「未分類」カテゴリーアーカイブ

未分類

Apache 2.4 で少しセキュアなWebサーバを構築する。

2020年3月15日主様コメントする

1.はじめに

CentOS 7ではApache 2.4がデフォルトになっていますが、2.2の頃に比べて設定が簡素になっていて、逆に解り難くなっている感じもします。

また、多くのサイトでは基本的な設定は記載されているのですが、セキュリティを考えたり、マルチドメインに対応させたり、高速化を考えたり。。。意外と面倒なんですよね。

そこで、自分用にサイトをカスタマイズしてみました。
ということで、個人用設定です。

2.こんな感じにしよう

お品書きです。

・Apacheのインストール
・VirtualHostの設定
・SSL対応（紹介のみ）
・基本的なセキュリティ設定
・ちょっと踏み込んだセキュリティ設定
・高速化

こんな感じで進めていこうと思います。
SSL対応の前にVirtualHostの設定を行う理由は、今回使用するSSLの証明書がドメイン毎に必要となる為、事前にマルチドメインの設定を行っておきたかったためです。
順序についても少し考えてから行ってみると、作業が戻らなくて良いかと思います。

3.Apacheのインストール

CentOS 7ではデフォルトで準備されている場合もありますね。
もし入っていなかった場合には、yumでインストールしましょう。

# yum install httpd

1	# yum install httpd

あまりに簡単すぎますが、インストール自体はこれで終わりです。
以下のFirewall設定を行えば、公開出来てしまいます。

3.1　firewallの設定

# firewall-cmd --add-service httpd
# firewall-cmd --add-service httpds
# firewall-cmd --runtime-to-permanent

# firewall-cmd --add-service httpd

# firewall-cmd --add-service httpds

# firewall-cmd --runtime-to-permanent

上記のコマンドでは、httpとhttpsを開放しています。
実際には、まだhttpsの設定は行っていませんので接続は出来ません。
試しに、httpでドメインを指定してアクセスしてみましょう。
きちんとApacheのロゴが表示されるでしょう。

3.2　VirtualHostの設定

複数ドメインでWebサーバを構築したい場合があります。
そこで、複数ドメインでWebサーバが動くように設定を行います。
/etc/httpd/conf.dに新たな設定ファイルを追加します。
/etc/httpd/conf.d/virtual.confとします。

NameVirtualHost *:80
&lt;VirtualHost *:80>
        ServerName      hoge.ne.jp
        DocumentRoot    /var/www/html
&lt;/VirtualHost>

NameVirtualHost sub.hoge.ne.jp
&lt;VirtualHost *:80>
        ServerName      sub.hoge.ne.jp
        DocumentRoot    /var/www/html/sub
&lt;/VirtualHost>

NameVirtualHost *:80

ServerName hoge.ne.jp

DocumentRoot /var/www/html

</VirtualHost>

NameVirtualHost sub.hoge.ne.jp

ServerName sub.hoge.ne.jp

DocumentRoot /var/www/html/sub

</VirtualHost>

上記では、hoge.ne.jpとsub.hoge.ne.jpで指定する２つのドメインでアクセスできるようになりました。

４．SSL対応（紹介のみ）

Let’s Encryptを利用すると、無償でSSL証明書を得ることが出来ます。
下記のサイトにインストール方法が記されていますので参考にされると良いでしょう。
https://free-ssl.jp/usage/install-certbot.html#CentOS7

# yum install epel-release
# yum install certbot python-certbot-apache

1 2	# yum install epel-release # yum install certbot python-certbot-apache

実行方法についても同じ様に下記のサイトに記されています。
https://free-ssl.jp/usage/#TestExec

# certbot

# certbot

コマンドを実行されたら内容を確認しながらインストールすると、 /etc/httpd/conf.d/virtual.conf も適当に書き換えられて、SSL対応が可能になります。
こんな感じに書き換えられます。

NameVirtualHost *:80
&lt;VirtualHost *:80>
        ServerName      hoge.ne.jp
        DocumentRoot    /var/www/html
RewriteEngine on
RewriteCond %{SERVER_NAME} =hoge.ne.jp
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
&lt;/VirtualHost>

NameVirtualHost sub.hoge.ne.jp
&lt;VirtualHost *:80>
        ServerName      sub.hoge.ne.jp
        DocumentRoot    /var/www/html/sub
RewriteEngine on
RewriteCond %{SERVER_NAME} =sub.hoge.ne.jp
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
&lt;/VirtualHost>

NameVirtualHost *:80

ServerName hoge.ne.jp

DocumentRoot /var/www/html

RewriteEngine on

RewriteCond %{SERVER_NAME} =hoge.ne.jp

RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

</VirtualHost>

NameVirtualHost sub.hoge.ne.jp

ServerName sub.hoge.ne.jp

DocumentRoot /var/www/html/sub

RewriteEngine on

RewriteCond %{SERVER_NAME} =sub.hoge.ne.jp

RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

</VirtualHost>

httpdを再起動するとSSLの設定が有効になります。

# systemctl restart httpd

1	# systemctl restart httpd

5.基本的なセキュリティ設定

これから幾つかの設定を行います。
設定を行った際に行う2つのことをここで説明しておきます。
1つ目は、正しき記載されているか？
2つ目は、httpdの再起動です。
それぞれ、よく使うコマンドになりますので以下に記します。

正しく記載されているか確認します。

# httpd -t
・・・・・・（省略）
Syntax OK

# httpd -t

・・・・・・（省略）

Syntax OK

httpdの再起動を行います。

# systemctl restart httpd
もしくは
# systemctl reload httpd  &lt;== こちらは、設定を再読込み

# systemctl restart httpd

もしくは

# systemctl reload httpd <== こちらは、設定を再読込み

5.1　Wellcomeページの削除

デフォルト状態でドメインへアクセスすると、Welcomeページが表示されます。
Welcomeページは通常不要なページです。
必要ないから削除してしまいましょう。

