話は一週間ほど前。
毎年恒例である王子・飛鳥山の紫陽花撮影をしてきました。
「ついでだから」とブロンプトンも携えて。
- リクセン&カウルのリアアタッチメントを廃して
- 常時輪行袋を携帯するように
- それに伴い、ハンドルにつけていた小物入れをサドルに移動
と、装備を原点回帰。いつでも輪行できるようにしたという形。
自転車の走行は快適。気がつけばレインボーブリッジの袂まで進み、
東京タワーも納めることができました。
「今日はここで自転車を走らせよう」という気分ですぐにいける構成は正しかったです。
何かと便利で使用を続けている情報カード。
カードが散らばりやすいという欠点はあるためにB6のクリップボードを利用してきました。
上が使っていたもの。
- 留め具の力が予想以上に強く、取り回しがしづらい
- 構造上、タイトルのところを挟まってしまうのでメモの題名や概要を書けない
を解消するため、下のプラスチック製に切り替えです。
こうすることで、
- 上部が参照しやすくなり
- クリップの力がほどよいために書きやすく
なりました。地味に下に出っ張りがあるので紙が落ちるのをある程度防いでくれるのもお気に入り。
この手の文具は即時性が命なので、カスタムしがいがあります。
概要
- Ubuntu 20.04をインターネットに公開している
- 諸々の事情で22.04にアップグレードできない
- 2023/09/11にサポート終了となったOpenSSLの1.1.1をアップグレードしたい。
- OpenSSHの脆弱性、CVE-2024-6387 の対応を行いたい
方を対象としています。
参考環境
OS:Ubuntu 20.04
- OpenSSLのバージョン確認
openssl version -aOpenSSL 1.1.1f 31 Mar 2020
built on: Wed May 24 17:14:51 2023 UTC
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-mSG92N/openssl-1.1.1f=. -fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_TLS_SECURITY_LEVEL=2 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific- OpenSSHのバージョン確認
ssh -VOpenSSH_8.2p1 Ubuntu-4ubuntu0.9, OpenSSL 1.1.1f 31 Mar 2020参考とした手順
- https://nextgentips.com/2022/03/23/how-to-install-openssl-3-on-ubuntu-20-04/
- https://askubuntu.com/questions/1189747/is-possible-to-upgrade-openssh-server-openssh-7-6p1-to-openssh-8-0p1
- https://qiita.com/zzz0mbie/questions/37262d1f3285500b3f45
実施する前の留意点
- コピペだけで済むように、エディタを使わない手順にしています。
- 実際に筆者が実施した手順をそのまま載せています。typo等はご容赦ください。
- 作業影響が極めて大きいため、作業時間の見積や日時調整は迅速かつ丁寧に行ってください。
- 特にmake / make testは思っている以上に時間がかかります。
- この手順では、sslのパスが変わります。同一サーバ内の他のプログラムがsslを参照している場合は、特に注意してください。
さっくりとはならない手順
- システム全体のバックアップ
- 【OpenSSL】必要なライブラリをインストールします。
- 【OpenSSL】githubレポジトリから最新安定版のソースコードをダウンロードします。
- 【OpenSSL】ソースからインストールしていきます。
- 【OpenSSL】設定を行います。(コンフィグを反映させ、パスを通します)
- 【OpenSSL】バージョンアップを確認します。
- 【OpenSSL】自動アップデートを無効化します。
- システム全体の再起動を行います。(1回目)
- 【OpenSSH】コンフィグに必要なディレクトリの作成を行います。
- 【OpenSSH】インストールに必要なパッケージをインストールします。
- 【OpenSSH】作業用ディレクトリに移動します。
- 【OpenSSH】ソースをダウンロードします。
- 【OpenSSH】OpenSSHをソースからビルドします。
- システム全体の再起動を行います。(2回目)
- 【OpenSSH】バージョンアップを確認します。
実施した手順
全体のバックアップを取得します。
任意の方法でシステム全体のバックアップを取ります。とはいえ、EOL/脆弱性対応のため切り戻しは基本的に許されません。
必要なライブラリのインストール
sudo aptitude install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev libkrb5-dev checkinstall zlib1g-dev gitaptitudeを用いています。必要に応じてaptを使ってください。
【OpenSSL】root昇格
OpenSSLをソースコードからコンパイルしてインストールする一連の作業は管理者権限で実行します。
sudo su -【OpenSSL】ソースコードの取得
- 作業用ディレクトリに移動
cd /hoge && pwd任意のディレクトリを指定します
- git clone
git clone https://github.com/openssl/openssl -b openssl-3.3.12024/07/03現在の最新版をダウンロードします。
※root昇格済みなのでsudoが不要であることにご注意ください
- ディレクトリ移動
cd openssl【OpenSSL】ソースからインストール
- コンフィグ
./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared zlib- コンフィグ成功時の出力
Configuring OpenSSL version 3.3.1 for target linux-x86_64
Using os-specific seed configuration
Created configdata.pm
Running configdata.pm
Created Makefile.in
Created Makefile
Created include/openssl/configuration.h
