タグ: Linux Page 1 of 29

カテゴリー: 未分類

概要

VPSサービスなどで、最初にrootアカウントとWebコンソールのみが提供される環境を想定し、安全な運用を行うための初期設定手順を解説します。

この手順のゴール

rootアカウントでの直接ログインを禁止する。
日常的な管理作業は、sudo権限を持つ一般ユーザーで行うようにする。
パスワード認証を無効化し、より安全な「公開鍵認証」でのみSSHログインできるようにする。

最大の注意点：サーバーからの締め出し

この設定作業は、手順を一つでも誤ると、二度とサーバーにログインできなくなる危険性を伴います。特に、SSH接続を唯一のアクセス手段としている場合は、細心の注意が必要です。この記事では、Webコンソールを「ライフライン」として使い、安全に設定を完了させる手順を示します。

スタート地点（前提）

今回のケースは、XServer VPSで、Ubuntu 24.04を立ち上げたばかりの設定です。

※Webのシリアルコンソールは最初しか使わないため、この時のサーバではsshd秘密鍵は作成しません。（後で作成します）

DNS設定を行い、名前解決ができるようにしておくと便利です。

ややさっくりとしない手順

【root】 メンテナンス用ユーザーを作成する。
【Webコンソール】 作成したユーザーでパスワードログインできることを確認する。(←安全の確保)
【root】 作成したユーザーにsudo権限を付与する。
【メンテナンス用ユーザ】 sudo権限が有効になったことを確認し、rootアカウントをロックする。
【メンテナンス用ユーザ】 SSHをインストールし、公開鍵認証の設定を行う。
【自分のPC】 SSHで鍵認証ログインできることを確認する。
【メンテナンス用ユーザ】 最後に、SSHのパスワード認証を無効化する。

メンテナンス用のユーザ作成(root)

ユーザ作成

adduser [メンテナンス用ユーザ]

※[メンテナンス用ユーザ]は英数字です。その後、パスワード設定などを対話式で求められるので、指示に従って入力します。

ログイン確認

exit

Webシリアルコンソールから抜けます。

メンテナンス用のユーザ作成確認(メンテナンス用のユーザ)

作成したユーザでログイン確認

Webコンソールで、作成したユーザ名とパスワードでログインできることを確認。

whoami

で、設定したアカウントであることを確認します。

rootに昇格できないことを確認

sudo su -

としても、rootに昇格することはできません。なので、一度

exit

でコンソールを抜け、rootでログインし直します。

メンテナンス用のユーザのroot昇格設定(root)

メンテナンス用のユーザにsudoを追加

rootでログイン後、

usermod -aG sudo [メンテナンス用ユーザ]

で、sudoグループにこのユーザを加えます。

sudo追加確認

id -a [メンテナンス用ユーザ]

で、以下のように表示されることを確認します。

uid=1000(hoge) gid=1000(hoge) groups=1000(hoge),27(sudo),100(users)

修正したユーザのグループに、27(sudo)と表示されることがポイントです。

確認後、

exit

で更にrootを抜け、今度はメンテナンス用のユーザでログインします。

rootのロック (メンテナンス用のユーザ)

root昇格

メンテナンス用のユーザでログイン後、

sudo su -

で、rootに昇格できることを確認します。（※できない場合は前段の作業をやり直してください）

whoami

でroot表示されることも確認します。

rootロック

passwd -l root

として、rootそのものをロックします。

rootのロック確認

exit

を2回行い、Webコンソールから抜けます。

rootロック確認

メンテナンス用のユーザ→Webコンソールでログイン可能
root→Webコンソールでログイン不可能を確認します。

これ以降はメンテナンス用のユーザで作業を行います。

SSH設定

Ubuntu Desktop系と違い、Ubuntu Serverではsshdがデフォルトでインストールされていない場合があります。

sudo apt install ssh

で、sshdをインストールします。

インストール後、

ssh -V

でバージョンが表示されることを確認し、

systemctl status ssh.service

で、runningとenabledを確認します。

SSH鍵ペア作成

鍵認証でログインできるようにします。

ssh-keygen -t ed25519

鍵の格納場所は空Enter。（/home/hoge/.ssh/
パスワードを設定します。

SSH鍵ペア作成確認

鍵格納ディレクトリに移動

cd .ssh

ファイルの内容確認

ls -l

以下のファイルを確認します。

id_ed25519
id_ed25519.pub ※これらのファイルはscp等で自分のクライアントにコピーします。

鍵の設定変更

公開鍵をauthorized_keysに変更し、パーミッションを厳密にします。

ファイル名変更

cat id_ed25519.pub >> authorized_keys

パーミッション設定

chmod 600 authorized_keys

秘密鍵の保存

この秘密鍵（id_ed25519）は、サーバー全体のアクセス権を持つ、言葉通りの意味でのマスターキーです。

この秘密鍵を奪われることは、サーバーの全権限を奪われることと同義です。そのため、管理は厳密に、そして自分だけがアクセスできる安全な手段（パスワードマネージャーや暗号化されたストレージなど）で、必ずバックアップをこの段階で行ってください。

ファイアウォール（パケットフィルタリング）設定

SSHで外部から接続する前に、VPS事業者が提供するファイアウォール機能で、SSHのポート（22/tcp）が開放されていることを確認します。

名称: 「ファイアウォール」「アクセスコントロール」「パケットフィルター」など、事業者によって名称は異なります。（Xserver VPSでは「パケットフィルター」）
設定内容:
サービス/ポート: SSH または 22
プロトコル: TCP
許可する送信元IP: まずは「全て許可」で設定し、SSH接続できることを確認します。後で、ご自身のIPアドレスに限定すると、さらに安全性が高まります。

ターミナルクライアントでの接続設定確認

任意のターミナルクライアントで接続を行います。（筆者が愛用しているのはRLoginです）

名前解決できるようにしたホスト名
ユーザー名
秘密鍵

を指定して、SSHログインできることを確認します。

SSHのパスワード認証を禁止

SSH設定ファイルバックアップ

sudo cp -pi /etc/ssh/sshd_config /path/to/backup/directory/sshd_config.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。(筆者の場合は/etc/conf_backup)

バックアップ確認

diff -u /path/to/backup/directory/sshd_config.$(date +%Y%m%d) /etc/ssh/sshd_config

エラーがない（差分がない）ことでバックアップを確認します。

ファイル書き換え

sudo sed -i -e 's/^#PasswordAuthentication yes/PasswordAuthentication no/' -e 's/^#PermitEmptyPasswords no/PermitEmptyPasswords no/' /etc/ssh/sshd_config

差分確認

diff -u /path/to/backup/directory/sshd_config.$(date +%Y%m%d) /etc/ssh/sshd_config

差分

-#PasswordAuthentication yes
-#PermitEmptyPasswords no
+PasswordAuthentication no
+PermitEmptyPasswords no

SSH再起動

sudo systemctl restart ssh.service

SSH設定反映確認

新しくターミナルを起動します。
パスワードでSSHログインできないことを確認します。
事前に転送しておいた秘密鍵でログインできることを確認します。

最初のアップデートとアップグレード

パッケージ全体のアップグレードを行います。

sudo apt update && sudo apt upgrade

アップグレード後、再起動を行います。

sudo reboot

ホスト名を設定する。

個人的に重要な作業です。「どういうサーバに育てていくか」はその名前にかかっているというのが持論です。

sudo hostnamectl set-hostname hoge.example.com

等として、自分のサーバを命名しましょう。

設定後、

uname -n

で、サーバ名を確認します。

この時、

sudo reboot

後、再起動後も名前が変わらないことを確認します。

プロンプト設定

最初期のプロンプトは

hoge@hoge$

になっているので、好みに沿って設定していきます。

一般ユーザの.bashrc設定

cat << ___EOF___ | tee -a ~/.bashrc
PS1="[\u@\H \W]\\$ "

