available/evasive.conf

差分例

-    #DOSHashTableSize    3097
-    #DOSPageCount        2
-    #DOSSiteCount        50
-    #DOSPageInterval     1
-    #DOSSiteInterval     1
-    #DOSBlockingPeriod   10
+    DOSHashTableSize    3097
+    DOSPageCount        100
+    DOSSiteCount        100
+    DOSPageInterval     1
+    DOSSiteInterval     1
+    DOSBlockingPeriod   10

     #DOSEmailNotify      you@yourdomain.com
-    #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
-    #DOSLogDir           "/var/log/mod_evasive"
+    DOSSystemCommand    "sudo ufw deny proto tcp from %s to any port 80,443"
+    DOSLogDir           "/var/log/mod_evasive"
+    DOSWhitelist        127.0.0.1
+    DOSWhitelist        xx.xx.xx.xx
 </IfModule>

設定反映

構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

apache再起動

sudo systemctl restart apache2.service

これで、不審なアクセスが大量にあったときにufwで弾く体制が整いました。

検証：Ubuntu20.04にredmine5.1をインストールする。

By manualmaton

オン 2024年8月4日

カテゴリー: Linux, redmine

概要

Redmineとrubyのバージョン対応を見る限りですと、

Redmine 5.1はruby2.7で動きます。

Ubuntu 20.04で標準的にインストールされるrubyは2.7です。そこで、EOLが迫っているUbuntu 20.04で、敢えてRedmine 5.1がインストールできるかを検証しました。

前提

Ubuntu20.04サーバの初期設定が終わった直後の状態を想定します。
DNSでドメインの名前が解決できることを前提としています
環境は以下の通りです。
Apache系
MySQL
Ruby 2.7
また、パッケージ管理としてaptitudeを用いています。aptが好みの方はこちらに読み替えてください。

特記事項

本手順ではRedmine 5.1をインストールします。
2025年4月にEOLが迫っているUbuntu 20.04で動かすという検証が目的であることを重ねて追記します。
本記事のredmineの格納ディレクトリは/home/www-data/redmineです。一般的なディレクトリ(/var/lib/redmine)と異なることを最初に注記します。
ほぼコピペだけで済むような構成にしていますが、一部、テキストエディタを使用する箇所があります。
また、自身の環境に合わせたりパスワードを設定する項目がありますのでそこは注意してください。
Redmineのインストールができたという検証のみです。動作やプラグインと合わせては未検証です。

手順

Apacheのレポジトリを追加します。

sudo add-apt-repository ppa:ondrej/apache2

必要なパッケージをインストールします。

パッケージ全体のアップデート

sudo aptitude update

必要なパッケージのインストール

sudo aptitude install build-essential zlib1g-dev libssl-dev libreadline-dev libyaml-dev libcurl4-openssl-dev libffi-dev mysql-server mysql-client apache2 apache2-dev libapr1-dev libaprutil1-dev imagemagick libmagick++-dev fonts-takao-pgothic subversion git ruby libruby ruby-dev libmysqlclient-dev

apacheの追加モジュールをインストールします。

sudo aptitude install libapache2-mod-passenger

apacheのバージョンを確認します。

apache2ctl -v

Apache/2.4.59以降であることを確認します。2.4.58には、http/2プロトコルへの脆弱性があるので、左記のバージョンであることを確認します。

rubyのパッケージ管理(gem)を用いて必要なライブラリをインストールします。

sudo gem install bundler racc mysql2

「3 gems installed」が表示されればインストール成功です。

必要に応じてmysqlの初期設定を行います。

mysql_secure_installationによる初期設定を行います。

うまくいかない場合は以下を参照してください。

https://barrel.reisalin.com/books/bbf94/page/mysql-secure-installation

mysqlでDBとユーザーを設定します。

sudo mysql -u root -p

上記で設定した「mysqlのrootパスワード」を入力し、mysqlにログインします

CREATE DATABASE redmine character set utf8mb4;