**********************************************************************
*** ***
*** OpenSSL has been successfully configured ***
*** ***
*** If you encounter a problem while building, please open an ***
*** issue on GitHub <https://github.com/openssl/openssl/issues> ***
*** and include the output from the following command: ***
*** ***
*** perl configdata.pm --dump ***
*** ***
*** (If you are new to OpenSSL, you might want to consult the ***
*** 'Troubleshooting' section in the INSTALL.md file first) ***
*** ***
**********************************************************************- make
makemakeは時間がかかります。状況を時折確認しながら待ちましょう。
- 整合性確認
make testmake 同様に時間がかかります。
- インストール
make install【OpenSSL】インストール後の設定
- 設定ファイル追記
cat <<- __EOF__ | tee -a /etc/ld.so.conf.d/openssl-3.3.1.conf
/usr/local/ssl/lib64
__EOF__- 設定反映
ldconfig -v- 既存プログラムの退避
mv /usr/bin/c_rehash /path/to/backup/c_rehash.$(date +%Y%m%d)任意の退避ディレクトリを指定します
mv /usr/bin/openssl /path/to/backup/openssl.$(date +%Y%m%d)任意の退避ディレクトリを指定します
- パスを通す
cat <<- __EOF__ | tee -a /etc/environment
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"
__EOF__- 通したパスを反映
source /etc/environment- パス確認
echo $PATHPATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/usr/local/ssl/bin"
と表示されることを確認します
【OpenSSL】バージョンアップ後の確認
openssl version -aOpenSSL 3.3.1 4 Jun 2024 (Library: OpenSSL 3.3.1 4 Jun 2024)
built on: Wed Jul 3 02:04:25 2024 UTC
platform: linux-x86_64
options: bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DZLIB -DNDEBUG
OPENSSLDIR: "/usr/local/ssl"
ENGINESDIR: "/usr/local/ssl/lib64/engines-3"
MODULESDIR: "/usr/local/ssl/lib64/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0xfffa3203578bffff:0x7a9これで、Ubuntu20.04でもOpenSSL3.3.1を利用することが可能になりました。
システム全体の再起動(1回目)
- システムの再起動を行います。
sudo reboot【OpenSSL】自動アップグレード無効
強制的に3.3系に上げるので、その後、1.1.xがアップグレードされる可能性を防ぎます。
- apt を使用する場合
sudo apt-mark hold openssl- aptitude を使用する場合
sudo aptitude hold opensslこれに続けて、CVE-2024-6387の対応を行います。
【OpenSSH】ディレクトリ作成と設定
sudo mkdir /var/lib/sshd && sudo chmod -R 700 /var/lib/sshd/ && sudo chown -R root:sys /var/lib/sshd/【OpenSSH】作業用ディレクトリ移動
cd /hoge && pwd任意のディレクトリを指定します。
【OpenSSH】ソースのダウンロードと展開
- ソース取得
wget -c http://mirror.exonetric.net/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz上記CVEの脆弱性に対応したバージョンを用います。
- ソース展開
tar -xzf openssh-9.8p1.tar.gz- ディレクトリ移動
cd openssh-9.8p1【OpenSSH】展開したソースコードをインストール
- OpenSSLの位置を確認
which openssl- 結果確認
/usr/local/ssl/bin/openssl本手順でSSLのバージョンアップを行った場合の環境となります。
- コンフィグ
./configure --with-kerberos5 --with-md5-passwords --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/ssl--with-ssl-dir=/usr/local/sslは、opensslがあるディレクトリを指定します。
- make
make- インストール
sudo make installシステム全体の再起動(2回目)
- システムの再起動を行います。
sudo reboot【OpenSSH】バージョンアップ確認
- バージョン確認
この時点でSSH接続できていれば、ほぼ設定完了です。
ssh -VOpenSSH_9.8p1, OpenSSL 3.3.1 4 Jun 2024バージョンアップされていることを確認します。
自動アップグレード無効
強制的に9.x系に上げるので、その後、8.xがアップグレードされる可能性を防ぎます。
- apt を使用する場合
sudo apt-mark hold openssh-server- aptitude を使用する場合