# 一般ユーザ向けのプロンプト設定
if [ "\$PS1" ]; then
  if [ "\$(id -u)" -eq 0 ]; then # rootユーザの場合
    PS1='\[\e[0;31m\][\u@\H \W]#\[\e[0m\] '
  else # 一般ユーザの場合
    PS1='\[\e[0;32m\][\u@\H \W]\$\[\e[0m\] '
  fi
fi
___EOF___

root

Ubuntu系は.bashrcが統一されないので、やむなくこの方法をとります。

sudo su -

cat << ___EOF___ | tee -a ~/.bashrc
PS1="[\u@\H \W]\\$ "

# 一般ユーザ向けのプロンプト設定
if [ "\$PS1" ]; then
  if [ "\$(id -u)" -eq 0 ]; then # rootユーザの場合
    PS1='\[\e[0;31m\][\u@\H \W]#\[\e[0m\] '
  else # 一般ユーザの場合
    PS1='\[\e[0;32m\][\u@\H \W]\$\[\e[0m\] '
  fi
fi
___EOF___

設定後、SSHセッションを開き直します。以下を確認します。

緑文字で[hoge\@hoge.example.com~]$のように表示される。（一般ユーザー）
赤文字で[root\@hoge.example.com~]#のように表示される。（root）

aptitudeインストール

これは完全に筆者の好みです。パッケージ管理をaptではなくaptitudeに変えます。

sudo apt install aptitude

Redmine5.1にadditionalsをインストール

By manualmaton

オン 2025年7月20日

カテゴリー: Linux, redmine

以前も書いていたadditonalsプラグインのインストール、Redmine5.1版です。

このプラグインの最新版はRedmine6.0のみ対応しています。そのため、ややバージョンの落ちるRedmine5.1で動かすには少し手間があります。

概要

Redmineにかなり強力なマクロを付与するプラグイン:additionalsをインストールします。

また、このプラグインは「additonal_tags」プラグインでも必要です。

プラグイン名

Additionals
- https://www.redmine.org/plugins/additionals

注意

2025年にリリースされているプラグインはRedmine 5.xをサポートしていないため、動くバージョン（タグ）をダウンロードしてのインストールです。

動作を確認した環境

Ruby 3.1
Redmine 5.1
Apache 2.4

さっくりとした手順

SSHログイン後、作業ディレクトリに移動
wgetでRedmine5.1に即したパッケージをダウンロード
パッケージの配置
新規ジェムをインストール
DBマイグレーション
Webサービス再起動

作業用ディレクトリに移動します。

cd /hoge

任意のディレクトリに移動します

Redmine5,1に即したバージョンをダウンロードして展開します。

ファイル入手

wget https://github.com/AlphaNodes/additionals/archive/refs/tags/3.4.0.zip

zipファイルの所有者変更

sudo chown www-data:www-data 3.4.0.zip

apache / nginxの実行ユーザに所有者を合わせます

解凍

sudo -u www-data unzip 3.4.0.zip

Redmineディレクトリにプログラムを配置します。

ファイル配置

sudo -u www-data mv additionals-3.4.0 /path/to/redmine/root/directory/plugins/additionals

このとき、リネームも行います。（-3.4.0を外す）

自分の環境に合わせます。(筆者環境/home/www-data/redmine/plugins/)

Redmineのルートディレクトリに移動します。

cd /path/to/redmine/root/directory && pwd

自分の環境に合わせます。(筆者環境/home/www-data/redmine)

Gemをインストールします。

sudo -u www-data bundle install

DBのマイグレーションを行います

sudo -u www-data bundle exec rake redmine:plugins:migrate RAILS_ENV=production

Webサービスを再起動します。

sudo systemctl restart apache2

動作確認

Redmineに管理者アカウントでログインします。
管理に「Additionals」が加わっていればインストールされています。

Google Geminiによるコード修正。(SSL証明書の有効期限確認)

By manualmaton

オン 2025年7月9日

カテゴリー: Linux

Rubyスクリプト改修。(SSL証明書の有効期限確認)

このスクリプトの改善案をGoogle Geminiに言ったところ、更に完成度が上がりました。

概要

Web運用において、「サーバのSSL証明書更新」をチェックすることは大切です。

適切に更新されていない/更新が遅れたまま放置すると

ブラウザで「危険なサイト」と認識される
それによるレピュテーションリスク
HSTSを厳密に設定した場合はサイトそのものへのアクセス不可

など、リスクは甚大です。

そこで、

OpenSSLコマンドでドメインに設定されている証明書の期限
並びに残り何日か

を表示するRubyスクリプトを準備しました。

スクリプト内容

ssl_checker.rb

#!/usr/bin/env ruby

require 'openssl'
require 'socket'
require 'date'
require 'uri'
require 'timeout'

# 色付け用の定数
COLOR_RED = "\e[31m"
COLOR_YELLOW = "\e[33m"
COLOR_GREEN = "\e[32m"
COLOR_RESET = "\e[0m"

# URLの最終的な到達先を取得するメソッド
def get_effective_url(url)
  # curlを使ってリダイレクトを追いかけ、最終的なURLを取得する
  # -s: サイレント, -L: リダイレクト追従, -I: ヘッダのみ, -o /dev/null: ボディ破棄, -w '%{url_effective}': 最終URLを出力
  effective_url = `curl -sLI -o /dev/null -w '%{url_effective}' "#{url}"`
  effective_url.empty? ? nil : effective_url
end

# 証明書の有効期限を取得するメソッド
def get_certificate_expiry_date(url)
  uri = URI.parse(url)
  hostname = uri.host
  port = uri.port || 443 # ポートがなければ443を使う
  ssl_socket = nil
  tcp_client = nil

  begin
    Timeout.timeout(5) do
      tcp_client = TCPSocket.new(hostname, port)
      ssl_context = OpenSSL::SSL::SSLContext.new
      ssl_socket = OpenSSL::SSL::SSLSocket.new(tcp_client, ssl_context)
      ssl_socket.hostname = hostname
      ssl_socket.connect

      cert = ssl_socket.peer_cert
      expiration_date = DateTime.parse(cert.not_after.to_s)
      days_remaining = (expiration_date - DateTime.now).to_i

      return expiration_date, days_remaining
    end
  rescue Timeout::Error
    return nil, "サーバーへの接続がタイムアウトしました。"
  rescue => e
    return nil, e.to_s
  ensure
    ssl_socket&.close
    tcp_client&.close
  end
end

# 結果を表示するメソッド
def print_result(url, expiration_date, days_remaining)
  if expiration_date
    formatted_date = expiration_date.strftime("%Y/%m/%d")
    
    # 残り日数に応じて色を選択
    color = if days_remaining < 14
              COLOR_RED
            elsif days_remaining < 30
              COLOR_YELLOW
            else
              COLOR_GREEN
            end

    puts "サイト #{url} の有効期限は #{formatted_date} です。#{color}残り #{days_remaining} 日です。#{COLOR_RESET}"
  else
    puts "#{COLOR_RED}サイト #{url} の証明書取得に失敗しました: #{days_remaining}#{COLOR_RESET}"
  end
end

# メイン処理
def main
  # コマンドライン引数があるかどうかで処理を分岐
  domains_to_check = if ARGV.empty?
                       # 引数がない場合は、対話式で入力を受け付ける
                       print "チェックしたいサイトのドメインを入力してください（例: example.com）: "
                       [gets.chomp]
                     else
                       # 引数がある場合は、それらを全てチェック対象とする
                       ARGV
                     end

  # 各ドメインをチェック
  domains_to_check.each do |domain|
    # 対話モードで空エンターされた場合などをスキップ
    next if domain.nil? || domain.strip.empty?
    
