旅先で見つけた「可能性を感じる器」です。
この、帽子を逆さまにして取っ手をつけたガラスの器。拭いてもなお埃がうっすら積もっていたあたり、長年店に置かれていたというのが分かります。
この深さや取っ手の輝きは写真撮影の友として役立つとピンときました。
まず、ボードゲームのコンポーネントを入れてみます。
思ったよりも深めの凹みに落ち着いたガラスの輝き。
文具も映えます。特に隙間を埋められるのが大きいです。
ピンポイント背景にもできます。
の他、今後使える器が手に入ったのはとても大きな収穫でした。
apt(aptitude)でパッケージをインストール後、以下の判断に迷うことがあります。
これらをチェックするコマンドがありました。
sudo aptitude install debian-goodies update-notifier-commonカーネルなどのアップデートがされて、システム全体の再起動が必要な場合、以下のファイルが作成されます。
/var/run/reboot-required
cat /var/run/reboot-required
*** System restart required ***また、サービスの再起動が必要な場合は、次のコマンドを実行してその判断が可能です。
sudo checkrestart
Found 27 processes using old versions of upgraded files
(14 distinct programs)
(10 distinct packages)
Of these, 9 seem to contain systemd service definitions or init scripts which can be used to restart them.
The following packages seem to have definitions that could be used
to restart their services:
accountsservice:
441 /usr/lib/accountsservice/accounts-daemon
networkd-dispatcher:
470 /usr/bin/networkd-dispatcher
policykit-1:
471 /usr/lib/policykit-1/polkitd
rsyslog:
473 /usr/sbin/rsyslogd
modemmanager:
511 /usr/sbin/ModemManager
unattended-upgrades:
567 /usr/share/unattended-upgrades/unattended-upgrade-shutdown
openssh-server:
683 /usr/sbin/sshd
246134 /usr/sbin/sshd
246245 /usr/sbin/sshd
apache2-bin:
15285 /usr/sbin/apache2
238252 /usr/sbin/apache2
238253 /usr/sbin/apache2
238254 /usr/sbin/apache2
238255 /usr/sbin/apache2
238258 /usr/sbin/apache2
238559 /usr/sbin/apache2
238902 /usr/sbin/apache2
244571 /usr/sbin/apache2
244580 /usr/sbin/apache2
packagekit:
246707 /usr/lib/packagekit/packagekitd
These are the systemd services:
systemctl restart accounts-daemon.service
systemctl restart networkd-dispatcher.service
systemctl restart polkit.service
systemctl restart ModemManager.service
systemctl restart packagekit-offline-update.service
systemctl restart packagekit.service
These are the initd scripts:
service rsyslog restart
service unattended-upgrades restart
service ssh restart
service apache2 restart
These processes (1) do not seem to have an associated init script to restart them:
passenger:
238230 /usr/lib/passenger/support-binaries/PassengerAgent
238235 /usr/lib/passenger/support-binaries/PassengerAgent上記で再起動の必要性があったのでシステム全体を再起動。
sudo checkrestart
# Found 0 processes using old versions of upgraded filesと表示されること
cat /var/run/reboot-required
# ファイルがないことを確認し、システムを最新の状態に保ちました。
ローカル環境でのSSL通信を可能にするmkcert。単純な設定ミスを見つけました。
Kaspersky Antivirusで「もうこうな証明書のSSL接続が検知されました」のエラーを検知。理由は「この証明書チェーンは不完全です」
というもの。
は問題なしでした。(そもそも、他のドメインで同じように作ったときにはこんなエラーを検知しませんでした)
そこで、どんなコマンドを打っていたかの履歴をたぐります。
mkcert -install
mkcert -key-file [証明書秘密鍵].key.YYYYMM -cert-file [証明書].crt.YYYYMM ドメイン とすべきところを、
