新たな文具入れを作ってもらいました。
大きめの巾着袋です。こちらに入るのは
- ジブン手帳
- ほぼ日Weekly
- 情報カードホルダー
- サブのペンケース。
表、裏ともに贅沢に芯地を使って丈夫さは相当のもの。
それだけにとどまらず、
今年作ってもらったペンケースと同じ裏地が使われています。
- ペンケース
- ほぼ日(オリジナル)
と合わせ、日常の文具セットが統一です。
カテゴリー: ガジェット Page 15 of 93
初期設定の機会が多くなったので、改めてメモをします。
「いつ、どのような操作をしたか」を追いやすくするために以下の設定を行います。
sudo tee -a /etc/profile.d/history.sh > /dev/null << 'EOF'
export HISTSIZE=50000
export HISTFILESIZE=50000
export HISTTIMEFORMAT='%Y/%m/%d %H:%M:%S '
EOF- 全ユーザーでhistoryコマンドの履歴を5万行に引き上げます。
- コマンド実行した日付を記載します。
設定後、新しいシェルセッションを開始するか、
source /etc/profile.d/history.shを実行することで上記が反映されます。
設定後、
history実行後、
1964 2024/09/17 15:12:18 cd /mnt/wasabi/
1965 2024/09/17 15:12:19 ll
1966 2024/09/17 15:12:24 cd redmine/
1967 2024/09/17 15:12:24 ll
1968 2024/09/17 15:12:27 cd files/
1969 2024/09/17 15:12:27 ll
1970 2024/09/17 15:12:31 pwd
1971 2024/09/17 16:27:20 cd
1972 2024/09/17 16:27:24 sudo aptitude update
1973 2024/09/17 16:28:35 sudo aptitude upgrade
1974 2024/09/17 16:30:23 sudo reboot
1975 2024/09/17 16:33:05 df -h
1976 2024/09/17 17:25:47 cd script/
1977 2024/09/17 17:25:47 llのように、日付と時間入りでコマンド操作履歴が表示されます。
Snipe-IT のv7からPHP 8.1以降(PHP8.3含む)で動くようになりました。
こちらの方法を用いることでUbuntu24.04でもインストール可能だったことを確認していますが、データ移行はかなりハマりました。
うまくいかなかった手段1:データのバックアップ/リストア機能
Snipe-ITはデータ全体のバックアップとリストア機能を備えていますが、
- 移行元:Ubuntu 20.04
- v6
- PHP8.1
- Apache2.4
- MySQL8
- 移行先:Ubuntu 24.04
- v7
- PHP8.3
- Apache2.4
- MySQL8
のため、PHPのバージョンが合わないせいかインポート時にエラー発生。再アクセスしようとすると500エラーが発生。
うまくいかなかった手段2:データの移行とSQLリストア
- firefly-iii
- BookStack
と同じように、アップロードしたファイルを移行先に持っていき、mysqldumpで取得したファイルをインポートすることでうまくいくのではと思いましたが、これでも500エラーが発生。
お手上げ状態だった時に公式ドキュメントを見ると、答えが書いてありました。
うまくいった手段:keyファイルの上書きとマイグレーション
「手段2:データの移行とSQLリストア」に加えて、これが必要でした。
Moving Snipe-ITによると
Moving/migrating Snipe-IT to a new server should be a pretty painless process. You really only have a few things to worry about:
- Your .env
- Your database
- Your uploaded files
- Your OAuth keys
とあります。上記サイトにある情報を元に、手順化を行います。
【移行先】Snipe-ITを新たにインストールします。
セットアップを行い、管理者アカウントを作成するところまで進めます。
【移行元】→【移行先】各種データを転送します。
- SQLのダンプファイル
mysqldump -h localhost -u snipeit -p --no-tablespaces --single-transaction snipeit > snipeit_db.$(date +%Y%m%d).sqlパスワードは移行元のDBパスワードです。取得したダンプファイルは、任意の安全な方法で移行先に転送します。
- .envのAPP_KEY
移行元先ルートディレクトリ/storage配下にある.envのAPP_KEY=base64:移行の文字列を、
移行元のAPP_KEY=base64:のものにそのまま上書きして保存します。
- ファイルディレクトリ一式の転送
移行元のルートディレクトリ配下
└public/uploads
└storage/private_uploads