    # http/httpsから始まらない場合はhttpsを付与
    initial_url = domain.start_with?('http') ? domain : "https://#{domain}"
    
    puts "Checking: #{initial_url} ..."
    final_url = get_effective_url(initial_url)

    if final_url.nil?
      puts "#{COLOR_RED}サイト #{initial_url} にアクセスできませんでした。#{COLOR_RESET}"
      next
    end
    
    expiration_date, days_remaining = get_certificate_expiry_date(final_url)
    print_result(final_url, expiration_date, days_remaining)
  end
end

# メイン処理を呼び出し
main

スクリプト実行例

ruby ssl_checker.rb

※Rubyで動かすためスクリプトに実行権は持たせる必要はありません

対話式でドメインを入力する
証明書の有効期限と残り期日を表示する
ruby script.rb www.hoge.comなど、ドメインを引数にしても同様の効果が得られる
更新が近づくと
- 30日以内：黄色
- 15日以内：赤

とアラートも出してくれるようにしています。

対話式

ruby ssl_checker.rb 
チェックしたいサイトのドメインを入力してください（例: example.com）: www.yahoo.co.jp
Checking: https://www.yahoo.co.jp ...
サイト https://www.yahoo.co.jp/ の有効期限は 2026/05/14 です。残り 310 日です。

引数にした場合

ruby ssl_checker.rb yahoo.co.jp www.msn.com
Checking: https://yahoo.co.jp ...
サイト https://www.yahoo.co.jp:443/ の有効期限は 2026/05/14 です。残り 310 日です。
Checking: https://www.msn.com ...
サイト https://www.msn.com/ の有効期限は 2025/10/05 です。残り 89 日です。

スクリプト使用例

筆者は/etc/update-motd配下に

ruby /path/to/script/ruby/ssl_checker.rb ryza.jp

と記入することで、ログインのたびに

Checking: https://atelier.reisalin.com ...
サイト https://atelier.reisalin.com/ の有効期限は 2025/08/15 です。残り 37 日です。

と次の更新のタイミングを読みやすくしています。

レポジトリを追加してのpassengerアップグレード。

By manualmaton

オン 2025年7月5日

カテゴリー: Linux

概要

Redmineとの連携でmod_passangerを用いています。これのアップグレードメモです。

環境

Ubuntu 24.04
Apache 2.4
Ruby 3.2
mod_passenger 6.0.17 (アップグレード前)→6.0.27(アップグレード後)

バージョンアップの推奨メッセージ

var/log/apache2/error.logを確認したところ、

 [ E 2025-07-04 15:08:31.6489 116405/T5 age/Cor/SecurityUpdateChecker.h:521 ]: A security update is available for your version (6.0.17) of Phusion Passenger(R). We strongly recommend upgrading to version 6.0.27.

と出たのでバージョンアップを行います。

バージョンアップ前確認

passenger-config --version

Phusion Passenger(R) 6.0.17

を確認。

対処1：aptitudeによるアップグレード → 更新されず

※筆者の好みでaptitudeを用いています。好みに応じてaptに変更してください。

sudo aptitude install passenger

を行いましたが、インストール・削除・更新されるパッケージがありません。と出たので、レポジトリの追加に伴うアップグレードを行いました。

対処2：レポジトリ追加後にaptitudeによるアップグレード → 更新OK

レポジトリ追加

必要なツールのインストール

※導入済みであれば不要です。

sudo aptitude install dirmngr gnupg apt-transport-https ca-certificates curl

GPG鍵追加

curl https://oss-binaries.phusionpassenger.com/auto-software-signing-gpg-key.txt | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/phusion.gpg >/dev/null

これは、これから追加するリポジトリがPhusion社による本物であることを保証するための電子署名キーです。

Phusionのリポジトリ追加

sudo sh -c 'echo deb https://oss-binaries.phusionpassenger.com/apt/passenger $(lsb_release -sc) main > /etc/apt/sources.list.d/passenger.list'

改めてaptitudeによるアップグレード

パッケージ更新

sudo aptitude update

mod_passanger更新

sudo aptitude install passenger

一式を

今度はアップグレードされました。

設定反映

Webサービス再起動

Ubuntu24.04はneedrestartにより、サービス再起動が必要なパッケージ更新が走った後は再起動してくれますが、念のため

sudo systemctl restart apache2.service

を行います。

バージョンアップ確認

passenger-config --version

Phusion Passenger(R) 6.0.27

と、アップグレードされていました。

Ubuntu24.04で、ワイルドカードSSL証明書をLet’s Encrypt（certbot）で発行する手順メモ。

By manualmaton

オン 2025年7月4日

カテゴリー: Linux

筆者にとってこの作業は当たり前すぎていたため、メモを残すのを失念していました。

概要

Webサイトを公開する際に必須と言っていいSSL証明書を、Let's Encrypt(certbot)を用いて無料で発行する手順です。

今回用意するのはワイルドカード証明書です。

「*.example.com」という証明書を取得することで、

aaa.example.com
bbb.example.com
supercalifragilisticexpialidocious.example.com

など、サブドメインすべてに有効な証明書を1回で発行できます。

実施環境

Ubuntu 24.04

前提条件

ワイルドカー証明書を発行したいドメインに対してDNSの操作が行えること
- できない場合は本手順そのものを無視してください。
備考として、別サーバでも配布しやすいように、オリジナルの/etc/letsencrypt/live/ではなく、任意の作業ディレクトリに証明書一式を保存する運用を行っています。
別サーバへの配布の際は注意してください。

さっくりとした手順

certbotをインストールします。
certbotでワイルドカード証明書を発行します。
証明書を発行します。
所定の位置に格納します。

certbotインストール

※すでにcertbotがインストール済の場合は、この手順はスキップして構いません。

snapによるインストール

sudo snap install --classic certbot

コマンド化

sudo ln -s /snap/bin/certbot /usr/bin/certbot

コマンド確認

which certbot

/usr/bin/certbotを確認します。

root昇格

性質上、rootで実行します。操作は慎重に行ってください。

sudo su -

作業ディレクトリ作成

ディレクトリ作成

mkdir /hoge/example.com_ssl$(date +%Y%m)

任意のディレクトリを指定します。$(date +%Y%m)オプションをつけているのは、Let's Encryptの有効期限が90日間と短いため、定期的に更新するためです。

ディレクトリ移動

cd /hoge/example.com_ssl$(date +%Y%m) && pwd

指定したディレクトリにいることを確認します。

ワイルドカード証明書の手動発行

※ ドメイン名やメールアドレスの打ち間違いは特に注意してください。このコマンドをコピー&ペーストし、自分のドメインやメールアドレスで間違いないように確認後に発行してください。

certbot certonly --manual \
    --preferred-challenges dns \
    --server https://acme-v02.api.letsencrypt.org/directory \
    -m あなたの有効なメールアドレス@example.com \
    -d "*.example.com" \
    -d "example.com"

--manualモードは非自動化のため、証明書更新のたびに手動でTXTレコード登録が必要です。自動化したい場合はDNS API対応のプラグインを検討してください（例：certbot-dns-cloudflare）。
certonly は証明書の取得だけを行い、Webサーバ設定などには手を加えないモードです。

以下のように実施します。

コマンド発行後、TXTレコードの登録指示があります。
管理しているDNSサーバにて、指示があったTXTレコードを登録します。
以下のコマンドで結果が返ってくるまでしばらく待ちます。

nslookup -type=TXT _acme-challenge.example.com

→ 結果が返ってきたらEnter。証明書が作成されます。

証明書一式を作業ディレクトリにコピー

証明書を作業ディレクトリにコピー

cp -pi /etc/letsencrypt/live/example.com/fullchain.pem ./example.com.crt.$(date +%Y%m)

※root権限のためsudoを用いないことに注意

秘密鍵を作業ディレクトリにコピー

cp -pi /etc/letsencrypt/live/example.com/privkey.pem ./example.com.key.$(date +%Y%m)