mkcert -install
sudo mkcert -key-file [証明書秘密鍵].key.YYYYMM -cert-file [証明書].crt.YYYYMM ドメイン と、root権限を付けていたことが原因。
だったため、齟齬を起こしていたという次第。
により、冒頭で述べたエラーは消えました。
こちらで紹介した手順では、このエラーが発生しないように差し替え済みです。
growiとnginxを連携させ、ポート番号をブラウザに入力することなくアクセスできるよう設定します。
この作業を行う場合は、サーバ名とIPアドレスが名前解決できることが必須となります。
sudo su -
curl -s https://api.github.com/repos/FiloSottile/mkcert/releases/latest | grep browser_download_url | grep linux-amd64 | cut -d '"' -f 4 | wget -qi - \
&& mv mkcert-v*-linux-amd64 mkcert \
&& chmod a+x mkcert \
&& mv mkcert /usr/local/bin/
exitmkcert -install
mkcert -CAROOT
# 指定通りの場所にあるかを確認します
# このディレクトリにある「rootCA.pem」はブラウザにインポートすることによって「信頼された情報局」であると示すことができますcd ~
mkcert -key-file [証明書秘密鍵].key.YYYYMM -cert-file [証明書].crt.YYYYMM ドメイン mkcert -key-file corn.wall.key.202204 -cert-file corn.wall.crt.202204 corn.wall penzance.corn.wall "*.corn.wall"
# ワイルドカード証明書も作成できます
openssl x509 -text -noout -in ./corn.wall.crt.202204 |grep DNS
# DNSの蘭に登録した証明書のローカルドメイン名があることを確認しますsudo mkdir /etc/certs
sudo cp -pi ./*.crt* /etc/certs/
sudo mkdir /etc/private
sudo cp -pi ./*.key* /etc/private/mkcertsはあくまでもローカル環境での証明書を作成するツールなので、更新サイクルが3ヶ月程度となっています。
そこで、後のメンテナンスがしやすいようにシンボリックリンクを張ります。
cd /etc/certs/
ln -s corn.wall.crt.202204 corn.wall.crt
cd /etc/private/
ln -s corn.wall.key.202204 corn.wall.keysudo aptitude install nginxsudo mkdir /etc/old
sudo cp -pi /etc/hosts /etc/old/hosts.`date +%Y%m%d`
sudo sed -i 's/127.0.1.1/127.0.0.1/g' /etc/hosts
# Ubuntu系はhost名のローカルアドレスを127.0.1.1と記載するので書き換えますsudo openssl dhparam -out /etc/nginx/dhparam.pem 2048
# 環境によっては5分以上かかります
sudo mkdir /var/log/nginx/growi
sudo chown www-data:www-data /var/log/nginx/growi※ コマンド実行の前に[ ]でくくった箇所を自分の環境に置き換えてください。
以下の順番で行うとやりやすいです。
cat <<- 'EOF' | sudo tee -a /etc/nginx/sites-available/growi.conf
upstream [growiを公開するサブドメイン(e.g. growi)] {
server [growiサーバのIPアドレス]:3000;
}
server {
listen 80;
server_name [公開するWebドメイン(e.g. growi.example.test)];
server_tokens off;
return 301 https://$host$request_uri;
access_log /var/log/nginx/growi/access.log;
error_log /var/log/nginx/growi/error.log warn;
}
server {
listen 443 ssl http2;
server_name [公開するWebドメイン(e.g. growi.example.test)];
server_tokens off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_dhparam /etc/nginx/dhparam.pem;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
add_header Strict-Transport-Security 'max-age=63072000';
ssl_certificate [証明書が格納されているディレクトリ/証明書ファイル];
ssl_certificate_key [秘密鍵が格納されているディレクトリ/秘密鍵ファイル];
ssl_stapling on;
ssl_stapling_verify on;
# mkcert以外のきちんとした証明書を用いる時に使うオプションです
access_log /var/log/nginx/growi/ssl_access.log;
error_log /var/log/nginx/growi/ssl_error.log warn;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_max_temp_file_size 10240m;
