「未分類」カテゴリーアーカイブ

未分類

WebでFileBrowser使ってみたら嵌った。

2021年9月8日主様コメントする

Webサービスとしてファイル一覧とか見れるようにしたいなぁ。
この時間、ちょっと地が出るかも知れません。

さて、OSS色々探してみて、これ使えるやん♪ということで、早速インストールして使ってみたんですけど・・・なかなか良いんですよね。

使うだけなら・・・・

で、いつの間にかインストール方法忘れかけてる実態に気が付いて、インストール方法探してみたら・・・

ここ見て
https://filebrowser.org/installation

そのまんまです。

curl -fsSL https://raw.githubusercontent.com/filebrowser/get/master/get.sh | bash
filebrowser -r /path/to/your/files

1 2	curl -fsSL https://raw.githubusercontent.com/filebrowser/get/master/get.sh \| bash filebrowser -r /path/to/your/files

これで起動まで終わりです。

-a オプションでアドレス指定出来ます。
-p オプションでポート指定出来ます。

デフォルトの設定は以下のコマンドで確認出来ます。

filebrowser config cat

1	filebrowser config cat

デフォルトのIDとパスワードは以下になります。

Username : admin
Password：admin

ユーザの追加とかは、以下のURLで設定します。

http://127.0.0.1:8080/

ここまでは、他のサイトでも紹介されてるんじゃないかな？

嵌ったのはこれ！

起動してみると、こんなメッセージが出るんです。

No config file used

1	No config file used

でもきちんと動いてるんです。

参考にさせて頂いたのはこちらのサイトです。
https://ficus-forum.myvnc.com/t/topic/278

コマンドラインで動かすだけなら、これで全然OKなんです。
でもね、これってOS起動時に起動させたいやん。
サービスに登録するやん。
サービスが起動してくれへんのよ。。。(TT)

起動時にconfigファイルを探しに行くんだそうです。
https://filebrowser.org/cli/filebrowser

検索対象は以下
./
$HOME/
/etc/filebrowser/

configファイルが無いということなので、configファイルを作成しないといけないんですね。

今回は、＄HOMEへ作ります。

cd 
filebrowser config export ~/.filebrowser.json

1 2	cd filebrowser config export ~/.filebrowser.json

実際にはserviceを起動するユーザのホームディレクトリで作成すればいいのかな？

これで、serviceを起動する時にも自動でconfigファイルを探してくれます。
-cオプションを使って指定することも出来ます。

serviceの作成とかは、こちらに記載してます。
独自コマンドのサービス登録（CentOS 7）

未分類

CentOS 8 でexfatとかntfsとか

2021年8月17日主様コメントする

この書込みは2021年8月時点の記述です。
もうすぐCentOS 8は廃盤になるというのに、今更こんなこと書いてどうするんだ？と思っている方もいらっしゃるかと思いますが、ここは私のメモなので。。。放置してください。
まあ、ある意味では独り言をオープンにしゃべっている変な奴ですね。

これをリアルでやっているとイタイ人になるんでしょうね(^^ゞ

一応、誰かが見てくれているみたいなので、参考になれば・・・今回は本当に備忘録なんですけどね。。。ｗ

さて、exfatとかntfsとかCentOSへ接続しようとして、これ使えないよ！って言われるのはよくある話ですね。

使えないんじゃなくて、パッケージインストールされてないから使えないって話なんですけど、その方法を一々調べるの面倒です。

ということで、私の備忘録です。
EPELリポジトリ入れてあること前提です。
なんか足りないものあったらコメントしてください。

取り敢えず、こんなコマンドで入れます。

exFatのインストール
# dnf install exfat-utils
NTFSのインストール
# dnf install ntfs-3g

exFatのインストール

# dnf install exfat-utils

NTFSのインストール

# dnf install ntfs-3g

ということで、他のデバイスもインストールする方法は後からここに追加しようかと思ってます。（多分、思ってるだけ）

デフォルトで入れておいてくれると嬉しいんですけどね。
そんな一括インストールするパッケージないかねぇ？
アップデートすると自動で追加されるとかでも良いんですけど・・・
新しい形式を自動的に入れてくれると嬉しいと思うのは私だけ？

未分類

samba設定方法

2021年3月16日主様コメントする

久しぶりの投稿です。
少し解り難い設定項目があったりしていたので、自分なりのメモ程度になろうかと思いますが、sambaの設定について説明します。

環境

もう少しで使われなくなるであろうCentOS 8を対象としていますが、後継のOSでも基本的に同じだと思っています。

CentOS 8.3.2011

メモリとかストレージのサイズとかあまり気にしていません。

インストール

sambaのインストールは至って簡単です。

# dnf install samba

1	# dnf install samba

CentOS 6やCentOS 7の初期ではsamba-swatを使えましたが、現在は廃止されていて使うことが出来ません。
GUIでの設定方法は別の方法があるらしいのですが、あまり推奨しない方が良さそうなので、CUIで全て設定します。

この後の流れ

取り敢えず、インターネットなどに公開されておらず、クローズドな環境下で実装検証を行います。
インストールや設定の最中には、セキュリティ機能が邪魔をして何が原因か解らなくなることがありますよね。
今回は、そんな面倒なことを無視して、取り敢えずインストールして機能の確認が出来た後に、セキュリティ機能を復活させてセキュアな環境に戻してあげることとします。

今後の流れを以下に記します。
１）セキュリティ関連機能の停止
２）sambaの設定
３）動作確認
４）セキュリティ機能の復旧
この流れで作業を進めます。

１）セキュリティ関連機能の停止

sambaで実現することは、サーバ内部の一部ストレージを共有フォルダーとして使えるようにすることです。
つまりネットワーク関係のアクセスを変更しますので、firewallが影響します。
また、ファイルの書き込み時には、SELinuxも影響する可能性があります。
それでは、これらの機能を一時的に停止します。

