アトム-サイト
[ アトム-サイト ]
feed-icon RSS2.0   feed-icon Atom
最新情報
最新3件を表示します。

 Linux 一覧へ

WebサーバのSSL化  <2020-03-15 15:29>

まずはランダムなファイルを生成
現存するファイルを元に生成。
# openssl md5 * > rand.dat
*: No such file or directory
# openssl md5 * > rand.dat
ディレクトリに何も無いと怒られますが、2度目で1度目のrand.datを元にランダムファイルが作られます。

# ls
rand.dat
# cat rand.dat
MD5(rand.dat)= d41d8cd98f00b204e9800998ecf8427e

このランダムなファイルを元に、パスフレーズ付き秘密鍵を生成
# openssl genrsa -rand rand.dat -des3 1024 > ca.key
48 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
...................................++++++
.............................................++++++
e is 65537 (0x10001)
Enter pass phrase:(パスワード入力)
Verifying - Enter pass phrase:(再パスワード入力)

ちなみに、ランダムファイルもパスワードも無しにしたい場合は、
# openssl genrsa -out ca.key 1024

秘密鍵ができました。
# cat ca.key
-----BEGIN RSA PRIVATE KEY-
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,1422EC9B7CFF1AF9

L7JNy0g6eW9Mo9hbJiXxeRxoNb19QI9NR7++qExKEHbL3tg9MA9xkbEcLERY4TNo





8uXtS0Li0LcBMD1mfQ7SdLG/MWXEGl4eaFqMHEglIfvxCnxLakSYKPFKgM9UQ9ZW
HSG34E0wp40GhtQTRzYh4wQCvSBfPlPXuusLmj75EqWhqAJgQzuIGw==
-----END RSA PRIVATE KEY-
この秘密鍵は、Webサーバの設定で使います。

秘密鍵を元にCSR(証明書要求)を作成
# openssl req -new -key ca.key -out ca.csr
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Shizuoka
Locality Name (eg, city) [Newbury]:Kosai-shi
Organization Name (eg, company) [My-Company-Ltd]:Test Co., Ltd.
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:test.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

できました、CSR(証明書要求)。
# ls
ca.csr ca.key rand.dat

# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-
MIIBoDCCAQkCAQAwYDELMAkGA1UEBhMCSlAxETAPBgNVBAgTCFNoaXp1b2thMRIw





4iSZ4RZlMJ4UOJPHz2IUkOLhTc3JAIHGxZ1gWeMJuPmYhrHyvxZTD6CLclw5v9ne
ceOdnl5ABBMd1EwNNGeDvkqhIQ+Q+4ehRR+6gaSaI+3rn9zQ
-----END CERTIFICATE REQUEST-

認証局から、署名付きの証明書を貰う
できたCSR(証明書要求)を認証局に送ると、証明書が送られてきます。
この証明書もWebサーバの設定で使います。
無料でSSL証明書を発行してくれるサイトはそんなには無いようです。
・CAcert
・startssl

ちなみに、CSRの作成を飛ばして、いきなりサーバ証明書を作るのは以下。
# openssl req -new -x509 -days 3653 -text -key ca.key -out ca.crt

Webサーバ設定
『ports.conf』
Listenを80から443に変更。
『ssl.conf』
SSLPassPhraseDialog を builtin から exec:/usr/local/sbin/pass.sh に変更してパス入力自動化。
『pass.sh』はこんな感じ。
# cat pass.sh
#!/bin/sh
host=`echo $1 | cut -d: -f1`
if [ "$host" = "test.com" ]; then <-注)全角[]は本来半角です
echo testpasswordabc;
fi
"$host" = "****" の、****が間違っていたり変なホストが混じっているとapache の起動に失敗します。
しっかりapacheのServerName設定と合わせる必要があります。

後は、オリジナルのssl.confをそのまま利用して「秘密鍵」と「証明書」を指定してあげれば、httpsでアクセスできる。
SSLCertificateFile /etc/httpd/conf/ssl/ssl.key/ca.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl/ssl.key/ca.key