DB "redmine" を作成します

CREATE USER 'redmine'@'localhost' IDENTIFIED BY 'password';

ユーザ "redmine"を作成し、パスワードを設定します。
この'password'は任意のパスワードに変更してください

GRANT ALL ON redmine.* TO 'redmine'@'localhost';

flush privileges;

exit

設定したDBでログインできることを確認します。

mysql -u redmine -p

SHOW DATABASES;

exit

配置ディレクトリ作成

sudo mkdir -p /home/www-data/redmine

自分の環境に合わせます。

所有者変更

sudo chown -R www-data:www-data /home/www-data

Redmine 5.1を入手

sudo -u www-data svn co https://svn.redmine.org/redmine/branches/5.1-stable /home/www-data/redmine

Redmineのコンフィグを設定します。

サンプルファイルをコピーしてコンフィグを編集

sudo cp -pi /home/www-data/redmine/config/database.yml.example /home/www-data/redmine/config/database.yml

/home/www-data/redmine/config/database.yml

このファイルを教義・信仰に従ったエディタで編集してください。

database.yml 編集内容

production:
  adapter: mysql2
  database: redmine
  host: localhost
  username: redmine
  # rootからredmineに変更します
  password: "redmine用のパスワード"
  encoding: utf8mb4
# 本番環境(production)のみ設定を行います

Redmineのマイグレーションを行います。

Redmineのルートディレクトリに移動

cd /home/www-data/redmine/ && pwd

/home/www-data/redmine/ (Redmineを配置したディレクトリ)であることを確認します

bundle install

sudo -u www-data bundle install --without development test --path vendor/bundle

シークレットトークンの発行(※Ubuntu 20.04の場合)

sudo -u www-data bundle exec rake generate_secret_token

を実行すると、

Could not find date-3.3.4, timeout-0.4.1 in any of the sources
Run `bundle install` to install missing gems.

というメッセージが出てきます。このエラーに対処します。

dateのアップデート

sudo -u www-data bundle update date

エラー修正後のシークレットトークンの発行

sudo -u www-data bundle exec rake generate_secret_token

今度は通ります。

DBマイグレーション

sudo -u www-data RAILS_ENV=production bundle exec rake db:migrate

日本語化

sudo -u www-data RAILS_ENV=production REDMINE_LANG=ja bundle exec rake redmine:load_default_data

Apacheの設定ファイルを作成します。

【】を自分の作成したRedmineのサーバ名/ドメイン名に変更します。

cat <<- __EOF__ | sudo tee -a /etc/apache2/sites-available/redmine.conf
<VirtualHost *:80>
    ServerName 【hoge.example.com】
    # ServerNameは自身が設定したredmineに読み替えてください。
    DocumentRoot /home/www-data/redmine/public
    <Directory /home/www-data/redmine/public>
        Options -MultiViews
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>
__EOF__

設定を反映させます。

ファイル作成確認

ls -l /etc/apache2/sites-available/redmine.conf

設定ファイル有効化

sudo a2ensite redmine.conf

初期サイト設定を無効化

sudo a2dissite 000-default.conf

sudo a2dissite default-ssl.conf

コンフィグファイル整合性確認

sudo apache2ctl configtest

Syntax OK を確認します

設定反映前のapacheステータス確認

systemctl status apache2.service

active(running)を確認します

apache再起動

sudo systemctl restart apache2.service

設定反映後のapacheステータス確認

systemctl status apache2.service

active(running)を確認します

Webページの表示を確認します。

http://設定したRedmineドメイン

でRedmineのトップページが表示されれば成功です。

直ちにadmin/adminでログインし、強固なパスワードを設定し直します。

Redmineの文字色変更を容易にするプラグイン導入(Redmine_wiki_text_colorizer)

By manualmaton

オン 2024年7月27日

カテゴリー: Linux, PC, redmine

概要

RedmineはMarkdwon準拠なので、タグによる文字色の変更が可能。

とはいえ、色指定や範囲が結構面倒です。それを解消するプラグインを導入します。

redmine_wiki_text_colorizer

動作確認環境

Ubuntu 22.04
Redmine 5.1
Apacheで稼働(実行ユーザはwww-data)