まず、firewalldを停止させます。

# systemctl stop firewalld

1	# systemctl stop firewalld

これでネットワークのセキュリティが解除されます。
強引ですが、設定だけだとこれが一番楽なんですよね(^^ゞ

次に、SELinuxも一時的に停止します。

# setenforce 0

1	# setenforce 0

これで準備はOKです。
これらの設定は、OSを再起動すると復活します。
また、この設定をすることで、セキュリティが低下していますので、必ずセキュアなネットワーク空間で作業を行うことをお勧めします。

２）sambaの設定

sambaの設定は、以下の流れになります。

/etc/samba/smb.confの編集
デーモンの登録（サービスの登録）

ここで、今回は非常に簡単な設定を行います。
ネットワーク上の端末から誰でもID/パスワードなしでアクセス可能な共有NASの様な状態です。

それでは見て行きましょう。

# cp /etc/samba/smb.conf /etc/samba/smb.conf_org
# vi /etc/samba/smb.conf

1 2	# cp /etc/samba/smb.conf /etc/samba/smb.conf_org # vi /etc/samba/smb.conf

最初に設定ファイルをバックアップしています。
特に必要なければ除外してください。
次にviで開きます。
smb.confの先頭あたりにある[global]セクションを最初に編集します。
下記にサンプルを記します。

# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run 'testparm' to verify the config is correct after
# you modified it.

&#91;global]
        unix charset = UTF-8
        security = user
        map to guest = Bad User

        passdb backend = tdbsam

        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw

        log level = 2
        log file = /var/log/samba/log.%m
        max log size = 1024

# See smb.conf.example for a more detailed config file or

# read the smb.conf manpage.

# Run 'testparm' to verify the config is correct after

# you modified it.

[global]

unix charset = UTF-8

security = user

map to guest = Bad User

passdb backend = tdbsam

printing = cups

printcap name = cups

load printers = yes

cups options = raw

log level = 2

log file = /var/log/samba/log.%m

max log size = 1024

今回追加した項目は、以下の項目です。

        unix charset = UTF-8
        security = user
        map to guest = Bad User
        ・
        ・
        ・
        log level = 2
        log file = /var/log/samba/log.%m
        max log size = 1024

unix charset = UTF-8

security = user

map to guest = Bad User

・

log level = 2

log file = /var/log/samba/log.%m

max log size = 1024

unix charset = UTF-8
unix（Linux含む）で使用するエンコードを指定しています。
デフォルトで設定されているので、特に設定する必要は無い様です。
設定内容は以下のコマンドで確認することが可能です。
実際に指定していないデフォルト設定の内容も全て表示されるので、多くの内容が記されています。
testparm -v
testparmコマンドは、編集内容のチェックを行ってくれる機能でもあります。

security = user
map to guest = Bad User
security = user と map to guest = Bad Userの組み合わせで、ログイン認証が不要になります。

log level = 2
log file = /var/log/samba/%m.log
max log size = 1024
　ログ出力の設定になります。

次に、[Share]セクションを追加します。

&#91;Share]
        comment = Sample Share
        path = /Share/Disk1
        writable = yes
        guest ok = yes
        guest only = yes

[Share]

comment = Sample Share

path = /Share/Disk1

writable = yes

guest ok = yes

guest only = yes

path
　共有フォルダーとして使用する領域を指定しています。
　対象はシンボリックリンクでも大丈夫でした。
　対象ディレクトリを/Share/Disk1としていますが、後でも先でも良いので作成します。
　パミッションは777にしておく必要があります。

writable
　書き込み許可

その他は適当に。。。

こんな感じで設定したら、デーモンを立ち上げる前に、記述内容のチェックをします。

# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

# testparm

Load smb config files from /etc/samba/smb.conf

Loaded services file OK.

Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

この後、Enterを入力すると設定内容が表示されます。
この上記に記した内容が表示されていればOKですが、間違っているとその内容が表示されます。

３）動作確認

ここまででsambaの設定は完了しています。
デーモンを起動します。

# systemctl start smb.service

1	# systemctl start smb.service

OS起動時に自動起動設定する場合は以下のコマンドを入力します。

# systemctl enable smb.service

1	# systemctl enable smb.service

同一ネットワークに接続されているWindows PCなどからアクセスします。

Windowsの場合は、Exploreを開いて、アドレス入力欄に以下を入力します。

\\IPアドレス <==最初の\\は￥を２つです。

無事に接続出来たら、ファイルを追加したり削除して動作を確認してください。

４）セキュリティ機能の復旧

ファイアウォールを復旧します。

# systemctl start firewalld

1	# systemctl start firewalld

次に、ポートを開放します。

# firewall-cmd --permanent --add-port=445/tcp

1	# firewall-cmd --permanent --add-port=445/tcp

ファイアウォールを再読み込みして、設定を反映します。

# firewall-cmd --reload

1	# firewall-cmd --reload

この後、SELinuxの設定を行うのですが、一旦ここまでとします。
SELinuxの設定が面倒な場合には、Disableに設定しましょう。
設定方法は一旦割愛します。

以下で対象ディレクトリ以下に対し、SELinuxが有効でもSambaでアクセス出来る設定を行います。

# semanage fcontext -a -t samba_share_t "/Share/Disk1(/.*)?"
# restorecon -R -v /Share/Disk1

1 2	# semanage fcontext -a -t samba_share_t "/Share/Disk1(/.*)?" # restorecon -R -v /Share/Disk1

と書いたのですが、ダメでした。
auditログから対処します。

<strong><em><span class="has-inline-color has-vivid-red-color"># audit2allow -a -l -m mylocal</span></em></strong>

module mylocal 1.0;

require {
        type httpd_sys_content_t;
        type smbd_t;
        class dir { add_name read write };
        class file { create getattr lock open read setattr write };
}