（通例、証明書はroot権限でしか読めないように制限されています。読み取り時は注意してください）

証明書の整合性を確認

90日の有効期限であることを確認します。

以下、自分が発行したドメインに基づく証明書や秘密鍵に読み替えます。

openssl x509 -noout -dates -subject -in example.com.crt.$(date +%Y%m)

notBefore=May 17 04:35:55 2025 GMT
notAfter=Aug 15 04:35:54 2025 GMT

のように90日間であることを確認します。

確認1. 証明書から公開鍵データを確認

openssl x509 -pubkey -in example.com.crt.$(date +%Y%m) -noout | openssl md5

確認2. 秘密鍵から公開鍵を取得

openssl pkey -pubout -in example.com.key.$(date +%Y%m) | openssl md5

→ 確認1/確認2で出てきた公開鍵のハッシュ値が一致していればOKです。

証明書のチェーンを確認

openssl crl2pkcs7 -nocrl -certfile example.com.crt.$(date +%Y%m) | openssl pkcs7 -print_certs -outform PEM | awk 'BEGIN {c=0;} /BEGIN CERTIFICATE/ {c++} { print > "cert" c ".pem"}' && openssl verify -CAfile cert2.pem cert1.pem

openssl verify -CAfile cert2.pem cert1.pem
cert1.pem: OK

となることを確認します。

確認後、

exit

でrootから抜けます。

証明書の配置

※Let's Encryptは3ヶ月（90日）しか有効期限がありません。

そこで、証明書更新の際にApacheの設定ファイルを修正することなく行えるように、証明書/秘密鍵ファイルにシンボリックリンクを張り、ファイル名.202507等とすることで「最後に発行したのはいつか」を確認します。

ディレクトリを作成します。

sudo mkdir /etc/certs

証明書を格納するディレクトリです

sudo mkdir /etc/private

秘密鍵を格納するディレクトリです

ディレクトリに証明書と秘密鍵を格納します。

SCPやSFTPでアップロードして対象ディレクトリに配置する
Let's Encryptなどで作成したファイルをそれぞれ対象ディレクトリにコピー/移動する

など、適当な方法を用います。（割と効率的なのがcatでファイル内容を開き、それを別サーバに貼り付ける方法です）

秘密鍵格納後、

sudo chmod 600 /etc/private/hoge.sample.com.key.202507

として、アクセス権を厳密にします。

上記、取得した*.example.comの証明書と秘密鍵を

/etc/certs (証明書)
/etc/private (秘密鍵)

に格納したとして手順を進めます。

証明書のシンボリックファイルを作成します。

cd /etc/certs && pwd

/etc/certsにいることを確認

sudo ln -sf hoge.sample.com.crt.202507 hoge.sample.com.crt

ls -l hoge.sample.com.crt

リンクの向き先がhoge.sample.com.crt.202507であることを確認します。

例

lrwxrwxrwx 1 root root     31  7月  2 14:35 hoge.sample.com.crt -> hoge.sample.com.crt.202507

秘密鍵のシンボリックファイルを作成します。

cd /etc/private && pwd

/etc/privateにいることを確認

sudo ln -sf hoge.sample.com.key.202507 hoge.sample.com.key

ls -l hoge.sample.com.key

リンクの向き先がhoge.sample.com.crt.202507であることを確認します。

後は、お使いのWebサーバに適用していきます。この方式であれば、

SSLCertificateFile 【/etc/certs/hoge.example.com.crt】
# SSL証明書を指定します
SSLCertificateKeyFile 【/etc/private/hoge.example.com.key】
# 秘密鍵を指定します

とすることで、.confファイルをいじることなく更新作業を行えます。

以下、Redmineでの設定例です。

https://atelier.ryza.jp/projects/zettel/knowledgebase/articles/20

Ubuntu 24.04にMatomoをインストール

By manualmaton

オン 2025年7月3日

カテゴリー: Linux

概要

オープンソースの解析システムであるMatomoをインストールしたときのメモです。

Google Analysticにお金を払う余裕がない
WordPressのアクセス解析Jetpackは重い

ということで運用しました。

以前のメモがUbuntu 20.04のインストールだったので、こちらを改めて書き起こしています。

参考としたURL

https://matomo.org/faq/on-premise/matomo-requirements/

注意点

リアルタイムでアクセスする性質上、PVが非常に多いWebサイトではサーバ自体の冗長化構成が必要です。（上記URL参照）

筆者のサイトは10万ページ/月に満たないので、そこそこのスペックで運用できています。

前提

既に以下のシステムがWAN環境に揃っていること。

Ubuntu 24.04
Apache 2.4
- mod_ssl
- mod_rewrite
- mod_header
- ※実行ユーザーはwww-dataです。
mysql 8.3
PHP 8.3 → インストール方法
- 必須の拡張機能(curl, gd, mbstring, mysql等)が有効になっていること。
ドメインで名前解決できること。
ドメインに沿った証明書があること。

さっくりとした手順

MySQLのDBとユーザを作成します。
ディレクトリにmatomoプログラムを配置します。
Apache設定ファイルを作成します。
matomoサイトにログインできることを確認します。
matomo Web画面で初期設定をおこないます。

データベースを作成します。

MySQLログイン

sudo mysql -u root -p

DB作成

CREATE DATABASE IF NOT EXISTS matomo CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;

DB名は自分の環境に合わせます。

DBユーザー、パスワード設定

CREATE USER 'matomo'@'localhost' IDENTIFIED WITH mysql_native_password BY 'YOUR_STRONG_PASSWORD';

DBユーザーは自身の環境に合わせます。パスワードはポリシーに沿って強固なものを設定してください。

DBユーザーに作成したDBへの権限を付与

GRANT ALL PRIVILEGES ON matomo.* TO 'matomo'@'localhost';

DB作成確認

mysql -u matomo -p

DB名・ユーザー名は適宜自分が設定したものに読み替えてください。

DB確認

SHOW DATABASES;

作成したDBがあることを確認します。

EXIT

MySQLコンソールから抜けます。

matomoプログラムをディレクトリに配置します。

保存用ディレクトリに移動

cd /hoge &&pwd

自分の環境に合わせます。

プログラムダウンロード

wget https://builds.matomo.org/matomo-latest.zip

ZIP展開

unzip matomo-latest.zip

ディレクトリの所有者変更

sudo chown -R www-data:www-data matomo

ディレクトリ一式をApache実行ユーザー(www-data)に修正します。

プログラム実行権に移動

sudo mv matomo /home/www-data/

自分の環境に合わせます。(筆者環境は/home/www-data/matomo で動かします)

ls -ld /home/www-data/matomo

該当ディレクトリにファイル一式があることを確認します。

Apache設定ファイルを作成します。

【】内を自分の環境に合わせます。
コマンド一式をコピー → 別のエディタにペースト
その後、【】内を自分の環境に修正してコピー
コマンド一式をSSHクライアントに貼り付ける

cat <<- __EOF__ | sudo tee  /etc/apache2/sites-available/matomo.conf > /dev/null
<VirtualHost _default_:80>
ServerName 【設定したドメイン名】
 RewriteEngine On
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</VirtualHost>

<VirtualHost *:443>
    ServerName 【設定したドメイン名】
    CustomLog 【/var/log/matomo/matomo_access.log combined】
    ErrorLog 【/var/log/matomo/matomo_error.log】
    # アクセスログとエラーログは自分の環境に合わせて設定します。

    DocumentRoot 【/home/www-data/matomo】
    <Directory 【/home/www-data/matomo】>
    # DcoumentRootとDirectoryは自分の環境に合わせて設定します
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Require all granted
    </Directory>

#SSL設定
  SSLEngine on
    Protocols h2 http/1.1
  # SSLを有効化します

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
#TLS1.3に対応していないクライアントがアクセスする場合は以下を用います
#SSLProtocol -ALL +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:/var/run/apache2/ssl_stapling(32768)"
# 2025年5月よりLet's EncryptはSSL Staplingに伴うOCSPを廃止しました。そのため、証明書をLet's Encryptにしている場合は上記2行をコメントアウトし、代わりにこちらを用いてください。
# SSLUseStapling Off