導入手順

例によって、SSH(または直接ターミナルに入っての)導入です。

ディレクトリ移動

cd /path/to/redmine/root/directory/plugins && pwd

自分の環境に合わせます。 (筆者の環境/home/www-data/redmine/plugins)

プラグイン導入

git clone

 sudo -u www-data git clone https://github.com/sk-ys/redmine_wiki_text_colorizer

clone確認

ls -ld redmine_wiki_text_colorizer

ディレクトリがあることを確認します。

apache(webサービス再起動)

sudo systemctl restart apache2.service

自分の環境に合わせます。

導入後の確認

Wiki、チケットやコメントの編集画面を表示します。

Wiki編集画面に、「A」のアイコンが2つ並んでいるボタンが追加されます。

文字を選択した後、このボタンを押すと文字色のパレットが表示されます。

任意の色を選ぶと、

選択した箇所がタグで囲まれます。（それと同時にボタンの色が選んだ文字色になります）

プレビュー/保存などで文字色が変わっていれば導入できています。

Redmineに「元に戻す」「やり直し」追加(Redmine Wiki Historyプラグイン)

By manualmaton

オン 2024年7月20日

カテゴリー: Linux, redmine

概要

RedmineにWord / Excel等にある「アンドゥ」「リドゥ」を追加するプラグインで、誤消去などを防ぎます。

Redmine Wiki History

動作確認環境

Ubuntu 22.04
Redmine 5.1
Apacheで稼働(実行ユーザはwww-data)

導入手順

例によって、SSH(または直接ターミナルに入っての)導入です。

ディレクトリ移動

cd /path/to/redmine/root/directory/plugins && pwd

自分の環境に合わせます。 (筆者の環境/home/www-data/redmine/plugins)

プラグイン導入

git clone

 sudo -u www-data git clone https://github.com/sk-ys/redmine_wiki_history

clone確認

ls -ld redmine_wiki_history

ディレクトリがあることを確認します。

apache(webサービス再起動)

sudo systemctl restart apache2.service

自分の環境に合わせます。

導入後の確認

Wiki、チケットやコメントの編集画面を表示します。

このようにアンドゥ(元に戻す)、リドゥ(やり直し)ボタンが表示されます。

入力した後に取り消し/やり直しができていれば導入成功です。

Growiサーバのnodeバージョンアップ。(18系→20系)

By manualmaton

オン 2024年7月13日

カテゴリー: Linux, PC

概要

Growi v7系の動作が安定してきたので、サーバのnodeのバージョンを18系から20系に切り替えます。

バージョンアップ前の環境

Ubuntu 22.04
Growi v7.0.12
node v18.20.3
npm 10.7.0
yarn 1.22.21

Dockerを利用していないオンプレ環境です。

さっくりとした手順

作業前に周知を行います。(複数ユーザーで運用している場合)
メンテナンスモードに切り替えます。(またはサービスを停止します)
n packageをインストールします。(インストールしていない場合)
n packageを用いてnodeをバージョンアップします。
nodeのバージョンアップを確認します。
growiを再起動します。
メンテナンスモードを解除します。(実行していた場合)

作業前の周知

単独で利用している場合はこれは不要です。

メンテナンスモードの切り替え

以下のいずれかを選んでください。

Growiに管理者権限でログイン後に設定→アプリ設定→「メンテナンスモードを開始する」
サーバでsudo systemctl stop growi.serviceを実行する(systemdに登録している場合)

n packageをインストール (インストールしていない場合)

sudo npm install n -g

これを用いてnode.jsをインストールしていきます。

n packageを用いてのバージョンアップ

node 20系にバージョンアップ

sudo n 20

バージョンアップ確認

node -v

v20.15.1を確認しました。(2024/07/12現在)

growiサービスの再起動

systemdに登録している場合の手順です。

sudo systemctl restart growi.service

再起動後、Growiにアクセスできることを確認します。

nodeバージョンアップ後の対応

Growiに管理者権限でログインします。
設定を開き、システム情報でnodeがバージョンアップされていることを確認します。
メンテナンスモードの切り替えを行った場合は、設定から解除します。
既存機能が使えることを確認します。