sudo aptitude hold openssh-serverシステム全体の確認
- ログインできることを確認します。
- 他のサービスが正常に稼働していることを確認します。
これの結果となります。
- 中古PCに
- NWに繋げず(つまり、クライアントLinuxのみで)
- アプリを動かす
限定環境での感想です。
結論:モバイル環境下でのGrowi単体運用は難しい。
結論から言ってしまうと、この形。以下、理由を述べていきます。
理由1:重い
昨今のWebアプリの宿命と言えます。特にサーバーサイドレンダリングを重視しているGrowi v7以降は、低電圧版CPUでは満足に動かせません。(ビルドに15分以上かかりました)
理由2:スペックが低い機器は重いため、すぐ書ける・気軽に書ける特性が損なわれている。
Chromebookを選んでいた理由でもあります。
紙と同じぐらいの速度や携帯性を求めているので、重くしたのでは本末転倒です。
理由3:バッテリー消費。
これも、小さくない欠点でした。クライアントとサーバを兼ねるため、CPUにかかる負荷は増大。それにつれてバッテリーも消費してしまいます。
理由4:検証機を兼ねているノートPC
こちらは個人的な所見。
検証を兼ねているので、かなり頻繁にOSの再インストールを行います。そのたびにバックアップやリストアをするのは面倒です。
そういうわけで、「PCに沿ったアプリを選定する」大切さを学びました。
『ライザのアトリエ3』終盤になって手に入る各キャラクターの最強武器。
- パトリツィア
- フェデリーカ
などは投入できる素材が宝石やインゴットなどで固められています。
これらは超特性を付与するのが難しいので、ちょっとした技が必要です。
超特性おさらい
『ライザのアトリエ3』のシステムであり、既存の3つの特性の他につけられる特別な特性です。
- 無限ジェム稼ぎを可能にする(超純度)
- 属性値を更に上げる(超濃度)
- コアアイテムのクリティカルを確定させる(必中クリティカル)
- ロールレベルを上げる(英雄/守護者/救護者の心得)
など、いずれも強力なものばかり。
ただし、これには「素材からしか引き継がれない」という制約があります。
つまり、超特性を付与した調合素材(宝石やインゴットなど)からは引き継がれず、地道に素材集めをするしかありません。
前述したように、元から「宝石」「インゴット」を持つ素材は限られているので鍵の力を使います。
秘密の鍵「レア採取ポイント出現」
ここでは、「宝石」を持つ素材を集めるケースです。
必要なのは秘密の鍵のアドベンチャー効果『レア採取ポイント出現』。(アンコモン/レアに発現)
続いて、ゴールデンアックスが必要です。効果1の採取ランクと効果2の採取量アップをもたせておきます。
これらを装備した状態でネメド地方の沿岸灯台までファストトラベルします。
灯台近くにある木が視界に入っている状態で、レア採取ポイント出現の鍵を使います。
木全体が光り、超特性付きの素材が採取可能になります。
採取道具を斧(ゴールデンアックス)に切り替え、チャージスイングで一気に取ります。
効果2が発言した状態なら、一回のフルスウィングで20〜25個程度のトライホーンが採取可能です。
これは、宝石を持つ数少ない素材の一つ。しかも、木から取れるのでチャージスイングで効率的に採取可能です。
あとは、これらを用いて調合/リビルドを行います。
投入可能素材が宝石(必須素材のアルクァンシェル含む)とインゴットと制約のあるパトリツィアの最強武器「エフロレッセンス」に超特性「英雄の心得」を付与することができました。
概要
長らくUbuntu 20.04で動かしているgrowi。こちらもv7.0.xにアップグレードできることを確認しました。
Apacheと同様、nginx環境でも、WebSocketを適切に設定する必要がありました。
環境
- Ubuntu 20.04
- Growi v6.3.5
- 非Dockerのオンプレ環境
- nginx( この手順に則ってgrowi v6をnginxのリバースプロキシで動かしていました)。
さっくりとした手順
- nodeのアップグレードを行います。
- growiサービスを停止します。
- growiのバージョンアップを行います。
- growiサービスを再開します。
- nginxのリバースプロキシ設定を書き換え、nginxサービスの再起動を行います。
- バージョンアップを行います。
nodeのアップグレード
node -vOSが少々古いため、Ubuntu 20.04のnodeはv18.16.0。Growi7系の対象外だったので、nodeを最新安定版に変えるところからスタートします。
- n packageのインストール
sudo npm install -g n- nでnode 20系の安定版をインストール
sudo n --stable- バージョンアップ確認
node -v20.15.0を確認します。
growiのアップグレード前のサービス停止
- growiのステータス確認(停止前)
systemctl status growi.service※ サービススクリプト名は自分の環境に合わせます。
※ active(running)を確認します
- growiのサービス停止
sudo systemctl stop growi.service- growiのステータス確認(停止後)
systemctl status growi.serviceinactive (dead)を確認します
growiのアップグレード
- growiディレクトリの移動
cd /opt/growi自分の環境に合わせます。
- 必要パッケージのインストール
sudo aptitude install git-lfsgit-lfsを入れないとclone/build時に画像が表示されません。
- lfs -pull
sudo git lfs pull- リリースタグ取得
sudo git fetch --tags- リリースタグ確認
sudo git tag -l2024/06/30現在のv7系最新版、v7.0.11があることを確認しました。
- gitのバージョンを一時的に退避
sudo git stash- チェックアウト
sudo git checkout 【バージョン】上述した通り、v7.0.11を入力しました。
- yarn
sudo yarnv6.xよりも時間がかかります。
- アプリのビルド
sudo yarn app:buildこちらも時間がかかります。
アップグレード後のgrowiサービス開始
- 再開前のステータス確認
systemctl status growi.serviceinactive (dead)を確認します
- サービス再起動
sudo systemctl start growi.service- 再開後のステータス確認