#============= smbd_t ==============

#!!!! This avc can be allowed using one of the these booleans:
#     samba_export_all_ro, samba_export_all_rw
allow smbd_t httpd_sys_content_t:dir { add_name read write };

#!!!! This avc can be allowed using one of the these booleans:
#     samba_export_all_ro, samba_export_all_rw
allow smbd_t httpd_sys_content_t:file { create getattr lock open read setattr write };
<em><strong><span class="has-inline-color has-vivid-red-color"># setsebool -P samba_export_all_ro on
# setsebool -P samba_export_all_rw on
# setenforce 1
#</span></strong></em>

# audit2allow -a -l -m mylocal

module mylocal 1.0;

require {

type httpd_sys_content_t;

type smbd_t;

class dir { add_name read write };

class file { create getattr lock open read setattr write };

}

#============= smbd_t ==============

#!!!! This avc can be allowed using one of the these booleans:

# samba_export_all_ro, samba_export_all_rw

allow smbd_t httpd_sys_content_t:dir { add_name read write };

#!!!! This avc can be allowed using one of the these booleans:

# samba_export_all_ro, samba_export_all_rw

allow smbd_t httpd_sys_content_t:file { create getattr lock open read setattr write };

# setsebool -P samba_export_all_ro on

# setsebool -P samba_export_all_rw on

# setenforce 1

#

※赤斜体文字がコマンドになります（#はコマンドプロンプト）

詳細は端折りますが、setseboolで上記２つの設定を行えば動くということですね(^^ゞ

これで動作確認を行って、きちんと見えました。書き込めました。

未分類

WordPress 5.6をインストールする手順

2021年2月2日主様コメントする

CentOS 8にWordPress 5.6をインストールします。
インストール先は、Apachのドキュメントルート（デフォルト）である下記ディレクトリ以下に設定することにします。

/var/www/html/

1	/var/www/html/

他のディレクトリでも良いのですが、セキュリティ絡みで面倒は避けたいので、ドキュメントルートなら安全かな？と逃げ腰選択です。
では、ダウンロードを始めます。

# cd /var/www/html
# wget https://ja.wordpress.org/latest-ja.tar.gz
# tar xvf latest-ja.tar.gz
# chown -R apache:apache wordpress

# cd /var/www/html

# wget https://ja.wordpress.org/latest-ja.tar.gz

# tar xvf latest-ja.tar.gz

# chown -R apache:apache wordpress

/var/www/html/wordpressに解凍されます。

データベース設定

# mysql
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 12
Server version: 10.5.8-MariaDB MariaDB Server

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB &#91;(none)]> CREATE DATABASE wordpress DEFAULT CHARACTER SET utf8;
Query OK, 1 row affected (0.328 sec)

MariaDB &#91;(none)]> GRANT ALL ON wordpress.* TO wordpress@localhost IDENTIFIED BY 'password';
Query OK, 0 rows affected (0.496 sec)

MariaDB &#91;(none)]> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.224 sec)

MariaDB &#91;(none)]>

# mysql

Welcome to the MariaDB monitor. Commands end with ; or \g.

Your MariaDB connection id is 12

Server version: 10.5.8-MariaDB MariaDB Server

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> CREATE DATABASE wordpress DEFAULT CHARACTER SET utf8;

Query OK, 1 row affected (0.328 sec)

MariaDB [(none)]> GRANT ALL ON wordpress.* TO wordpress@localhost IDENTIFIED BY 'password';

Query OK, 0 rows affected (0.496 sec)

MariaDB [(none)]> FLUSH PRIVILEGES;

Query OK, 0 rows affected (0.224 sec)

MariaDB [(none)]>

ローカルアドレスで設定するには、ブラウザで http://127.0.0.1/wordpress/ へアクセスします。
実際には、外向けのIPアドレスやドメイン名を設定すると良いでしょう。
後で変更することが可能です。

データベース作成時に指定したユーザ名とパスワードを設定します。

サイトのタイトルとユーザ名とパスワードとメールアドレスを登録します。

ローカルアドレス（127.0.0.1）での設定については、ここまでで問題ありませんでしたが、外部からアクセスすることが叶いません。
そこで、外部に公開するアドレスを指定します。
ログイン後に以下を開きます。

設定→一般を開き、以下の項目を編集します。

無事外部向けIPアドレスを設定出来れば、アクセス可能となります。
グローバルIPアドレスやドメインを設定することで、公開サイトとして動作することになるでしょう。
社内LANで構築して外部へも公開する場合には、どうしたものか？
複数のアドレス設定が出来ないようなので、ルーター側でパーマネント設定を施すなどが妥当なのかも知れませんね。

未分類

Apache 2.4 で少しセキュアなWebサーバを構築する。

2020年3月15日主様コメントする

1.はじめに

CentOS 7ではApache 2.4がデフォルトになっていますが、2.2の頃に比べて設定が簡素になっていて、逆に解り難くなっている感じもします。

また、多くのサイトでは基本的な設定は記載されているのですが、セキュリティを考えたり、マルチドメインに対応させたり、高速化を考えたり。。。意外と面倒なんですよね。

そこで、自分用にサイトをカスタマイズしてみました。
ということで、個人用設定です。

2.こんな感じにしよう

お品書きです。

・Apacheのインストール
・VirtualHostの設定
・SSL対応（紹介のみ）
・基本的なセキュリティ設定
・ちょっと踏み込んだセキュリティ設定
・高速化

こんな感じで進めていこうと思います。
SSL対応の前にVirtualHostの設定を行う理由は、今回使用するSSLの証明書がドメイン毎に必要となる為、事前にマルチドメインの設定を行っておきたかったためです。
順序についても少し考えてから行ってみると、作業が戻らなくて良いかと思います。