/etc/httpd/conf.d/welcom.confファイルを削除するかリネームすることでwelcomぺ^自我表示されなくなります。

# mv /etc/httpd/conf.d/welcom.conf /etc/httpd/conf.d/welcom.conf.org

1	# mv /etc/httpd/conf.d/welcom.conf /etc/httpd/conf.d/welcom.conf.org

httpdを再起動することで設定は反映されます。

5.2　Index表示をデフォルトで行わせない。

デフォルトの設定では、URLで指定されるフォルダーの一覧が表示される状態になっています。
フォルダーの一覧が表示されてしまうと、サイトに含まれるファイルの一覧や構造が解ってしまいます。
この機能をデフォルトでOFFにします。
/etc/httpd/conf/httpd.confに含まれる以下の設定を変更します。

#    Options Indexes FollowSymLinks
    Options FollowSymLinks

1 2	# Options Indexes FollowSymLinks Options FollowSymLinks

5.3　HTTP TRACEメソッドを無効化する。

クロスサイトスクリプティングの対策として、TRACEメソッドを無効化します。
/etc/httpd/conf/httpd.confに以下の1行を追加します。

TraceEnable off

1	TraceEnable off

5.4　X-Frame-Options を設定する。

クリックジャッキングの対策として有効なX-Frame-Optionsを設定します。
/etc/httpd/conf/httpd.confに以下の1行を追加します。

Header append X-FRAME-OPTIONS "SAMEORIGIN"

1	Header append X-FRAME-OPTIONS "SAMEORIGIN"

SAMEORIGIN以外にもオプションはありますが、ブラウザによってサポートされていない場合もあります。
ブラウザのバージョンに依存することもあります。
ネット上で情報確認を行った上で対応を考えてみてください。
この設定を行うと、iframeなどで異なるドメインのサーバで勝手に使用されることが出来なくなります。

5.5　Apacheバージョンの隠ぺい

Apacheのバージョンをデフォルトでは取得できる設定になっています。
でも、バージョン情報が解ってしまうと、そのバージョンを狙った攻撃も解ってしまいます。
そこで、このバージョン情報を隠ぺいします。
普通は必要ない情報ですからいいでしょう。
/etc/httpd/conf/httpd.confに以下を追加します。

ServerTokens ProductOnly
ServerSignature off

1 2	ServerTokens ProductOnly ServerSignature off

5.6　暗号化を強化する。

まず、安全性の低い暗号化を無効にします。
/etc/httpd/conf.d/ssl.confにある以下の内容を変更します。

#SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH

1 2	#SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH

次に、以下を有効にします。

SSLHonorCipherOrder on

1	SSLHonorCipherOrder on

未分類

PostgreSQL & postGISインストール。

2020年3月7日主様コメントする

インストール手順ばかり記録してる気がする今日この頃・・・(TT)
もう少し、利用事例を記録しろと思っているのですが、ご勘弁をm(__)m

さて、今回も環境はCentOS 7です。
手抜きインストールをやってしまい（いつもですが・・・）、デフォルトのPostgreSQLを入れてしまいました。
ところが、postGISを使おうとして古くて使えないことに気が付き、今更ながら新しいPostgreSQLを入れることになり悩んでいたのですが、ほぼ最新版を既に入っているPostgreSQLが入った状態でインストールできるということで試してみます。
と言いつつ、実際には、PostgreSQLが入っていない環境へ適用します。

当初、PostgreSQLのインストール方法を探してみると、yumでデフォルトのリポジトリからインストールする方法は目に入ります。
バージョンが9.2と随分古いバージョンであることに気が付かずインストールしてしまったのが、今回の始まり。

出来るだけ最新版に近いバージョンをインストールしようと探してみると、12.1が最新で公開されていました。比較的最近になってからリリースされているので、情報が見つからない可能性があるかと思いながらも、探していると12.1のインストール方法はありました。

それでは始めます。

PostgreSQLとPostGISのインストール準備

定番ですが、epel-releaseをインストールしておきますね。
多分、これを使おうとしている方は、既にインストールされているのでは無いでしょうか？

# yum install epel-release

1	# yum install epel-release

RPMからインストールするとか、方法は幾つかあるようですが、後でメンテナンスしやすい、yumだけでインストールする方法を見つけました。

まず、CentOS SCLo Software Collectionのリポジトリを追加します。

# yum install centos-release-scl-rh centos-release-scl

1	# yum install centos-release-scl-rh centos-release-scl

後はひたすらyumでインストールするだけ！

ほとんど終わったｗ

Linux, node.js, 未分類

node.jsをインストールすることから始めます。

2019年9月13日主様コメントする

今回は、node.jsをインストールすることが目的ではないのですが、この後に書く予定のdeck.glをインストールするために、node.jsをインストールする必要が生じたため、手順を踏んで記録に残すことにしました。

node.jsのリポジトリを登録する。

またしても、CentOS 7上に環境を構築します。
以下のサイトを開いて、最新版を確認します。

https://github.com/nodesource/distributions/tree/master/rpm

執筆時点では、setup_12.xが最新版でした。
最新版をインストールするため、以下のコマンドを実行します。

# curl -sL https://rpm.nodesource.com/setup_12.x | bash -

1	# curl -sL https://rpm.nodesource.com/setup_12.x \| bash -

これで、基本的なインストールは完了です。

実は、過去にnode.jsをインストールしていたマシンだったので、こんなメッセージが表示されました。

## Your system appears to already have Node.js installed from an alternative source.
Run `sudo yum remove -y nodejs npm` to remove these first.