BookStack マークダウンエディタのチートシート（ショートカット）。

By manualmaton

オン 2024年7月11日

カテゴリー: BookStack, Linux

BookStackで記事を編集中、適当にキーボードを操作していたら、見出しが自動的に入ったので調べてみました。

https://www.bookstackapp.com/docs/user/markdown-editor

ショートカット一覧

ショートカット	説明	備考
Ctrl + S	下書きを保存	投稿して公開は下の機能を使います
Ctrl + Enter	ページを保存して公開
Ctrl + 1	見出し(h2)	## が入ります
Ctrl + 2	見出し(h3)	### が入ります
Ctrl + 3	見出し(h4)	#### が入ります
Ctrl + 4	見出し(h5)	##### が入ります
Ctrl + 5	段落	いわゆる\<p>です
Ctrl + 6	段落	いわゆる\<p>です
Ctrl + 7	コードブロック	```～```が入ります
Ctrl + E	コードブロック	```～```が入ります
Ctrl + 8	インラインコード	`～`が入ります
Ctrl +O	番号付きのリスト	1. が入ります
Ctrl + P	箇条書きリスト	- が入ります
Ctrl + K	リンク挿入	[]()が入ります
Ctrl + Shift + K	BookStack内のリンク挿入	ページ一覧がモーダル表示されます
Ctrl + Shift + I	URL経由での画像挿入	![](http://)が入ります

※Macを利用する方はCtrlをCommandに読み替えてください。

これらのショートカット、非常に便利。特に見出しとコードをシームレスに入力できるのは大きなアドバンテージでした。

Ubuntu 20.04のOpenSSLのEOL対応並びにOpenSSHの脆弱性対応

By manualmaton

オン 2024年7月4日

カテゴリー: Linux, PC

概要

Ubuntu 20.04をインターネットに公開している
諸々の事情で22.04にアップグレードできない
2023/09/11にサポート終了となったOpenSSLの1.1.1をアップグレードしたい。
OpenSSHの脆弱性、CVE-2024-6387 の対応を行いたい

方を対象としています。

参考環境

OS:Ubuntu 20.04

OpenSSLのバージョン確認

openssl version -a

OpenSSL 1.1.1f  31 Mar 2020
built on: Wed May 24 17:14:51 2023 UTC
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(int) blowfish(ptr) 
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-mSG92N/openssl-1.1.1f=. -fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_TLS_SECURITY_LEVEL=2 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific

OpenSSHのバージョン確認

ssh -V

OpenSSH_8.2p1 Ubuntu-4ubuntu0.9, OpenSSL 1.1.1f  31 Mar 2020

参考とした手順

実施する前の留意点

コピペだけで済むように、エディタを使わない手順にしています。
実際に筆者が実施した手順をそのまま載せています。typo等はご容赦ください。
作業影響が極めて大きいため、作業時間の見積や日時調整は迅速かつ丁寧に行ってください。
- 特にmake / make testは思っている以上に時間がかかります。
この手順では、sslのパスが変わります。同一サーバ内の他のプログラムがsslを参照している場合は、特に注意してください。

さっくりとはならない手順

システム全体のバックアップ
【OpenSSL】必要なライブラリをインストールします。
【OpenSSL】githubレポジトリから最新安定版のソースコードをダウンロードします。
【OpenSSL】ソースからインストールしていきます。
【OpenSSL】設定を行います。（コンフィグを反映させ、パスを通します）
【OpenSSL】バージョンアップを確認します。
【OpenSSL】自動アップデートを無効化します。
システム全体の再起動を行います。（1回目）
【OpenSSH】コンフィグに必要なディレクトリの作成を行います。
【OpenSSH】インストールに必要なパッケージをインストールします。
【OpenSSH】作業用ディレクトリに移動します。
【OpenSSH】ソースをダウンロードします。
【OpenSSH】OpenSSHをソースからビルドします。
システム全体の再起動を行います。（2回目）
【OpenSSH】バージョンアップを確認します。

