カテゴリー別アーカイブ: 未分類

AwsLinux に Lamp 環境構築

アップデート・アップグレード

有効なパッケージの確認

パッケージ名には httpd* とか指定する。httpd(ver2.2) と httpd24(ver2.4) が見つかる。

Webサーバー

apache2

https を使うには

参考:チュートリアル: Amazon Linux で SSL/TLS を使用できるように Apache ウェブサーバーを設定する

DB

MySQL

mysql も mysql(5.5-1)、mysql51、mysql55(5.5.58)、mysql56、mysql57 がある。

ユーザ作成

PHP

PHPも、PHP(5.3)、PHP54、PHP55、PHP56、PHP70、PHP71 があるので妥当なバージョンを選択する。
PHP 7.1 インストール

AWS ELB:443 EC2:80 で WordPress を立ち上げる場合

wp-config.phpの上部に

を追記。wp_opions の seturl と home を https:// に変更する。

□公式ドキュメント
Function Reference/is ssl « WordPress Codex


Ubuntu環境構築

UbuntuのOSは入っている前提で

SELinuxオフ

アップデート・アップグレード

Webサーバー

apache2

https も使うなら SSL のモジュールを有効にする。

ファイヤーウォール設定

DB

MySQL

インストール

ユーザ作成

PHP7

リポジトリインストール
PHP 7.0 インストール

トラシュー

Composer で

Composer で何かやろうとしたとき以下の様なエラーが出る

diag を実行するとどこでエラーかわかるので、見てみると pubkeys でエラーになっていた。

こんなときは pubkey を入れなおす。update-keys を実行すると以下の様に聞いてくるので

https://composer.github.io/pubkeys.html の —–BEGIN PUBLIC KEY—– から —–END PUBLIC KEY—– までを全て入力する。

GPGエラー

apt-get update で以下の様なエラーが出る場合

の様にキーを追加してやる。debian.org とかあるけれど keyserver.ubuntu.com で良いらしい。


iPhone が見つからない。

家族は皆スマホを持っているので、自宅の無線LANに接続したら在宅と認識するようなものを作りたいと思って
色々試してみたが、なかなかどうにもうまく行かない。

対象となるスマホは Android が1台、iPhone が2台。

Androidは特に問題ない。ping も通るし、arp-scan でも見つかる。

arp-scan とは tcpdump から arp の情報を抜き出して一覧を表示できる機能。

問題は iPhone。
先ず ping しても値を返さない。
arp-scan の場合は -T に iPhone のマックアドレスを指定して、-r 10 (リトライ10回) ぐらいやると補足する頻度が上がる程度。
多分、無線LANルータとの通信がないと補足されないのだろう。

arp コマンドだとキャッシュが表示されてしまうのでリアルタイム性がなくなってしまう。

iPhone は (Linuxでは) Avahi (WindowsではBonjour) という機能でやり取りしているらしいので

を入れてみて、avahi-browse -ar で見てみても、ローカル以外のサービスが表示されないんだよなあ。

誰か、iPhone で使える ping みたいな機能知りませんか?


自宅サーバをリニューアルしたい。

IMG_3611うちの自宅サーバは、アプライアンスサーバの Cobalt Qube を異機種改造して Mini-ITX ボードを載せ替えたマシン。
そのままでは入らないので、ハンドニブラーという鉄板をカットするツールを使って、ガツガツ穴あけしてるので
バックビュー(後ろ姿)はお見せできない(^^;

筐体はすごく気に入っているけど、今では入手困難な激レアマシンと思う。
標準で入っていたボードは今では使い物にならない程低スペックなのでほかした。

今は、CentOS 5.11 で動いていて(CentOS 7 の時代なのに・・・(笑))、ダイナミックDNS でアクセスできるようになっている。

で、この前セキュリティパッチを宛てたら SSL証明書の関係で https アクセスできなくなってしまった。
セキュリティ上の問題で http からのアクセスを禁止しているので、これは手痛い。
しかも Redmine のチケットで色々管理していたので、これにアクセスできないのはつらい。
# いくつかの内容は、このブログに転載していたが・・・。

必要に迫られてリニューアルしたいが、HD をバックアップする余裕もない。
幸い Mini-ITX のボードはあるので内蔵HDさえなんとかすれば新しい環境がたてられる。
今後こういうことで困らないように、VMware ESXi の上にゲストOS で CentOS 7 とか入れたいけれど
CPU が Atom のボードだからきついかもしれないなあ。
とにかく内蔵HD を何とかゲットしないといけないなあ。

その後の顛末…

続きを読む 自宅サーバをリニューアルしたい。


ssh のセキュリティ強化

su コマンドで正しく root になった時に、身に覚えのない「最後の正しいログインの後に xxx 回の失敗ログインの試行があります」とメッセージが表示されたらアタックを疑った方が良い。

ログの確認

/var/log/secure ログを確認する。(Raspberry Pi なら /var/log/auth.log)
以下の様なエラーが出ていたら間違いない。

1行目:IPアドレスから sshを使って、rootユーザでログインしようとして失敗した。
2行目:IPアドレスから sshを使って、adolfoユーザでログインしようとした。

どこから来たか確認

「IP 国 確認」 などでググるとIPアドレスから国コードを調べるサービスが出てくる。
IPアドレスの国を調べると、Bahrain、Botswana、Brazil、Bulgaria、Canada、China、Czech Republic、France、Hong Kong、India、Iran, Islamic Republic of、Italy、Japan、Korea, Republic of、Moldova, Republic of、Netherlands、New Zealand、Nigeria、Poland、Romania、Russian Federation、Serbia、Singapore、Somalia、Suriname、Ukraine、United States

とりあえずサービス作ってみた。


国を判別したいIPアドレスまたはホスト名を入力してをクリック

対策1

/etc/ssh/sshd_conifg

1行目:リモートからのrootログインを不許可にする。リモートからは別のユーザでログインしてから su コマンドで root になる。
2行目:パスワードの間違えを何回まで許すかの設定。
設定した後は、sshd をリスタートする。
/etc/rc.d/init.d/sshd restart (CentOS6≧)とか
systemctl restart sshd (CentOS7)とか

対策2

特定の IP からの ssh アクセスを拒否る。
/etc/hosts.deny に以下の様に追記する。

でも、はっきりいってキリがない。

対策3

特定の IP からの ssh アクセスのみ許容
/etc/hosts.allow に以下を記述

1行目:イントラからのアクセスを許可。172.16.x.x 系のネットワークなら 172.16 と記述
2行目:ローカルループバック接続を許可
3行目:外部からアクセスを許可する IP アドレスを記載。職場とか学校とか

/etc/hosts.deny

全て拒否
その後 sshd をリスタート
※ 設定を失敗するとターミナルからしか接続できなくなる。
また、DHCP とかで振り直されてIPアドレスが変わっても接続できなくなる。(イントラからはOKだけど)

ちなみに、上記の設定で refused connect すると、アタックスクリプトの仕様的に4回であきらめるみたい。