## Run `sudo yum install -y nodejs` to install Node.js 12.x and npm.
## You may also need development tools to build native addons:
     sudo yum install gcc-c++ make
## To install the Yarn package manager, run:
     curl -sL https://dl.yarnpkg.com/rpm/yarn.repo | sudo tee /etc/yum.repos.d/yarn.repo
     sudo yum install yarn

## Your system appears to already have Node.js installed from an alternative source.

Run `sudo yum remove -y nodejs npm` to remove these first.

## Run `sudo yum install -y nodejs` to install Node.js 12.x and npm.

## You may also need development tools to build native addons:

sudo yum install gcc-c++ make

## To install the Yarn package manager, run:

curl -sL https://dl.yarnpkg.com/rpm/yarn.repo | sudo tee /etc/yum.repos.d/yarn.repo

sudo yum install yarn

「sudo yum remove -y nodejs npm」ということで、削除します。

# yum remove nodejs npm

1	# yum remove nodejs npm

その後の情報も確認しつつ、node.jsのパッケージをインストールします。

# yum install nodejs

1	# yum install nodejs

これで完了です。
バージョン確認を実施し、最新版のnode.jsがインストールされていることを確認しましょう。

# node -v
v12.10.0

1 2	# node -v v12.10.0

無事インストールが完了しておりましたので、今回はここまでとなります。
続きは別途。。。

Linux, 未分類

CentOS 8 リリース待ち→リリースされた2019-09-24(^^)

2019年8月11日主様 2件のコメント

2019年5月7日にRHELがリリースされてからもうすぐ100日が経過しようとしている。

<2019-09-25追記>
現地時間9/24、CentOS 8がリリースされました！
これで使えるようになりますが…問題は、VirtualBoxでGUIを含む状態でインストールする場合には、問題があるようです。
以前(CentOS 7)から気にはなっていたのですが、基地の問題として残っているようです。
仮想マシンとして考えている方で条件が合致される場合は、他の仮想か技術を考えた方が良いかも知れませんね。
意味が違ったようですm(__)m
「Server With a GUI」/「サーバ（GUI）」を選択してインストールするとGUIが立ち上がらない障害がある様です。
詳しくは以下のサイトをご参照下さい。
https://wiki.centos.org/ja/Manuals/ReleaseNotes/CentOS8.1905#head-9ed7a1765d703716a543781d18c13e50868f0516

と言いつつ、読んでみてもよく解らなかったので調べてみることにしたら、こちらの記事が解り易かった。
https://qiita.com/edward999th/items/d199125dbb8286d91152

「ベース環境」の選択で「Server with a GUI」もしくは「サーバー（GUI)」を選択してインストールすると既知の問題に遭遇するらしい。
インストーラのバグか？という感じですが、原因までは調べていません。
「ワークステーション」を選択してインストールする分には問題が無いようなので、GUIを使いたい場合には別の選択肢を関g萎えた方が良さそうですね。

<2019-09-23追記>
なんか、明日(2019-09-24)にリリースされるそうです。
9月に入ってからのダタバタ劇はなんだったのか？踊らされていたのか？
とにかく、現地時間の明日にはリリースされるとのこと、期待して待ちましょう。

※2019-08-26 時点でまだリリースされていません。
※2019-09-15時点でまだリリースされていません。

※2019-09-23時点でまだリリースされていません。

<2019-09-15追記>2019年8月にリリースされたRHELに対応するため、CentOS 7.1909の更新準備が先行されているのですが、wikiを見てみると約1ヶ月くらい掛かるみたいです。10月以降にならないと開発は再開される見込みは無さそうですね。年内にリリースされるのかなぁ？

RHELのクローンとしては、CentOS/Scientific Linux/Oracle Linuxなどが知られているが、以前にCentOSよりリリースが早くて話題となったScientific Linuxは8以降のリリースを行わないとの表明が行われていますね。

単純な比較は難しいところですが、CentOSとOracle Linuxはクローンと言われているけど、Oracle Linuxは少し違いますよね。

Oracle Linux 8は7/18にリリースされました。
CentOSはまだ少し掛かりそうです。

進捗状況は以下のURLで公開されています。

https://wiki.centos.org/About/Building_8

~~もうカウントダウンですねw~~

~~8/15にボストン大学でDevConfが開催されるので、その頃にはRC版が出てくれそうな感じかな？~~
残念ながら発表はありませんでしたね(^^ゞ

9/10に動きがありました。
7.7がリリースされるそうです。そのため、8の開発が停止してしまいました。
もうすぐ！と思ったら、まだ先になりそうです。
首を長くして待ってます。

正式リリースが待ち遠しいですが、更にクラウド(VPSなど)で使えるようになるには、まだまだ時間が掛かりそうな雰囲気です。

リリースされたら、インストール方法などをまとめたいと思っています。

8/15時点では、Release Workを残すのみ！
最終段階か？と思いきや・・・

こんな感じで、まだ更新中だったりしています(^^ゞ
https://koji.mbox.centos.org/koji/index

でも、ここまで来ると本当に「あと少し！」って感じですね。

早ければ明日にもリリースか？とか期待してしまいますが、土日は進捗が止まっているので、来週8/21辺りが最短リリースじゃないかな？と、期待してます(#^.^#)

さてさて、まだまだリリースされる感じがしない。
8/20から全く更新する気配すら感じられなくなりました。
オープンソースカンファレンスの影響だろうか？
ここまで来たら、来月中にはリリースされるでしょう。
CentOSのサイトでは、「いつリリースされるの？」というコメントが出ていたり、首を長くして待っている人がいらっしゃいますね。
もう、ほとんどの作業は済んでいるはずなので、最後の詰めがしっかりされて発表して頂ければと思います。
しばらく、期待して待ちましょう。