のディレクトリ一式を、同じように移行先に転送した上で、移行先のディレクトリに上書きます。(アクセス権は一致させます)
- OAuth key
移行元のルートディレクトリ/storage配下にある
└oauth-private.key
└oauth-public.key
を、移行先の同じディレクトリにコピーして上書きます。
【移行先】DBのリストアとマイグレーションを行います。
これ以降は移行先のみで作業を行います。
- ダンプファイルのリストア
mysql -h localhost -u snipeit -p snipeit < /path/to/backup/directory/snipeit_db.$(date +%Y%m%d).sql転送したディレクトリにあるダンプファイルのパスを指定します。
- Snipe-ITのルートディレクトリに移動
cd /var/www/html/snipe-it && pwdなど、移行先のsnipe-itのルートディレクトリに移動します。
- DBマイグレーション
sudo -u www-data php artisan migrate途中のプロンプトはyesを指定します。
- コンフィグクリア
sudo -u www-data php artisan config:clearWebサービスを再起動し、データ移行を確認します。
- Webサービス再起動
sudo systemctl restart apache2.service- Webサービス再起動確認
systemctl status apache2.serviceactive(running)を確認します。
- データ移行確認
- 移行先のSnipe-ITをインストールしたURLにアクセスします。
- 移行元のアカウントでログインできることを確認します。
- 移行元と同じデータがあることを確認します。
LAMP環境で動くアプリケーションを移行する際、だいたいは
- 移行先でWebアプリを作成する
- 移行元から移行先へとデータ(画像や添付ファイル)をコピーする
- DBをエクスポート→インポートする
の流れで別サーバへと移行が可能です。BookStackも同じような理屈で移行が行えるかを確かめたところ、罠がいくつかありました。
環境
共通環境
- Apache 2.4
- MySQL8系
移行元
- Ubuntu 20.04
- PHP 8.1
移行先
- Ubuntu 24.04
- PHP 8.3
さっくりといかない手順
- 【移行先】BookStackを構築します。
- オプション【移行元】アカウントのセキュリティ設定を一度解除します。
- 【移行元】→【移行先】画像や添付データ一式を転送します。
- 【移行元】→【移行先】MySQLのダンプを行い、DBを転送します。
- 【移行先】DBをインポートします。
- 【移行先】DBマイグレーションを行います。
- オプション【移行先】URLの変更処理を行います。
- 【移行先】設定の反映を行います。
- 【移行先】移行先で確認を行います。
【移行先】BookStackを構築します。
自サイトで恐縮ですが、手順はこちらをそのまま用いています。
オプション【移行元】管理アカウントの二要素認証を解除。
これが一番ハマったポイントでした。
マイアカウント > アクセス&セキュリティ > 多要素認証
で、二要素認証をオンにしていると、移行先でログインができませんでした。
なので、移行時の一時的な措置として解除を行います。
【移行元】→【移行先】データの転送
BookStackのルートディレクトリ配下の
/public/uploads/を一式、移行先へと転送して、同じディレクトリ構造に上書きします。SCPやtarで固める塔、任意の方法で転送します。
このとき、アクセス権をWebサービス実行ユーザにしてください。(Ubuntuのデフォルトはwww-data)
【移行元】→【移行先】DBのデータ移行
mysqldump -h localhost -u bookstackuser -p --no-tablespaces --single-transaction bookstack > bookstack_backup.$(date +%Y%m%d).sql-h DBサーバ名、-u bookstackのDBにアクセスできるユーザー DB名という形です。DBユーザに設定されているパスワードを入力してダンプを取ります。
こうしてできたDBは、任意の(安全で確実な)方法で移行先に転送します。
【移行先】DBのリストア
- ディレクトリ移動
cd /hoge && pwdダンプしたDBファイルが転送されているディレクトリに移動します。
- DBインポート
mysql -h localhost -u bookstackuser -p bookstack < bookstack_backup.$(date +%Y%m%d).sql【移行先】DBのマイグレーション
これもハマったポイントでした。
- BookStackルートディレクトリに移動
/path/to/BookStack/root/directory && pwd/var/www/html/BookStackなど、移行先の、BookStackがインストールされているディレクトリに移動します。
- DBマイグレーション
sudo -u www-data php artisan migrate --forceこのマイグレーションを行わないと、リストアしたDBを参照してくれませんでした。
