検証にしろなんにしろ、最初に行っている作業のメモ書きです。
hostnamectl set-hostname [サーバ名]
uname -n
# 指定したサーバ名が表示されることを確認Ubuntu系Linuxは、ドメイン込みでサーバ名を登録してもフルネームで登録されません。ここで最初にサーバ名を確定させます。
PS1="[\u@\H \W]\\$ "
HISTSIZE=50000→ これにより、ユーザ名とホスト名のフルネームがプロンプトに表示されます。また、コマンド「history」で記憶させる上限を増やします。
export HISTTIMEFORMAT='%y/%m/%d %H:%M:%S '→ これはほぼ必須です。コマンド「history」を実行したときの日時を指定することでその後の証跡が追いやすくなります。
以前書いた
の、うち、「バックアップしたデータを新しいサーバに移設する」が成功したので、その備忘録になります。
現行で稼働しているredmineサーバを、新規LinuxMintサーバにデータを流し込み、復元させた。
共にLinux Mint20.03が稼働しています。
基本的に管理者権限で行っていますが、ユーザーで行う場合はそれを追記します。
新規にRedmine 4.2を作ります。最初に作成するときにもお世話になった
こちらを用いましたが、以下、異なる部分があります。
vi /etc/mysql/mysql.conf.d/mysqld.cnf末尾に以下を追加
default_authentication_plugin=mysql_native_passwordsystemctl restart mysqlmysql -u root -p
# 未設定のためパスワードは不要ですALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'パスワード';
#パスワードは任意のものを入力ください
flush privileges;
exit後は参考サイトの手順に沿ってredmine4.2を起動させます。 このとき、database.ymlやconfiguration.ymlは以降元に合わせます。また、rubyのバージョンは2.7系にしています。
※こちらは通常ユーザで実行しました。
mysqldump redmine(DB名) --no-tablespaces -u redmine(DBユーザ) -p > redmine_backupを実行し、DB全体のバックアップを取ります。
ここからは管理者権限で実施します。
cd /var/lib/redmine
# インストールされているredmineディレクトリに移動このうち、
の3ディレクトリが移行先に流し込むデータとなります。
など、任意のものを用います。
上段で述べた
を、移行元と同じように配置します。このとき、ディレクトリやファイルの所有権が元と同じ(通例はwww-data)になるようにします。
そして、sqldumpで取得したDBも移行先に持っていきます。
cd /var/lib/redmine
bundle exec rake redmine:plugins:migrate RAILS_ENV=productionDBのリストア
mysql -u redmine -p redmine < redmine_backupを実施後、
systemctl restart apache2.serviceを行うことで
以降元、移行先、共に
が見えることを確認しました。
前回、ちょっとしたDBのリストアを行いましたが、プラグインや添付ファイルを含めた完全な移行テストは初めて。
これで、もしもの時のためのリストア手順が整いました。
2022/09/03 時点のLinux Mintの最新版21に、やはり最新版のRedmine 5.0のインストールを行えるかを検証しました。
以下、うまくいったときの手順です。
add-apt-repository ppa:ondrej/apache2
# 途中、Press[Enter]と表示されるので空エンターを打ちます。
aptitude update
aptitude install build-essential zlib1g-dev libssl-dev libreadline-dev libyaml-dev libcurl4-openssl-dev libffi-dev mysql-server mysql-client apache2 apache2-dev libapr1-dev libaprutil1-dev imagemagick libmagick++-dev fonts-takao-pgothic subversion git ruby libruby ruby-dev libmysqlclient-devaptitude install libapache2-mod-passenger
systemctl restart apache2.servicegem install bundler racc mysql2 strscan
# redmine5.0の場合、stscanも必要でしたvi /etc/mysql/mysql.conf.d/mysqld.cnf# 末尾に以下を追加
default_authentication_plugin=mysql_native_passwordsystemctl restart mysqlmysql -u root -p
# 未設定のためパスワードは不要ですALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'パスワード';
#パスワードは任意のものを入力ください
flush privileges;
exitmysql_secure_installationEnter password for user root:
# 上記で設定したパスワードを入力します
VALIDATE PASSWORD COMPONENT can be used to test passwords
and improve security. It checks the strength of password
and allows the users to set only those passwords which are
secure enough. Would you like to setup VALIDATE PASSWORD component?
Press y|Y for Yes, any other key for No:
# Yを入力してEnter
There are three levels of password validation policy:
LOW Length >= 8
MEDIUM Length >= 8, numeric, mixed case, and special characters
STRONG Length >= 8, numeric, mixed case, special characters and dictionary file
Please enter 0 = LOW, 1 = MEDIUM and 2 = STRONG:
# ポリシーに合わせて0/1/2を入力(ローカル環境のため0としました)
Estimated strength of the password: 50
Change the password for root ? ((Press y|Y for Yes, any other key for No) :
# 既に設定しているのでn
By default, a MySQL installation has an anonymous user,
allowing anyone to log into MySQL without having to have
a user account created for them. This is intended only for
testing, and to make the installation go a bit smoother.
