タグ: Linux Page 1 of 22

Growi v7.1.xのアップグレード手順。

By manualmaton

オン 2024年11月19日

カテゴリー: Linux

概要

V7.1.xからパッケージ管理がyarnではなくmnpmに変更されました。

その手順に合わせたメモです。

前提

既にgrowiをインストールしていること。
systemdによってサービス化されていること。
最新版や安定版がリリースされていることを以下のサイトで確認していること。
https://github.com/weseek/growi/releases

※備考

v7.0.x以前はyarnを用います。

手順

さっくりとした手順

growiのサービスを停止します。
gitコマンドで最新版を引っ張ります。
アップグレードを行います。
growiのサービスを再開します。
アップグレードされたことを確認します。

growiサービスを停止します

growiのステータス確認(停止前)

systemctl status growi.service

※ サービススクリプト名は自分の環境に合わせます。
※ active(running)を確認します

growiのサービス停止

sudo systemctl stop growi.service

growiのステータス確認(停止後)

systemctl status growi.service

inactive (dead)を確認します

growiディレクトリに移動します

cd /opt/growi

自分の環境に合わせます。

リリースタグを確認します。

リリースタグ取得

sudo git fetch --tags

リリースタグ確認

sudo git tag -l

スペースで確認していき、上記リリースサイトと同じバージョンがあることを確認します。

チェックアウトとインストールを行います。

変更を一時的に退避

sudo git stash

チェックアウト

sudo git checkout 【バージョン】

pnpm install

sudo pnpm install

ビルド

sudo npm app:build

growiサービスを起動します。

再開前のステータス確認

systemctl status growi.service

inactive (dead)を確認します

サービス再起動

sudo systemctl start growi.service

※ 完全に起動していないと、アクセスしても503エラーが発生します。

再開後のステータス確認

systemctl status growi.service
サービススクリプトを[growi]にしている場合

active (running)を確認します

バージョンアップを確認します。

ブラウザから設定したgrowiのドメイン/IPにアクセスします。
画面下部にあるバージョンがチェックアウトしたバージョンであることを確認します。

Redmine 5.1にenhanced_uxプラグインをインストール。

By manualmaton

オン 2024年11月7日

カテゴリー: redmine

概要

以下のように、UX回りを大幅にパワーアップするプラグインです。

Ctrl+クリックでポップアップ

二画面モードの追加

動作を確認した環境

Ubuntu 24.04
Redmine 5.1
Apache 2.4

さっくりとした手順

Redmineのプラグイン配置ディレクトリに移動します。
git cloneを行います。
Webサービスを再起動します。
動作を確認します。

Redmine プラグイン配置ディレクトリに移動

cd /home/www-data/redmine && pwd

自分の環境に合わせます。

プラグインインストール

git clone

sudo -u www-data git clone https://github.com/sk-ys/redmine_enhanced_ux

clone 確認

ls -ld redmine_enhanced_ux

ディレクトリがあることを確認します。

Webサービス再起動

sudo systemctl restart apache2.service

動作確認

Redmineに管理者権限でログインします。
管理＞プラグイン＞Redmine Enhanced UX plugin＞設定に移動します。
有効にしたい機能を選び、チェックしていきます。

利用者にとっては、ない方がよかった機能もいくつかあります。そこはユーザーと調整しながら行ってください。

Ubuntu24.04にGrowi v7をインストール。(v7.1.0対応版)

By manualmaton

オン 2024年11月5日

カテゴリー: Linux

Growi v7.1.0のインストールメモです。

パッケージ管理がyarnからpnpmに変更されているため、若干手間が異なります。

環境

Ubuntu 24.04
Apache 2.4

の基本的な設定が済んだという状況です。

前提

名前解決できるドメインが用意されている。
そのドメインに応じた証明書が用意されている。

さっくりとはならない手順

必要なパッケージをインストールします。
Node.js/npmをインストールします。
Redis-serverをインストールします。
Javaをインストールします。
ElasticSearch 8をインストールします。
- ElasticSearchの設定変更を行います。
- ElasticSearchのプラグインをインストールします。
- ElasticSearchの設定変更を反映します。
MongoDBをインストールします。
- MongoDBのデータ格納先を変更します。(オプション)
- MongoDBの設定変更を反映します。(オプション)
pnpmのインストールを行います。
turboパッケージをインストールします。
Growiのインストールを行います。
- pnpmを用いてインストールします。
- アプリのビルドを行います。
- 自動起動のスクリプトを作成します。
Apacheのリバースプロキシの設定を行います。
ブラウザで初期インストールを行います。

手順

必要なパッケージのインストールを行います。

git, buildツールなど

sudo aptitude install build-essential git git-lfs apt-transport-https

※v6系と異なり、git-lfsをインストールしない状態でgit-cloneを行うと正しくビルドが行えません。

node20をインストールします。

レポジトリ追加

sudo curl -fsSL https://deb.nodesource.com/setup_20.x | sudo -E bash

パッケージアップグレード

sudo aptitude update

Node.jsインストール

sudo aptitude install nodejs

Node.jsバージョン確認

node -v

2024/10/30現在:v20.18.0

npmバージョン確認

npm -v

2024/10/30現在:10.9.0

redis-serverをインストールします。

インストール

sudo  aptitude install redis-server

起動確認

systemctl status redis-server

active(running)を確認します。

自動起動有効化

sudo systemctl enable redis-server

Javaをインストールします。

インストール

sudo aptitude install openjdk-17-jdk

ElasticSearhをインストールします。

OpenJDKインストール

sudo aptitude install openjdk-17-jdk sudo bash -

gpg追加

sudo wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg

レポジトリ追加

sudo echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list

パッケージのアップグレード

sudo aptitude update

ElasticSearchインストール

sudo aptitude install elasticsearch

※この後、デフォルトパスワードが表示されますが、控えておく程度にしましょう。

JVM設定変更

バックアップディレクトリ作成

sudo mkdir /etc/elasticsearch/old

※任意のバックアップディレクトリを指定します。

設定ファイルバックアップ

sudo cp -pi /etc/elasticsearch/jvm.options /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d)