オプション【移行先】URL変更処理
サーバのURLを変える場合はここにも罠があります。BookStackの設定ファイル、.envに
# Application URL
# This must be the root URL that you want to host BookStack on.
# All URLs in BookStack will be generated using this value
# to ensure URLs generated are consistent and secure.
# If you change this in the future you may need to run a command
# to update stored URLs in the database. Command example:
# php artisan bookstack:update-url https://old.example.com https://new.example.comという但し書きがありますので、この処理を行います。
- BookStackルートディレクトリに移動
/path/to/BookStack/root/directory && pwd- URLアップデート
sudo -u www-data php artisan bookstack:update-url https://old.example.com https://new.example.com二回ほど確認されますので、両方とも「yes」で答えます。
DB上書き反映
- BookStackルートディレクトリに移動
/path/to/BookStack/root/directory && pwd- キャッシュクリア
sudo -u www-data php artisan cache:clear- Webサービス(apache)再起動
sudo systemctl restart apache2.service- Webサービス(apache)再起動確認
systemctl status apache2.serviceactive(running)を確認します。
サーバ移行確認
- ブラウザで移行先のURLにアクセスします。
- ログインできることを確認します。
- 前のデータ(画像や添付含む)が閲覧できることを確認します。
- 記事の作成等が行えることを確認します。
- 多要素認証をしている場合は、再設定します。
Nextcloudにmod_securityを導入するに当たり、気をつけなければならないのがファイルの閲覧や登録、入力処理中にMod_securityが不審な処理として判断してしまうこと(偽陽性)です。
そこで、
- 偽陽性と思われるログの調査
- 調査時の補助線引き
- 偽陽性になるルールを無視する設定
を行います。
ログ確認
/var/log/nextcloud_error.logから、以下のようなログを見ました。
[Wed Sep 11 16:35:02.048442 2024] [security2:error] [pid 32762:tid 32762] [client aaa.bbb.ccc.ddd:56994] [client aaa.bbb.ccc.ddd] ModSecurity: Warning. Operator GE matched 5 at TX:inbound_anomaly_score. [file "/usr/share/modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf"] [line "92"] [id "980130"] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 5 - SQLI=0,XSS=0,RFI=0,LFI=0,RCE=0,PHPI=0,HTTP=0,SESS=0): individual paranoia level scores: 5, 0, 0, 0"] [ver "OWASP_CRS/3.3.5"] [tag "event-correlation"] [hostname "nextcloud.hoge.com"] [uri "/ocs/v2.php/apps/user_status/api/v1/heartbeat"] [unique_id "ZuFIJU_udFaqxqrJvRLaPQAAAAA"]ここで見たいのは
- クライアントのIPアドレス
- どのようなルールIDを
- どのぐらい検知したか
です。
ログ確認のワンライナー
これらを確認するため、copilotの助けを借りてawkスクリプトを生成します。
awk '/ModSecurity/ {
ip = gensub(/.*\[client ([0-9.]+):.*/, "\\1", "g", $0);
rule_id = gensub(/.*\[id "([0-9]+)"\].*/, "\\1", "g", $0);
print rule_id, ip;
}' /var/log/nextcloud/nextcloud_error.log | sort | uniq -cこれを実行したところ、Mod_Securityがエラーとして検知したログの中から
36 911100 127.0.0.1
267 911100 aaa.bbb.ccc.ddd
65 920420 aaa.bbb.ccc.ddd
36 949110 127.0.0.1
267 949110 aaa.bbb.ccc.ddd
36 980130 127.0.0.1
267 980130 aaa.bbb.ccc.dddという結果を確認しました。127.0.0.1はローカルアドレス、aaa.bbb.ccc.dddも自分がアクセスしてきたIPアドレス。この間、自分がしていたのはNextcloudの設定変更やファイルの閲覧のみです。
Mod_securityが検知したルールIDを「偽陽性」と判断し、処置していきます。
Mod_Securityで特定のルールを検知させない処理
Apacheのバーチャルサイトで設定しているという形です。
設定ファイルの修正
- ファイルのバックアップ
sudo cp -ci /etc/apache2/sites-available/nextcloud.conf /path/to/backup/directory/nextcloud.conf.$(date +%Y%m%d)設定ファイルやバックアップディレクトリは自分の環境に合わせます。