You should remove them before moving into a production
environment.
Remove anonymous users? (Press y|Y for Yes, any other key for No) :
# anonymousユーザーを削除するためY
Normally, root should only be allowed to connect from
'localhost'. This ensures that someone cannot guess at
the root password from the network.
Disallow root login remotely? (Press y|Y for Yes, any other key for No) :
# rootユーザのリモートログインを禁止するためY
Remove test database and access to it? (Press y|Y for Yes, any other key for No) :
# テストDBを削除するためY
Reload privilege tables now? (Press y|Y for Yes, any other key for No) :
# 設定を反映するためymysql -uroot -p
# 上記で設定したパスワードを入力しますCREATE DATABASE redmine character set utf8mb4;
CREATE USER 'redmine'@'localhost' IDENTIFIED BY 'パスワード';
# 任意のパスワードを設定
GRANT ALL ON redmine.* TO 'redmine'@'localhost';
flush privileges;
exitmkdir /var/lib/redmine
chown www-data:www-data /var/lib/redmine
sudo -u www-data svn co https://svn.redmine.org/redmine/branches/5.0-stable /var/lib/redminecp -pi /var/lib/redmine/config/database.yml.example /var/lib/redmine/config/database.yml
vi /var/lib/redmine/config/database.ymlproduction:
adapter: mysql2
database: redmine
host: localhost
username: redmine
password: "redmine用のパスワード"
encoding: utf8mb4cd /var/lib/redmine
sudo -u www-data bundle install --without development test --path vendor/bundle
sudo -u www-data bundle exec rake generate_secret_token
sudo -u www-data RAILS_ENV=production bundle exec rake db:migrate
sudo -u www-data RAILS_ENV=production REDMINE_LANG=ja bundle exec rake redmine:load_default_datacd /etc/apache2/sites-available
vi redmine.conf<VirtualHost *:80>
RailsEnv production
DocumentRoot /var/lib/redmine/public
<Directory "/var/lib/redmine/public">
Allow from all
Require all granted
</Directory>
</VirtualHost>a2ensite redmine.conf
apache2ctl configtest
# Syntax OKを確認
systemctl restart apache2.serviceこの後、ブラウザにIPアドレス/ホスト名を入力してredmineの画面が出ることを確認しました。
AWS Lightsailを用いてインターネット接続されている自分用のredmine。
いわゆる
で動いておりますが、その中のApacheに脆弱性があるので対応しました。
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94306894/
全て管理者権限で実行しています。
apache2 -v
# 以下、脆弱性を受けるバージョンです。
Server version: Apache/2.4.41 (Ubuntu)
Server built: 2022-06-14T13:30:55add-apt-repository ppa:ondrej/apache2
# 途中、Press[Enter]と表示されるので空エンターを打ちます。
aptitude update
aptitude upgrade
# 確認の前に、パッケージ一覧を確認します。apache2 -v
Server version: Apache/2.4.54 (Ubuntu)
Server built: 2022-06-08T15:59:07
# 最新版である2.54であることを確認します。systemctl restart apache2.service これで、ひとまずは安心です。
こちらの続き。SSH接続できるようにしていきます。
sudo su -
aptitude update
aptitude upgradeこれには多少時間がかかります。
rebootsudo su -
aptitude install linux-image-oem-20.04d
rebootカーネルを差し替え、オンボードNICを認識させる作業を行います。作業後、再起動をします。
こちらに関してはGUIメニューで行いました。また、以下の作業も追加しています。
ローカルDNSに上記で固定したIPアドレスを登録します。登録後
を確認します。
aptitude install sshローカル環境のため、公開鍵暗号の設定は割愛です。
クライアントからSSH接続できることを確認します。
ここまで確認できればディスプレイ接続もキーボード/マウスも不要です。LANケーブルと電源が接続された状態で固定します。
次は、別途、クライアントターミナルからサーバの基本設定を行っていきます。
こちらを進めるにあたり、まずは物理的な設定を行います。
この機体は、このサイズでありながらSSDスロットがあります。
の順番でSSD取り付け。
(割と初歩的ですけれど、)こちらが必要です。
LinuxMintのインストールを行いますが、上述しているようにSSDを取り付けているので、ちょっとした作業が必要でした。
Linux Mint 20.03は最初の段階ではherobox proの有線LANを認識しません。なので、無線接続を行い、ブロードバンド環境に接続します。
ディスクの設定はカスタムです。Linuxからは
これを以下のように設定しました。
すべてを/varに割り当てます。(Webサーバとして運用するため)
sdb
そうしてディスクのインストールが完了し、