設定ファイル書き換え

echo -e "-Xms256m\n-Xmx256m" | sudo tee -a /etc/elasticsearch/jvm.options

書き換え確認

sudo diff -u /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d) /etc/elasticsearch/jvm.options

差分

+-Xms256m
+-Xmx256m

ElasticSearchの設定変更

※この作業だけ管理者権限で実行します。

root昇格

sudo su -

設定ファイルバックアップ

cp -pi /etc/elasticsearch/elasticsearch.yml /path/to/backup/elasticsearch.yml.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

ファイル書き換え

sed -i -e 's/xpack.security.enabled: true/xpack.security.enabled: false/' \
       -e '/xpack.security.http.ssl:/{n; s/  enabled: true/  enabled: false/}' \
       -e '/xpack.security.transport.ssl:/{n; s/  enabled: true/  enabled: false/}' /etc/elasticsearch/elasticsearch.yml

差分確認

diff -u /path/to/backup/elasticsearch.yml.$(date +%Y%m%d) /etc/elasticsearch/elasticsearch.yml

差分

 # Enable security features
-xpack.security.enabled: true
+xpack.security.enabled: false

 xpack.security.enrollment.enabled: true

 # Enable encryption for HTTP API client connections, such as Kibana, Logstash, and Agents
 xpack.security.http.ssl:
-  enabled: true
+  enabled: false
   keystore.path: certs/http.p12

 # Enable encryption and mutual authentication between cluster nodes
 xpack.security.transport.ssl:
-  enabled: true
+  enabled: false

rootから抜ける

exit

ElasticSearchのプラグインを追加

analysis-kuromoji インストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-kuromoji

analysis-isu インストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-icu

自動起動設定反映

起動

sudo systemctl start elasticsearch

起動確認

systemctl status elasticsearch

active(running)を確認します。

自動起動有効化

sudo systemctl enable elasticsearch

MongoDBインストール

レポジトリ追加

必要パッケージインストール

sudo aptitude install gnupg

gpg追加

curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | \
   sudo gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg \
   --dearmor

レポジトリ追加

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list

MongoDBインストール

パッケージのアップグレード

sudo aptitude update

MongoDBインストール

sudo aptitude install mongodb-org

保存先変更（オプション）

MongoDBの格納先を、冗長化構成されているパーティションにするため対応しました。

格納ディレクトリ作成

sudo mkdir /home/mongodb

保存先を変えたいところにします

所有者変更

sudo chown -R mongodb:mongodb /home/mongodb

所有者変更確認

ls -ld /home/mongodb

設定ファイルのバックアップ取得

sudo cp -pi /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

バックアップ確認

sudo diff -u /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)

バックアップが保存されたか、差分がないことで確認します。

ファイル書き換え

sudo sed -i 's/dbPath: \/var\/lib\/mongodb/dbPath: \/home\/mongodb/' /etc/mongod.conf

差分確認

sudo diff -u /path/to/backup/mongod.conf.$(date +%Y%m%d) /etc/mongodb.conf

差分

-  dbPath: /var/lib/mongodb
+  dbPath: /home/mongodb

自動起動有効

mongodサービス起動

sudo systemctl start mongod

サービス起動確認

systemctl status mongod

active (running)を確認します

自動起動有効化

sudo systemctl enable mongod

pnpmインストール

npmでpnpmインストール

sudo npm install -g pnpm

turboインストール

※Growi v6.1.0から必須パッケージとなりました。

sudo yarn global add turbo

Growiインストール

git clone

sudo git clone https://github.com/weseek/growi /home/www-data/growi

※任意のディレクトリを指定します。

ディレクトリ移動

cd /home/www-data/growi && pwd

先ほどcloneしたディレクトリです。

チェックアウト

sudo git checkout -b v7.1.0 refs/tags/v7.1.0

lfs pull

sudo git lfs pull

pnpmによるインストール

sudo pnpm install

CPUのスペックによっては相当な時間がかかります。

ビルド

sudo npm run app:build

やはり時間がかかります。

自動起動スクリプトの作成

systemd作成

cat <<- __EOF__ | sudo tee -a /etc/systemd/system/growi.service
[Unit]
Description = growi
After=network-online.target mongod.service
After=network.target elasticsearch.service
ConditionPathExists=【/home/www-data/growi】

[Service]
ExecStart=【/home/www-data/growi/】growi-start.sh
Restart=no
Type=simple

[Install]
WantedBy=multi-user.target
__EOF__

※【】内を、git cloneしたディレクトリにします。

Growiインストールディレクトリに作成
教義・信仰に沿ったエディタで作成します。
ファイル名:growi-start.sh
growiを配置したディレクトリ内に作成します。

#!/bin/bash
cd 【/home/www-data/growi】
NODE_ENV=production \
AUDIT_LOG_ENABLED=true \
FORCE_WIKI_MODE=private \
MONGO_URI=mongodb://localhost:27017/growi \
ELASTICSEARCH_URI=http://localhost:9200/growi \
REDIS_URI=redis://localhost:6379 \
PASSWORD_SEED=[任意の文字列] \
npm run app:server

※【】内を、git cloneしたディレクトリにします。
[]内には任意の文字列を入れます。例：PASSWORD_SEED=GOLDEN_SEED

また、オプションなどは好みに応じて指定してください。(今回はs3互換クラウドストレージに保存するため、ファイルのアップロードを自由選択にしています。)