systemctl status growi.service
サービススクリプトを[growi]にしている場合active (running)を確認します
nginxのバーチャルファイルを編集
v7.xは、WebSocketによる通信設定を正常に行わないと既存ドキュメントの編集ができません。(編集画面が空白になります)
そのため、nginxの設定を見直します。
- 既存のgrowiバーチャルファイルを退避
sudo mv /etc/nginx/sites-available/growi.conf /path/to/backup/directory/growi.conf.$(date +%Y%m%d)大幅に変更する必要があるため、cpではなくmvします。
- 新規の設定ファイルを作成
【】内を自分の環境に合わせます。
cat <<- __EOF__ | sudo tee -a /etc/nginx/sites-available/growi.conf
upstream growi {
server 【growiのIPアドレス】:3000;
}
server {
listen 80;
server_name 【サーバ名】;
server_tokens off;
return 301 https://$host$request_uri;
access_log 【growiのアクセスログのフルパス】;
error_log 【growiのエラーログのフルパス】 warn;
}
map $http_upgrade $connection_upgrade {
default Upgrade;
'' close;
}
server {
listen 443 ssl;
server_name 【サーバ名】;
server_tokens off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_dhparam /etc/nginx/dhparam.pem;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
add_header Strict-Transport-Security 'max-age=63072000';
ssl_certificate 【サーバ証明書のフルパス】;
ssl_certificate_key 【サーバ秘密鍵のフルパス】;
access_log /var/log/nginx/growi/ssl_access.log;
error_log /var/log/nginx/growi/ssl_error.log warn;
location / {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://growi;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_read_timeout 900s;
}
}
__EOF__こちらの設定ファイルはGrowiの公式ドキュメントに沿ったものです。
- nginxの構文チェック
sudo nginx -tnginx: the configuration file /etc/nginx/nginx.conf syntax is oknginx: configuration file /etc/nginx/nginx.conf test is successful
を確認します。
- nginx再起動
sudo systemctl restart nginx.serviceバージョンアップ確認
- 設定したgrowiのサイトにアクセスします。
- チェックアウトしたバージョンであることを確認します。
- 既存のページにアクセスし、編集できること(編集画面が白くならないこと)を確認します。
Dockerを用いない方法でGrowiのv7.xをUbuntu22.04がインストールできたので、その手順を示します。
環境
- Ubuntu 22.04
- Apache 2.4
の基本的な設定が済んだという状況です。
前提
- 名前解決できるドメインが用意されている。
- そのドメインに応じた証明書が用意されている。
さっくりとはならない手順
太字部分はv7で必要になる手順です。
- 必要なパッケージをインストールします。
- Node.js/npmをインストールします。
- Redis-serverをインストールします。
- Javaをインストールします。
- ElasticSearch 8をインストールします。
- ElasticSearchの設定変更を行います。
- ElasticSearchのプラグインをインストールします。
- ElasticSearchの設定変更を反映します。
- MongoDBをインストールします。
- MongoDBのデータ格納先を変更します。
- MongoDBのアップデートを防ぎます。
- MongoDBの設定変更を反映します。
- yarnのインストールを行います。
- 必要パッケージをインストールします。
- turboパッケージをインストールします。
- Growiのインストールを行います。
- yarnを用いてインストールします。
- アプリのビルドを行います。
- 自動起動のスクリプトを作成します。
- Apacheのリバースプロキシの設定を行います。
- ブラウザで起動します。
手順
必要なパッケージのインストールを行います。
- git, buildツールなど
sudo aptitude install build-essential git git-lfs apt-transport-https※v6系と異なり、git-lfsをインストールしない状態でgit-cloneを行うと正しくビルドが行えません。
node18をインストールします。
- レポジトリ追加
sudo curl -fsSL https://deb.nodesource.com/setup_18.x | sudo -E bash- パッケージアップグレード
sudo aptitude update- Node.jsインストール
sudo aptitude install nodejs- Node.jsバージョン確認
node -v2024/06/27現在:v18.20.3
- npmバージョン確認
npm -v2024/06/27現在:10.7.0
redis-serverをインストールします。
- インストール
sudo aptitude install redis-server- 起動確認
systemctl status redis-serveractive(running)を確認します。
- 自動起動有効化
sudo systemctl enable redis-serverJavaをインストールします。