まずはLinuxにログインができるようになりました。
次はSSH接続できるまでを実施します。
こちらの件を一歩進めました。
結局、現行2台と同じ機種にしました。
などの実績からこちらです。
まっさらの機体が手に入ったので、「自宅環境のコアとなっているシステム」redmineが別の機体でも移行できるかを試します。
現状、Lycheeを使っておりますが、このほかのフォトアルバムも検証します。
上記の後の本命。自宅にDropbox的なオンラインストレージを用意することでデータの冗長化を目指します。
検証で動かしていたUbuntu 20.04系サーバで
sudo aptitude update
sudo aptitude upgradeと実施するとphpパッケージが8.1にアップグレードされていました。
その後、apache/PHPで稼働しているサイトが[Server Error]となったので、その対処方法をメモしました。
a2dismod php7.4a2enmod php8.1systemctl restart apahce2これにより、正常稼働を確認です。
以前にインストールした
はいずれも稼働していました。
完全に見落としていましたが、Zabbix 5.0はphp 8.1では動かず、以下のように表示されます。
これに関してはバージョンアップを見据えつつ、対処していく必要があります。
非常に使いやすいmarkdownシステムGrowi。
2022/08/26時点での最新版にアップデートをします。
※Dockerではなく、以下のようにインストール済みです
sudo su -systemctl stop growi.service
systemctl status growi.service
# inactiveになっていることを確認しますcd /opt/growi
pwd
# /opt/growiにいることを確認git fetch --tags
# 2022/08/26時点での最新版が v5.1.2であることを確認
git stash
# No local changes to saveと表示されることを確認git checkout v5.1.2
yarn
# Done in xx.xxs. と表示されたらアップデートされていますsystemctl start growi.service
# 環境にもよりますが、数分かかりますバージョンアップ後、growiサイトにアクセスし、「Wiki管理トップ」に移動。
システム情報で、GROWIが「5.1.2」になっていることを確認します。
ローカル環境からインターネット環境へと移行した資産構成ツールSnipe-IT。これの後処理を行います。
画像をアップロードしても、このように
“Failed to load image”と出て表示されませんでした。
https://github.com/snipe/snipe-it/issues/8701
そのものズバリのissueを発見。
.envファイルのAPP_URLを「httpから始まるドメイン」に変更してapache再起動にて治りました。
APP_URL=http://ドメイン
そして、同じサーバのredmineにMod_Securityが稼働しているので、こちらも利用しない手はありません。
前提:
こちらの通り、
処理を事前に施しています。
sudo vi /etc/apache2/sites-available/snipeit-le-ssl.conf<VirtualHost _default_:80>
ServerName ドメイン名
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# 強制的にhttps通信に飛ばします
</VirtualHost>
<VirtualHost *:443>
ServerName ドメイン名
CustomLog /var/log/redmine/asset_access.log combined
ErrorLog /var/log/redmine/asset_error.log
# redmineのログプラグインで参照できるようにしています
# Mod Security
SecRuleEngine On
## ModSecurity有効化
SecRequestBodyInMemoryLimit 524288000
SecRequestBodyLimit 524288000
## ファイルのアップロードをできるようにします。
SecRuleRemoveById 949110
SecRuleRemoveById 941310
SecRuleRemoveById 980130
SecRuleRemoveById 911100
SecRuleRemoveById 200002
SecRuleRemoveById 200003
SecRuleRemoveById 200004
SecRuleRemoveById 959100
## 念の為、redmineで偽陽性となったフィルタをそのまま除外するようにしています
SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"
## テスト用の検知パラメータを付け加えます。
## Negativelist
SecRule REMOTE_ADDR "@pmFromFile negativelist.txt" "phase:1,id:2,deny,msg:'Negativelisted IP address'"
# エラーログを検知した際に検出した不審なIPアドレスを全てブロックする設定です
DocumentRoot /var/www/html/snipe-it/public
<Directory /var/www/html/snipe-it/public>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Require all granted
</Directory>
SSLEngine on
SSLProtocol All -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder On
SSLOptions +StrictRequire
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"
SSLCertificateFile /etc/letsencrypt/live/Let's Encryptで指定したドメイン/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/Let's Encryptで指定したドメイン/privkey.pem
</VirtualHost>sudo a2dissite snipeit.conf
# 最初に設定していたhttp通信のみのconfを無効化します
sudo apache2ctl configtest
# Syntax OKを確認します
sudo systemctl restart apache2
sudo chown www-data:www-data /var/lib/redmine/log/asset*
# redmineのログプラグインが参照できるよう、上記設定したログの所有者を変更しますこれにより、常時SSL通信を行いつつ、不正アクセスの脅威をある程度守ることができます。
Powered by WordPress & Theme by Anders Norén