権限変更

sudo chmod +x /home/www-data/growi/growi-start.sh

systemd設定反映

sudo systemctl daemon-reload

growi有効化

sudo systemctl start growi.service

growi有効化確認

systemctl status growi.service

active(running)を確認

自動起動有効化

sudo systemctl enable growi.service

Apacheによるリバースプロキシの設定

モジュールインストール

sudo a2enmod proxy_http rewrite

apache再起動

sudo systemctl restart apache2.service

ログ保存ディレクトリ作成

suod mkdir /var/log/growi/

所有者変更

sudo chown -R www-data:www-data /var/log/growi

設定ファイル作成

cat <<- __EOF__ | sudo tee -a /etc/apache2/sites-available/growi.conf
<VirtualHost _default_:80>
    ServerName 【hoge.example.com】
    # ドメイン名を指定します
    RewriteEngine On
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# HTTPアクセスを強制的にHTTPSにリダイレクトします
</VirtualHost>

<VirtualHost _default_:443>
    ServerName 【hoge.example.com】
    # ドメイン名を指定します
    CustomLog /var/log/growi/growi_access.log combined 
    ErrorLog /var/log/growi/growi_error.log

#SSL設定
  SSLEngine on
    Protocols h2 http/1.1
  # SSLを有効化します

SSLCertificateFile 【/etc/certs/hoge.example.com.crt】
# SSL証明書を指定します
SSLCertificateKeyFile 【/etc/private/hoge.example.com.key】
# 秘密鍵を指定します

    # Header に Host: example.com を追加するため
    ProxyPreserveHost On
    # HTTPS利用時: Header に x-forwarded-proto: https を追加するため
    RequestHeader set x-forwarded-proto 'https'
    # Apache では static assets で 304 が返らないことがあるので ETag を無効化する
    <ifModule mod_headers.c>
            Header unset ETag
    </ifModule>
    FileETag None

    # socket.io の path を rewrite する
    RewriteEngine On
    RewriteCond %{REQUEST_URI}  ^/socket.io            [NC]
    RewriteCond %{QUERY_STRING} transport=websocket    [NC]
    RewriteRule /(.*) ws://localhost:3000/$1 [P,L]

    ProxyPass / http://localhost:3000/
    ProxyPassReverse / http://localhost:3000/

</VirtualHost>

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:EC6-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off
__EOF__

【】内を自分の環境に変更してください。

※Ubuntu22.04の時と異なり、socket.ioのpathは公式ドキュメント通りで正常に動作しています。

設定反映

sudo a2ensite growi.conf

コンフィグ確認

sudo apache2ctl configtest

Syntax OKを確認します。

Apache2再起動

sudo systemctl restart apache2.service

Growiインストール確認

http://設定したドメインでアクセスします。

この初期サイトが表示されたらインストール完了です。

Ubuntu 24.04環境でのGrowi 7.0.23→7.1.0へのバージョンアップ

By manualmaton

オン 2024年11月4日

カテゴリー: Linux, PC

Ubuntu 7.1.0はかなり大きめの仕様変更がありました。

https://github.com/weseek/growi/releases/tag/v7.1.0

いくつかハマったポイントがありましたが、「自分はこの手順でうまくいった」 というメモを残します。

バージョンアップ前環境

Ubuntu 24.04
Mongodb 6.0.19
npm 10.9.0
node v20.18.0
yarn 1.22.22
Growi 7.0.23

以下の手順に沿ってインストール済みです。

https://barrel.reisalin.com/books/growi/page/ubuntu2404growi-v7v710

バージョンアップ後環境

Ubuntu 24.04
Mongodb 6.0.19
npm 10.9.0
node v20.18.0
pnpm 9.12.3
Growi 7.1.0

ここで分かるように、パッケージ管理がyarnからpnpmへと変わっています。

さっくりとした手順

Growiサービスを停止します。
Growiのディレクトリを退避します。
新たにgit cloneを行います。
チェックアウトを行います。
pnpmのインストールを行います。
アプリのビルドを行います。
Growiスタートアップスクリプトをコピーします。
Growiサービスを起動します。
バージョンアップを確認します。

なぜか通常のgit checkoutはビルドがうまくいきませんでした。

Growiサービスの停止

Growiサービス停止前確認

systemctl status growi.service

active(running)を確認します。

Growiサービス停止

sudo systemctl stop growi.service

Growiサービス停止後確認

systemctl stop growi.service

inactive(dead)を確認します。

Growiディレクトリの退避

ディレクトリ退避

筆者環境は/home/www-data/growiです。

sudo mv /home/www-data/growi /path/to/backup/directory/growi_org

ディレクトリ退避確認

ls -l /path/to/backup/directory/growi_org

ファイル一覧が参照できることを確認します。

Growiデータの新規取得

git clone

sudo git clone https://github.com/weseek/growi /home/www-data/growi

※任意のディレクトリを指定します。

ディレクトリ移動

cd /home/www-data/growi && pwd

先ほどcloneしたディレクトリですが、退避前のディレクトリと同じことを確認します。

Growi v7.1.0をチェックアウト

チェックアウト

sudo git checkout -b v7.1.0 refs/tags/v7.1.0

lfs pull

sudo git lfs pull

pnpmパッケージのインストール

npm install

sudo npm install -g pnpm

インストール確認

pnpm --version

9.12.3を確認(2024/11/02現在)

Growiインストール

lfs pull

sudo git lfs pull

pnpmインストール

sudo pnpm install

※ マシンスペックによっては相当時間がかかります
※ Done in 【時間】と書かれていたらアップグレード完了です

ビルド

sudo npm run app:build

退避させたGrowiから起動スクリプトのコピー

筆者のように、起動スクリプトをGrowiのインストールディレクトリに仕込んでいる場合の手順です。

スクリプトコピー

sudo cp -pi /path/to/backup/directory/growi_org/growi-start.sh /home/www-data/growi/