2019-09-10 According to this thread, work was stopped on CentOS 8 after upstream released 7.7. Since so many more users have CentOS 7.x in production, and no one has 8 yet, priority has been given to the 7.7 update… and once it is done, work will continue on 8.
https://wiki.centos.org/About/Building_8

9/10時点で7.7のリリース作業のため、8の作業が停止してしまいました。
ちょっと厳しいなぁ～
今月中のリリースはあるのか？

未分類

仮想OSでインストールしたWindows 10がLAN上のNASに繋がらない時の対応

2019年2月12日主様コメントする

概要

VirtualBoxでWindowsをインストールした時に、LAN上のNASが接続出来ない状況が発生しました。
その対処についてまとめます。

最終的な結果として、プレインストールのWindows PCで同現象が発生していないことから、Windowsをメディア等からインストールした時に発生する現象であると思われます。
私の環境では、Windows 10で現象が確認されましたが、Windows Server 2016でも同現象が発生するもとの思われます。
その他Windowsの各バージョンにおいて発生した場合でも参考になるかも知れません。

Windows からNASに接続出来ない場合の対処法として記録します。

具体的な現象

VirtualBoxでWindows 10の環境を構築しました。
VirtualBoxでLAN上のネットワークに接続する方法は他にもありますが、ブリッジ接続を選択しました。
プライベートネットワークとして接続しています。

この状態で、通常のプレインストールされたWindows PCであれば、特に気にすることなく接続出来ると思うのですが、新規にインストールしたWindowsからは見えませんでした。

対策内容

幾つかの対策を行いました。
それぞれ順を追って説明しますが、以下に一覧を記します。

VirtualBoxにおけるネットワークの設定
Windows側のネットワークの設定
Windows側のネットワークの設定
ワークグループの設定
レジストリの設定

VirtulaBoxにおけるネットワークの設定

WindowsをVirtualBoxで仮想OSとして構築した場合について記載します。
ホストOS（Physical OS）の場合は、この項目の内容を飛ばして、次の設定に進んでください。

Windows側のネットワークの設定

Windowsのネットワーク設定がパブリックになっている可能性があります。
当初、私の環境ではパブリックになっていたのでプライベートに変更しました。設定は以下の手順です。

「ネットワークとインターネットの設定」を開きます。

画面右下のネットワークアイコンを右クリックすると以下のポップアップが表示されます

「ネットワークとインターネットの設定を開く」を選択します。

赤枠で囲んだイーサネットのアダプタをクリックします。

「パブリック」になっていたら、「プライベート」に変更してください。

ネットワークと共有センターの設定

ネットワークと共有センターの設定は、一つ前の画面にある「ネットワークと共有センター」を選択すると移動が楽です。

左メニューの「共有の詳細設定の変更」を選択します。

「ネットワーク探索を有効にする」を設定してください。

ワークグループの設定

「コントロールパネル」→「システム」を開きます。

「設定の変更」を開きます。

「変更（C）」で開かれるダイアログで、ワークグループを適切に設定してください。

ここまで来ると、エクスプローラで「ネットワーク」を選択すると、対象となるNASの名前が表示されたりします。
表示されない場合もありますので、あまり深く考えないで次へ進みましょう。

レジストリの設定

最大の難関はここでした！

「regedit」を起動します。
次に、以下のレジストリを探します。

コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

1	コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

「AllowInsecureGuestAuth」の項目を確認し、「1」をセットします。

再起動を行うことをお勧めしますが、私の場合は再起動なしでもNASへアクセス出来る様になりました。

ただ、このレジストリが見つからない場合もあります。
環境に依存している可能性もあり、判断が難しいところですが、新規に作ってしまうという手もあるのか？ご自身の責任で試してください。
レジスタを追加するのは、最後の手段にしておく方が良いでしょう。
保証も何もありません。

最後に

この現象はWindowsのアップデート後に発生している方も多い様です。
SMB絡みの不具合でもあると思いますが、MS社からすれば仕様なのかな？
そもそもWindows自体が安定性に乏しいということなのでしょう。
この問題は、Windows Server 2016でも報告されているので、アップデートの際にきちんとしてくれるとかないのかねぇ？MS社は無駄な労力をこういうところで強いるので、サポートをもっと手厚くしてほしいですね。

これがWindowsカテゴリ最初の投稿になるとは・・・ｗ

GIS, QGIS, 未分類

GeoTiff 座標系変換と結合

2019年2月4日主様コメントする

前提

国土地理院の地理院地図やGoogle Mapで提供されている航空写真を用いずに、独自に入手した衛星画像や航空写真を用いて広範囲の画像を表示させようとした時、座標系の変換と画像の結合が必要となります。

一般に入手される航空写真などで提供されている画像の座標系はJGD2011など、Web上では使い難い座標系を用いている場合が多く見受けられます。
その為、多くの場合には、座標系を変換する必要が生じるのです。
本資料では、この作業を行うための環境について説明し、衛星画像や航空写真などを用いて、座標系変換を行ってから画像を結合する以下の手順について説明します。

環境準備
画像の座標系を確認する。
座標系を変換する。

では順番に進めましょう。

環境準備

環境準備と言いましても、インストール方法については割愛します。
既に、本サイトでも紹介をしているOSGeo4Wをベースにお話しを進めます。
ただし、衛星画像や航空写真を結合する作業を行うには、正直申し上げてWindows環境はあまり適している環境とは言えません。
その理由としては以下が考えられるでしょう。

コマンドライン（シェル）が使い難い
元々メモリの消費が激しく、大量のメモリを消費する作業では使い勝手が悪い。

数枚の画像を扱う程度であれば、GISツール（QGISなど）を用いて、ちまちま行うという方法もあるでしょう。パッチ処理などでまとめて出来るよ！という方もいらっしゃるとは思いますが。。。無視！