- インストール
sudo aptitude install openjdk-17-jdkElasticSearhをインストールします。
- gpg追加
sudo wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg- レポジトリ追加
sudo echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list- パッケージのアップグレード
sudo aptitude update- ElasticSearchインストール
sudo aptitude install elasticsearch※この後、デフォルトパスワードが表示されますが、控えておく程度にしましょう。
JVM設定変更
- バックアップディレクトリ作成
sudo mkdir /etc/elasticsearch/old※任意のバックアップディレクトリを指定します。
- 設定ファイルバックアップ
sudo cp -pi /etc/elasticsearch/jvm.options /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d)- 設定ファイル書き換え
echo -e "-Xms256m\n-Xmx256m" | sudo tee -a /etc/elasticsearch/jvm.options- 書き換え確認
sudo diff -u /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d) /etc/elasticsearch/jvm.options- 差分
+-Xms256m
+-Xmx256mElasticSearchの設定変更
※この作業だけ管理者権限で実行します。
- root昇格
sudo su -- 設定ファイルバックアップ
cp -pi /etc/elasticsearch/elasticsearch.yml /path/to/backup/elasticsearch.yml.$(date +%Y%m%d)任意のバックアップディレクトリを指定します。
- ファイル書き換え
sed -i -e 's/xpack.security.enabled: true/xpack.security.enabled: false/' \
-e '/xpack.security.http.ssl:/{n; s/ enabled: true/ enabled: false/}' \
-e '/xpack.security.transport.ssl:/{n; s/ enabled: true/ enabled: false/}' /etc/elasticsearch/elasticsearch.yml- 差分確認
diff -u /path/to/backup/elasticsearch.yml.$(date +%Y%m%d) /etc/elasticsearch/elasticsearch.yml- 差分
# Enable security features
-xpack.security.enabled: true
+xpack.security.enabled: false
xpack.security.enrollment.enabled: true
# Enable encryption for HTTP API client connections, such as Kibana, Logstash, and Agents
xpack.security.http.ssl:
- enabled: true
+ enabled: false
keystore.path: certs/http.p12
# Enable encryption and mutual authentication between cluster nodes
xpack.security.transport.ssl:
- enabled: true
+ enabled: false- rootから抜ける
exitElasticSearchのプラグインを追加
- analysis-kuromoji インストール
sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-kuromoji- analysis-isu インストール
sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-icu自動起動設定反映
- 起動
sudo systemctl start elasticsearch- 起動確認
systemctl status elasticsearchactive(running)を確認します。
- 自動起動有効化
sudo systemctl enable elasticsearchMongoDBインストール
レポジトリ追加
- 必要パッケージインストール
sudo aptitude install gnupg- gpg追加
curl -fsSL https://pgp.mongodb.com/server-6.0.asc | sudo gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor- レポジトリ追加
echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.listMongoDBインストール
- パッケージのアップグレード
sudo aptitude update- MongoDBインストール
sudo aptitude install mongodb-org mongodb-org-server mongodb-org-shell mongodb-org-mongos mongodb-org-toolsMongoDBバージョン固定
※2024/04/03現在、GrowiはMongoDBのバージョンが固定されているので、自動更新されないようにします。
sudo aptitude hold mongodb-orgsudo aptitude hold mongodb-org-serversudo aptitude hold mongodb-org-shellsudo aptitude hold mongodb-org-mongossudo aptitude hold mongodb-org-tools保存先変更(オプション)
MongoDBの格納先を、冗長化構成されているパーティションにするため対応しました。
- 格納ディレクトリ作成
sudo mkdir /home/mongodb保存先を変えたいところにします
- 所有者変更