それぞれ、バックアップしたディレクトリとcloneしたディレクトリです。

コピー確認

ls -l /home/www-data/growi/growi-start.sh

ファイルがあることを確認します。

growiサービスを起動します。

再開前のステータス確認

systemctl status growi.service

inactive (dead)を確認します

サービス再起動

sudo systemctl start growi.service

※ 完全に起動していないと、アクセスしても503エラーが発生します。

再開後のステータス確認

systemctl status growi.service
サービススクリプトを[growi]にしている場合

active (running)を確認します

バージョンアップを確認します。

ブラウザから設定したgrowiのドメイン/IPにアクセスします。
画面下部にあるバージョンが7.1.0であることを確認します。

Ubuntu24.04にGrowi v7をインストール。

By manualmaton

オン 2024年11月1日

カテゴリー: Linux

ようやく、Ubuntu24.04にGrowiをインストールできたのでそのメモです。

参考手順:GROWIをUbuntuで構築した

環境

Ubuntu 24.04
Apache 2.4

の基本的な設定が済んだという状況です。

前提

名前解決できるドメインが用意されている。
そのドメインに応じた証明書が用意されている。

さっくりとはならない手順

必要なパッケージをインストールします。
Node.js/npmをインストールします。
Redis-serverをインストールします。
Javaをインストールします。
ElasticSearch 8をインストールします。
- ElasticSearchの設定変更を行います。
- ElasticSearchのプラグインをインストールします。
- ElasticSearchの設定変更を反映します。
MongoDBをインストールします。
- MongoDBのデータ格納先を変更します。(オプション)
- MongoDBの設定変更を反映します。(オプション)
yarnのインストールを行います。
- turboパッケージをインストールします。
Growiのインストールを行います。
- yarnを用いてインストールします。
- アプリのビルドを行います。
- 自動起動のスクリプトを作成します。
Apacheのリバースプロキシの設定を行います。
ブラウザで初期インストールを行います。

手順

必要なパッケージのインストールを行います。

git, buildツールなど

sudo aptitude install build-essential git git-lfs apt-transport-https

※v6系と異なり、git-lfsをインストールしない状態でgit-cloneを行うと正しくビルドが行えません。

node20をインストールします。

レポジトリ追加

sudo curl -fsSL https://deb.nodesource.com/setup_20.x | sudo -E bash

パッケージアップグレード

sudo aptitude update

Node.jsインストール

sudo aptitude install nodejs

Node.jsバージョン確認

node -v

2024/10/30現在:v20.18.0

npmバージョン確認

npm -v

2024/10/30現在:10.9.0

redis-serverをインストールします。

インストール

sudo  aptitude install redis-server

起動確認

systemctl status redis-server

active(running)を確認します。

自動起動有効化

sudo systemctl enable redis-server

Javaをインストールします。

インストール

sudo aptitude install openjdk-17-jdk

ElasticSearhをインストールします。

OpenJDKインストール

sudo aptitude install openjdk-17-jdk sudo bash -

gpg追加

sudo wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg

レポジトリ追加

sudo echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list

パッケージのアップグレード

sudo aptitude update

ElasticSearchインストール

sudo aptitude install elasticsearch

※この後、デフォルトパスワードが表示されますが、控えておく程度にしましょう。

JVM設定変更

バックアップディレクトリ作成

sudo mkdir /etc/elasticsearch/old

※任意のバックアップディレクトリを指定します。

設定ファイルバックアップ

sudo cp -pi /etc/elasticsearch/jvm.options /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d)

設定ファイル書き換え

echo -e "-Xms256m\n-Xmx256m" | sudo tee -a /etc/elasticsearch/jvm.options

書き換え確認

sudo diff -u /etc/elasticsearch/old/jvm.options.$(date +%Y%m%d) /etc/elasticsearch/jvm.options

差分

+-Xms256m
+-Xmx256m

ElasticSearchの設定変更

※この作業だけ管理者権限で実行します。

root昇格

sudo su -

設定ファイルバックアップ

cp -pi /etc/elasticsearch/elasticsearch.yml /path/to/backup/elasticsearch.yml.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

ファイル書き換え

sed -i -e 's/xpack.security.enabled: true/xpack.security.enabled: false/' \
       -e '/xpack.security.http.ssl:/{n; s/  enabled: true/  enabled: false/}' \
       -e '/xpack.security.transport.ssl:/{n; s/  enabled: true/  enabled: false/}' /etc/elasticsearch/elasticsearch.yml

差分確認

diff -u /path/to/backup/elasticsearch.yml.$(date +%Y%m%d) /etc/elasticsearch/elasticsearch.yml

差分

 # Enable security features
-xpack.security.enabled: true
+xpack.security.enabled: false

 xpack.security.enrollment.enabled: true

 # Enable encryption for HTTP API client connections, such as Kibana, Logstash, and Agents
 xpack.security.http.ssl:
-  enabled: true
+  enabled: false
   keystore.path: certs/http.p12

 # Enable encryption and mutual authentication between cluster nodes
 xpack.security.transport.ssl:
-  enabled: true
+  enabled: false

rootから抜ける

exit

ElasticSearchのプラグインを追加

analysis-kuromoji インストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-kuromoji

analysis-isu インストール

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install analysis-icu

自動起動設定反映

起動

sudo systemctl start elasticsearch

起動確認

systemctl status elasticsearch

active(running)を確認します。

自動起動有効化

sudo systemctl enable elasticsearch

MongoDBインストール

レポジトリ追加

必要パッケージインストール

sudo aptitude install gnupg

gpg追加

curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | \
   sudo gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg \
   --dearmor

レポジトリ追加

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list

MongoDBインストール

パッケージのアップグレード

sudo aptitude update

MongoDBインストール

sudo aptitude install mongodb-org

保存先変更（オプション）

MongoDBの格納先を、冗長化構成されているパーティションにするため対応しました。

格納ディレクトリ作成

sudo mkdir /home/mongodb

保存先を変えたいところにします

所有者変更

sudo chown -R mongodb:mongodb /home/mongodb

所有者変更確認

ls -ld /home/mongodb

設定ファイルのバックアップ取得

sudo cp -pi /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

バックアップ確認

sudo diff -u /etc/mongod.conf /path/to/backup/mongod.conf.$(date +%Y%m%d)