【Let's Encrypt】
最近は、無料の【Let's Encrypt】を利用させてもらっています。
証明書取得代がかからないので、ハッキリ言ってこれで充分!
しかも、インストールや設定は以下の数コマンドで出来てしまいます。
※ちなみに、CentOS6だと、以下。
# yum install epel-release
# wget https://dl.eff.org/certbot-auto
# chmod a+x certbot-auto
# ./certbot-auto --apache
※環境によってはエラーが出ますが、いろんな情報もあるので解決できるはずです。
あとは、crontab で、適度にSSL証明書の更新。
00 5 * * 1 /etc/certbot-auto renew --renew-hook "/sbin/service httpd restart"

自分の場合は、Apache上で複数のバーチャルドメインを動かしているので、Let's Encryptに個別にドメイン追加していきました。機能としてcertbot-autoには、ワイルドカード証明書対応がありますが証明書更新がうまくいかないという報告もあるので却下。同類のサイトをマルチドメイン対応にしたりと、個別にひとつずつドメインを追加する事としました。
# ./certbot-auto --apache
※以前やった対話型のcertbot-autoコマンドで、追加ドメインとリダイレクトの2つを指定するだけです。


SMTPSMTP  <2016-04-06 12:03>

CentOSを使っているのですが、標準のSMTPは『sendmail』ですね。
# yum list installed | grep sendmail
sendmail.x86_64 8.13.8-2.el5 installed
sendmail-cf.x86_64 8.13.8-2.el5 installed
# yum list installed | grep postfix
(何も出ません)

セキュリティ&設定の面で有利なので、『sendmail』から『postfix』へ切り替えてみましょう。

『sendmail』サービス停止
# /etc/init.d/sendmail stop
sm-client を停止中: [OK]
sendmail を停止中: [OK]
スタートさせない設定にしておきます。
# chkconfig sendmail off
# chkconfig --list | grep send
sendmail 0:off 1:off 2:off 3:off 4:off 5:off 6:off

『postfix』インストール
# yum install postfix
/etc/postfix に色々ファイルが入っているのが確認できます。

『sendmail』から『postfix』への切り替え
普段使うメールサーバを『sendmail』から『postfix』への切り替えます。
# alternatives --config mta
2 プログラムがあり 'mta' を提供します。
選択 コマンド
-------------------------------------------
*+ 1 /usr/sbin/sendmail.sendmail
2 /usr/sbin/sendmail.postfix
Enter を押して現在の選択 [+] を保持するか、選択番号を入力します:2

『postfix』に切り替わったか確認
# alternatives --config mta
2 プログラムがあり 'mta' を提供します。
選択 コマンド
-------------------------------------------
* 1 /usr/sbin/sendmail.sendmail
+ 2 /usr/sbin/sendmail.postfix
Enter を押して現在の選択 [+] を保持するか、選択番号を入力します:
[+]がpostfix側に移動しているのが確認できます。

設定ファイルの編集
main.cfを編集します。
項目的には
『inet_interfacesをallにする』
『mydomainを記載』
『mydestinationに受け入れるドメイン追加』
『mynetworksは許可するSMTPクライアント』
ですね。
編集結果は以下参照。
inet_interfaces = all
mydomain = e-onlineservice.com
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mynetworks = 192.168.1.0/24, 127.0.0.0/8
『mynetworks』『mydestination』の指定以外からはメール中継しないので、これで不正中継は防げています(後は、送信時のSMTP-Authで認証させればスパム対策はOKです:後述)。

後は、POPサーバ設定と同じ様に、Maildir形式にする設定等をする必要があります(main.cf を編集)。
#home_mailbox = Mailbox
home_mailbox = Maildir/
※コメントの#を外す。
で、受信容量を100Mにする記載追加。
mailbox_size_limit = 100000000
message_size_limit = 100000000

『postfix』の起動
# /etc/init.d/postfix start
postfix を起動中:[OK]
# chkconfig postfix on
# chkconfig --list postfix
postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off