ということで少し作業がやり易いように１つツールを入れて作業を行っています。
また、一部の操作に関しては、Linux上で作業を行うかも知れません。

環境としては、以下の環境を準備しました。

Windows 10
OSGeo4W （GDALが入っていればOK！）
　参考情報：https://trac.osgeo.org/osgeo4w/wiki/OSGeo4W_jp
　過去の参考情報：https://tech.godpress.net/?p=368
Gow
　参考情報：https://ja.wikipedia.org/wiki/Gow

実際の作業ではGDALを使用します。
GDALのみをインストールした環境を準備されている方は、その環境を用いてもOKです。（って、そんな環境造っている人が、このサイトを参考にされるとは思いませんが。。。）

画像の座標系を確認する

OSGeo4Wをインストールしている場合、QGISで確認しちゃおう！という方は、GUI上でプロパティ確認で終わっちゃいますね。
でも今回は、コマンドライン操作が基本となりますので、コマンドで対処します。

Gowをインストールしていると、Linuxと同じような感覚でコマンドラインの操作が行える様になります。

なんでコマンドラインで作業を行うかと言いますと、入手した画像が全て同じ座標系であれば、あまり大したことではないのですが、時折、異なる座標系の画像を提供されて結合する場合があり、全ての画像を同じ座標系に統一しないと画像を結合した時にズレが生じて隙間が発生するのです。
間違って座標変換を行わないためには、事前に元画像の座標系を確認しておく必要があるためです。
では、実際のコマンド操作に関して説明します。

以下のコマンドは１つのファイルに対して座標系の確認を行うためのコマンドです。

# gdalinfo &lt;対象ファイル> | grep EPSG
Files: &lt;対象ファイル>
        AUTHORITY["EPSG","9001"]]]

# gdalinfo <対象ファイル> | grep EPSG

Files: <対象ファイル>

AUTHORITY["EPSG","9001"]]]

複数のファイルに対し一括して確認を行う場合は、対象ファイルがあるフォルダーへ移動してから、以下のコマンドを実行します。

# gfind . -name *.tif | xargs  -n 1 gdalinfo  | grep EPSG

1	# gfind . -name *.tif \| xargs -n 1 gdalinfo \| grep EPSG

「gfind」コマンドは、Linuxの「find」コマンドをGowが実装したコマンドになります。

最初の引数「.」は対象となるフォルダーを指定しています。
対象フォルダーへ移動せずに、直接フォルダーを指定しても構いません。

-name *.tif :対象となるファイル名を指定します。ここではワイルドカードを用いた指定を行いました。全てのtifファイルが対象となります。

「｜」で次のxargsコマンドへ出力結果を引き渡しています。
xargsコマンドでは-n 1とすることで、ファイル名を一つづつ処理します。
gdalinfo <ターゲットファイル>がファイル数分処理されます。

最後に、grepで必要な行だけを取得しています。

座標系を変換する

今回は、以下のフォルダー構成を想定して作業を進めます。
＜作業フォルダー＞—＜EPSG102617＞
　　　　　　　　　｜
＋＜EPSG4326＞
コマンド操作は、＜作業フォルダー＞で行います。
＜EPSG102617＞は元の画像が保存されているフォルダーです。
先程の確認で座標系がEPSG:9001となっていましたが、内部ではEPSG:102617が正式な座標系となるためこの様にしています。

＜EPSG4326＞は座標変換後の画像ファイルを出力するためのフォルダーです。

既にお分かりのことと思いますが、本資料では、EPSG:102617（9001）→EPSG:4326の座標系変換を行います。

少し長くなりますが、以下のコマンドを実行してみましょう。

# gfind EPSG102617 -name *.tif -printf "%f\n" | xargs -Ixxx -n 1 gdalwarp -s_srs "EPSG:102617" -t_srs "EPSG:4326" -srcnodata "255 255 255" -dstnodata "255 255 255" EPSG102617\xxx EPSG4326\xxx

1	# gfind EPSG102617 -name *.tif -printf "%f\n" \| xargs -Ixxx -n 1 gdalwarp -s_srs "EPSG:102617" -t_srs "EPSG:4326" -srcnodata "255 255 255" -dstnodata "255 255 255" EPSG102617\xxx EPSG4326\xxx

gfindコマンドで対象ファイルを特定し、そのファイル名だけを抜き出し、gdalwarpコマンドへ引き渡しています。

gdalwarpコマンドでは、-s_srsで元の座標系（102617）を-t_srsで指定される座標系（4326）へ変換を行うことを指定しています。
-srcnodataでは、元画像の中にある不要なデータのカラーコードを指定しています。同様に-dstnodataで出力時のノーデータを指定しています。

-srcnodataや-dstnodataを指定しなかった場合、画像の繋ぎ目に隙間が生じ、黒く筋が入ってしまうと思います。
座標変換に伴う歪により生じた隙間が黒色で塗潰され、それが隙間となってなって見えている状態になります。

これを除外するために、-srcnodataと-dstnodataを用いて不要なデータ部分を見えなくしているのです

余談・・・画像結合に関して

これだけの画像を準備したのですから、画像結合の話を少しだけ。。。
実は、画像結合してタイル画像を作成する予定だったのですが、マシンの不調とその必要性が無くなってしまったので、余談として記載します。

画像の結合にはgdal_mergeを使用します。

コマンドはこんな感じです。

-o OUTPUT.tif -ot Float32 -co COMPRESS=LZW -co BIGTIFF=YES 対象ファイル１　対象ファイル２・・・・

1	-o OUTPUT.tif -ot Float32 -co COMPRESS=LZW -co BIGTIFF=YES 対象ファイル１　対象ファイル２・・・・

-a_nodata “255 255 255″を追加した方が良さそうに思います。
環境変数GDAL_CHACHEMAXの値を出来るだけ大きくすると良さそうです。
ちなみに、gdalbuildvrtで仮想ファイルを作成して作業を行う方が効率良いとも思います。