3.Apacheのインストール

CentOS 7ではデフォルトで準備されている場合もありますね。
もし入っていなかった場合には、yumでインストールしましょう。

# yum install httpd

1	# yum install httpd

あまりに簡単すぎますが、インストール自体はこれで終わりです。
以下のFirewall設定を行えば、公開出来てしまいます。

3.1　firewallの設定

# firewall-cmd --add-service httpd
# firewall-cmd --add-service httpds
# firewall-cmd --runtime-to-permanent

# firewall-cmd --add-service httpd

# firewall-cmd --add-service httpds

# firewall-cmd --runtime-to-permanent

上記のコマンドでは、httpとhttpsを開放しています。
実際には、まだhttpsの設定は行っていませんので接続は出来ません。
試しに、httpでドメインを指定してアクセスしてみましょう。
きちんとApacheのロゴが表示されるでしょう。

3.2　VirtualHostの設定

複数ドメインでWebサーバを構築したい場合があります。
そこで、複数ドメインでWebサーバが動くように設定を行います。
/etc/httpd/conf.dに新たな設定ファイルを追加します。
/etc/httpd/conf.d/virtual.confとします。

NameVirtualHost *:80
&lt;VirtualHost *:80>
        ServerName      hoge.ne.jp
        DocumentRoot    /var/www/html
&lt;/VirtualHost>

NameVirtualHost sub.hoge.ne.jp
&lt;VirtualHost *:80>
        ServerName      sub.hoge.ne.jp
        DocumentRoot    /var/www/html/sub
&lt;/VirtualHost>

NameVirtualHost *:80

ServerName hoge.ne.jp

DocumentRoot /var/www/html

</VirtualHost>

NameVirtualHost sub.hoge.ne.jp

ServerName sub.hoge.ne.jp

DocumentRoot /var/www/html/sub

</VirtualHost>

上記では、hoge.ne.jpとsub.hoge.ne.jpで指定する２つのドメインでアクセスできるようになりました。

４．SSL対応（紹介のみ）

Let’s Encryptを利用すると、無償でSSL証明書を得ることが出来ます。
下記のサイトにインストール方法が記されていますので参考にされると良いでしょう。
https://free-ssl.jp/usage/install-certbot.html#CentOS7

# yum install epel-release
# yum install certbot python-certbot-apache

1 2	# yum install epel-release # yum install certbot python-certbot-apache

実行方法についても同じ様に下記のサイトに記されています。
https://free-ssl.jp/usage/#TestExec

# certbot

# certbot

コマンドを実行されたら内容を確認しながらインストールすると、 /etc/httpd/conf.d/virtual.conf も適当に書き換えられて、SSL対応が可能になります。
こんな感じに書き換えられます。

NameVirtualHost *:80
&lt;VirtualHost *:80>
        ServerName      hoge.ne.jp
        DocumentRoot    /var/www/html
RewriteEngine on
RewriteCond %{SERVER_NAME} =hoge.ne.jp
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
&lt;/VirtualHost>

NameVirtualHost sub.hoge.ne.jp
&lt;VirtualHost *:80>
        ServerName      sub.hoge.ne.jp
        DocumentRoot    /var/www/html/sub
RewriteEngine on
RewriteCond %{SERVER_NAME} =sub.hoge.ne.jp
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
&lt;/VirtualHost>

NameVirtualHost *:80

ServerName hoge.ne.jp

DocumentRoot /var/www/html

RewriteEngine on

RewriteCond %{SERVER_NAME} =hoge.ne.jp

RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

</VirtualHost>

NameVirtualHost sub.hoge.ne.jp

ServerName sub.hoge.ne.jp

DocumentRoot /var/www/html/sub

RewriteEngine on

RewriteCond %{SERVER_NAME} =sub.hoge.ne.jp

RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

</VirtualHost>

httpdを再起動するとSSLの設定が有効になります。

# systemctl restart httpd

1	# systemctl restart httpd

5.基本的なセキュリティ設定

これから幾つかの設定を行います。
設定を行った際に行う2つのことをここで説明しておきます。
1つ目は、正しき記載されているか？
2つ目は、httpdの再起動です。
それぞれ、よく使うコマンドになりますので以下に記します。

正しく記載されているか確認します。

# httpd -t
・・・・・・（省略）
Syntax OK

# httpd -t

・・・・・・（省略）

Syntax OK

httpdの再起動を行います。

# systemctl restart httpd
もしくは
# systemctl reload httpd  &lt;== こちらは、設定を再読込み

# systemctl restart httpd

もしくは

# systemctl reload httpd <== こちらは、設定を再読込み

5.1　Wellcomeページの削除

デフォルト状態でドメインへアクセスすると、Welcomeページが表示されます。
Welcomeページは通常不要なページです。
必要ないから削除してしまいましょう。

/etc/httpd/conf.d/welcom.confファイルを削除するかリネームすることでwelcomぺ^自我表示されなくなります。

# mv /etc/httpd/conf.d/welcom.conf /etc/httpd/conf.d/welcom.conf.org

1	# mv /etc/httpd/conf.d/welcom.conf /etc/httpd/conf.d/welcom.conf.org

httpdを再起動することで設定は反映されます。

5.2　Index表示をデフォルトで行わせない。

デフォルトの設定では、URLで指定されるフォルダーの一覧が表示される状態になっています。
フォルダーの一覧が表示されてしまうと、サイトに含まれるファイルの一覧や構造が解ってしまいます。
この機能をデフォルトでOFFにします。
/etc/httpd/conf/httpd.confに含まれる以下の設定を変更します。

#    Options Indexes FollowSymLinks
    Options FollowSymLinks

1 2	# Options Indexes FollowSymLinks Options FollowSymLinks

5.3　HTTP TRACEメソッドを無効化する。

クロスサイトスクリプティングの対策として、TRACEメソッドを無効化します。
/etc/httpd/conf/httpd.confに以下の1行を追加します。

TraceEnable off

1	TraceEnable off

5.4　X-Frame-Options を設定する。

クリックジャッキングの対策として有効なX-Frame-Optionsを設定します。
/etc/httpd/conf/httpd.confに以下の1行を追加します。

