SUNAO のブログ

まずは apache2 と ruby のインストールを行います。ruby は写真を公開するサーバーサイド側で動的に HTMLを生成させるのに使用しています。

$ sudo apt install apache2 apache2-doc webalizer ruby

インストールするとブラウザからのアクセスには簡単な初期説明が表示されます。

すでに公開している写真データは、全てコピーが完了していますので、apache2 の初期説明に configuration layout の図が書かれていますが、必要な設定を確認しながらコピーしてサーバーの複製を行います。
一般に公開していないプライベートのパスワード付き暗号化通信の https: で使用するベーシック認証用のパスワードを格納しているファイルが /etc/apache2/conf/.htpasswd に置かれていますが、そのままコピーします。なお、ここからは作業性の問題で root ユーザーとして作業します。

$ sudo su -
# rsync -av /etc/apache2/conf  192.168.10.24:/etc/apache2/
sending incremental file list
conf/
conf/.htpasswd
sent 530 bytes received 39 bytes 379.33 bytes/sec
total size is 399 speedup is 0.70

できるだけ構成ファイルはデフォルトのままで進めたいと思いますが、デフォルトのキャラクタセットは UTF-8 として定義するため /etc/apache2/conf-available/charset.conf 内のコメント ‘#’ を除いて有効になるように変更します。
それと apache2 の起動時ログにエラー的な記録が残る対策とのことで、次の手順を追加しておきます。

# echo ServerName $HOSTNAME > /etc/apache2/conf-available/fqdn.conf
# a2enconf fqdn
# systemctl reload apache2.service

モジュールを有効にします。

# a2enmod cgid ssl

すでに定義されていて稼働実績のある sites の定義を転送して、実情に照らして問題がないか見直します。

conf-enabled と sites-enabled のすみ分けが良くわかりませんが、純粋なコンフィグレーションと公開するサイトに関わるコンフィグレーションとで分けているのだろうと思っています。
conf-enabled については、先に修正した conf-available/fqdn.conf 以外は初期設定の内容を信じて特に手を加えません。サイトのコンフィグレーション /etc/apache2/sites-available/ については、稼働している公開サーバーから scpコマンドでコピーしました。
ポート :80 の http:// 初期設定 000-default.conf はそのままで問題なさそうです。ポート :443 の https:// 初期設定 default-ssl.conf についてもそのままで問題なさそうです。コピーしたサイトのディレクトリは次のようになっています。

# ls -l /etc/apache2/sites-available/
合計 36
-rw-r--r-- 1 root root 1332 7月 6 06:22 000-default.conf
-rw-r--r-- 1 root root 1646 9月 1 21:29 001-三田-public.conf
-rw-r--r-- 1 root root 6437 9月 4 21:17 default-ssl.conf
-rw-r--r-- 1 root root 218 9月 1 21:02 webalizer.conf
-rw-r--r-- 1 root root 372 9月 1 21:12 webcmd.conf
-rw-r--r-- 1 root root 2949 9月 4 17:22 三田-private.conf

webalizer.conf は、web のアクセスをグラフで表示する設定です。webcmd.conf は、ブラウザを利用してコマンドを実行させる家屋内でのみ利用できるツールです。webalizer の定義とブラウザからアクセスした場合の表示をサンプルとして次に示します。

webalizer を利用できるユーザーは定義を見ればわかるように、sunaomita と webadm だけとしています。
次のアクセス結果を見ると作成されたグラフで文字化けしています。今のネット世界では文字化けの起こらない UTF-8 が主流の文字コードとして認知されていますが、過去に主流だった UNIX や Linux では EUCコードが主流のコードとして使われていた時代が長く続きました。それを引き継いだままのソフトなので、手間を掛けないと修復できませんので目をつぶります。