実施した手順

全体のバックアップを取得します。

任意の方法でシステム全体のバックアップを取ります。とはいえ、EOL/脆弱性対応のため切り戻しは基本的に許されません。

必要なライブラリのインストール

sudo aptitude install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev libkrb5-dev checkinstall zlib1g-dev git

aptitudeを用いています。必要に応じてaptを使ってください。

【OpenSSL】root昇格

OpenSSLをソースコードからコンパイルしてインストールする一連の作業は管理者権限で実行します。

sudo su -

【OpenSSL】ソースコードの取得

作業用ディレクトリに移動

cd /hoge && pwd

任意のディレクトリを指定します

git clone

git clone https://github.com/openssl/openssl -b openssl-3.3.1

2024/07/03現在の最新版をダウンロードします。

※root昇格済みなのでsudoが不要であることにご注意ください

ディレクトリ移動

cd openssl

【OpenSSL】ソースからインストール

コンフィグ

./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib

コンフィグ成功時の出力

Configuring OpenSSL version 3.3.1 for target linux-x86_64
Using os-specific seed configuration
Created configdata.pm
Running configdata.pm
Created Makefile.in
Created Makefile
Created include/openssl/configuration.h

**********************************************************************
***                                                                ***
***   OpenSSL has been successfully configured                     ***
***                                                                ***
***   If you encounter a problem while building, please open an    ***
***   issue on GitHub <https://github.com/openssl/openssl/issues>  ***
***   and include the output from the following command:           ***
***                                                                ***
***       perl configdata.pm --dump                                ***
***                                                                ***
***   (If you are new to OpenSSL, you might want to consult the    ***
***   'Troubleshooting' section in the INSTALL.md file first)      ***
***                                                                ***
**********************************************************************

make

make

makeは時間がかかります。状況を時折確認しながら待ちましょう。

整合性確認

make test

make 同様に時間がかかります。

インストール

make install

【OpenSSL】インストール後の設定

設定ファイル追記

cat <<- __EOF__ | tee -a /etc/ld.so.conf.d/openssl-3.3.1.conf
/usr/local/ssl/lib64
__EOF__

設定反映

ldconfig -v

既存プログラムの退避

mv /usr/bin/c_rehash /path/to/backup/c_rehash.$(date +%Y%m%d)

任意の退避ディレクトリを指定します

mv /usr/bin/openssl /path/to/backup/openssl.$(date +%Y%m%d)

任意の退避ディレクトリを指定します

パスを通す

cat <<- __EOF__ | tee -a /etc/environment
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"
__EOF__

通したパスを反映

source /etc/environment

パス確認

echo $PATH

PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"

と表示されることを確認します

【OpenSSL】バージョンアップ後の確認

openssl version -a

OpenSSL 3.3.1 4 Jun 2024 (Library: OpenSSL 3.3.1 4 Jun 2024)
built on: Wed Jul  3 02:04:25 2024 UTC
platform: linux-x86_64
options:  bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DZLIB -DNDEBUG
OPENSSLDIR: "/usr/local/ssl"
ENGINESDIR: "/usr/local/ssl/lib64/engines-3"
MODULESDIR: "/usr/local/ssl/lib64/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0xfffa3203578bffff:0x7a9

これで、Ubuntu20.04でもOpenSSL3.3.1を利用することが可能になりました。

システム全体の再起動(1回目)

システムの再起動を行います。

sudo reboot

【OpenSSL】自動アップグレード無効

強制的に3.3系に上げるので、その後、1.1.xがアップグレードされる可能性を防ぎます。

apt を使用する場合

sudo apt-mark hold openssl

aptitude を使用する場合

sudo aptitude hold openssl

これに続けて、CVE-2024-6387の対応を行います。

【OpenSSH】ディレクトリ作成と設定

sudo mkdir /var/lib/sshd && sudo chmod -R 700 /var/lib/sshd/ && sudo chown -R root:sys /var/lib/sshd/