Header append X-FRAME-OPTIONS "SAMEORIGIN"

1	Header append X-FRAME-OPTIONS "SAMEORIGIN"

SAMEORIGIN以外にもオプションはありますが、ブラウザによってサポートされていない場合もあります。
ブラウザのバージョンに依存することもあります。
ネット上で情報確認を行った上で対応を考えてみてください。
この設定を行うと、iframeなどで異なるドメインのサーバで勝手に使用されることが出来なくなります。

5.5　Apacheバージョンの隠ぺい

Apacheのバージョンをデフォルトでは取得できる設定になっています。
でも、バージョン情報が解ってしまうと、そのバージョンを狙った攻撃も解ってしまいます。
そこで、このバージョン情報を隠ぺいします。
普通は必要ない情報ですからいいでしょう。
/etc/httpd/conf/httpd.confに以下を追加します。

ServerTokens ProductOnly
ServerSignature off

1 2	ServerTokens ProductOnly ServerSignature off

5.6　暗号化を強化する。

まず、安全性の低い暗号化を無効にします。
/etc/httpd/conf.d/ssl.confにある以下の内容を変更します。

#SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH

1 2	#SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH

次に、以下を有効にします。

SSLHonorCipherOrder on

1	SSLHonorCipherOrder on

未分類

PostgreSQL & postGISインストール。

2020年3月7日主様コメントする

インストール手順ばかり記録してる気がする今日この頃・・・(TT)
もう少し、利用事例を記録しろと思っているのですが、ご勘弁をm(__)m

さて、今回も環境はCentOS 7です。
手抜きインストールをやってしまい（いつもですが・・・）、デフォルトのPostgreSQLを入れてしまいました。
ところが、postGISを使おうとして古くて使えないことに気が付き、今更ながら新しいPostgreSQLを入れることになり悩んでいたのですが、ほぼ最新版を既に入っているPostgreSQLが入った状態でインストールできるということで試してみます。
と言いつつ、実際には、PostgreSQLが入っていない環境へ適用します。

当初、PostgreSQLのインストール方法を探してみると、yumでデフォルトのリポジトリからインストールする方法は目に入ります。
バージョンが9.2と随分古いバージョンであることに気が付かずインストールしてしまったのが、今回の始まり。

出来るだけ最新版に近いバージョンをインストールしようと探してみると、12.1が最新で公開されていました。比較的最近になってからリリースされているので、情報が見つからない可能性があるかと思いながらも、探していると12.1のインストール方法はありました。

それでは始めます。

PostgreSQLとPostGISのインストール準備

定番ですが、epel-releaseをインストールしておきますね。
多分、これを使おうとしている方は、既にインストールされているのでは無いでしょうか？

# yum install epel-release

1	# yum install epel-release

RPMからインストールするとか、方法は幾つかあるようですが、後でメンテナンスしやすい、yumだけでインストールする方法を見つけました。

まず、CentOS SCLo Software Collectionのリポジトリを追加します。

# yum install centos-release-scl-rh centos-release-scl

1	# yum install centos-release-scl-rh centos-release-scl

後はひたすらyumでインストールするだけ！

ほとんど終わったｗ

Linux, node.js, 未分類

node.jsをインストールすることから始めます。

2019年9月13日主様コメントする

今回は、node.jsをインストールすることが目的ではないのですが、この後に書く予定のdeck.glをインストールするために、node.jsをインストールする必要が生じたため、手順を踏んで記録に残すことにしました。

node.jsのリポジトリを登録する。

またしても、CentOS 7上に環境を構築します。
以下のサイトを開いて、最新版を確認します。

https://github.com/nodesource/distributions/tree/master/rpm

執筆時点では、setup_12.xが最新版でした。
最新版をインストールするため、以下のコマンドを実行します。

# curl -sL https://rpm.nodesource.com/setup_12.x | bash -

1	# curl -sL https://rpm.nodesource.com/setup_12.x \| bash -

これで、基本的なインストールは完了です。

実は、過去にnode.jsをインストールしていたマシンだったので、こんなメッセージが表示されました。

## Your system appears to already have Node.js installed from an alternative source.
Run `sudo yum remove -y nodejs npm` to remove these first.


## Run `sudo yum install -y nodejs` to install Node.js 12.x and npm.
## You may also need development tools to build native addons:
     sudo yum install gcc-c++ make
## To install the Yarn package manager, run:
     curl -sL https://dl.yarnpkg.com/rpm/yarn.repo | sudo tee /etc/yum.repos.d/yarn.repo
     sudo yum install yarn

## Your system appears to already have Node.js installed from an alternative source.

Run `sudo yum remove -y nodejs npm` to remove these first.

## Run `sudo yum install -y nodejs` to install Node.js 12.x and npm.

## You may also need development tools to build native addons:

sudo yum install gcc-c++ make

## To install the Yarn package manager, run:

curl -sL https://dl.yarnpkg.com/rpm/yarn.repo | sudo tee /etc/yum.repos.d/yarn.repo

sudo yum install yarn

「sudo yum remove -y nodejs npm」ということで、削除します。

# yum remove nodejs npm

1	# yum remove nodejs npm

その後の情報も確認しつつ、node.jsのパッケージをインストールします。

# yum install nodejs

1	# yum install nodejs

これで完了です。
バージョン確認を実施し、最新版のnode.jsがインストールされていることを確認しましょう。

# node -v
v12.10.0

1 2	# node -v v12.10.0

無事インストールが完了しておりましたので、今回はここまでとなります。
続きは別途。。。

Linux, 未分類

CentOS 8 リリース待ち→リリースされた2019-09-24(^^)