- バックアップ確認
diff -u /path/to/backup/directory/nextcloud.conf.$(date +%Y%m%d) /etc/apache2/sites-available/nextcloud.confエラー無く、差分も表示されていなければバックアップは成功です。
- ファイル修正
/etc/apache2/sites-available/nextcloud.confを以下のように修正していきます。(要root権限)
# Mod_security
## 最初は検知モード
SecRuleEngine DetectionOnly
## 偽陽性と判断したID
SecRuleRemoveById 911100
SecRuleRemoveById 920420
SecRuleRemoveById 949110
SecRuleRemoveById 980130- ファイル修正確認
diff -u /path/to/backup/directory/nextcloud.conf.$(date +%Y%m%d) /etc/apache2/sites-available/nextcloud.confSecRuleRemoveById IDで、これにマッチするパターンは無視します。
- 差分例
## 最初は検知モード
SecRuleEngine DetectionOnly
+
+## 偽陽性と判断したID
+SecRuleRemoveById 911100
+SecRuleRemoveById 920420
+SecRuleRemoveById 949110
+SecRuleRemoveById 980130
+
</VirtualHost>設定ファイルの設定反映
- 構文確認
sudo apache2ctl configtestSyntax OKを確認します。
- 設定反映
sudo systemctl restart apache2.service- Apache稼働確認
systemctl status apache2.serviceactive(running)を確認します。
動作確認
ターミナルで
tail -f /var/log/nextcloud/nextcloud_error.logとしてエラーログを流します。(エラーログは自分の環境に合わせます)
- 上記処理を行ったNextcloudにアクセスして操作をしていきます。
- 処理を行ったIDが検知されないことを確認します。
Linuxで動く財務管理システムfirefly-iii。
Ubuntu 24.04で動くことを確認したので、20.04からのデータを移行しました。(自分の手順では)
環境
移行前
- Ubuntu 20.04
- PHP 8.1
- firefly-iii 5.7.9
移行先
- Ubuntu 20.04
- PHP 8.3
- firefly-iii 6.1.16
その他はApache、MySQL環境です。
さっくりとした(?)手順
- 移行先のfirefly-iiiを構築します。
- 移行前のSQLダンプファイルを取得します。
- 移行先でダンプファイルをインポートします。
- 動作を確認します。
【移行先】firefly-iiiを構築します。
方法はこちらです。
【移行元】DBのダンプファイルを取得します。
- ディレクトリ移動
cd /hoge && pwd任意のディレクトリを指定します。
- ダンプファイル取得
mysqldump -u firelfy -p --no-tablespaces --single-transaction firefly > firefly_$(date +%Y%m%d).sql-u DBユーザー >の左のfireflyはDB名です。自分の環境に合わせます。
- パスワードを入力してもファイルが取得できないときは?
パスワードに!などの特殊文字が入っていると羽の肥えるパターンがあります。passwdといったファイルを作成し、以下のように記入します。
[mysqldump]
user=DBユーザー
password=''※パスワードはシングルクォーテーションで囲みます。
こちらのファイルを作った上で、
mysqldump --defaults-extra-file=passwd --no-tablespaces --single-transaction firefly > firefly_$(date +%Y%m%d).sql実行します。 このpasswdファイルは作業後に削除します。
- ファイル取得確認
head -50 firefly_$(date +%Y%m%d).sqlダンプファイルの内容が見られることを確認します。
このダンプファイルを任意の安全な方法で移行先にコピーします。
【移行先】DBのインポートを行います。
- ディレクトリ移動
cd /hoge && pwdダンプファイルを転送したディレクトリを指定します。
- DBインポート
mysql -h localhost -u firefly -p firefly < firefly_$(date +%Y%m%d).sql ユーザ名やDB名は自分の環境に合わせます。
- Webサービス(Apache)再起動
sudo systemctl restart apache2.service- サービス再起動確認
systemctl status apache2.serviceactive(running)を確認します。
動作の確認を行います。
移行先のfirefly-iiiをインストールしたドメインにアクセスして
- 移行元のアカウントで認証できること
- 移行元のデータが確認できること
- データの検索や登録ができること
を確認できればOKです。
作業の後処理を行います。
- ディレクトリ移動
cd /hoge && pwdダンプファイルを転送したディレクトリを指定します。
- ダンプファイル削除
sudo rm firefly_$(date +%Y%m%d).sql 必要に応じて、移行元サイトの閉鎖を行います。
運用の好みの問題です。
sudo su -環境
- Ubuntu 20.04 / 22.04 / 24.04
等でrootに昇格する際、入力されたかを確かめる*を表示するようにして視認性を高めます。
既存ファイルのバックアップ
- 設定ファイルバックアップ
sudo cp -pi /etc/sudoers /path/to/backup/directory/sudoers.$(date +%Y%m%d)任意のバックアップディレクトリを指定します。