【OpenSSH】作業用ディレクトリ移動

cd /hoge && pwd

任意のディレクトリを指定します。

【OpenSSH】ソースのダウンロードと展開

ソース取得

wget -c http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz

上記CVEの脆弱性に対応したバージョンを用います。

ソース展開

tar -xzf openssh-9.8p1.tar.gz

ディレクトリ移動

cd openssh-9.8p1

【OpenSSH】展開したソースコードをインストール

OpenSSLの位置を確認

which openssl

結果確認

/usr/local/ssl/bin/openssl

本手順でSSLのバージョンアップを行った場合の環境となります。

コンフィグ

./configure --with-kerberos5 --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl

--with-ssl-dir=/usr/local/sslは、opensslがあるディレクトリを指定します。

make

make

インストール

sudo make install

システム全体の再起動(2回目)

システムの再起動を行います。

sudo reboot

【OpenSSH】バージョンアップ確認

バージョン確認

この時点でSSH接続できていれば、ほぼ設定完了です。

ssh -V

OpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024

バージョンアップされていることを確認します。

自動アップグレード無効

強制的に9.x系に上げるので、その後、8.xがアップグレードされる可能性を防ぎます。

apt を使用する場合

sudo apt-mark hold openssh-server

aptitude を使用する場合

sudo aptitude hold openssh-server

システム全体の確認

ログインできることを確認します。
他のサービスが正常に稼働していることを確認します。

検証結果：ノートPCへの単体Growi導入。

By manualmaton

オン 2024年7月3日

カテゴリー: Linux, PC, ガジェット

Linuxを入れたLet’s noteにWebアプリを導入。

これの結果となります。

中古PCに
NWに繋げず（つまり、クライアントLinuxのみで）
アプリを動かす

限定環境での感想です。

結論:モバイル環境下でのGrowi単体運用は難しい。

結論から言ってしまうと、この形。以下、理由を述べていきます。

理由1:重い

昨今のWebアプリの宿命と言えます。特にサーバーサイドレンダリングを重視しているGrowi v7以降は、低電圧版CPUでは満足に動かせません。（ビルドに15分以上かかりました）

理由2:スペックが低い機器は重いため、すぐ書ける・気軽に書ける特性が損なわれている。

Chromebookを選んでいた理由でもあります。

紙と同じぐらいの速度や携帯性を求めているので、重くしたのでは本末転倒です。

理由3:バッテリー消費。

これも、小さくない欠点でした。クライアントとサーバを兼ねるため、CPUにかかる負荷は増大。それにつれてバッテリーも消費してしまいます。

理由4:検証機を兼ねているノートPC

こちらは個人的な所見。

検証を兼ねているので、かなり頻繁にOSの再インストールを行います。そのたびにバックアップやリストアをするのは面倒です。

そういうわけで、「PCに沿ったアプリを選定する」大切さを学びました。

Ubuntu 20.04 / nginx環境でgrowiをv6.x→v7.0.xにアップグレード。(nginxリバースプロキシのWebSocket設定)

By manualmaton

オン 2024年7月1日

カテゴリー: Linux, PC

概要

長らくUbuntu 20.04で動かしているgrowi。こちらもv7.0.xにアップグレードできることを確認しました。

Apacheと同様、nginx環境でも、WebSocketを適切に設定する必要がありました。

環境

Ubuntu 20.04
Growi v6.3.5
非Dockerのオンプレ環境
nginx（この手順に則ってgrowi v6をnginxのリバースプロキシで動かしていました）。