2019年8月11日主様 2件のコメント

2019年5月7日にRHELがリリースされてからもうすぐ100日が経過しようとしている。

<2019-09-25追記>
現地時間9/24、CentOS 8がリリースされました！
これで使えるようになりますが…問題は、VirtualBoxでGUIを含む状態でインストールする場合には、問題があるようです。
以前(CentOS 7)から気にはなっていたのですが、基地の問題として残っているようです。
仮想マシンとして考えている方で条件が合致される場合は、他の仮想か技術を考えた方が良いかも知れませんね。
意味が違ったようですm(__)m
「Server With a GUI」/「サーバ（GUI）」を選択してインストールするとGUIが立ち上がらない障害がある様です。
詳しくは以下のサイトをご参照下さい。
https://wiki.centos.org/ja/Manuals/ReleaseNotes/CentOS8.1905#head-9ed7a1765d703716a543781d18c13e50868f0516

と言いつつ、読んでみてもよく解らなかったので調べてみることにしたら、こちらの記事が解り易かった。
https://qiita.com/edward999th/items/d199125dbb8286d91152

「ベース環境」の選択で「Server with a GUI」もしくは「サーバー（GUI)」を選択してインストールすると既知の問題に遭遇するらしい。
インストーラのバグか？という感じですが、原因までは調べていません。
「ワークステーション」を選択してインストールする分には問題が無いようなので、GUIを使いたい場合には別の選択肢を関g萎えた方が良さそうですね。

<2019-09-23追記>
なんか、明日(2019-09-24)にリリースされるそうです。
9月に入ってからのダタバタ劇はなんだったのか？踊らされていたのか？
とにかく、現地時間の明日にはリリースされるとのこと、期待して待ちましょう。

※2019-08-26 時点でまだリリースされていません。
※2019-09-15時点でまだリリースされていません。

※2019-09-23時点でまだリリースされていません。

<2019-09-15追記>2019年8月にリリースされたRHELに対応するため、CentOS 7.1909の更新準備が先行されているのですが、wikiを見てみると約1ヶ月くらい掛かるみたいです。10月以降にならないと開発は再開される見込みは無さそうですね。年内にリリースされるのかなぁ？

RHELのクローンとしては、CentOS/Scientific Linux/Oracle Linuxなどが知られているが、以前にCentOSよりリリースが早くて話題となったScientific Linuxは8以降のリリースを行わないとの表明が行われていますね。

単純な比較は難しいところですが、CentOSとOracle Linuxはクローンと言われているけど、Oracle Linuxは少し違いますよね。

Oracle Linux 8は7/18にリリースされました。
CentOSはまだ少し掛かりそうです。

進捗状況は以下のURLで公開されています。

https://wiki.centos.org/About/Building_8

~~もうカウントダウンですねw~~

~~8/15にボストン大学でDevConfが開催されるので、その頃にはRC版が出てくれそうな感じかな？~~
残念ながら発表はありませんでしたね(^^ゞ

9/10に動きがありました。
7.7がリリースされるそうです。そのため、8の開発が停止してしまいました。
もうすぐ！と思ったら、まだ先になりそうです。
首を長くして待ってます。

正式リリースが待ち遠しいですが、更にクラウド(VPSなど)で使えるようになるには、まだまだ時間が掛かりそうな雰囲気です。

リリースされたら、インストール方法などをまとめたいと思っています。

8/15時点では、Release Workを残すのみ！
最終段階か？と思いきや・・・

こんな感じで、まだ更新中だったりしています(^^ゞ
https://koji.mbox.centos.org/koji/index

でも、ここまで来ると本当に「あと少し！」って感じですね。

早ければ明日にもリリースか？とか期待してしまいますが、土日は進捗が止まっているので、来週8/21辺りが最短リリースじゃないかな？と、期待してます(#^.^#)

さてさて、まだまだリリースされる感じがしない。
8/20から全く更新する気配すら感じられなくなりました。
オープンソースカンファレンスの影響だろうか？
ここまで来たら、来月中にはリリースされるでしょう。
CentOSのサイトでは、「いつリリースされるの？」というコメントが出ていたり、首を長くして待っている人がいらっしゃいますね。
もう、ほとんどの作業は済んでいるはずなので、最後の詰めがしっかりされて発表して頂ければと思います。
しばらく、期待して待ちましょう。

2019-09-10 According to this thread, work was stopped on CentOS 8 after upstream released 7.7. Since so many more users have CentOS 7.x in production, and no one has 8 yet, priority has been given to the 7.7 update… and once it is done, work will continue on 8.
https://wiki.centos.org/About/Building_8

9/10時点で7.7のリリース作業のため、8の作業が停止してしまいました。
ちょっと厳しいなぁ～
今月中のリリースはあるのか？

未分類

仮想OSでインストールしたWindows 10がLAN上のNASに繋がらない時の対応

2019年2月12日主様コメントする

概要

VirtualBoxでWindowsをインストールした時に、LAN上のNASが接続出来ない状況が発生しました。
その対処についてまとめます。

最終的な結果として、プレインストールのWindows PCで同現象が発生していないことから、Windowsをメディア等からインストールした時に発生する現象であると思われます。
私の環境では、Windows 10で現象が確認されましたが、Windows Server 2016でも同現象が発生するもとの思われます。
その他Windowsの各バージョンにおいて発生した場合でも参考になるかも知れません。

Windows からNASに接続出来ない場合の対処法として記録します。

具体的な現象

VirtualBoxでWindows 10の環境を構築しました。
VirtualBoxでLAN上のネットワークに接続する方法は他にもありますが、ブリッジ接続を選択しました。
プライベートネットワークとして接続しています。

この状態で、通常のプレインストールされたWindows PCであれば、特に気にすることなく接続出来ると思うのですが、新規にインストールしたWindowsからは見えませんでした。

対策内容

幾つかの対策を行いました。
それぞれ順を追って説明しますが、以下に一覧を記します。

VirtualBoxにおけるネットワークの設定
Windows側のネットワークの設定
Windows側のネットワークの設定
ワークグループの設定
レジストリの設定