sudo chown -R mongodb:mongodb /home/mongodb- 所有者変更確認
ls -ld /home/mongodb- 設定ファイルのバックアップ取得
sudo cp -pi /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)任意のバックアップディレクトリを指定します。
- バックアップ確認
sudo diff -u /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)バックアップが保存されたか、差分がないことで確認します。
- ファイル書き換え
sudo sed -i 's/dbPath: \/var\/lib\/mongodb/dbPath: \/home\/mongodb/' /etc/mongod.conf- 差分確認
sudo diff -u /path/to/backup/mongod.conf.$(date +%Y%m%d) /etc/mongodb.conf- 差分
- dbPath: /var/lib/mongodb
+ dbPath: /home/mongodb自動起動有効
- mongodサービス起動
sudo systemctl start mongod- サービス起動確認
systemctl status mongodactive (running)を確認します
- 自動起動有効化
sudo systemctl enable mongodyarnインストール
- npmでyarnインストール
sudo npm install -g yarn- turboインストール
※Growi v6.1.0から必須パッケージとなりました。
sudo yarn global add turboGrowiインストール
- git clone
sudo git clone https://github.com/weseek/growi /home/www-data/growi※任意のディレクトリを指定します。
- ディレクトリ移動
cd /home/www-data/growi && pwd先ほどcloneしたディレクトリです。
- チェックアウト
sudo git checkout -b v7.0.11 refs/tags/v7.0.112024/06/27現在の最新版をチェックアウトします。
- yarnによるインストール
sudo yarnCPUのスペックによっては相当な時間がかかります。
- ビルド
sudo yarn app:buildv7からこの操作が必要です。やはり時間がかかります。
自動起動スクリプトの作成
- systemd作成
cat <<- __EOF__ | sudo tee -a /etc/systemd/system/growi.service
[Unit]
Description = growi
After=network-online.target mongod.service
ConditionPathExists=【/home/www-data/growi】
[Service]
ExecStart=【/home/www-data/growi/】growi-start.sh
Restart=no
Type=simple
[Install]
WantedBy=multi-user.target
__EOF__※【】内を、git cloneしたディレクトリにします。
- Growiインストールディレクトリに作成
- 教義・信仰に沿ったエディタで作成します。
- ファイル名:
growi-start.sh - growiを配置したディレクトリ内に作成します。
#!/bin/bash
cd 【/home/www-data/growi】
NODE_ENV=production \
AUDIT_LOG_ENABLED=true \
FORCE_WIKI_MODE=private \
MONGO_URI=mongodb://localhost:27017/growi \
ELASTICSEARCH_URI=http://localhost:9200/growi \
REDIS_URI=redis://localhost:6379 \
PASSWORD_SEED=[任意の文字列] \
FILE_UPLOAD=local \
npm start※【】内を、git cloneしたディレクトリにします。
[]内には任意の文字列を入れます。 例:PASSWORD_SEED=GOLDEN_SEED
また、オプションなどは好みに応じて指定してください。(FILE_UPLOAD=localは添付ファイルの保存先をDBではなくローカルに保存するオプションです)
- 権限変更
sudo chmod +x /home/www-data/growi/growi-start.sh- systemd設定反映
sudo systemctl daemon-reload- growi有効化
sudo systemctl start growi.service- growi有効化確認
systemctl status growi.serviceactive(running)を確認
- 自動起動有効化
sudo systemctl enable growi.serviceApacheによるリバースプロキシの設定
- モジュールインストール
sudo a2enmod proxy_http rewrite header- apache再起動
sudo systemctl restart apache2.service- ログ保存ディレクトリ作成
suod mkdir /var/log/growi/- 所有者変更
sudo chown -R www-data:www-data /var/log/growi- 設定ファイル作成
cat <<- __EOF__ | sudo tee -a /etc/apache2/sites-available/growi.conf
<VirtualHost _default_:80>
ServerName 【hoge.example.com】
# ドメイン名を指定します
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# HTTPアクセスを強制的にHTTPSにリダイレクトします
</VirtualHost>
<VirtualHost _default_:443>
ServerName 【hoge.example.com】
# ドメイン名を指定します
CustomLog /var/log/growi/growi_access.log combined
ErrorLog /var/log/growi/growi_error.log
#SSL設定
SSLEngine on
Protocols h2 http/1.1