さっくりとした手順

nodeのアップグレードを行います。
growiサービスを停止します。
growiのバージョンアップを行います。
growiサービスを再開します。
nginxのリバースプロキシ設定を書き換え、nginxサービスの再起動を行います。
バージョンアップを行います。

nodeのアップグレード

node -v

OSが少々古いため、Ubuntu 20.04のnodeはv18.16.0。Growi7系の対象外だったので、nodeを最新安定版に変えるところからスタートします。

n packageのインストール

sudo npm install -g n

nでnode 20系の安定版をインストール

sudo n --stable

バージョンアップ確認

node -v

20.15.0を確認します。

growiのアップグレード前のサービス停止

growiのステータス確認(停止前)

systemctl status growi.service

※ サービススクリプト名は自分の環境に合わせます。
※ active(running)を確認します

growiのサービス停止

sudo systemctl stop growi.service

growiのステータス確認(停止後)

systemctl status growi.service

inactive (dead)を確認します

growiのアップグレード

growiディレクトリの移動

cd /opt/growi

自分の環境に合わせます。

必要パッケージのインストール

sudo aptitude install git-lfs

git-lfsを入れないとclone/build時に画像が表示されません。

lfs -pull

sudo git lfs pull

リリースタグ取得

sudo git fetch --tags

リリースタグ確認

sudo git tag -l

2024/06/30現在のv7系最新版、v7.0.11があることを確認しました。

gitのバージョンを一時的に退避

sudo git stash

チェックアウト

sudo git checkout 【バージョン】

上述した通り、v7.0.11を入力しました。

yarn

sudo yarn

v6.xよりも時間がかかります。

アプリのビルド

sudo yarn app:build

こちらも時間がかかります。

アップグレード後のgrowiサービス開始

再開前のステータス確認

systemctl status growi.service

inactive (dead)を確認します

サービス再起動

sudo systemctl start growi.service

再開後のステータス確認

systemctl status growi.service
サービススクリプトを[growi]にしている場合

active (running)を確認します

nginxのバーチャルファイルを編集

v7.xは、WebSocketによる通信設定を正常に行わないと既存ドキュメントの編集ができません。（編集画面が空白になります）

そのため、nginxの設定を見直します。

既存のgrowiバーチャルファイルを退避

sudo mv /etc/nginx/sites-available/growi.conf /path/to/backup/directory/growi.conf.$(date +%Y%m%d)

大幅に変更する必要があるため、cpではなくmvします。

新規の設定ファイルを作成

【】内を自分の環境に合わせます。

cat <<- __EOF__ | sudo tee -a /etc/nginx/sites-available/growi.conf
upstream growi {
       server 【growiのIPアドレス】:3000;
}

server {
        listen 80;
        server_name 【サーバ名】;
        server_tokens off;
        return  301 https://$host$request_uri;
        access_log 【growiのアクセスログのフルパス】;
        error_log 【growiのエラーログのフルパス】 warn;
}

map $http_upgrade $connection_upgrade {
    default Upgrade;
    ''      close;
}

server {
        listen 443 ssl;
        server_name 【サーバ名】;
        server_tokens off;
        ssl_session_timeout 1d;
        ssl_session_cache shared:SSL:50m;
        ssl_session_tickets off;
        ssl_dhparam /etc/nginx/dhparam.pem;
        ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
        ssl_prefer_server_ciphers off;
        add_header Strict-Transport-Security 'max-age=63072000';


        ssl_certificate 【サーバ証明書のフルパス】;
        ssl_certificate_key 【サーバ秘密鍵のフルパス】;

        access_log /var/log/nginx/growi/ssl_access.log;
        error_log /var/log/nginx/growi/ssl_error.log warn;


    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Port $server_port;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://growi;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        proxy_read_timeout 900s;
    }
}

__EOF__

こちらの設定ファイルはGrowiの公式ドキュメントに沿ったものです。

nginxの構文チェック

sudo nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

を確認します。

nginx再起動

sudo systemctl restart nginx.service

バージョンアップ確認

設定したgrowiのサイトにアクセスします。
チェックアウトしたバージョンであることを確認します。
既存のページにアクセスし、編集できること（編集画面が白くならないこと）を確認します。

2025年9月
月	火	水	木	金	土	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30