- バックアップ確認
sudo diff -u /path/to/backup/directory/sudoers.$(date +%Y%m%d) /etc/sudoers差分が無ければバックアップは成功です。
ファイル書き換え
- sedによるファイル書き換え
sudo sed -i 's/^Defaults\s\+env_reset$/Defaults env_reset,pwfeedback/' /etc/sudoers- 差分確認
sudo diff -u /path/to/backup/directory/sudoers.$(date +%Y%m%d) /etc/sudoers-Defaults env_reset
+Defaults env_reset,pwfeedback設定反映確認
設定を行ったサーバに対して、新しくSSHセッションを作成します。
sudo su -でパスワードを入力時に*が表示されれば設定は反映されています。
ApacheのWAFモジュールであるmod_securityを導入します。
- AWS Lightsailで早々とインストールしていた
- 各種不審なIPアドレスを弾くための盾
として機能しているにもかかわらず文書化していなかったので、Web Arenaでの検証を機に文章に残します。
環境
- Ubuntu 24.04 (20.04でも一応動くとは思います)
- Apache 2.4
※ パッケージ管理にaptitudeを用いています。必要に応じてaptに読み替えてください。
さっくりとした手順
- mod_securityのインストールを行います。
- mod_securityの設定を行います。
- Apacheのバーチャルサイトにmod_securityを組み込みます。
- 設定を反映して動作を確認します。
mod_securityのインストールを行います。
- パッケージ全体のアップデート
sudo aptitude update- mod_securityインストール
sudo aptitude install libapache2-mod-security2- インストール確認
sudo apache2ctl -M |grep securitysecurity2_module (shared)と表示されていることを確認します。
ModSecurityの設定
- 設定ファイル書き換え
sudo mv /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf推奨ファイルをそのまま設定ファイルとして書き換えます。
OWASP Core Rule Set (CRS)のインストールと設定
- ディレクトリ移動
cd /usr/share/modsecurity-crs && pwd- ルールセットのダウンロード
sudo git clone https://github.com/coreruleset/coreruleset.git- ルールセットの設定書き換え
sudo mv /usr/share/modsecurity-crs/coreruleset/crs-setup.conf.example /usr/share/modsecurity-crs/coreruleset/crs-setup.confmod_securityモジュールにCRSを読み込む設定を追記
- ディレクトリ移動
cd /etc/apache2/mods-available/ && pwd- ファイルのバックアップ
sudo cp -pi security2.conf /path/to/backup/directory/security2.conf.$(date +%Y%m%d)任意のバックアップディレクトリを指定します。
- バックアップ確認
diff -u /path/to/backup/directory/security2.conf.$(date +%Y%m%d) security2.confエラーがなければバックアップは成功です。
- ファイル追記
/etc/apache2/mods-available/security2.confを、以下の差分になるように教義・信仰に沿ったエディタで編集します。(要root権限)
- </IfModule>
+ # Include OWASP ModSecurity CRS rules if installed
+ IncludeOptional /usr/share/modsecurity-crs/*.load
+</IfModule>- 設定追記の整合性を確認
sudo apache2ctl configtestSyntax OKを確認します。
- Apache再起動
sudo systemctl restart apache2.service- Apache再起動確認
systemctl status apache2.serviceactive (running) を確認します。
Apacheのバーチャルサイト編集
稼働済みのApacheバーチャルサイトの設定ファイルをいじります。バックアップ確認は入念に行ってください。
- ディレクトリ移動
cd /etc/apache2/sites-available && pwd- バーチャルサイトの設定ファイルバックアップ
sudo cp -pi your_site.conf /path/to/backup/directory/your_site.conf.$(date +%Y%m%d).confファイルやバックアップディレクトリは自分の環境を指定します。
- バックアップ確認
diff -u /path/to/backup/directory/your_site.conf.$(date +%Y%m%d) your_site.confエラーがなければバックアップは成功です。
- ファイル追記
/etc/apache2/sites-available/your_site.confを、以下の差分になるように教義・信仰に沿ったエディタで編集します。(要root権限)
# Mod Security
## ModSecurity有効化
SecRuleEngine On
## ModSecurity検知モード
### 検知モードで動かす場合はSecRuleEngine Onをコメントアウトしてこちらを有効化します
#SecRuleEngine DetectionOnly
## ファイルのアップロードをできるようにします。
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