バックアップが保存されたか、差分がないことで確認します。

ファイル書き換え

sudo sed -i 's/dbPath: \/var\/lib\/mongodb/dbPath: \/home\/mongodb/' /etc/mongod.conf

差分確認

sudo diff -u /path/to/backup/mongod.conf.$(date +%Y%m%d) /etc/mongodb.conf

差分

-  dbPath: /var/lib/mongodb
+  dbPath: /home/mongodb

自動起動有効

mongodサービス起動

sudo systemctl start mongod

サービス起動確認

systemctl status mongod

active (running)を確認します

自動起動有効化

sudo systemctl enable mongod

yarnインストール

npmでyarnインストール

sudo npm install -g yarn

turboインストール

※Growi v6.1.0から必須パッケージとなりました。

sudo yarn global add turbo

Growiインストール

git clone

sudo git clone https://github.com/weseek/growi /home/www-data/growi

※任意のディレクトリを指定します。

ディレクトリ移動

cd /home/www-data/growi && pwd

先ほどcloneしたディレクトリです。

チェックアウト

sudo git checkout -b v7.0.23 refs/tags/v7.0.23

2024/10/30現在の最新版をチェックアウトします。

yarnによるインストール

sudo yarn

CPUのスペックによっては相当な時間がかかります。

ビルド

sudo yarn app:build

v7からこの操作が必要です。やはり時間がかかります。

自動起動スクリプトの作成

systemd作成

cat <<- __EOF__ | sudo tee -a /etc/systemd/system/growi.service
[Unit]
Description = growi
After=network-online.target mongod.service
ConditionPathExists=【/home/www-data/growi】

[Service]
ExecStart=【/home/www-data/growi/】growi-start.sh
Restart=no
Type=simple

[Install]
WantedBy=multi-user.target
__EOF__

※【】内を、git cloneしたディレクトリにします。

Growiインストールディレクトリに作成
教義・信仰に沿ったエディタで作成します。
ファイル名:growi-start.sh
growiを配置したディレクトリ内に作成します。

#!/bin/bash
cd 【/home/www-data/growi】
NODE_ENV=production \
AUDIT_LOG_ENABLED=true \
FORCE_WIKI_MODE=private \
MONGO_URI=mongodb://localhost:27017/growi \
ELASTICSEARCH_URI=http://localhost:9200/growi \
REDIS_URI=redis://localhost:6379 \
PASSWORD_SEED=[任意の文字列] \
npm start

※【】内を、git cloneしたディレクトリにします。
[]内には任意の文字列を入れます。例：PASSWORD_SEED=GOLDEN_SEED

権限変更

sudo chmod +x /home/www-data/growi/growi-start.sh

systemd設定反映

sudo systemctl daemon-reload

growi有効化

sudo systemctl start growi.service

growi有効化確認

systemctl status growi.service

active(running)を確認

自動起動有効化

sudo systemctl enable growi.service

Apacheによるリバースプロキシの設定

モジュールインストール

sudo a2enmod proxy_http rewrite

apache再起動

sudo systemctl restart apache2.service

ログ保存ディレクトリ作成

suod mkdir /var/log/growi/

所有者変更

sudo chown -R www-data:www-data /var/log/growi

設定ファイル作成

cat <<- __EOF__ | sudo tee -a /etc/apache2/sites-available/growi.conf
<VirtualHost _default_:80>
    ServerName 【hoge.example.com】
    # ドメイン名を指定します
    RewriteEngine On
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# HTTPアクセスを強制的にHTTPSにリダイレクトします
</VirtualHost>

<VirtualHost _default_:443>
    ServerName 【hoge.example.com】
    # ドメイン名を指定します
    CustomLog /var/log/growi/growi_access.log combined 
    ErrorLog /var/log/growi/growi_error.log

#SSL設定
  SSLEngine on
    Protocols h2 http/1.1
  # SSLを有効化します

SSLCertificateFile 【/etc/certs/hoge.example.com.crt】
# SSL証明書を指定します
SSLCertificateKeyFile 【/etc/private/hoge.example.com.key】
# 秘密鍵を指定します

    # Header に Host: example.com を追加するため
    ProxyPreserveHost On
    # HTTPS利用時: Header に x-forwarded-proto: https を追加するため
    RequestHeader set x-forwarded-proto 'https'
    # Apache では static assets で 304 が返らないことがあるので ETag を無効化する
    <ifModule mod_headers.c>
            Header unset ETag
    </ifModule>
    FileETag None

    # socket.io の path を rewrite する
    RewriteEngine On
    RewriteCond %{REQUEST_URI}  ^/socket.io            [NC]
    RewriteCond %{QUERY_STRING} transport=websocket    [NC]
    RewriteRule /(.*) ws://localhost:3000/$1 [P,L]

    ProxyPass / http://localhost:3000/
    ProxyPassReverse / http://localhost:3000/

</VirtualHost>

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:EC6-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off
__EOF__

【】内を自分の環境に変更してください。

※Ubuntu22.04の時と異なり、socket.ioのpathは公式ドキュメント通りで正常に動作しています。

設定反映

sudo a2ensite growi.conf

コンフィグ確認

sudo apache2ctl configtest

Syntax OKを確認します。

Apache2再起動

sudo systemctl restart apache2.service

Growiインストール確認

http://設定したドメインでアクセスします。

この初期サイトが表示されたらインストール完了です。

サーバSSH接続時に「REMOTE HOST IDENTIFICATION HAS CHANGED」のエラーメッセージが出たときの対処。

By manualmaton

オン 2024年10月31日

カテゴリー: Linux

再インストールしたLinuxサーバに対して、Linuxクライアントから公開鍵認証でSSH接続を行ったところ以下のメッセージが出ました。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:********************************
Please contact your system administrator.
Add correct host key in /home/hoge/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/hoge/.ssh/known_hosts:2
Host key for hoge.example.com has changed and you have requested strict checking.
Host key verification failed.