続いて、一般公開するサイトの設定 001-三田-public.conf とプライベートサイトになる設定 三田-private.conf の一部を表示します。


定義ができたら定義を有効にする a2ensite コマンドで、各コンフィグを組み込みます。そして apache2 を再起動します。

# a2ensite 001-三田-public default-ssl webalizer webcmd 三田-private
# service apache2 restart

アクセスすると公開している web サーバーと全く同じ内容のコピーされた webサイトが表示できることを確認しました。

それではメール設定の作業を始めましょう。 postfix だけを指定してインストールしようとしたら多くの提案があったので、その中から思い付きで関連しそうな予想のものを追加しておきます。

$ sudo apt install postfix sasl2-bin postfix-doc openssl-blacklist

インストール途中で、postfix をどのようにインストールするのか質問されるが、結果の違いが良くわかっていないのでインターネットを選択しました。動作実績のある設定をコピーしてカスタマイズするので特に問題はありません。
設定が必要なファイルは、master.cf と main.cf 、それと @Nifty にリレイするのでパスワードが必要になります。
パスワードのファイル名は任意ですが、後でわかる名前にしておきましょう。ここでは nifty.auth としておきます。

$ sudo vi /etc/postfix/nifty.auth
[smtp.nifty.com]:587 userid:password

その後で、hash化されたDBに変換します。

$ sudo postmap /etc/postfix/nifty.auth

適切な設定なのかはわかりませんが、次に示すのが main.cf と master.cf の一応動作している設定です。
main.cf と master.cf
続いて mail のコマンド操作ができるようにして、テストメールを送信してみます。作業を root ユーザーになってから進めようと思います。

$ sudo su -
# apt install mailutils
# vi /etc/aliases

/etc/aliases の設定を有効にします。

# newaliases
# systemctl reload postfix.service

コマンドを利用して、 root ユーザーから pi ユーザーに簡単なメールを送ってみます。

# echo test | mail -s 'postfix test' pi

pi ユーザーへのメールは、@Nifty の私のメールアドレスへ転送するように設定しているので、正常に機能すれば転送されてきます。転送された内容を確認すると送ったメールの内容に間違いないことがわかります。

メールの転送機能が確認できたので、logwatch をインストールします。

# apt install logwatch

問題がなければ １日１回のログのレポートが送られてきますので、待つことにします。
それと今まで利用してこなかった監視ソフトとして logcheck と言うのがあるようで、すでに１度インストールしていて、メールで頻繁に通知されてきたのを経験しています。せっかくなのでインストールしようと思います。

# apt install logcheck

使い方がよくわからないのでネット検索してみるとドキュメントの日本語化したものらしいのが見つかりましたが、その説明と実際にインストールされたものの構成が大きく異なっているようです。Webサーバーの apache2 でもRedhat系と Debian / Raspbian 系では構成や操作の作法に大きな違いがあるようなので、 logcheck も同様に構成や作法に違いがあるのでしょうね。ディレクトリの構成を次に示しますが、そのディレクトリ内に定義のファイルが多数置かれているようです。今は余裕がないのでそのままスルーしておきます。

送られてくるメールを次に示します。監視結果は logcheck 宛にメールされるのですが、/etc/aliases に定義はしていないのですが、問題なく私宛にメールが届きます。カラクリはわかりませんが未定義はroot に送られるのでしょうか。

ソフトの導入と設定を始めます。

$ sudo apt install screen byobu

一度 byobu を起動すると .byobu ディレクトリが作成されます。
byobu の終了は、[F6]キー押下です。

$ byobu
[F6]

仮想端末を制御するエスケープ文字は、色々な意見があるのですが、emacs を使用していない私ですが、’Ctrl + b’ に変更しようと思います。
byobu 関連のコマンドにどのようなものがあるのか確認するため、byobu[Tab][Tab] キー を打鍵してみます。

$ byobu[Tab][Tab]
byobu byobu-janitor byobu-quiet byobu-status
byobu-config byobu-keybindings byobu-reconnect-sockets byobu-status-detail
byobu-ctrl-a byobu-launch byobu-screen byobu-tmux
byobu-disable byobu-launcher byobu-select-backend byobu-ugraph
byobu-disable-prompt byobu-launcher-install byobu-select-profile byobu-ulevel
byobu-enable byobu-launcher-uninstall byobu-select-session byobu_prompt_status
byobu-enable-prompt byobu-layout byobu-shell byobu_prompt_symbol
byobu-export byobu-prompt byobu-silent