## テスト用の検知パラメータを付け加えます。
SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"- ファイル差分
diff -u /path/to/backup/directory/your_site.conf.$(date +%Y%m%d) your_site.conf+# Mod Security
+
+## ModSecurity有効化
+SecRuleEngine On
+## ModSecurity検知モード
+### 検知モードで動かす場合はSecRuleEngine Onをコメントアウトしてこちらを有効化します
+#SecRuleEngine DetectionOnly
+
+## ファイルのアップロードをできるようにします。
+SecRequestBodyInMemoryLimit 524288000
+SecRequestBodyLimit 524288000
+
+## テスト用の検知パラメータを付け加えます。
+ SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
+- 設定追記の整合性を確認
sudo apache2ctl configtestSyntax OKを確認します。
- Apache再起動
sudo systemctl restart apache2.service- Apache再起動確認
systemctl status apache2.serviceactive (running) を確認します。
mod_security動作確認
- ブラウザで、上記の設定を行ったWebサイトにアクセスし、閲覧できることを確認します。
- アドレスバーの末尾に
?modsecparam=testを追加してアクセスします。
のように、アクセスできないことを確認します。
また、サーバでも
sudo cat /path/to/sites_log/directory/sites_error.log※ログの格納場所やログの名前は自分の環境に合わせます。
を開き、
ModSecurity: Access denied with code 403 (phase 2). String match "test" at ARGS:modsecparam. [file "/etc/apache2/sites-enabled/your_site.conf"] [line "53"] [id "4321"] [msg "ModSecurity test rule has triggered"] [hostname "host_address"] [uri "/"] [unique_id "xxxxxxx"]のように、エラーが発生していることを確認します。
備考
WordPress、Redmine等のWebアプリは自身の操作によって「不審なアクセス」として遮断することが極めてよくあります。(偽陽性)
そのため、テストを行った後は
## ModSecurity有効化
#SecRuleEngine On
## ModSecurity検知モード
### 検知モードで動かす場合はSecRuleEngine Onをコメントアウトしてこちらを有効化します
SecRuleEngine DetectionOnlyとして検知モードとして動かした方が良いでしょう。
ここから施行を繰り返し、「結局、Ubuntu24.04でなければ動かないだろう」という結論。
無事にインストールできたので、その記録です。
環境
以下、既に構築済みという状況です。
- Ubuntu 24.04
- Apache 2.4
- MySQL 8.3
- PHP 8.3
- Composer 2.8.6
そして、以下を準備済みです。
- サイトにアクセスするドメインとDNS登録
- 上記に沿った適切な証明書
さっくりとした手順
- プログラムをダウンロードします。
- composerでインストールします。
- DBを作成します。
- .envを設定します。
- DBのマイグレーションを行います。
- ログファイルの格納ディレクトリを設定します。
- ApacheでWebサーバの設定を行います。
- アクセスを確認します。
Firefly III のダウンロード
- ディレクトリ移動
cd /home/www-dataWeb公開用のディレクトリを指定します。
- プログラムのダウンロード
git clone https://github.com/firefly-iii/firefly-iii.git -b v6.1.19※PHP8.3で稼働するバージョンを指定しています。
- ダウンロード確認
ls -ld firefly-iiiディレクトリが作成されていること、Web実行ユーザ(www-data)であることを確認します。
DB作成
- mysqlログイン
mysql -u root -p- DB作成
CREATE DATABASE firefly character set utf8mb4;CREATE USER 'firefly'@'localhost' IDENTIFIED BY 'password';GRANT ALL PRIVILEGES ON firefly.* TO 'firefly'@'localhost';FLUSH PRIVILEGES;EXIT;ポリシーに合わせて強固なパスワードを指定します。
.env設定
- .envのサンプルをコピー
sudo cp -pi .env.example .env- ファイル修正
- .env を教義・信仰に沿ったエディタで修正します。
DB_CONNECTION=mysql
DB_HOST=127.0.0.1
DB_PORT=3306
DB_DATABASE=firefly
DB_USERNAME=firefly
DB_PASSWORD=your_password最低限、上記を指定します。パスワードはDB作成時のものです。
DBマイグレーション
sudo -u www-data php artisan firefly-iii:upgrade-databasesudo -u www-data php artisan firefly-iii:correct-databasesudo -u www-data php artisan firefly-iii:report-integritysudo -u www-data php artisan passport:installログファイルの格納ディレクトリを作成