SSLCertificateFile 【/etc/certs/example.com.crt】
# SSL証明書を指定します
SSLCertificateKeyFile 【/etc/private/example.com.key】
# 秘密鍵を指定します

# SSLCACertificateFile 【/etc/certs/example.com.CA.crt】
# 中間証明書が発行元から別ファイルで提供されている場合は、この直上をコメントアウトして中間証明書を指定します

#セキュリティヘッダー付与

    Header always set Strict-Transport-Security "max-age=63072000"
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set X-XSS-Protection "1; mode=block"

    # Matomo: 機密情報が含まれるディレクトリへの直接アクセスを禁止
    <DirectoryMatch "/(config|core|lang|tmp|vendor)">
        Require all denied
    </DirectoryMatch>

    # Matomo: .ini や .json といった設定ファイルへの直接アクセスを禁止
    <FilesMatch "\.(ini|json)$">
        Require all denied
    </FilesMatch>

</VirtualHost>
__EOF__

ファイル作成確認

ls -l /etc/apache2/sites-available/matomo.conf

ファイルがあることを確認します。

Apache設定を反映します。

.conf読み込み

sudo a2ensite matomo.conf

設定確認

sudo apache2ctl configtest

Syntax OKを確認します

Webサービス再起動

sudo systemctl restart apache2.service

Webサービス再起動確認

sudo systemctl status apache2.service

ブラウザ表示確認。

ブラウザで

https://【matomoを設定したドメイン名】

にアクセスし、初期画面が出ることを確認します。

初期インストール画面の設定

初期インストール画面が出たら「次へ」をクリックします。
全てチェックされていることを確認して「次へ」をクリックします。

◎データベースを設定します。

ログイン: MySQLのユーザー(matomo)
パスワード: 設定したパスワード
データベース名：作成したDB (matomo)

をそれぞれ入力し、「次へ」をクリックします。正常に入力されれば「テーブルを作成されました」と出るので「次へ」をクリックします。

◎スーパーユーザーを設定します。

スーパーユーザーログイン：ログインするユーザー名
パスワード：ログイン時のパスワード
パスワード（再入力）
メールアドレス

をそれぞれ入力して「次へ」をクリックします。

◎アクセス解析を行うウェブサイトを設定します。

アクセス解析対象のウェブサイトの名前
ウェブサイトのURL (このmatomoサイトではなく、アクセス解析を行いたいWebサイト)
ウェブサイトのタイムゾーン
eコマースか否か

を設定して「次へ」をクリックします。

これらを設定後、トラッキングタグが表示されます。これらを控えて「次へ」をクリックします。

「おめでとうございます！」と表示されればインストールの一連の作業は完了します。

Ubuntu24.04にGrowi2.7.8をインストール。（2025年7月版）

By manualmaton

オン 2025年7月2日

カテゴリー: Linux

何度か書いているGrowiのインストール（Docker不使用）。

手順を色々見直して2025年7月版としました。

概要

Growi v7.2.8のインストールメモです。

MongoDBの関係もあり、インストールするCPUを選びます。

環境

Ubuntu 24.04
Apache 2.4

の基本的な設定が済んだという状況です。

前提

名前解決できるドメインが用意されている。
そのドメインに応じた証明書が用意されている。

さっくりとはならない手順

必要なパッケージをインストールします。
nvmをインストールします。
- nvm経由でnode,npm,pnpmをインストールします。
Redis-serverをインストールします。
Javaをインストールします。
ElasticSearch 8をインストールします。
- ElasticSearchの設定変更を行います。
- ElasticSearchのプラグインをインストールします。
- ElasticSearchの設定変更を反映します。
MongoDBをインストールします。
- MongoDBのデータ格納先を変更します。(オプション)
- MongoDBの設定変更を反映します。(オプション)
Growiのインストールを行います。
- pnpmを用いてインストールします。
- アプリのビルドを行います。
自動起動のスクリプトを作成します。
Apacheのリバースプロキシの設定を行います。
ブラウザで初期インストールを行います。

手順

筆者の好みでaptitudeを用いています。適宜、aptに読み替えてください。

必要なパッケージのインストールを行います。

git, buildツールなど

sudo aptitude install build-essential git git-lfs apt-transport-https

v7.1系で`git-lfsを入れないとgit-cloneでビルドが行えなかったので、その名残です。

nvmインストール

root昇格

※growiをroot権限で実行するため

sudo su -

nvmインストールスクリプトの実行

curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.7/install.sh | bash

nvm環境の有効化と確認

export NVM_DIR="$HOME/.nvm" 
[ -s "$NVM_DIR/nvm.sh" ] && \. "$NVM_DIR/nvm.sh"  
[ -s "$NVM_DIR/bash_completion" ] && \. "$NVM_DIR/bash_completion"

一度セッションを切り、再度sudoを行いました。

nvm --version

0.39.7と表示されることを確認。

（まだrootです)

nvm経由でNode.jsをインストール

npm@11.4.0と互換性があるNode.jsをインストールします。

nvm install v20.19.2

Node.jsバージョンの使用とデフォルト設定

nvm use v20.19.2
nvm alias default v20.19.2

Node.jsバージョン確認

node -v

v20.19.2を確認

npm -v

10.7.0を確認

npmのインストール

npm install -g npm@11.4.0

npmバージョン確認

npm -v

11.4.0を確認

pnpmインストール

npm install -g pnpm

pnpmバージョン確認

pnpm -v

10.11.0を確認

rootから抜ける

exit

redis-serverをインストールします。

インストール

sudo  aptitude install redis-server

起動確認

systemctl status redis-server

active(running)を確認します。

自動起動有効化

sudo systemctl enable redis-server

Javaをインストールします。

インストール

sudo aptitude install openjdk-17-jdk

Elasticsearchをインストールします。

gpg追加

sudo wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg

レポジトリ追加

sudo echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list

パッケージのアップグレード

sudo aptitude update

ElasticSearchインストール

sudo aptitude install elasticsearch

※この後、デフォルトパスワードが表示されますが、控えておく程度にしましょう。

JVM設定変更

バックアップディレクトリ作成

sudo mkdir /etc/elasticsearch/old

※任意のバックアップディレクトリを指定します。

設定ファイルバックアップ

sudo cp -pi /etc/elasticsearch/jvm.options /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d)

設定ファイル書き換え

echo -e "-Xms256m\n-Xmx256m" | sudo tee -a /etc/elasticsearch/jvm.options

書き換え確認

sudo diff -u /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d) /etc/elasticsearch/jvm.options

差分

+-Xms256m
+-Xmx256m

ElasticSearchの設定変更

※この作業も管理者権限で実行します。

root昇格

sudo su -

設定ファイルバックアップ

cp -pi /etc/elasticsearch/elasticsearch.yml /path/to/backup/elasticsearch.yml.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

ファイル書き換え

sed -i -e 's/xpack.security.enabled: true/xpack.security.enabled: false/' \
       -e '/xpack.security.http.ssl:/{n; s/  enabled: true/  enabled: false/}' \
       -e '/xpack.security.transport.ssl:/{n; s/  enabled: true/  enabled: false/}' /etc/elasticsearch/elasticsearch.yml

差分確認

diff -u /path/to/backup/elasticsearch.yml.$(date +%Y%m%d) /etc/elasticsearch/elasticsearch.yml

差分

 # Enable security features
-xpack.security.enabled: true
+xpack.security.enabled: false

 xpack.security.enrollment.enabled: true

 # Enable encryption for HTTP API client connections, such as Kibana, Logstash, and Agents
 xpack.security.http.ssl:
-  enabled: true
+  enabled: false
   keystore.path: certs/http.p12