client_max_body_size 10240m;
proxy_redirect off;
set $proxy_target '[growiを公開するサブドメイン(upstreamの行で設定したもの)]';
location / {
proxy_pass http://$proxy_target;
}
location /socket.io/ {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_cache_bypass $http_upgrade;
proxy_pass http://$proxy_target/socket.io/;
}
}
EOFcd /etc/nginx/sites-enabled
sudo unlink default
# nginxの基本設定を無効化します
sudo ln -s /etc/nginx/sites-available/growi.conf growi.conf
# 先ほど作成したコンフィグファイルを有効化しますsudo nginx -t
# syntax is ok と test is successful を確認します
sudo systemctl restart nginx
sudo systemctl enable nginx
systemctl status nginx
# (runnning) と enabled を確認します確認後、
http://[指定したドメイン名]
で、
ここでは、インストールしたGrowiをサービス化して、サーバを再起動しても自動実行されるようにします。
※ cat ~ EOFまで全行を実行します。
※ コマンド実行の前に[ ]でくくった箇所を自分の環境に置き換えてください。
以下の順番で行うとやりやすいです。
cat <<- 'EOF' | sudo tee -a /var/growi/growi-start.sh
#!/bin/sh
cd /var/growi
NODE_ENV=production \
AUDIT_LOG_ENABLED=true \
FORCE_WIKI_MODE=private \
MONGO_URI=mongodb://localhost:27017/growi \
ELASTICSEARCH_URI=http://localhost:9200/growi \
REDIS_URI=redis://localhost:6379 \
PASSWORD_SEED=[ランダムな文字列を指定する] \
FILE_UPLOAD=local \
npm start
EOFまた、上記は筆者の環境に合わせています。不要な場合は削除ください。
sudo chmod +x /var/growi/growi-start.sh
ls -l /var/growi/growi-start.sh
# 実行権限がついていることを確認cat <<- 'EOF' | sudo tee -a /etc/systemd/system/growi.service
[Unit]
Description = growi
After=network-online.target mongod.service
ConditionPathExists=/var/growi
[Service]
ExecStart=/var/growi/growi-start.sh
Restart=no
Type=simple
[Install]
WantedBy=multi-user.target
EOFsudo systemctl daemon-reload
sudo systemctl start growi.service
sudo systemctl enable growi.service
sudo systemctl status growi.service
# (running)とenabledを確認起動後(3分ぐらいかかります)、
http://[IPアドレス/dns登録名]:3000
にアクセスすることで、growiのログイン画面が出てきます。この段階で利用可能です。
次にご紹介するリバースプロキシー有効化などは、ローカル運用と割り切ってしまえば不要なオプション設定です。
コンテナ環境だともっと楽なのでしょうけれど、きちっとオンプレで運用したいので、こういう方法をとりました。
https://qiita.com/BigTree777/items/4a67d36c4111a1fb50e7
https://qiita.com/hawk777/items/0916024c1bd7b24904ae
別途、記載がない限りは
sudo apt-get install aptitude
# 本項ではパッケージ管理にaptitudeを用いますので、導入されていない場合はインストール。
# ポリシーによりaptを用いる場合は読み替えてください。sudo add-apt-repository ppa:ondrej/nginx
# これを先に実施しないと、mongodbのバージョン固定に失敗しましたcd ~
curl -sL https://deb.nodesource.com/setup_14.x -o nodesource_setup.sh
sudo bash nodesource_setup.sh
sudo aptitude install nodejsnode -v
npm -v
# インストールしたバージョンを確認sudo npm install -g yarn
yarn -v
# インストールしたバージョンを確認wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg
sudo aptitude install apt-transport-https
echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
sudo aptitude update && sudo aptitude install elasticsearch