- ディレクトリ作成
sudo mkdir /var/log/firefly- ディレクトリの所有者変更
sudo chown -R www-data www-data /var/log/firefly- ディレクトリ作成確認
ls -ld /var/log/fireflyApache設定
- 以下のファイルを作成します。
- /etc/apache2/sites-available/firefly-iii.conf
- 【】の箇所は、自分の環境に合わせて修正してください。
cat <<- __EOF__ | sudo tee -a /etc/apache2/sites-available/firefly-iii.conf
<VirtualHost *:80>
servername 【bank.example.com】
# ドメイン名を指定します
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# HTTPアクセスを強制的にHTTPSにリダイレクトします
</VirtualHost>
<VirtualHost *:443>
ServerName 【bank.example.com】
# ドメイン名を指定します
CustomLog 【/var/log/firefly/firefly_access.log】 combined
ErrorLog 【/var/log/firefly/firefly_error.log】
DocumentRoot 【/home/www-data/firefly-iii/public】
# 自身の環境に合わせます
<Directory 【/home/www-data/firefly-iii/public】>
# 自身の環境に合わせます
AllowOverride All
Require all granted
</Directory>
#SSL設定
SSLEngine on
Protocols h2 http/1.1
# SSLを有効化します
SSLCertificateFile 【/etc/certs/bank.example.com.crt】
# SSL証明書を指定します
SSLCertificateKeyFile 【/etc/private/bank.example.com.key】
# 秘密鍵を指定します
# SSLCACertificateFile 【/etc/certs/bank.example.com.crt】
# 中間証明書が発行元から別ファイルで提供されている場合は、この直上をコメントアウトして中間証明書を指定します
#セキュリティヘッダー付与
Header always set Strict-Transport-Security "max-age=63072000"
Header set X-Content-Type-Options "nosniff"
Header always append X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
</VirtualHost>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:EC6-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
__EOF__設定反映
- 設定反映
sudo a2ensite firefly-iii.conf- Webサービス再起動
sudo systemctl restart apache2インストール確認
設定したURLにアクセスします。(ここではbank.example.com)
- Email address
- パスワード(16文字以上)
を設定して、「Register」をクリックします。
続いて初期設定(メインバンクや通貨、言語の指定など)完了後、ダッシュボードが出てくればインストール完了です。
ドメイン変更を伴うサーバのサイト移転を行いました。そこで、旧サーバのサイトのみの停止措置を行います。
環境
- Ubuntu 20.04
- Apache 2.4のバーチャルサイトを利用
- Let's Encryptの自動更新を止める
再確認
データの移行が完全に済んでいることを確認します。
手順
設定ファイルを無効化します。
- ディレクトリ移動
cd /etc/apache2/sites-enabled && pwd- 有効化されているサイトの確認
ls -lasites-le-ssl.confのように、Let's Encryptの自動更新を利用しているサイトにシンボリックリンクが張られていることを確認します。
コマンドによるサイト停止
sites-le-ssl.conf- リンクがないことを確認
ls -laシンボリックリンクがないことを確認します。
旧サイトの設定ファイルを退避します。
- ディレクトリ移動
cd /etc/apache2/sites-available/ && pwd- ファイル退避
sudo mv sites-le-ssl.conf /path/to/backup/directory/sites-le-ssl.conf.$(date +%Y%m%d)- ファイル退避確認
ls -la sites-le-ssl.confファイルがないことを確認します。
ls -la /path/to/backup/directory/sites-le-ssl.conf.$(date +%Y%m%d)ファイルがあることを確認します。
Apacheを再起動します。
- 構文確認
sudo apache2ctl configtestSyntax OKを確認します。
- サービス再起動
sudo systemctl restart apache2.service- サービス稼働確認
systemctl status apache2.serviceactive (running)を確認します。
旧サイトにアクセスできないことを確認します。
Let's Encryptの一部の自動更新を無効化します。
sudo certbot delete --cert-name 無効化するドメイン- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Deleted all files relating to certificate ドメイン
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -のように、メッセージが出ればOKです。