まず screen のエスケープ文字を変更することにします。多分設定ファイルは、.byobu/keybindings だろうと思います。

$ vi .byobu/keybindings
source $BYOBU_PREFIX/share/byobu/keybindings/common
bindkey "^A"
escape ^Bb

続いて byobu のエスケープ文字を変更しますが、どのファイルなのかわからないので、直接 byobu を立ち上げて [F9] で変更用のダイアログを表示させ、3番目の ‘Change escape sequence’を選択します。そして入力欄に ‘b’ を打鍵します。

$ byobu
[F9] 表示されたダイアログの3番目を選択 [↓][↓]
'Change escape sequence' を選択して [Enter]
'b' を打鍵して　[Tab] で、<Apply> を選択して [Enter]
[Tab] で <Exit> を選択して [Enter]
[F6]

そして byobu の裏で screen が動作するように変更します。

$ byobu-select-backend

Select the byobu backend:
  1. tmux
  2. screen
Choose 1-2 [1]: 2

これで screen と連携した byobu の設定が完了しました。
操作した感じでは問題なさそうです。
ただし、このままでは sshでリモートログインしても自動的に byobu は起動しないし、 byobu を終了しても sshのログインのままになります。
sshリモートログインで byobu が自動的に起動して、 byobu の終了で自動的に sshのセッションも切断するように変更します。

$ byobu-enable

自動的に起動しないように戻すには、 byobu-disable コマンドを実行します。

vimエディタのフルセットをインストールします。

$ sudo apt install vim

シンタックスカラーリングを有効にしておきます。
19行1桁目のコメント ” を取り除きます。

$ sudo vi /etc/vim/vimrc
......  ......
" Vim5 and later versions support syntax highlighting. Uncommenting the next
" line enables syntax highlighting by default.
syntax on
" If using a dark background within the editing area and syntax highlighting
" turn on this option as well
....  ....

常用しているノートPCからの ssh リモートログインのために公開鍵を設定します。
方法は、リモートで操作されるサーバーであるラズパイ側のpiユーザーの .ssh/authorized_keyの中に、リモートで操作する側(常用しているノートPC)の常用ユーザーの公開鍵を追加します。

$ cat .ssh/id_rsa.pub   ....(常用しているノートPC側)

ssh-rsa AAAAB3NzaC1......AABAQDGfuahG9gbZlZk.........UfIO4hqf7uQJif/c1FPGwQYkGT7VAiksrtyBTOSEe/iWLfeVwjlS..........AkyAVJZKp0p/g+zO............9yF5+b6K9KP+mEXC.......w7HDsaif user@note-PC

追加する方法には色々な方法が考えられますが、文字列をコピーして viエディタで単純に追加編集する方法を示します。

$ vi .ssh/authorized_key   ....(操作される側のラズパイ)
......    ......
ssh-rsa AAAAB3NzaC1......AABAQDGfuahG9gbZlZk.........UfIO4hqf7uQJif/c1FPGwQYkGT7VAiksrtyBTOSEe/iWLfeVwjlS..........AkyAVJZKp0p/g+zO............9yF5+b6K9KP+mEXC.......w7HDsaif user@note-PC
....  ..   .....

公開鍵が追加できたなら、公開鍵と秘密鍵で認証が行われることを確認します。

$ ssh pi@raspberrypi3
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Aug 28 20:21:10 2016 from note-PC
$

sshでの公開鍵認証ができたなら、ネット上からのアタックでパスワード認証での不正ログインを防ぐために、パスワード認証を禁止します。

$ sudo vi /etc/ssh/sshd_config
....  ..  .....
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
.......    .....

公開鍵と秘密鍵のペアでなければ接続できないことを確認します。 (publickey)

$ ssh root@raspberrypi3
Permission denied (publickey).