それに備えて秘密鍵を新しいものに差し替えていましたが、サーバが再インストール前の公開鍵情報を覚えていたという形です。

「SSHホスト鍵が変わってるよ！」と怒られたときの対処

上記そのものズバリの解決策がありましたので、これに沿って対応していきます。

エラーが起きたLinuxクライアントで

ssh-keygen -R hoge.example.com

を実行するだけ。(ホスト名は自分の環境に合わせます）

# Host hoge.example.com found: line 1
# Host hoge.example.com found: line 2
/home/hoge/.ssh/known_hosts updated.
Original contents retained as /home/hoge/.ssh/known_hosts.old

のメッセージが出てきたら対処完了です。

改めて、新たな秘密鍵を用いて

ssh -i /path/to/private/key/hoge.exammple.com.key hoge@hoge.example.com

等としてssh接続を行い、

This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes

と、無事に接続ができました。

Ubuntu24.04に導入したnginxをバーチャルホスト化。

By manualmaton

オン 2024年10月28日

カテゴリー: Linux

概要

Ubuntu24.04にリポジトリを利用して追加したnginxは、apacheのようにバーチャルサイトが最初から備わっていませんでした。

そこで、その設定を施します。

バーチャルサイトの設定ファイル格納ディレクトリの作成

sudo mkdir -p /etc/nginx/sites-available

sudo mkdir -p /etc/nginx/sites-enabled

ls -ld /etc/nginx/sites*

sites-availableとsites-enabledディレクトリがあることを確認します。

バーチャルサイト有効化

ファイルバックアップ

sudo cp -pi /etc/nginx/nginx.conf /path/to/backup/directory/nginx.conf.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

ファイルバックアップ確認

diff -u /path/to/backup/directory/nginx.conf.$(date +%Y%m%d) /etc/nginx/nginx.conf

差分がなければバックアップは成功です。

ファイル書き換え

sudo sed -i '/http {/a \    include /etc/nginx/sites-enabled/*;' /etc/nginx/nginx.conf

ファイル書き換え確認

diff -u /path/to/backup/directory/nginx.conf.$(date +%Y%m%d) /etc/nginx/nginx.conf

以下の差分を確認します。

+    include /etc/nginx/sites-enabled/*;

サンプルのhtmlファイルを作る

ファイル格納ディレクトリは自分の環境に合わせます。

sudo -u www-data tee /home/www-data/index.html > /dev/null <<EOL
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Welcome to example.com</title>
</head>
<body>
<h1>Welcome to example.com!</h1>
<p>This is a sample page served by Nginx.</p>
</body>
</html>
EOL

サンプルのバーチャルサイトを作成する

ファイル名やserver_nameは自分の環境に合わせます。

設定ファイル作成

sudo tee /etc/nginx/sites-available/sample.conf > /dev/null <<EOL
server {
listen 80;
server_name example.com www.example.com;

root /home/www-data;
index index.html index.htm;

location / {
try_files \$uri \$uri/ =404;
}

# セキュリティ設定
# サーバー情報を隠す
server_tokens off;

# MIMEタイプの設定
include /etc/nginx/mime.types;
default_type application/octet-stream;

# XSS対策
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options SAMEORIGIN;
add_header X-XSS-Protection "1; mode=block";

# ファイルのアップロードサイズ制限
client_max_body_size 1M;

# ログの設定
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;
}
EOL

設定ファイル有効化

シンボリックリンク作成

sudo ln -s /etc/nginx/sites-available/sample.conf /etc/nginx/sites-enabled/

構文確認

sudo nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

を確認します。

サービス再起動

sudo systemctl restart nginx.service

設定したURLでアクセスできることを確認します。

これで、バーチャルサイトが設定されました。

Ubuntu 24.04にnginxを導入する。

By manualmaton

オン 2024年10月27日

カテゴリー: Linux

概要

好みはapacheではありますが、セットアップしたばかりのUbuntuサーバの性能を鑑みてnginxを入れていきます。

さっくりとした手順

インストールに必要なパッケージを入れます。
nginxのリポジトリーを追加します。
インストールを行います。
基本的な設定を行います。

必要なパッケージの導入とリポジトリー追加

必要なパッケージの導入

sudo aptitude install curl gnupg2 ca-certificates lsb-release

リポジトリ追加

echo "deb http://nginx.org/packages/ubuntu/ $(lsb_release -cs) nginx" | sudo tee /etc/apt/sources.list.d/nginx.list

curl -fsSL https://nginx.org/keys/nginx_signing.key | sudo apt-key add -

nginxインストール

パッケージのアップデート

sudo aptitude update

nginxインストール

sudo aptitude install nginx

インストール確認

nginx -v

nginx version: nginx/1.26.2を確認します。(2024/10/25現在)

サービス起動

sudo systemctl start nginx.service

サービス起動確認

systemtl status nginx.service

active(running)を確認します。

初期設定(オプション)

ここからは筆者の好みの問題です。

オプション:nginxの実行をwww-dataに変更する

ファイルバックアップ

sudo cp -pi /etc/nginx/nginx.conf /path/to/backup/directory/nginx.conf.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

ファイルバックアップ確認

diff -u /path/to/backup/directory/nginx.conf.$(date +%Y%m%d) /etc/nginx/nginx.conf

差分がなければバックアップは成功です。

ファイル書き換え

sudo sed -i 's/user  nginx;/user  www-data;/g' /etc/nginx/nginx.conf

ファイル書き換え確認

diff -u /path/to/backup/directory/nginx.conf.$(date +%Y%m%d) /etc/nginx/nginx.conf

以下の差分を確認します。

-user  nginx;
+user  www-data;

サービス再起動

sudo systemctl restart nginx.service

サービス再起動確認

systemctl status nginx.service

active(running)`を確認します。

オプション:Web格納ディレクトリを作成する

web格納ディレクトリを作成

sudo mkdir -p /home/www-data

sudo chown -R www-data:www-data /home/www-data

sudo chmod -R 755 /home/www-data

オプション:passwdファイルの書き換え

※システム全体のアカウントを制御する重要なファイルです。取り扱いは慎重に行ってください。※

バックアップ作成

sudo cp -pi /etc/passwd /path/to/backup/directory/passwd.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