dpkg -l |grep elasticsearch
#インストールしたバージョンを確認sudo mkdir /etc/elasticsearch/old
# 切り戻しができるように、設定ファイルのバックアップを格納するディレクトリを作ります
sudo cp -pi /etc/elasticsearch/jvm.options /etc/elasticsearch/old/jvm.options.`date +%Y%m%d`
# .`date +%Y%m%d`をつけることで、バックアップファイルは当日日付(YYYY/MM/DD形式)で記録されます
echo -e "-Xms256m\n-Xmx256m" | sudo tee -a /etc/elasticsearch/jvm.optionssudo diff -u /etc/elasticsearch/old/jvm.options.`date +%Y%m%d` /etc/elasticsearch/jvm.optionsdiffの出力結果(差分)が以下であることを確認します。
+-Xms256m
+-Xmx256msudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
sudo systemctl status elasticsearch
# (running) と enabledを確認sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-kuromoji
sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-icu
sudo systemctl restart elasticsearchsudo add-apt-repository ppa:chris-lea/redis-server
sudo aptitude update && sudo aptitude install redis-serverredis-cli --version
redis-server --version
# インストールしたバージョンが表示されることを確認
sudo systemctl start redis-server
sudo systemctl enable redis-server
sudo systemctl status redis-server
# (running) と enabledを確認wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.4.list
sudo aptitude update && sudo aptitude install mongodb-org=4.4.13 mongodb-org-server=4.4.13 mongodb-org-shell=4.4.13 mongodb-org-mongos=4.4.13 mongodb-org-tools=4.4.13echo "mongodb-org hold" | sudo dpkg --set-selections
echo "mongodb-org-server hold" | sudo dpkg --set-selections
echo "mongodb-org-shell hold" | sudo dpkg --set-selections
echo "mongodb-org-mongos hold" | sudo dpkg --set-selections
echo "mongodb-org-tools hold" | sudo dpkg --set-selectionsredis-cli --version
mongod --version
# インストールしたバージョンが表示されることを確認
sudo systemctl start mongod
sudo systemctl enable mongod
sudo systemctl status mongod
# (running) と enabledを確認sudo aptitude install git build-essential
sudo git clone https://github.com/weseek/growi /var/growi
cd /var/growi
sudo git tag -l
# 2022/09/15での最新版は5.1.4
sudo git checkout -b v5.1.4 refs/tags/v5.1.4
sudo yarnここでは「PASSWORD_SEED」を「GOLDEN_SEED」と設定します。任意のランダム文字列を指定してください。
先頭のsudo から最終行のnpm startまで全てコピー&ペーストで実行します。
sudo \
NODE_ENV=production \
MONGO_URI=mongodb://localhost:27017/growi \
ELASTICSEARCH_URI=http://localhost:9200/growi \
REDIS_URI=redis://localhost:6379 \
PASSWORD_SEED=GOLDEN_SEED\
FILE_UPLOAD=local \
npm start以下の表示が出たら起動は成功です。
> growi@(インストールしたバージョン) start /var/growi
> yarn app:serverブラウザで
http://IPorホスト名:3000
に接続し、ログインページ表示を確認します。(ここではまだログインをしないでください)
ログインページ表示を確認後、[Ctrl]+[C]で抜けます。
最終的に以下を行います。
AWS Lightsailで運用している「インターネット接続用redmine」。運用にあたり、SSLの強化を図るため
こちらにあるように強度チェッカーで検証しながら設定を行っていました。
ところが最近、このチェックが厳しくなったようで評価がAまで落ちます。
信頼度は高いと言えるものの余り気分がいいものではありません。そこで、再びA+となるように設定を行いました。