# SSLを有効化します
SSLCertificateFile 【/etc/certs/hoge.example.com.crt】
# SSL証明書を指定します
SSLCertificateKeyFile 【/etc/private/hoge.example.com.key】
# 秘密鍵を指定します
# Header に Host: example.com を追加するため
ProxyPreserveHost On
# HTTPS利用時: Header に x-forwarded-proto: https を追加するため
RequestHeader set x-forwarded-proto 'https'
# Apache では static assets で 304 が返らないことがあるので ETag を無効化する
<ifModule mod_headers.c>
Header unset ETag
</ifModule>
FileETag None
# WebSocketのための設定
RewriteEngine On
RewriteCond %{HTTP:Upgrade} =websocket [NC]
RewriteCond %{HTTP:Connection} upgrade [NC]
RewriteRule /(.*) ws://localhost:3000/$1 [P,L]
ProxyPass / http://localhost:3000/
ProxyPassReverse / http://localhost:3000/
</VirtualHost>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:EC6-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
__EOF__【】内を自分の環境に変更してください。
※v6とはWebSocketの書き方が異なります。ご注意ください。特に、Apacheのリバースプロキシ環境でWebSocket周りを適切に指定しないとページを編集しようとすると編集画面が空白になってしまいます。
- 設定反映
sudo a2ensite growi.conf- コンフィグ確認
sudo apache2ctl configtestSyntax OKを確認します。
- Apache2再起動
sudo systemctl restart apache2.serviceGrowiインストール確認
http://設定したドメイン でアクセスします。
この初期サイトが表示されたらインストール完了です。
事象の内容
- Growiのバージョンをv6.3.5→v7.0.11にアップグレード後、既存のページを編集しようとすると編集エリアが空白になってしまう。
- 新規ページを作成する際に、テンプレートが適用されない。
先のエントリーで述べたようにWikiとしては致命的な弱点だったため、やむなくv6.3.5に戻したという経緯があります。
ですが、回避策が見つかりましたのでメモとして残します。
事象が発生した環境
- Ubuntu 22.04
- Apache 2.4
- Growi v7.0.11をDockerではなくオンプレ環境で利用。
- Apacheによるリバースプロキシを設定
同一事象をネットで確認。
- [7.0.0]データ移行機能を使用した後、記事の編集内容が失われる #8677
- https://github.com/weseek/growi/issues/8677
How to reproduce? (再現手順)
2台のHostPCでそれぞれGrowiを立ち上げています。A環境・B環境と呼称します。
「データ移行」機能を用いて、A環境からB環境にデータをインポートする
B環境のGrowiに他のPCからアクセスする
記事の編集画面を表示するWhat happens? (症状)
記事の編集画面が白紙になっており、そのまま保存しても記事の内容が失われる(添付画面参照)
と、事象が一致。
事象の原因
上記issueのツリーに
私の環境でも編集画面が空白になる現象が観測されました。
私は https-portal を使ってデプロイしているのですが、 growi-docker-compose/examples/https-portal にある WEBSOCKET: 'true' の環境変数を設定し損ねていたのが原因でした。
私の環境では、これを設定すると通常通り編集を行えることを確認しております。逆に、コメントアウトすると空白に戻ります。
とあります。
これを原因と断定し、対処に臨みます。
対応方法のさっくりとした手順
- 現状のgrowiのリバースプロキシの設定を確認。
- 設定ファイルのバックアップ。
- 設定ファイルを修正。
- 修正を反映。
- 事象の解決確認。
参考にしたURL
How to Reverse Proxy Websockets with Apache 2.4
現段階でのリバースプロキシの設定を確認します。
- Apacheのバーチャルファイルを確認
cat /etc/apache2/sites-available/growi.conf自分の環境に合わせます。
- 内容の一部抜粋
# socket.io の path を rewrite する
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/socket.io [NC]
RewriteCond %{QUERY_STRING} transport=websocket [NC]
RewriteRule /(.*) ws://localhost:3000/ [P,L]
ProxyPass / http://localhost:3000/
ProxyPassReverse / http://localhost:3000/設定そのものはgithubのgrowi公式ドキュメントに沿ったものでしたが、これが引っかかっていたようです。
設定ファイルのバックアップを取ります。
- バックアップ
sudo cp -pi /etc/apache2/sites-available/growi.conf /path/to/backup/directory/growi.conf.$(date +%Y%m%d)ファイル名は自分の環境に合わせます。適宜、任意のバックアップディレクトリを指定します。
- バックアップ確認
diff -u /path/to/backup/directory/growi.conf.$(date +%Y%m%d) /etc/apache2/sites-available/growi.conf差分が無いこと(エラーがないこと)でバックアップを確認します。
ファイルを修正します。