 # Enable encryption and mutual authentication between cluster nodes
 xpack.security.transport.ssl:
-  enabled: true
+  enabled: false

rootから抜ける

exit

ElasticSearchのプラグインを追加

analysis-kuromoji インストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-kuromoji

analysis-isu インストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-icu

自動起動設定反映

起動

sudo systemctl start elasticsearch

起動確認

systemctl status elasticsearch

active(running)を確認します。

自動起動有効化

sudo systemctl enable elasticsearch

MongoDBインストール

レポジトリ追加

必要パッケージインストール

sudo aptitude install gnupg

gpg追加

curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | \
   sudo gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg \
   --dearmor

レポジトリ追加

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list

MongoDBインストール

パッケージのアップグレード

sudo aptitude update

MongoDBインストール

sudo aptitude install mongodb-org

保存先変更（オプション）

MongoDBの格納先を、冗長化構成されているパーティションにするため対応しました。

本設定の要注意点

MongoDBは、その性質上、頻繁にファイルの書き換えを行います。そのため、ブロックストレージのような「データ削除ポリシー」が明記されているネットワークストレージに、保存パーティションを指定してはいけません。(筆者はそれで痛い目に遭いました)

本設定が必要な場合は、同じサーバ上の、SSDで行いましょう。

格納ディレクトリ作成

sudo mkdir /home/mongodb

保存先を変えたいところにします

所有者変更

sudo chown -R mongodb:mongodb /home/mongodb

所有者変更確認

ls -ld /home/mongodb

設定ファイルのバックアップ取得

sudo cp -pi /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

バックアップ確認

sudo diff -u /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)

バックアップが保存されたか、差分がないことで確認します。

ファイル書き換え

sudo sed -i 's/dbPath: \/var\/lib\/mongodb/dbPath: \/home\/mongodb/' /etc/mongod.conf

差分確認

sudo diff -u /path/to/backup/mongod.conf.$(date +%Y%m%d) /etc/mongodb.conf

差分

-  dbPath: /var/lib/mongodb
+  dbPath: /home/mongodb

自動起動有効

mongodサービス起動

sudo systemctl start mongod

サービス起動確認

systemctl status mongod

active (running)を確認します

自動起動有効化

sudo systemctl enable mongod

Growiインストール

git clone

sudo git clone https://github.com/weseek/growi /home/www-data/growi

※任意のディレクトリを指定します。

ディレクトリ移動

cd /home/www-data/growi && pwd

先ほどcloneしたディレクトリです。

チェックアウト

sudo git checkout -b v7.2.8 refs/tags/v7.2.8

2025/06/30時点での最新リリースです

pnpmによるインストール

sudo pnpm install

CPUのスペックによっては相当な時間がかかります。

ビルド

sudo npm run app:build

必要であればlfs pull

lfs pull

sudo git lfs pull

→ v6.1で必要なコマンドでした。v7でビルドできない場合に試してください。

やはり時間がかかります。

自動起動スクリプトの作成

systemd作成

cat <<- __EOF__ | sudo tee -a /etc/systemd/system/growi.service
[Unit]
Description = growi
After=network-online.target mongod.service
After=network.target elasticsearch.service
ConditionPathExists=【/home/www-data/growi】

[Service]
ExecStart=【/home/www-data/growi/】growi-start.sh
Restart=no
Type=simple

[Install]
WantedBy=multi-user.target
__EOF__

※【】内を、git cloneしたディレクトリにします。

Growiインストールディレクトリに作成
教義・信仰に沿ったエディタで作成します。
ファイル名:growi-start.sh
growiを配置したディレクトリ内に作成します。

#!/bin/bash

# NVM environmentをロード (NVM_DIRを直接指定)
export NVM_DIR="/root/.nvm" # $HOMEの代わりに直接パスを指定
if [ -s "$NVM_DIR/nvm.sh" ]; then
  \. "$NVM_DIR/nvm.sh"  # nvmをロード
  # 次の行でスクリプト実行時のnodeとnpmのバージョンをログに出力
  echo "NVM for GROWI startup script loaded. Using Node version: $(node -v), npm version: $(npm -v)" > /tmp/growi_nvm_load.log
else
  # NVMが見つからない場合もログに出力
  echo "NVM_DIR ($NVM_DIR) not found or nvm.sh not found for GROWI startup script." > /tmp/growi_nvm_load.log
fi

cd 【/home/www-data/growi】
NODE_ENV=production \
AUDIT_LOG_ENABLED=true \
FORCE_WIKI_MODE=private \
MONGO_URI=mongodb://localhost:27017/growi \
ELASTICSEARCH_URI=http://localhost:9200/growi \
REDIS_URI=redis://localhost:6379 \
PASSWORD_SEED=[任意の文字列] \
npm run app:server

[任意の文字列]は推測されないような英数字+記号を指定します。

権限変更

sudo chmod +x /home/www-data/growi/growi-start.sh

systemd設定反映

sudo systemctl daemon-reload

growi有効化

sudo systemctl start growi.service

growi有効化確認

systemctl status growi.service

active(running)を確認

自動起動有効化

sudo systemctl enable growi.service

Apacheによるリバースプロキシの設定

モジュールインストール

sudo a2enmod proxy_http proxy_wstunnel rewrite header

apache再起動

sudo systemctl restart apache2.service

ログ保存ディレクトリ作成

sudo mkdir /var/log/growi/

所有者変更

sudo chown -R www-data:www-data /var/log/growi

設定ファイル作成

cat <<- __EOF__ | sudo tee -a /etc/apache2/sites-available/growi.conf
<VirtualHost _default_:80>
    ServerName 【hoge.example.com】
    # ドメイン名を指定します
    RewriteEngine On
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# HTTPアクセスを強制的にHTTPSにリダイレクトします
</VirtualHost>

<VirtualHost _default_:443>
    ServerName 【hoge.example.com】
    # ドメイン名を指定します
    CustomLog /var/log/growi/growi_access.log combined 
    ErrorLog /var/log/growi/growi_error.log

#SSL設定
  SSLEngine on
    Protocols h2 http/1.1
SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
#TLS1.3に対応していないクライアントがアクセスする場合は以下を用います
#SSLProtocol -ALL +TLSv1.2 +TLSv1.3
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLCertificateFile 【/etc/certs/hoge.example.com.crt】
# SSL証明書を指定します
SSLCertificateKeyFile 【/etc/private/hoge.example.com.key】
# 秘密鍵を指定します

    # Header に Host: example.com を追加するため
    ProxyPreserveHost On
    # HTTPS利用時: Header に x-forwarded-proto: https を追加するため
    RequestHeader set x-forwarded-proto 'https'
    # Apache では static assets で 304 が返らないことがあるので ETag を無効化する
    <ifModule mod_headers.c>
            Header unset ETag
    </ifModule>

FileETag None 

<FilesMatch "\.(js|css|png|jpg|gif|svg|woff2?)$">
    Header set Cache-Control "public, max-age=31536000, immutable"
</FilesMatch>

# リバースプロキシー設定
RewriteEngine on
RewriteCond %{HTTP:Upgrade} websocket [NC]
RewriteRule /(.*) ws://localhost:3000/$1 [P,L]

ProxyPass        / http://localhost:3000/
ProxyPassReverse / http://localhost:3000/


#セキュリティヘッダー付与

    Header always set Strict-Transport-Security "max-age=63072000"
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set X-XSS-Protection "1; mode=block"
</VirtualHost>
__EOF__