メールアカウントを追加した場合は、
/etc/postfix/virtual ファイルに対応を書き、
# postmap virtual
を実行。

ポートを空ける
smtp用のポート(25番)を開きます。
#iptables -I INPUT -p tcp --dport 25 -j ACCEPT
#/etc/rc.d/init.d/iptables save
#/etc/rc.d/init.d/iptables restart

メールが届いたかどうかは、ユーザのホームディレクトリにMaildirができたかどうかでわかります(初メールが届くとMaildirフォルダができます)。

『sendmail』のアンインストール
# yum remove sendmail

SMTP-Auth
それから、前述のスパムメール対策をする必要があります(SMTP-Authですね)。
まずは、ポート番号(通常25番)に587番も追加。
/etc/postfix/master.cf
を編集。
smtp inet n - n - - smtpd
submission inet n - n - - smtpd
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
と、submissionの方を有効にしたら、postfix reload 。
『smtpd_sasl_auth_enable』『permit_sasl_authenticated』で、SMTP-Authも有効になってます。

認証サービスをスタート。
# /etc/init.d/saslauthd start
初期状態もONにしておきます。
# chkconfig saslauthd on

サーバ準備が出来たので、メールクライアントで送信できるかチェックします。
[ツール]-[アカウント]-[プロパティ]の変更2箇所。
『サーバー』に、送信メールサーバーの『このサーバーは認証が必要』があるので、チェック。
『詳細設定』に、ポート番号設定があるので、『25』から『587』に変更。
これで送信できれば、OKです。

…が、実はココまでだと、外部から繋げた場合のメール送信が出来ません(ローカル内からの送信は出来ます)。
結局、main.cf の mynetworks 外からは、弾かれるという事です(『554.5.7.1 Relay access denied』というエラーメッセージが出ます)。
外部から繋げてのメール送信が出来ないなんて、『OP25B』の為にSMTP-Authを用意した意味が無いですよね。
この解決は、同じmain.cf内に、SMTP-Authの記述をしてあげるとOKです。
=====
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
=====
postfix を reload して、送信できるかチェックしましょう。

複数ドメイン
いくつかのドメインを、一つのpostfixサーバーで受け取れる設定です。

main.cfファイル内に、下記を1行追加します。
virtual_alias_maps = hash:/etc/postfix/virtual
※myhostname、mydomain、mydestination等に追加ドメインを記述する必要はありません。

virtualファイルは以下
first.com anything
info@first.com info
hogehoge@first.com hoge
second.com anything
info@second.com info
※info@first.comもinfo@second.comも、infoユーザが受けるという設定(もちろん、他の転送設定にもできます)。
info2@second.com trance@test.com,trance@test2.com
※こんな書き方をすれば、単純に転送になります。
最後に、変更を反映させて終わりです。
# postmap /etc/postfix/virtual


S.M.A.R.T.S.M.A.R.T.  <2015-05-07 08:03>

通常のHDD交換
構築したサーバから、以下の2通の警告メールが届いています。

タイトル:『SMART error (OfflineUncorrectableSector) detected on host: ****』
内容:Device: /dev/sdc, 9 Offline uncorrectable sectors

タイトル:『SMART error (CurrentPendingSector) detected on host: ****』
内容:Device: /dev/sdc, 12 Currently unreadable (pending) sectors

sdcなので、RAIDではない通常のHDDのエラーです。
# smartctl -a /dev/sdc
で、調べなおすと、確かにその値が出てますね。
買って1年しか経ってないHDDなのに…。

試しに、一度フォーマットしてみたんですが…。
# mkfs -t ext3 /dev/sdc1
『Currently unreadable (pending) sectors』が12から10に減っただけでした。

ちなみに、フォーマット形式を調べるには、
# cat /etc/fstab
ですね。
/dev/md0 / ext3 defaults 1 1
/dev/sdc1 /mnt/sdc ext3 defaults 1 2
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
/dev/md1 swap swap defaults 0 0
『ext3』とかになってます。
それと、最後の第6列の数字は、システム起動時のfsckチェック(『0』:チェックを行わない)。
後述しますが、/dev/sdc1は『2』→『0』に変更しました。