こんな感じでしょうか？
タイル化などにご興味のある方は、別途ご連絡ください。

未分類

cudaGetDeviceCount が-1だった。

2018年11月23日主様コメントする

OpenCVでcudaGetDeviceCountを用いて、Cudaが利用可能な状態か調べていたのだが、通常はデバイスの認識がされていないと0が返されるところで、-1が返されていた。

結論は、NVIDIAのドライバとcudaのバージョンが合わなかったためでした。

NVIDIAのドライバをバージョンアップすることで、解決しました。

未分類

【小ネタ】CentOS 6/7における安全なhttpd再起動の再起動方法

2018年7月30日主様コメントする

小ネタです。

今更感が強いです。

でもメモしておきます。

ここ最近、ブログさぼってました。
ついでに、Apache Http Server 2.2系から2.4系に移行しようとして、ガッツリ嵌ってしまいました。
その結果、ここのブログが10日ほど障害発生＆クローズ状態が続いておりました。
閲覧者の方にはご迷惑をお掛けしたことと思います。
お詫び申し上げます。

さて、気を改めて、HTTPサーバを再起動する時に誰かが閲覧中だったりすると困りますよね。いきなりサーバが落ちて正常に反応してくれない！バグってる！！落ちた！！！

そんなことを少しでも起こさない様にしたい！ということで、今回の小ネタです。

CentOS 6における安全なHTTPサーバ再起動方法

コマンドはこんな感じです。

# service httpd graceful

1	# service httpd graceful

ご存知の方も多いですよね。
今更ですよね。
でも知らない人も多いんですよ。・・・きっとｗ

CentOS 7における安全なHTTPサーバ再起動方法

CentOS 7ではserviceコマンドが非推奨となってしまいました。
systemctlコマンドへ移行されています。
systemctlコマンドではgracefulのオプションがありません。
ではどうやってやるのか悩ましいところでもあったりします。
でも、以外に解り易いオプション名に変更になったのではないでしょうか？

ということで、コマンドは以下の通りです。

# systemctl reload httpd

1	# systemctl reload httpd

設定の「再読み込み」と覚えておけば、今までよりも解り易くないですか？私だけかな？

ということで、小ネタでした。

DB, Linux, 未分類

MariaDBを外部から接続できるようにするCentOS ７

2018年3月6日主様コメントする

MariaDBを外部サーバからアクセスできるように設定する。

MariaDBは前回導入しましたが、外部からアクセスできるように設定を行います。

外部とは、同一ネットワーク内のサーバからのみアクセスを許可します。全公開するとセキュリティを考慮する必要が生じますので、同一ネットワーク内としています。

環境

CentOS 7.4
MariaDB 10.1

作業項目

ファイアウォールでMariaDBのサービスを許可する。
MariaDB内に外部からアクセスを許可するユーザを作成する。
MariaDBの設定を確認・調整する。

ファイアウォール設定

ファイアウォールにMariaDBのアクセスを許可します。
以下のコマンドで設定します。

# firewall-cmd --permanent --add-service=mysql
# systemctl stop firewalld.service
# systemctl start firewalld.service

# firewall-cmd --permanent --add-service=mysql

# systemctl stop firewalld.service

# systemctl start firewalld.service

firewalldの再起動は以下のコマンドでもOK！

# systemctl reload firewalld.service

1	# systemctl reload firewalld.service

これでfirewalldにmysqlのサービスが許可されました。
mysqlとしましたが、MariaDBは内部にmysqlを含んでいると考えてください。そして、mysqlが許可されればMariaDBへの許可が済んだことになります。

MariaDB内に外部からアクセスを許可するユーザを作成する。

今回は、内部ネットワークなのでrootユーザと同じレベルで作成します。

# mysql -u root -p
Enter password:
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 520
Server version: 10.1.31-MariaDB MariaDB Server

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> GRANT ALL PRIVILEGES ON *.* TO root@"10.123.123.%" IDENTIFIED BY 'password' WITH GRANT OPTION;
MariaDB [(none)]> FLUSH PRIVILEGES;

# mysql -u root -p

Enter password:

Welcome to the MariaDB monitor. Commands end with ; or \g.

Your MariaDB connection id is 520

Server version: 10.1.31-MariaDB MariaDB Server

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> GRANT ALL PRIVILEGES ON *.* TO root@"10.123.123.%" IDENTIFIED BY 'password' WITH GRANT OPTION;

MariaDB [(none)]> FLUSH PRIVILEGES;

前回インストールしたMariaDBであれば、これだけでOKのはずです。

私が少し躓いたのは、間に物理的なファイアウォールやUTMを配したネットワークを経由した際に、そのハードルを越えるために設定を施す必要が生じたのですが、同一ネットワーク内であれば、ルータ代わりにUTMを使っている様な下手なことをしていなければこれでつながるはずです。