バックアップ作成確認

diff -u /path/to/backup/directory/passwd.$(date +%Y%m%d) /etc/passwd

エラーがなければバックアップは成功です。

ファイル書き換え

sudo sed -i 's|/var/www|/home/www-data|' /etc/passwd

書き換え確認

diff -u /path/to/backup/directory/passwd.$(date +%Y%m%d) /etc/passwd

以下の差分を確認します。

-www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
+www-data:x:33:33:www-data:/home/www-data:/usr/sbin/nologin

差分がこの2つだけであることを確認できたら設定完了です。

備考

この手順ではnginxのバーチャルサイトまではサポートしていないので、後述します。

WordPressの設定変更：Confファイルによるセキュリティ設定

By manualmaton

オン 2024年10月26日

カテゴリー: Linux

apacheのバーチャルファイルにセキュリティ設定を追加します。

バーチャルサイトの設定ファイルバックアップ

バックアップ

sudo cp -pi /etc/apache2/sites-avaiable/wordpress.conf /path/to/backup/directory/wordpress.conf.$(date +%Y%m%d)

ファイル及びバックアップディレクトリは自分の環境に合わせます。

diffによる差分確認

diff -u /path/to/backup/directory/wordpress.conf.$(date +%Y%m%d) /etc/apache2/sites-avaiable/wordpress.conf

エラーがなければバックアップは成功です。

バーチャルサイトの設定ファイル編集

DocumentRootの項目に、以下のように編集します。/home/www-data/wordpressの部分は自分の環境に合わせます。

ここでは、サーバのリソースを食い潰し、robots.txtを無視するクローラーを止めることにしています。

また、こういったクローラーであることを隠し、ユーザーエージェントを偽装するIPもレンジでブロックしています。

    DocumentRoot /home/www-data/wordpress
    <Directory /home/www-data/wordpress>
        Options -Indexes
        Options FollowSymLinks
        AllowOverride All
        ## スパムクローラーを拒否
        SetEnvIfNoCase User-Agent "facebookexternalhit/1.1" spam_crawler
        SetEnvIfNoCase User-Agent "SemrushBot/7~bl" spam_crawler
        SetEnvIfNoCase User-Agent "AhrefsBot" spam_crawler
        SetEnvIfNoCase User-Agent "MJ12bot" spam_crawler
        SetEnvIfNoCase User-Agent "DotBot" spam_crawler
        SetEnvIfNoCase User-Agent "Baiduspider" spam_crawler
        SetEnvIfNoCase User-Agent "YandexBot" spam_crawler
        SetEnvIfNoCase User-Agent "Sogou web spider" spam_crawler
        SetEnvIfNoCase User-Agent "Exabot" spam_crawler
        SetEnvIfNoCase User-Agent "MegaIndex.ru" spam_crawler
        SetEnvIfNoCase User-Agent "SeznamBot" spam_crawler
        SetEnvIfNoCase User-Agent "BLEXBot" spam_crawler
        SetEnvIfNoCase User-Agent "Bytespider" spam_crawler
        SetEnvIfNoCase User-Agent "DataForSeoBot" spam_crawler
        SetEnvIfNoCase User-Agent "serpstatbot" spam_crawler
        SetEnvIfNoCase User-Agent "SeekportBot" spam_crawler
        SetEnvIfNoCase User-Agent "index.community crawler" spam_crawler
        SetEnvIfNoCase User-Agent "PetalBot" spam_crawler
     <RequireAll>
      Require all granted
      ##スパムクローラーを拒否
      Require not env spam_crawler
        #偽装エージェントを拒否
        Require not ip 190.92.0.0/16
        Require not ip 159.138.0.0/16
        Require not ip 166.108.0.0/16
        Require not ip 124.243.0.0/16
        Require not ip 114.119.0.0/16
        Require not ip 119.8.0.0/16
        Require not ip 110.238.0.0/16
        Require not ip 217.113.194.0/24
        Require not ip 34.123.0.0/16
     </RequireAll>
    ## 設定ファイルのアクセス拒否
     <Files wp-config.php>
      Require all denied
     </Files>
     <Files xmlrpc.php>
      Require all denied
     </Files>
     ## キャッシュを有効
     ExpiresActive On
     ExpiresByType image/jpg "access plus 1 year"
     ExpiresByType image/jpeg "access plus 1 year"
     ExpiresByType image/gif "access plus 1 year"
     ExpiresByType image/png "access plus 1 year"
     ExpiresByType text/css "access plus 1 month"
     ExpiresByType application/pdf "access plus 1 month"
     ExpiresByType text/x-javascript "access plus 1 month"
     ExpiresByType application/x-shockwave-flash "access plus 1 month"
     ExpiresByType image/x-icon "access plus 1 year"
     ExpiresDefault "access plus 2 days"
    </Directory>

     <Files xmlrpc.php>
      Require all denied
     </Files>

は運用に合わせて無効化の可否を決めてください。

モバイルアプリからのリモート投稿ができなくなります。
ピンバックとトラックバックを受け付けることができなくなります。
Jetpackの一部機能が動作しなくなります。
その他、リモート投稿や自動投稿のプラグインが影響を受けます。

編集後、

diff -u /path/to/backup/directory/wordpress.conf.$(date +%Y%m%d) /etc/apache2/sites-avaiable/wordpress.conf