【】内を自分の環境に変更してください。

設定反映

sudo a2ensite growi.conf

コンフィグ確認

sudo apache2ctl configtest

Syntax OKを確認します。

Apache2再起動

sudo systemctl restart apache2.service

Growiインストール確認

http://設定したドメイン
でアクセスします。

初期サイトが表示されたらインストール完了です。

管理者メールアドレス
管理パスワード

等を設定してログインします。

Redmine5.xとGmailを連携させる。

By manualmaton

オン 2025年6月19日

カテゴリー: Linux

前に書いたこちらの記事を、よりステップを追うと共に実運用に沿って記述したものです。

自室redmineサーバ上とGmailの連携。

本記事で実施すること

RedmineとGmailアカウントを紐付け、Redmineからの各種通知をメールで受け取れるようにする。

想定している読者

メール通知機能を行いたいが、SMTPサービスを用意したくない
(AWSはSMTP機能を遮断しているなど)
Redmineのconfiguration.ymlを設定していない

前提

以下が必須です。

Redmine稼働サーバのSSHアクセス権限がある
かつ管理者権限を持っている
Gmailアカウントを持っている
- ※この連携のためだけに、一つ、連携専用のアカウントを作成することを「強く、強く」推奨します。

また、Redmineのディレクトリを

/home/www-data/redmine

としていますので、自分の環境に合わせてください。

注意事項

本記事により、以下のリスクが発生します。

Gmailアプリパスワード漏洩により、用意したアカウントでメールが送信される。
その他、 Googleアカウント全体が危険にさらされる。

そのため、この作業は細心の注意を払ってください。

さっくりとした手順

Gmailの2段階認証を有効にします。
アプリパスワードを発行します。
Redmine稼働サーバでメールの設定を行います。
送信確認を行います。

Googleアカウントで設定をします。

Googleアカウント＞セキュリティに移動します。
Googleへのログインで「2段階認証プロセス」をオンにします。

どういう方法で認証をするかは運用に合わせてください。

アプリパスワードを用意します。

Googleアカウント＞セキュリティに移動します。
Googleへのログイン＞アプリパスワードに移動します。
プルダウンメニューから以下を入力し、「生成」をクリックします。
アプリを選択：メール
デバイスを選択：その他(名前を入力)
任意の名前(redmine等)を入力
生成されたパスワードを控えます。
このパスワードはGoogleアカウントへのアクセス権が付与されることに注意ください。
このパスワードはRedmineサイトのDBパスワードと同様の厳密さで運用しましょう。

メールサーバ情報を設定します。(RedmineサーバにSSH接続）

【】内は、自分の環境に合わせます。

cat <<- __EOF__ | sudo tee -a 【/home/www-data/redmine/config/configuration.yml】
production:
  email_delivery:
    delivery_method: :smtp
    smtp_settings:
      address: "smtp.gmail.com"
      port: 465
      ssl: true
      authentication: :plain
      domain: "smtp.gmail.com"
      user_name: "【Gmailアドレス】"
      password: "【上述したアプリパスワード】"
__EOF__

ls -l /home/www-data/redmine/configconfiguration.yml

配置したディレクトリは自分の環境に合わせます。

設定を反映します。

sudo systemctl restart apache2.service

自分が使っているWebサービスに合わせます。

Redmineサイトに管理者アカウントでログインします。

管理＞設定に移動します。
「メール通知」がタブが有効になっているので、このタブをクリックします。

通知メールの設定を行います。

以下を設定して「保存」をクリックします。

送信元メールアドレス：自分のメールアドレス
宛先を非表示(bcc):チェックを外す
メール通知の送信対象とする操作:運用に合わせます。

通知メールの確認を行います。

Redmineの個人設定に移動します。
1.「自分自身による変更の通知は不要」のチェックを外し、保存をクリックします。
任意のチケットを発行/変更し、メールが届いていることを確認します。

以上で、設定は完了です。

トラブルシューティング：メールが届かない場合

Googleからのセキュリティ通知を確認する

新しいサーバー（VPS）からの最初のログインは、Googleによって「不審なログイン試行」と見なされ、一時的にブロックされることがあります。

その場合、Gmailアカウントの受信トレイに「セキュリティ通知」メールが届いているはずです。メールの内容に従い、「はい、心当たりがあります」などの操作を行って、アクセスを許可してください。

サーバーからGmailへの接続を確認する:

RedmineサーバーからGmailのSMTPサーバーに到達できるかを確認します。SSHで以下のコマンドを実行します。

telnet smtp.gmail.com 587

Connected to smtp.gmail.com.のように表示されれば、ネットワーク的な接続は問題ありません。（終了するには quit と入力します）

Mod_Securityチューニングのケーススタディ：「PCRE limits exceeded」エラーへの対処

By manualmaton

オン 2025年6月18日

カテゴリー: Linux

概要

先日の記事でgitを用いたmod-securrity core rule setのアップデートを行いました。

このアップデートにより新たに検知されたルールの対処を行います。

環境

Ubuntu 24.04
Apache 2.4
Mod_Security 2系
OWASP Core Rule Set v4.1.5
ApacheのバーチャルファイルごとにModSecurityを制御

事象

OWASP Core Rule Set (CRS) を導入したModSecurityをブロックモード（SecRuleEngine On）に切り替え後、

Apacheのエラーログに、これまで見られなかった Execution error - PCRE limits exceeded (-47) というエラーが大量に記録されていることを発見しました。

エラー例(IPアドレスやホスト名は改変済み)

[Sat Jun 14 11:09:05.195039 2025] [security2:error] [pid 28306:tid 28306] [client AAA.BBB.CCC.DDD:59314] [client AAA.BBB.CCC.DDD] ModSecurity: Rule 73f4b9603e90 [id "951190"][file "/usr/share/modsecurity-crs/coreruleset/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf"][line "246"] - Execution error - PCRE limits exceeded (-47): (null). [hostname "hoge.example.com"] [uri "/path/to/page.html"] [unique_id "aE_NnHj4jZdbb2PH1-4O0QAAABc"]
[Sat Jun 14 11:09:05.195564 2025] [security2:error] [pid 28306:tid 28306] [client AAA.BBB.CCC.DDD:59314] [client AAA.BBB.CCC.DDD] ModSecurity: Rule 73f4b95f9e98 [id "951210"][file "/usr/share/modsecurity-crs/coreruleset/rules/RESPONSE-951-DATA-LEAKAGES-SQL.conf"][line "288"] - Execution error - PCRE limits exceeded (-47): (null). [hostname "hoge.example.com"] [uri "/path/to/page.html"] [unique_id "aE_NnHj4jZdbb2PH1-4O0QAAABc"]

このログから、SQLインジェクション系の情報漏洩を検知するRESPONSE-951-DATA-LEAKAGES-SQL.confの内容に沿ったものと特定。

cat /var/log/apache2/hoge/error.log |grep 951190 |wc -l

としたところ、数時間で2万件近いログを検知。

PCEリミットとは？

複雑な正規表現を、非常に大きなデータ（Webページなど）に対して実行すると、サーバーのCPUやメモリを大量に消費し、サービス拒否（DoS）攻撃に繋がる危険性があります。これを防ぐため、ModSecurityには処理の複雑さや再帰の深さに上限（リミット）が設けられています。

エラーの原因

今回のエラーは、サーバーが返信するHTMLページ（レスポンスボディ）の内容を、情報漏洩がないか確認するルールがスキャンしようとした際に、そのWebページの内容が非常に大きい、または複雑であったため、PCREの処理上限値を超えてしまったことが原因です。(筆者のサイトの長文が災いしています)

対処内容

この、処理上限値を超えてしまったことでエラーが発生したのですからmodsecurity.confでSecPcreMatchLimitの値を大きくすると言うのが考えられる対処ではありますが、

運用しているサイトのvpsのリソースを鑑みて、より簡便な「原因となっている特定のルールのみの無効化」を行いました。

さっくりとした手順

Apacheのバーチャルサイト設定(.confファイル)のバックアップを取ります。
.confファイルの修正を行います。
Apache再起動で修正を反映させます。
ログを確認し、設定反映を確認します。