VirtulaBoxにおけるネットワークの設定

WindowsをVirtualBoxで仮想OSとして構築した場合について記載します。
ホストOS（Physical OS）の場合は、この項目の内容を飛ばして、次の設定に進んでください。

Windows側のネットワークの設定

Windowsのネットワーク設定がパブリックになっている可能性があります。
当初、私の環境ではパブリックになっていたのでプライベートに変更しました。設定は以下の手順です。

「ネットワークとインターネットの設定」を開きます。

画面右下のネットワークアイコンを右クリックすると以下のポップアップが表示されます

「ネットワークとインターネットの設定を開く」を選択します。

赤枠で囲んだイーサネットのアダプタをクリックします。

「パブリック」になっていたら、「プライベート」に変更してください。

ネットワークと共有センターの設定

ネットワークと共有センターの設定は、一つ前の画面にある「ネットワークと共有センター」を選択すると移動が楽です。

左メニューの「共有の詳細設定の変更」を選択します。

「ネットワーク探索を有効にする」を設定してください。

ワークグループの設定

「コントロールパネル」→「システム」を開きます。

「設定の変更」を開きます。

「変更（C）」で開かれるダイアログで、ワークグループを適切に設定してください。

ここまで来ると、エクスプローラで「ネットワーク」を選択すると、対象となるNASの名前が表示されたりします。
表示されない場合もありますので、あまり深く考えないで次へ進みましょう。

レジストリの設定

最大の難関はここでした！

「regedit」を起動します。
次に、以下のレジストリを探します。

コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

1	コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

「AllowInsecureGuestAuth」の項目を確認し、「1」をセットします。

再起動を行うことをお勧めしますが、私の場合は再起動なしでもNASへアクセス出来る様になりました。

ただ、このレジストリが見つからない場合もあります。
環境に依存している可能性もあり、判断が難しいところですが、新規に作ってしまうという手もあるのか？ご自身の責任で試してください。
レジスタを追加するのは、最後の手段にしておく方が良いでしょう。
保証も何もありません。

最後に

この現象はWindowsのアップデート後に発生している方も多い様です。
SMB絡みの不具合でもあると思いますが、MS社からすれば仕様なのかな？
そもそもWindows自体が安定性に乏しいということなのでしょう。
この問題は、Windows Server 2016でも報告されているので、アップデートの際にきちんとしてくれるとかないのかねぇ？MS社は無駄な労力をこういうところで強いるので、サポートをもっと手厚くしてほしいですね。

これがWindowsカテゴリ最初の投稿になるとは・・・ｗ

GIS, QGIS, 未分類

GeoTiff 座標系変換と結合

2019年2月4日主様コメントする

前提

国土地理院の地理院地図やGoogle Mapで提供されている航空写真を用いずに、独自に入手した衛星画像や航空写真を用いて広範囲の画像を表示させようとした時、座標系の変換と画像の結合が必要となります。

一般に入手される航空写真などで提供されている画像の座標系はJGD2011など、Web上では使い難い座標系を用いている場合が多く見受けられます。
その為、多くの場合には、座標系を変換する必要が生じるのです。
本資料では、この作業を行うための環境について説明し、衛星画像や航空写真などを用いて、座標系変換を行ってから画像を結合する以下の手順について説明します。

環境準備
画像の座標系を確認する。
座標系を変換する。

では順番に進めましょう。

環境準備

環境準備と言いましても、インストール方法については割愛します。
既に、本サイトでも紹介をしているOSGeo4Wをベースにお話しを進めます。
ただし、衛星画像や航空写真を結合する作業を行うには、正直申し上げてWindows環境はあまり適している環境とは言えません。
その理由としては以下が考えられるでしょう。

コマンドライン（シェル）が使い難い
元々メモリの消費が激しく、大量のメモリを消費する作業では使い勝手が悪い。

数枚の画像を扱う程度であれば、GISツール（QGISなど）を用いて、ちまちま行うという方法もあるでしょう。パッチ処理などでまとめて出来るよ！という方もいらっしゃるとは思いますが。。。無視！

ということで少し作業がやり易いように１つツールを入れて作業を行っています。
また、一部の操作に関しては、Linux上で作業を行うかも知れません。

環境としては、以下の環境を準備しました。

Windows 10
OSGeo4W （GDALが入っていればOK！）
　参考情報：https://trac.osgeo.org/osgeo4w/wiki/OSGeo4W_jp
　過去の参考情報：https://tech.godpress.net/?p=368
Gow
　参考情報：https://ja.wikipedia.org/wiki/Gow

実際の作業ではGDALを使用します。
GDALのみをインストールした環境を準備されている方は、その環境を用いてもOKです。（って、そんな環境造っている人が、このサイトを参考にされるとは思いませんが。。。）

画像の座標系を確認する

OSGeo4Wをインストールしている場合、QGISで確認しちゃおう！という方は、GUI上でプロパティ確認で終わっちゃいますね。
でも今回は、コマンドライン操作が基本となりますので、コマンドで対処します。

Gowをインストールしていると、Linuxと同じような感覚でコマンドラインの操作が行える様になります。

なんでコマンドラインで作業を行うかと言いますと、入手した画像が全て同じ座標系であれば、あまり大したことではないのですが、時折、異なる座標系の画像を提供されて結合する場合があり、全ての画像を同じ座標系に統一しないと画像を結合した時にズレが生じて隙間が発生するのです。
間違って座標変換を行わないためには、事前に元画像の座標系を確認しておく必要があるためです。
では、実際のコマンド操作に関して説明します。

以下のコマンドは１つのファイルに対して座標系の確認を行うためのコマンドです。

# gdalinfo &lt;対象ファイル> | grep EPSG
Files: &lt;対象ファイル>
        AUTHORITY["EPSG","9001"]]]

# gdalinfo <対象ファイル> | grep EPSG

Files: <対象ファイル>

AUTHORITY["EPSG","9001"]]]