MariaDBの設定を確認・調整する。

基本的には必要ありませんが、/etc/my.confや/etc/my.conf.d/で設定しているconfファイルで、bind-addressを指定している場合には、その設定を見直す必要があります。

bind-addressで指定が行われている場合、外部からアクセスするアクセス元のIPアドレスを確認して登録します。

対象ファイルは
/etc/my.conf
それ以外は以下の様に確認しました。

# cd /etc/my.conf.d/
# grep bind-address *.conf

1 2	# cd /etc/my.conf.d/ # grep bind-address *.conf

これで何か設定が行われていれば、以下の様に接続元のIPアドレスを追加します。

bind-address = 10.123.123.8

1	bind-address = 10.123.123.8

こんな感じです。

以上で完了です。

最後に確認

最後に確認方法ですが・・・・

外部のマシンから以下のコマンドを実行します。

# mysql -h MariaDBの設置されたホスト名もしくはIPアドレス -u root -p

1	# mysql -h MariaDBの設置されたホスト名もしくはIPアドレス -u root -p

これでアクセスできない場合には、もう一度設定をみなしましょう。
それでも接続できない場合は、ネットワークに問題があるのかも知れません。ネットワーク管理者に相談してみるのも方法かと思います。

未分類

プロセスの監視と再起動（monitを使ってみる）

2018年2月6日主様コメントする

前回はdummyプログラムを用いたサービスの登録方法について説明しました。
今回は、その登録したサービスを監視し異常発生時の再起動を自動的に行いたいと思います。

dummyプログラムは、TCP/IPによる通信を行うサーバ側のプログラムです。
ポート番号10050を使用してクライアントからの接続を待っています。

そのdummyプログラムが異常終了しゴースト化してしまっていたり、プロセス自体が動作していない状態（psコマンドで見つからない時）に、自動的に再起動を行わせます。

準備

プロセスの監視には色々と方法がありますが、今回はmonitを使用します。

monitのインストール

まず最初に、epelリポジトリをインストールします。
デフォルトではインストールされていないので、準備します。

# yum -y install epel-release

1	# yum -y install epel-release

続けて、monitをインストールします。

# yum -y install monit

1	# yum -y install monit

これだけです。

monitの初期設定

色々と他のサイトでも紹介されている様なので、今回は細かな設定については割愛します。
私がやったことは、以下の通りです。

１）monit.confの設定変更

/etc/monit.confもしくは/etc/monitrcの記述内容を編集します。

当該ファイルの一番下にこんな記述があります。

###############################################################################
## Includes
###############################################################################
##
## It is possible to include additional configuration parts from other files or
## directories.
#
include /etc/monit.d/*
#

###############################################################################

## Includes

###############################################################################

## It is possible to include additional configuration parts from other files or

## directories.

include /etc/monit.d/*

このままでは、/etc/monit.d/にある全てのファイルがインクルードされることになります。
/etc/monit.d/には各監視対象毎の設定ファイルが置かれることになります。
そこで、以下の様に編集しました。

###############################################################################
## Includes
###############################################################################
##
## It is possible to include additional configuration parts from other files or
## directories.
#
#include /etc/monit.d/*
include /etc/monit.d/*.conf
#

###############################################################################

## Includes

###############################################################################

## It is possible to include additional configuration parts from other files or

## directories.

#include /etc/monit.d/*

include /etc/monit.d/*.conf

/etc/moni.d/*.confとすることで、拡張子が.confのファイルだけが対象となります。
この設定を行う場合には、以下の作業も忘れずに行って下さい。

初期状態では、/etc/monit.d/にあるファイルはloggingだけになっています。

# ls -la
合計 xx
drwxr-xr-x.   2 root root    78  2月  6 10:48 .
drwxr-xr-x. 152 root root 12288  2月  5 19:58 ..
-rw-r--r--.   1 root root    51  9月 13  2015 logging

# ls -la

合計 xx

drwxr-xr-x. 2 root root 78 2月 6 10:48 .

drwxr-xr-x. 152 root root 12288 2月 5 19:58 ..

-rw-r--r--. 1 root root 51 9月 13 2015 logging

loggingファイルをlogging.confにコピーします。ファイル名の変更でも構いません。

cp -p /etc/monit.d/logging /etc/monit.d/logging.conf

1	cp -p /etc/monit.d/logging /etc/monit.d/logging.conf

これでmonitが動作する環境設定は準備出来ました。
それでは、monitをサービスとして起動します。

# systemctl start monit

1	# systemctl start monit

OS起動時に自動起動させるためには更に以下のコマンドを実行する。

# systemctl enable monit

1	# systemctl enable monit

これで監視が行われる状態になっています。
でも、監視対象が何も指定されいませんので、以下でdummyサービスの監視を行います。

プロセスの監視

前回の設定ではサービスとして登録しましたが、ここでは敢えて単独のプロセスとして監視対象にしました。
サービスとして登録した場合の方法については、別途記載しています。
サービスと登録している状態で、この方法を取ることはお勧めできません。
方法が異なる起動方法によりプロセスが再起動する可能性が発生し、管理上良くないからです。
この方法を採用する場合には、サービスとしての登録は行わない方が賢明です。monit単独で利用されることが望ましいと判断します。この方法とサービスでの起動を両方採用することは、二重起動を引き起こす可能性を含んでいます。
多分、プログラムは正常に動作しますが、異常が発生した場合に何が原因なのか特定することが困難になる気がします。

/etc/monit.d/dummy.confを以下の内容で作成します。

check process dummy matching "dummy"
start program = "/hogehoge/dummy"
stop program  = "/usr/bin/kill -9 dummy"
if failed port 10050 then restart
if 10 restarts within 10 cycles then unmonitor

check process dummy matching "dummy"

start program = "/hogehoge/dummy"

stop program = "/usr/bin/kill -9 dummy"

if failed port 10050 then restart

if 10 restarts within 10 cycles then unmonitor

1行目：監視対象を指定します。
2行目：起動方法を指定します。
3行目：終了方法を指定します。
4行目：異常時の処置を指定します。今回はポート10050を使用しており、10050ポートが開いているかどうかを確認しています。
5行目：10回再起動をトライしてダメだったら再起動を取止めるという内容で、再起動の試行回数を指定しています。