https://ssl-config.mozilla.org/
mozillaが公式に提供しているこのサイト、
を設定するだけでサンプルコードを示してくれる優れもの。これを使い、こんな感じで設定しました。
<VirtualHost _default_:80>
servername 公開するドメイン
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# http通信をhttps通信にリダイレクト
</VirtualHost>
<VirtualHost _default_:443>
servername 公開するドメイン
CustomLog /var/log/redmine/access.log combined
ErrorLog /var/log/redmine/error.log
# redmineログ設定
SecRuleEngine On
## ModSecurity有効化
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
## ファイルのアップロードをできるようにします。
SecRuleRemoveById 949110
SecRuleRemoveById 941310
SecRuleRemoveById 980130
SecRuleRemoveById 911100
SecRuleRemoveById 200002
SecRuleRemoveById 200003
SecRuleRemoveById 200004
SecRuleRemoveById 959100
## 上記を無効化しないとチケット更新時にエラーとなりました(偽陽性)ため、上記ルールを除外します。
SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
## テスト用の検知パラメータを付け加えます。
## Negativelist
SecRule REMOTE_ADDR "@pmFromFile negativelist.txt" "phase:1,id:2,deny,msg:'Negativelisted IP address'"
## Mod_Securityが検知したIPアドレスをブロックします。
Alias /redmine /var/lib/redmine/public
<Location /redmine>
PassengerBaseURI /redmine
PassengerAppRoot /var/lib/redmine
Require all granted
<RequireAll>
Require all granted
</RequireAll>
</Location>
## 上記はredmineの設定です
SSLEngine on
Protocols h2 http/1.1
Header always set Strict-Transport-Security "max-age=63072000"
## SSLならびにHSTS有効化。
SSLCertificateFile /path/to/SSL/Certificate
SSLCertificateKeyFile /Path/to/SSL/Private/Key
## 証明書を格納します。
RewriteEngine On
RewriteCond %{HTTP_HOST} ^ドメイン名
RewriteRule ^/$ https://ドメイン名/redmine/ [R]
# ドメイン名でアクセスした際に/redmine/にリライトします。
</VirtualHost>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
## Configuration Generatorで追加した設定。<virtualhost>ディレクティブの外に出す必要がありました。こちらを修正してサービス再起動。
再びA+を取り戻しました。
検証にしろなんにしろ、最初に行っている作業のメモ書きです。
hostnamectl set-hostname [サーバ名]
uname -n
# 指定したサーバ名が表示されることを確認Ubuntu系Linuxは、ドメイン込みでサーバ名を登録してもフルネームで登録されません。ここで最初にサーバ名を確定させます。
PS1="[\u@\H \W]\\$ "
HISTSIZE=50000→ これにより、ユーザ名とホスト名のフルネームがプロンプトに表示されます。また、コマンド「history」で記憶させる上限を増やします。
export HISTTIMEFORMAT='%y/%m/%d %H:%M:%S '→ これはほぼ必須です。コマンド「history」を実行したときの日時を指定することでその後の証跡が追いやすくなります。
2020年から毎年買っているほぼ日手帳。今年は少し変化がありました。
注文したのは
のみ。なお、巾着は購入特典です。例年のようにほぼ日手帳カバーは購入していません。
というのも、このsafariタイプのカバーが非常に気に入っていて、これより使いやすそうだと思うデザインがラインナップになかったからです。
なんにせよ、日記帳としてのサイズ感、書きやすさ、視認性などはほぼ日は(今まで使ってきた中では)理想的なので、来年も変わらず使えそうなことに安心しました。
既存の水筒とまさしく一線を画すものでした。
広告で見かけて商品を見て、すぐさま購入手続き。そして届いたのがこちらです。
TIGERの真空断熱炭酸ボトル。魔法瓶としての機能を保ちながら炭酸飲料を持ち運べるという機能は自分が求めていたものでした。
なにせ、常飲しているのが
ですから。いちいち冷蔵庫から取り出すのも面倒ですし、ペットボトルカバーなどでは自分で作った炭酸出しのお茶を入れるのも面倒。これらの諸問題が一気に解決です。
そして、実際に使ってみて数日――
と、使ってみての欠点と利点がこちら。
新機構なので少々お高い(直販サイトで7000円程度)のも人を選びますが、かれこれずっと炭酸水を飲んでいる自分にとって、これはマスターピースです。
Powered by WordPress & Theme by Anders Norén