として、上記の差分が出ることを確認します。

設定反映

設定有効

sudo a2ensite wordpress.conf

→ 一時的に無効にしている場合

構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

Apache2再起動

sudo systemctl restart apache2.service

その後、Wordpressが正常に閲覧できることを確認します。

確認後、追加のセキュリティ設定を行わないのであれば、

sudo a2dissite wordpress.conf

sudo systemctl restart apache2.service

として、無用な攻撃を防ぎます。

Ubuntu 24.04にWordPressをインストール。

By manualmaton

オン 2024年10月25日

カテゴリー: Linux

概要

CMSの代名詞、Wordpressをきちんとした手順で書いていなかったのでこの機会にメモを残します。

手順が比較的簡単なだけに狙われやすいのも納得。

なので、ここではインストールだけではなく、セキュリティ対策を含めて実施します。

環境

Ubuntu 24.04
Apache 2.4
MySQL
PHP 8.3

前提

Apacheの初期設定は完了しています。
mod_securityが稼働しています。
適切に名前解決できることが条件です。（DNS設定済み）
証明書は適切なものを準備済みです。

さっくりとした手順

WordPress用のデータベースを作成します。
WordPressのプログラムを配置します。
WordPressをWebサービスで動かす設定を行います。
WordPressをブラウザでインストールします。
インストール後、一度、設定を解除します。

※Wordpressは非常に狙われやすいWebアプリです。そのため、安定稼働するまでは設定をするたびにWebサービスから切り離します。

DB作成

MySQLログイン

mysql -u root -p

DB作成

CREATE DATABASE wordpress CHARACTER SET utf8mb4 COLLATE utf8mb4_bin;

DB名(mt)は自分の環境に合わせます。

ユーザー作成

CREATE USER 'wpuser'@'localhost' IDENTIFIED BY 'your_password';

ユーザー(wpuser)やパスワードは自分の環境に合わせます。適正なパスワードを設定してください。

権限委譲

GRANT ALL PRIVILEGES ON wordpress.* TO 'wpuser'@'localhost';

設定反映、MySQLログアウト

FLUSH PRIVILEGES;

exit

作成したDB確認

MovableTypeのユーザーでログイン

mysql -u wpuser -p

DB確認

SHOW DATABASES;

WordPressのDBがあることを確認します。

DB切り替え

use wordpress;

DBの文字コード確認

SHOW VARIABLES LIKE 'character_set_database';

Valueがutf8mb4であることを確認

DBの照合順序確認

SHOW VARIABLES LIKE 'collation_database';

Valueがutf8mb4_binであることを確認

exit

WordPress取得

作業ディレクトリに移動

cd /hoge && pwd

任意のディレクトリを指定します。

wget

wget https://wordpress.org/latest.tar.gz

ファイルの解凍

tar -xzvf latest.tar.gz

ファイルの所有権変更

sudo chown -R www-data:www-data wordpress

www-dataディレクトリに移動

sudo mv wordpress /home/www-data/wordpress

自分の環境に合わせます。

WordPressWebサイト設定編集

ログ格納用のディレクトリ作成

ログ格納ディレクトリ作成

sudo mkdir -p /var/log/wordpress

ログ格納ディレクトリの所有者変更

sudo chown www-data:www-data /var/log/wordpress

WordPressのバーチャルサイト作成

/etc/apache2/site-available配下に、wordpress.confを管理者権限で作成し、以下のように編集していきます。

<VirtualHost *:80>
    # ドメイン名を指定します
    servername hoge.example.com
    # HTTPアクセスを強制的にHTTPSにリダイレクトします
    RewriteEngine On
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</VirtualHost>
<VirtualHost *:443>
    # ドメイン名を指定します
    ServerName hoge.example.com
    CustomLog /var/log/wordpress/wp_access.log combined
    ErrorLog /var/log/wordpress/wp_error.log


    # WordPressを配置したディレクトリを指定します。
    DocumentRoot /home/www-data/wordpress
    <Directory /home/www-data/wordpress>
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>

    #セキュリティヘッダー付与

    Header always set Strict-Transport-Security "max-age=63072000"
    Header set X-Content-Type-Options "nosniff"
    Header always append X-Frame-Options "SAMEORIGIN"
    Header set X-XSS-Protection "1; mode=block"


#SSL設定
  SSLEngine on
    Protocols h2 http/1.1
    SSLCertificateFile /path/to/ssl/certificate.crt
    SSLCertificateKeyFile /path/to/ssl/private.key
   # 証明書と秘密鍵のパスを指定します

    # Mod_Security設定
    SecRuleEngine DetectionOnly
    # Webでインストールを行うため、最初は検知モードに設定します。
    ## ファイルのアップロードをできるようにします。
    SecRequestBodyInMemoryLimit 524288000
    SecRequestBodyLimit 524288000

    ## テスト用の検知パラメーター
    SecRule ARGS:modsecparam "@contains test" "id:4321,deny,status:403,msg:'ModSecurity test rule has triggered'"


</VirtualHost>

# これらのセクションはSSL暗号化強度を高めるための記述です
# </VirtualHost>の外側に書くことにご注意ください

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:EC6-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

設定ファイル有効化

コンフィグ読み込み

sudo a2ensite wordpress.conf

構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

Webサービス再起動

sudo systemctl restart apache2.service

Webサービス再起動確認

systemctl status apache2.service

ブラウザから確認

ブラウザで設定したURLにログインします。

インストール画面が出てきます。言語を選びContinueをクリックします。

ボタンをクリックします。

設定したDB名、ユーザー、パスワードを入力します。

DBと接続されると、以下が表示されます。インストール実行をクリックします。

サイト名などを入れていきます。

ここまで出たらOKです。

インストール後の処理（一時停止）

圧倒的なシェアを誇るWordpressは攻撃者が真っ先に狙うサービスです。
そのため、安定稼働するまでは確認後に一度停止して、物理的なアクセスを防ぎます。

バーチャルサイトの設定ファイル無効化

sudo a2dissite wordpress.conf

構文確認

sudo apache2ctl configtest

Syntax OKを確認します。

Webサービス再起動

sudo systemctl restart apache2.service

Webサービス再起動確認

systemctl status apache2.service

無効化後、上記の設定ファイルで指定したURLにアクセスできないことを確認します。

2024年11月
月	火	水	木	金	土	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30