設定ファイルの修正

ファイルのバックアップ

sudo cp -ci /etc/apache2/sites-available/hoge.conf /path/to/backup/directory/hoge.conf.$(date +%Y%m%d)

設定ファイルやバックアップディレクトリは自分の環境に合わせます。

バックアップ確認

diff -u /path/to/backup/directory/hoge.conf.$(date +%Y%m%d) /etc/apache2/sites-available/hoge.conf

エラー無く、差分も表示されていなければバックアップは成功です。

ファイル修正

/etc/apache2/sites-available/hoge.confを以下のように修正していきます。(要root権限)

# PCREリミット超過エラーを起こす、レスポンスボディスキャン系のルール群を無効化
SecRuleRemoveById 951190
SecRuleRemoveById 951210
SecRuleRemoveById 951220
SecRuleRemoveById 951250

ファイル修正確認

diff -u /path/to/backup/directory/hoge.conf.$(date +%Y%m%d) /etc/apache2/sites-available/hoge.conf

差分例

+ # PCREリミット超過エラーを起こす、レスポンスボディスキャン系のルール群を無効化
+ SecRuleRemoveById 951190
+ SecRuleRemoveById 951210
+ SecRuleRemoveById 951220
+ SecRuleRemoveById 951250

設定ファイルの設定反映

構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

設定反映

sudo systemctl restart apache2.service

Apache稼働確認

systemctl status apache2.service

active(running)を確認します。

動作確認

対処後、ターミナルで

tail -f /var/log/apache2/hoge/error.log |grep "PCRE limits"

を実行し、しばらく観察します。

このエラーが表示されないことを確認し、処置が完了です。

gitによるmod-securrity core rule setのアップデート。

By manualmaton

オン 2025年6月17日

カテゴリー: Linux

概要

こちらの方法で導入したMod-Security（WAF）。

この防御ルールであるOWASP Core Rule Setの更新を行います。

環境

Ubuntu 24.04
Apache 2.4
- バーチャルサイトで個別設定
- aptでインストールしているため
- 設定ファイルは/etc/apache2/sites-available配下の.confファイル
- サービス実行ユーザはwww-data
Mod Security ver.2系

注意点

アップデートにより

追加されたルール
削除されたルール
変更された挙動

などがあるため、今までと同じ作業をしていたのにWAFがブロックした（あるいは今までブロックされていたアクセスがスルーした）などは可能性としてあります。

なので、

ModSecurityを検知モードにして作業を実施する
しばらく様子を見て有効化に戻す

という作業を取ります。そのため、WAFの防御が一度無効化される時間が発生します。

環境や予算が許すなら、インターネットに公開された別環境で試してからの方が良いでしょう。

→ テストが済んでいる状態であれば、本番環境で「ModSecurityをオフにする」の作業は不要になります。

さっくりとした手順

【事前準備】ModSecurityを検知モードにします。
【事前準備】ルールセットディレクトリのバックアップを行います。
gitで最新リリースを確認します。
OWASP Core Rule Setのアップデートを行います。
Webサービスの再起動でアップデートを反映させます。
【事後作業】ModSecurityを有効化します。

【事前準備】ModSecurityを検知モードにします。

ディレクトリ移動

cd /etc/apache2/sites-available && pwd

.confファイルのバックアップ

sudo cp -pi hoge.conf /path/to/backup/directory/hoge.conf.yyyymmdd

設定ファイル(.conf)は自分の環境に合わせます。
任意のバックアップディレクトリを指定します。

.confファイルのバックアップ確認

diff -u /path/to/backup/directory/hoge.conf.yyyymmdd hoge.conf

差分が無いことを確認します。

通常、筆者は$(date +%Y%m%d)変数を用いてバックアップを行いますが、「検知モードでの試験」は日をまたぐこともあるため、この形式にしています。

.confファイルの編集

hoge.confファイルを管理者権限で修正。

SecRuleEngine On

から

SecRuleEngine DetectionOnly

に変更し、保存します。

ファイル修正確認

diff -u /path/to/backup/directory/hoge.conf.$(date +%Y%m%d) hoge.conf

以下の差分を確認します。

- SecRuleEngine On
+ SecRuleEngine DetectionOnly

設定ファイル構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

Webサービス再起動前確認

systemctl status apache2.service

active(running)を確認します。

Webサービス再起動

sudo systemctl restart apache2.service

※設定ファイルの修正のみのためreloadで十分ですが、念を入れてrestartにしています。（以下同じ）

Webサービス再起動後確認

systemctl status apache2.service

active(running)を確認します。

【事前準備】ルールセットディレクトリのバックアップを行います。

cd /usr/share/modsecurity-crs && pwd

これは、上記のリンク先で示した通り、ルールセットを/usr/share/modsecurity-crs/corerulesetに配置していた場合のディレクトリです。

必要に応じて自分の環境に合わせます。

ルールセットのディレクトリコピー

sudo cp -pir coreruleset /path/to/backup/directory/coreruleset.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

ディレクトリコピー確認

ls -l /path/to/backup/directory/coreruleset.$(date +%Y%m%d)

ディレクトリ一式があることを確認します。

OWASP Core Rule Setのアップデート

ディレクトリ移動

cd /usr/share/modsecurity-crs/coreruleset && pwd

リモートリポジトリの確認

sudo git fetch origin

最新バージョンとの差分確認

sudo git status

筆者環境で、以下のように表示されました。

ブランチ main

このブランチは 'origin/main' に比べて172コミット遅れています。fast-forwardすることができます。

  (use "git pull" to update your local branch)


Changes not staged for commit:

  (use "git add/rm <file>..." to update what will be committed)

  (use "git restore <file>..." to discard changes in working directory)

        deleted:    crs-setup.conf.example


no changes added to commit (use "git add" and/or "git commit -a")

コミット内容が大幅に変わっているので、上述した「検知モードで様子見にする」が活きてきます。

gitによるアップデート

sudo git pull

これで、OWASP Core Rule Setが最新版に変更されました。

Webサービスの再起動でアップデートを反映させます。

Webサービス再起動前確認

systemctl status apache2.service

active(running)を確認します。

Webサービス再起動

sudo systemctl restart apache2.service

Webサービス再起動後確認

systemctl status apache2.service

active(running)を確認します。

その後、既存のWebシステムに問題が無いかを確認します。

tail -f /var/log/hoge/hoge_error.log

等として、通常の作業を行い

既存のサービスに異常は無いか？
新たな偽陽性は発生していないか？

等を確認し、それに応じて新たな偽陽性の除外などを行っていきます。

【事後作業】ModSecurityを有効化します。

アップデートの影響で既存サービスに問題が無いことが判明したら、再びModSecurityを有効化します。この例では、バックアップから.confファイルを切り戻します。

バーチャルサイト(.conf)ファイルのディレクトリに移動

cd /etc/apache2/sites-available && pwd

バックアップから切り戻し

sudo cp -pi /path/to/backup/directory/hoge.conf.$(date +%Y%m%d) hoge.conf

Webサービス再起動前確認

systemctl status apache2.service

active(running)を確認します。

Webサービス再起動

sudo systemctl restart apache2.service

Webサービス再起動後確認

systemctl status apache2.service

active(running)を確認します。

その後、既存のWebシステムに問題が無いかを確認します。

有効化前に既存.confファイルを修正した場合

新たに偽陽性を追加した、既存のファイルを削除した、またはそれに伴う設定変更を行ったことにより、バックアップ前と.confファイルが異なるケースはあります。

その場合は、.confファイルの

SecRuleEngine DetectionOnly

を

SecRuleEngine On

と修正した後で以下の作業を行います。

設定ファイル構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

Webサービス再起動前確認

systemctl status apache2.service

active(running)を確認します。

Webサービス再起動

sudo systemctl restart apache2.service

Webサービス再起動後確認

systemctl status apache2.service

active(running)を確認します。

2025年7月
月	火	水	木	金	土	日
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31