余っているHDDもあるので、交換してみる事にします。
まずは、/etc/fstabファイルを編集して、起動時にmountしない様にして、shutdown。
システム起動時のfsckチェックを行わない『0』にすればOK。
電源落としたら、HDDを交換します。
電源入れたら、
# dmesg | grep sdc
で、HDDが繋がっている事を確認します(SATAで3台HDDを繋げている場合)。
# fdisk /dev/sdc
で、パーティションを作ります(n->p->1->wとコマンドを打っていくだけです)。
作ったパーティションをフォーマット。
# mkfs -t ext3 /dev/sdc1
フォーマット終了したら、マウントして使います。
# mount /dev/sdc1 /mnt/sdc
最後に、/etc/fstabファイルを編集して起動時にマウントする様に戻します。

HDD交換後、警告メールは無くなりました(めでたしめでたし)。

RAID1 HDD交換
組んで半年なのに、警告メール到着。
タイトル:『SMART error (CurrentPendingSector) detected on host:****』
タイトル:『Fail event on /dev/md0:****』
こんな感じのメールが数通。
昨日、HDDのアクセスランプの挙動がおかしかったので「変だな?」とは思っていたんですが…。
メール内容を見ると、どうやらRAID1で組んでる一方(sda)が壊れているっぽいです。

# cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 sdb2[1]
3959936 blocks [2/1] [_U]
md0 : active raid1 sdb1[1]
972799872 blocks [2/1] [_U]
mdstatファイル見ても、ダメなのが確認できます。

# mdadm --detail /dev/md0
この表示の最後、
Number Major Minor RaidDevice State
0 0 0 0 removed
1 8 17 1 active sync /dev/sdb1
ココでも、一方がremovedされているのが確認できます。

# smartctl -a /dev/sda
# fdisk -l /dev/sda
これらのコマンドで、sdaのHDDの情報が見れません(sdbとかは見れます)。
壊れてますね、sda。

以前、一方がNGでも立ち上がる様にしていたので、壊れているHDDを外して再起動。
あれれ?「メンテナンスしろ!」と出ます(手持ちの予備HDDは無いので、今はとりあえず起動させたいんですが…)。
後で気付いたんですが…。
よくよく見ると、sdcですね、エラー。
抜いた事により、RAIDと関係ないHDDのfsckチェックが引っかかる模様。
/etc/fstab の最後の値をチェックしない『0』にすれば解決です。

仕方ない、また壊れてるHDDを付けて再起動です。
おや?ブートローダーに処理が移ってしまいました。
とりあえずもう一度電源入れ直すと、片方のHDDだけで起動してくれましたね(いくつもエラー表示が出て、時間かかりましたが…)。

新しいHDDがきたら、交換作業ですね。
HDD来ました、ネットで購入(TUKUMO)。

まずは、正常なsdbのパーティションを表示させます。
# fdisk -l /dev/sdb
Disk /dev/sdb: 1000.2 GB, 1000204886016 bytes
255 heads, 63 sectors/track, 121601 cylinders
Units = シリンダ数 of 16065 * 512 = 8225280 bytes
デバイス Boot Start End Blocks Id System
/dev/sdb1 * 1 121108 972799978+ fd Linux raid 自動検出
/dev/sdb2 121109 121601 3960022+ fd Linux raid 自動検出

新しいHDDに入れ替えて再起動(新しくしたら、普通に再起動できました)。
参考までに、bootさせる為に、新しい方をsdbにするという手もあります(自分はgrubを両方に入れているので、どちらでもOK)。
# hdparm -I /dev/sda
# hdparm -I /dev/sdb
# hdparm -I /dev/sdc
# fdisk -l /dev/sda
# fdisk -l /dev/sdb
# fdisk -l /dev/sdc
↑これらで、念のため入れ替えたHDDを含めて、どう接続しているかの確認をします(新しいHDDが実はつながれてなかったりすると、sdaが想定していないHDDだったりします)。
# fdisk /dev/sda
でsdbと同じパーティションを作ります。
コマンド的には、以下です。
n (新規パーティション作成) → p (基本パーティション)
 → 1 → 1 (開始シリンダ) → 121108 (終了シリンダ)
n (新規パーティション作成) → p (基本パーティション)
 → 2 → 121109 (開始シリンダ) → 121601 (終了シリンダ)
t (パーティションID変更) → 1 (パーティション番号) → fd (Software RAID用ID)
t (パーティションID変更) → 2 (パーティション番号) → fd (Software RAID用ID)
a (起動フラグ設定) → 1 (パーティション番号)
w (ディスクに書き込んでfdiskを終了)