複数のファイルに対し一括して確認を行う場合は、対象ファイルがあるフォルダーへ移動してから、以下のコマンドを実行します。

# gfind . -name *.tif | xargs  -n 1 gdalinfo  | grep EPSG

1	# gfind . -name *.tif \| xargs -n 1 gdalinfo \| grep EPSG

「gfind」コマンドは、Linuxの「find」コマンドをGowが実装したコマンドになります。

最初の引数「.」は対象となるフォルダーを指定しています。
対象フォルダーへ移動せずに、直接フォルダーを指定しても構いません。

-name *.tif :対象となるファイル名を指定します。ここではワイルドカードを用いた指定を行いました。全てのtifファイルが対象となります。

「｜」で次のxargsコマンドへ出力結果を引き渡しています。
xargsコマンドでは-n 1とすることで、ファイル名を一つづつ処理します。
gdalinfo <ターゲットファイル>がファイル数分処理されます。

最後に、grepで必要な行だけを取得しています。

座標系を変換する

今回は、以下のフォルダー構成を想定して作業を進めます。
＜作業フォルダー＞—＜EPSG102617＞
　　　　　　　　　｜
＋＜EPSG4326＞
コマンド操作は、＜作業フォルダー＞で行います。
＜EPSG102617＞は元の画像が保存されているフォルダーです。
先程の確認で座標系がEPSG:9001となっていましたが、内部ではEPSG:102617が正式な座標系となるためこの様にしています。

＜EPSG4326＞は座標変換後の画像ファイルを出力するためのフォルダーです。

既にお分かりのことと思いますが、本資料では、EPSG:102617（9001）→EPSG:4326の座標系変換を行います。

少し長くなりますが、以下のコマンドを実行してみましょう。

# gfind EPSG102617 -name *.tif -printf "%f\n" | xargs -Ixxx -n 1 gdalwarp -s_srs "EPSG:102617" -t_srs "EPSG:4326" -srcnodata "255 255 255" -dstnodata "255 255 255" EPSG102617\xxx EPSG4326\xxx

1	# gfind EPSG102617 -name *.tif -printf "%f\n" \| xargs -Ixxx -n 1 gdalwarp -s_srs "EPSG:102617" -t_srs "EPSG:4326" -srcnodata "255 255 255" -dstnodata "255 255 255" EPSG102617\xxx EPSG4326\xxx

gfindコマンドで対象ファイルを特定し、そのファイル名だけを抜き出し、gdalwarpコマンドへ引き渡しています。

gdalwarpコマンドでは、-s_srsで元の座標系（102617）を-t_srsで指定される座標系（4326）へ変換を行うことを指定しています。
-srcnodataでは、元画像の中にある不要なデータのカラーコードを指定しています。同様に-dstnodataで出力時のノーデータを指定しています。

-srcnodataや-dstnodataを指定しなかった場合、画像の繋ぎ目に隙間が生じ、黒く筋が入ってしまうと思います。
座標変換に伴う歪により生じた隙間が黒色で塗潰され、それが隙間となってなって見えている状態になります。

これを除外するために、-srcnodataと-dstnodataを用いて不要なデータ部分を見えなくしているのです

余談・・・画像結合に関して

これだけの画像を準備したのですから、画像結合の話を少しだけ。。。
実は、画像結合してタイル画像を作成する予定だったのですが、マシンの不調とその必要性が無くなってしまったので、余談として記載します。

画像の結合にはgdal_mergeを使用します。

コマンドはこんな感じです。

-o OUTPUT.tif -ot Float32 -co COMPRESS=LZW -co BIGTIFF=YES 対象ファイル１　対象ファイル２・・・・

1	-o OUTPUT.tif -ot Float32 -co COMPRESS=LZW -co BIGTIFF=YES 対象ファイル１　対象ファイル２・・・・

-a_nodata “255 255 255″を追加した方が良さそうに思います。
環境変数GDAL_CHACHEMAXの値を出来るだけ大きくすると良さそうです。
ちなみに、gdalbuildvrtで仮想ファイルを作成して作業を行う方が効率良いとも思います。

こんな感じでしょうか？
タイル化などにご興味のある方は、別途ご連絡ください。

嵌ったのはこれ！

環境

インストール

この後の流れ

１）セキュリティ関連機能の停止

２）sambaの設定

３）動作確認

４）セキュリティ機能の復旧

データベース設定

1.はじめに

2.こんな感じにしよう

3.Apacheのインストール

3.1 firewallの設定

3.2 VirtualHostの設定

４．SSL対応（紹介のみ）

5.基本的なセキュリティ設定

5.1 Wellcomeページの削除

5.2 Index表示をデフォルトで行わせない。

5.3 HTTP TRACEメソッドを無効化する。

5.4 X-Frame-Options を設定する。

5.5 Apacheバージョンの隠ぺい

5.6 暗号化を強化する。

PostgreSQLとPostGISのインストール準備

node.jsのリポジトリを登録する。

概要

具体的な現象

対策内容

VirtulaBoxにおけるネットワークの設定

Windows側のネットワークの設定

ネットワークと共有センターの設定

ワークグループの設定

レジストリの設定

最後に

前提

環境準備

画像の座標系を確認する

座標系を変換する

余談・・・画像結合に関して

気になる技術の使い方を記録しています。マニアックなところもあると思いますので、ご利用は自己判断で。

3.1　firewallの設定

3.2　VirtualHostの設定

5.1　Wellcomeページの削除

5.2　Index表示をデフォルトで行わせない。

5.3　HTTP TRACEメソッドを無効化する。

5.4　X-Frame-Options を設定する。

5.5　Apacheバージョンの隠ぺい

5.6　暗号化を強化する。