後は、monitに設定を読込ませれば完了です。以下のコマンドでmonitに設定内容を読込ませます。

# monit reload

1	# monit reload

以上で完了です。
監視状況を確認するには以下のコマンドで確認出来ます。

# monit status

1	# monit status

サービスの監視

サービスの監視も基本的には同じです。

設定ファイルが以下の通り変更になりますが、実際には同じでも大丈夫です。
サービスとして登録する方法は前回を参考にしてください。

check process dummy matching "dummy"
start program = "/usr/bin/systemctl start dummy"
stop program  = "/usr/bin/systemctl stop dummy"
if failed port 10050 then restart
if 10 restarts within 10 cycles then unmonitor

check process dummy matching "dummy"

start program = "/usr/bin/systemctl start dummy"

stop program = "/usr/bin/systemctl stop dummy"

if failed port 10050 then restart

if 10 restarts within 10 cycles then unmonitor

プロセスと異なり、systemctlを使用して起動と停止を行っています。
起動時にsystemctlコマンドを使用することで、サービス側との二重起動が避けられます。PIDはSystemd側で管理されていますので、Systemdを経由した起動の方が都合が良いわけです。
dummyプログラムのPIDを調べれば解ることなので、pkillやkillを使用して停止させることも出来るのですが、Systemd側における管理が煩雑になることを避ける意味から、systemctlコマンドを使うことになります。

サービス登録をしてRestartによる再起動を行った場合は、ポートの状態までは監視してくれませんでしたが、monitを使うことでポートの監視を行える様になっています。
ただし、固定のポートアドレスをハードコーディングで行う必要があるため、ちょっと使い勝手が良いとは言えません。

尚、この場合にはサービス登録側の設定も少し変更した方が良いでしょう。

こんな感じになります。

[Unit]
Description = Dummy TCP daemon

[Service]
#Restart = always
StartLimitInterval=60
StartLimitBurst=5
ExecStart = /hogehoge/dummy
ExecStop=/usr/bin/kill -9 $MAINPID

[Install]
WantedBy=multi-user.target

[Unit]

Description = Dummy TCP daemon

[Service]

#Restart = always

StartLimitInterval=60

StartLimitBurst=5

ExecStart = /hogehoge/dummy

ExecStop=/usr/bin/kill -9 $MAINPID

[Install]

WantedBy=multi-user.target

プロセスとして登録した場合とサービスとして登録した場合を敢えて記載しましたが、monitだけで十分では無いか？と考えると思います。通常はmonitだけで十分だと私も思います。

サービスとして登録する意味があまりある様には思えません。

敢えてサービスとして登録する意味はと言えば、一意のファイル名でプログラムが作成されていれば良いのですが、同名の実行ファイル名でプロセスが起動する様な場合には、サービスにしておく意味がある・・・と言うことぐらいでしょうか？

更に突っ込んで！monitが死んだら？

サービスで登録した場合でもプロセスとして登録した場合でも同じことなのですが、monit自体が死んでしまったら、プロセスを再起動することが出来ません。

CentOS 7では、UpStartの設定に従来の/etc/initが使えません。

ということで、/usr/lib/systemd/system/monit.serviceを変更します。

[Unit]
Description=Pro-active monitoring utility for unix systems
After=network.target

[Service]
Type=simple
Restart=always
ExecStart=/usr/bin/monit -I
ExecStop=/usr/bin/monit quit
ExecReload=/usr/bin/monit reload

[Install]
WantedBy=multi-user.target
[root@localhost system]# pwd
/usr/lib/systemd/system

[Unit]

Description=Pro-active monitoring utility for unix systems

After=network.target

[Service]

Type=simple

Restart=always

ExecStart=/usr/bin/monit -I

ExecStop=/usr/bin/monit quit

ExecReload=/usr/bin/monit reload

[Install]

WantedBy=multi-user.target

[root@localhost system]# pwd

/usr/lib/systemd/system

Restart=alwaysを追加しただけです。

これで、自動的に再起動を行ってくれます。

1.はじめに

2.こんな感じにしよう

3.Apacheのインストール

3.1 firewallの設定

3.2 VirtualHostの設定

４．SSL対応（紹介のみ）

5.基本的なセキュリティ設定

5.1 Wellcomeページの削除

5.2 Index表示をデフォルトで行わせない。

5.3 HTTP TRACEメソッドを無効化する。

5.4 X-Frame-Options を設定する。

5.5 Apacheバージョンの隠ぺい

5.6 暗号化を強化する。

PostgreSQLとPostGISのインストール準備

node.jsのリポジトリを登録する。

概要

具体的な現象

対策内容

VirtulaBoxにおけるネットワークの設定

Windows側のネットワークの設定

ネットワークと共有センターの設定

ワークグループの設定

レジストリの設定

最後に

前提

環境準備

画像の座標系を確認する

座標系を変換する

余談・・・画像結合に関して

CentOS 6における安全なHTTPサーバ再起動方法

CentOS 7における安全なHTTPサーバ再起動方法

MariaDBを外部サーバからアクセスできるように設定する。

環境

作業項目

ファイアウォール設定

MariaDB内に外部からアクセスを許可するユーザを作成する。

MariaDBの設定を確認・調整する。

最後に確認

準備

monitのインストール

monitの初期設定

１）monit.confの設定変更

プロセスの監視

サービスの監視

更に突っ込んで！monitが死んだら？

気になる技術の使い方を記録しています。マニアックなところもあると思いますので、ご利用は自己判断で。

3.1　firewallの設定

3.2　VirtualHostの設定

5.1　Wellcomeページの削除

5.2　Index表示をデフォルトで行わせない。

5.3　HTTP TRACEメソッドを無効化する。

5.4　X-Frame-Options を設定する。

5.5　Apacheバージョンの隠ぺい

5.6　暗号化を強化する。