作成したパーティションをRAIDに参加させます。
# mdadm /dev/md0 --add /dev/sda1
# mdadm /dev/md1 --add /dev/sda2
このコマンドで、同期が始まります。

同期には時間かかりますね(同期終了かどうかは下記コマンド)。
# mdadm --detail /dev/md0
最後のstateに注目してください。『active sync』で同期完了。『spare rebuilding』は同期中。

ちなみに、壊れたHDDを無理やりRAIDに参加させても
# mdadm --detail /dev/md0
の最後の表示のstateに『faulty spare』の/dev/sda1が追加されるだけですね。

後は、ブートローダをsda1に入れるだけです。
sda1は、/bootパーティションです。
まずは確認してみます。
# df /boot
Filesystem 1K-ブロック 使用 使用可 使用% マウント位置
/dev/md0 942335500 6545500 887150008 1% /
マウントが『/』となっている事に注目(『/boot』となっている場合(後述)は、grubインストール時にbootディレクトリ指定はいらない)。
/bootパーティションがmd0なので、md0が何で構成されてるかを見ます。
# grep md0 /proc/mdstat
md0 : active raid1 sda1[0] sdb1[1]
sda1とsdb1でmd0が構成されています。
# grub
Probing devices to guess BIOS drives. This may take a long time.
GNU GRUB version 0.97 (640K lower / 3072K upper memory)
grub> device (hd0) /dev/sda (sdaを指定する)
device (hd0) /dev/sda
grub> root (hd0,0) (最後の0が1番目のsda1という事で、1つずつズレた番号を指定します)
root (hd0,0)
Filesystem type is ext2fs, partition type 0xfd
grub> install /boot/grub/stage1 (hd0) /boot/grub/stage2 p /boot/grub/grub.conf
install /boot/grub/stage1 (hd0) /boot/grub/stage2 p /boot/grub/grub.conf
dfが/bootの場合:grub> install /grub/stage1 (hd0) /grub/stage2 p /grub/grub.conf
grub> quit
quit

再交換
あれから2年。
また、HDD不調のメールが届きました。
『SMART error (CurrentPendingSector) detected on host:******』
前回換えたsdaですね(2年は早い気がするなぁ)。
今回は、いきなり壊れるのではなく、Current_Pending_Sector のエラーが時間ごとに増えていってます。
# smartctl -a /dev/sda
197 Current_Pending_Sector ←この値
最初は1だったのが、2日後には329。
Current_Pending_SectorのHDDをフォーマットし直してもダメなのは以前の実験で分かってるので、素直に交換ですね。
RAID組んでいるので、今のところサーバ運営には問題無し(1つがダメでももう一つがあるし、バックアップとして3重にしてある)。
不安定な状態でありながらも、RAID自体には問題ないみたい。
# cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 sdb2[1] sda2[0]
3959936 blocks [2/2] [UU]
md0 : active raid1 sdb1[1] sda1[0]
972799872 blocks [2/2] [UU]
unused devices: <none>
HDD来たので、交換開始!
基本的には前と同じ。RAIDとしてまだ認識しているので、切り離す作業が最初にあるくらいです。
# mdadm --manage /dev/md0 --fail /dev/sda1
# mdadm --manage /dev/md1 --fail /dev/sda2
# cat /proc/mdstat
# mdadm --manage /dev/md0 --remove /dev/sda1
# mdadm --manage /dev/md1 --remove /dev/sda2
# cat /proc/mdstat