上記、バックアップを取ったファイルを教義・信仰に沿ったエディタで編集します。(要管理者権限)
- 削除する内容
# socket.io の path を rewrite する
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/socket.io [NC]
RewriteCond %{QUERY_STRING} transport=websocket [NC]
RewriteRule /(.*) ws://localhost:3000/ [P,L]- 削除した箇所に追記する内容
# WebSocketのための設定
RewriteEngine On
RewriteCond %{HTTP:Upgrade} =websocket [NC]
RewriteCond %{HTTP:Connection} upgrade [NC]
RewriteRule /(.*) ws://localhost:3000/$1 [P,L]編集後、差分を取ります。
- 差分確認
diff -u /path/to/backup/directory/growi.conf.$(date +%Y%m%d) /etc/apache2/sites-available/growi.conf- 差分結果
- # socket.io の path を rewrite する
- RewriteEngine On
- RewriteCond %{REQUEST_URI} ^/socket.io [NC]
- RewriteCond %{QUERY_STRING} transport=websocket [NC]
- RewriteRule /(.*) ws://localhost:3000/ [P,L]
+ # WebSocketのための設定
+ RewriteEngine On
+ RewriteCond %{HTTP:Upgrade} =websocket [NC]
+ RewriteCond %{HTTP:Connection} upgrade [NC]
+ RewriteRule /(.*) ws://localhost:3000/$1 [P,L]設定を反映します。
- 構文確認
sudo apache2ctl configtestSyntax OKを確認します。
- Apache再起動前確認
systemctl status apache2.serviceactive (running)を確認します。
- Apache再起動
sudo systemctl restart apache2.service- Apache再起動後確認
systemctl status apache2.serviceactive (running)を確認します。
事象の解決を確認します。
上記、設定を行ったGrowiサイトにアクセスします。
編集後、左ペイン(エディタ部分)がそのまま残っていれば対処完了です。
概要
Nextcloudを29.0.3にアップデート後、以下の警告を確認しました。
データベースにいくつかのインデックスがありません。 大きなテーブルにインデックスを追加すると、自動的に追加されないまでに時間がかかる可能性があるためです。 "occ db:add-missing-indices"を実行することによって、インスタンスが実行し続けている間にそれらの欠けているインデックスを手動で追加することができます。 インデックスが追加されると、それらのテーブルへのクエリは通常はるかに速くなります。 オプションのインデックス "schedulobj_lastmodified_idx" がテーブル "schedulingobjects"にありません
こちらに対応します。
環境
- Ubuntu 20.04
- PHP8.1
- Nextcloud 29.0.3 (29.0.2からアップデート)
また、nextcloudの実行ユーザーはwww-dataです。
Nextcloudのディレクトリに移動します。
- ディレクトリ移動
cd /var/www/html/nextcloud && pwd自分の環境に合わせます。
occを実行します。
- 指示されたコマンドを実行
sudo -u www-data php occ db:add-missing-indices- 出力結果
Adding additional schedulobj_lastmodified_idx index to the oc_schedulingobjects table, this can take some time...
oc_schedulingobjects table updated successfully.警告の解消を確認します。
- 上記の措置を執ったNextcloudのサイトに管理者権限でログインします。
- 管理>概要に進みます。
- 警告が消えていることを確認します。
解消方法がある程度示されているので、Nextcloudは親切です。
Growiのバージョンをv6.3.5 → v7.0.10に変えたところ、以下のデグレを自分の環境で確認しました。
- 編集したページを再度編集しようとすると空白になる。
- 再々編集した場合でも消える場合がある。
- 新しいページを作ったときにテンプレートが適用されない。
Wikiとしてこの2つは致命的なので、v6.3.5に切り戻しを行いましたが、ダウングレードできない事象が発生しました。
以下、その対処記録です。
環境
- Ubuntu 22.04
- Dockerではなくオンプレ環境で稼働
- Growi v7.0.10→v6.3.5に切り戻しをしましたが、yarnの途中で失敗しました。
その途中で確認したこと
- v7.0.1へのセットアップ後、aptでnodeのバージョンが上がっていたことにより、v6.3.xの対象外になっていました。(18→19)
- v7.xへのセットアップ時、それにつれてturboのバージョンも上がっていました。
問題はこの2つにあると仮定して、これらのバージョンダウンを行っていきます。
対処
- バージョン管理のためにnをインストール
sudo npm install -g n- インストール可能なnodeバージョンを確認
n ls-remote --all→ 18系の最新版18.20.3をインスト-ルします
- nでバージョンを指定してインストール
sudo n 18.20.3- バージョン確認
node -vv18.20.3を確認
- turboのバージョンを戻す
sudo yarn update turbo@1.12.2この後、以下の手順でv7.0.10→v6.3.5へバージョンダウンを行えました。
https://barrel.reisalin.com/books/growi/page/growi
Webアプリはミドルウェアとの兼ね合いでハマることが多いんで注意です。