以前書いた記事は古くなったので、新しく書き直しました。自分用に。

さくらのVPSを使っているので、ところどころ www????.sakura.ne.jp として入力しています。

ユーザ作成

まずはrootのパスワードを変更します。

# passwd

作業用アカウントを作成します。

ユーザーhoge作成

# useradd hoge

hogeのパスワード設定

# passwd hoge
hogeをwheelグループに入れる

# usermod -G wheel hoge

作業用アカウント(wheelグループ)以外ではrootになれないように制限します。

sudoできるユーザを指定。

# visudo

この行を有効化

%wheel ALL=(ALL) ALL

suできるユーザを指定。

# vi /etc/pam.d/su

この行を有効化

auth required /lib/security/$ISA/pam_wheel.so use_uid

rootで直接ログインできないようにします。

# vi /etc/ssh/sshd_config

yesをnoに変更する

PermitRootLogin no

SSH再起動。

# systemctl restart sshd

TCP wrapperでsshにログインできるホストを制限します。

拒否リスト。

# vi /etc/hosts.deny

以下を追加

sshd : all

許可リスト。

# vi /etc/hosts.allow

以下を追加

sshd : localhost

sshd : hoge.com

sshd : .jp

これでサーバ自身と.jp以外の人はアクセスできなくなりました。ちゃんと自分のプロバイダに合致したホスト名を指定しないと繋がらなくなります。

yumでRemiリポジトリを使う

標準のyumだと古いパッケージばかりなので、新しいのがインストールできるRemiリポジトリを使用します。

CentOS7用

# wget http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

# rpm -Uvh remi-release-7.rpm

Remiを指定してインストールする場合には以下のように記述します。

# yum --enablerepo=remi install (パッケージ名)

アップデートは新旧入り混じると面倒なので、Remiは入れたのは個別でやった方が良いのかな。

通常パッケージ全部アップデート

# yum update

Remiで入れたの個別アップデート

# yum --enablerepo=remi update (パッケージ名)

ファイアウォール

起動

# systemctl enable firewalld

# systemctl start firewalld

設定追加

# firewall-cmd --add-service=http --zone=public --permanent

# firewall-cmd --add-service=https --zone=public --permanent

# firewall-cmd --add-service=smtp --zone=public --permanent

# firewall-cmd --add-port=110/tcp --zone=public --permanent

# firewall-cmd --add-port=587/tcp --zone=public --permanent

# firewall-cmd --reload

現在の設定は以下で確認できます。

# firewall-cmd --list-all --zone=public

webサーバ

Apache 2.4をインストールします。

# yum install httpd

起動

# systemctl enable httpd

# systemctl start httpd

ドメインごとに管理するユーザを分けます。普通にユーザを作成すると自分のホームディレクトリより上の階層に行けてしまうので、chrootを使って行けないようにします。

グループ作成。

# groupadd sftpgroup

グループに所属するユーザにchrootを適用します。

# vi /etc/ssh/sshd_config

サブシステム変更

#Subsystem       sftp    /usr/libexec/openssh/sftp-server

Subsystem       sftp    internal-sftp

グループと行ける範囲を末尾に追加

Match group sftpgroup

  ChrootDirectory ~

  ForceCommand internal-sftp

sshdを再起動します。設定間違うとサーバにアクセスできなくなるので、念の為ターミナルをもう1つ開いておいたり。

# systemctl restart sshd

あとはユーザを作成していけば /home/hoge/ がsshのルートディレクトリになります。

ユーザ作成

# useradd -g sftpgroup hoge

# passwd hoge

ホームディレクトリの所有者をrootにする

# chown root:root /home/hoge

# chmod 755 /home/hoge
ディレクトリ作成とパーミッション変更

# mkdir /home/hoge/public_html

# chmod 777 /home/hoge/public_html

バーチャルホスト

1台のサーバで複数のドメインを運用したいので、バーチャルホストの設定をします。

# vi /etc/httpd/conf/httpd.conf

この行のコメントアウトを外す

NameVirtualHost *:80

ドメインごとにconfファイルを作成します。以下はhoge.com用です。

# vi /etc/httpd/conf.d/hoge.conf

<VirtualHost *:80>

    ServerAdmin webmaster@hoge.com

    DocumentRoot /home/hoge/public_html

    ServerName hoge.com

    ServerAlias www.hoge.com

    ErrorLog logs/hoge.com-error_log

    CustomLog logs/hoge.com-access_log common

</VirtualHost>

公開前にサイトを確認できるようにします。ユーザー名がhogeの場合、こんなチルダ付のURLで見れるようになります。
http://www????.sakura.ne.jp/~hoge/

# vi /etc/httpd/conf.d/userdir.conf

コメントアウト

#UserDir disabled

有効化

UserDir public_html
Allにする

AllowOverride All
必要なものだけ

Options IncludesNoExec ExecCGI FollowSymLinks

SSL

OpenSSLは既に入っているので、mod_sslをインストールします。

# yum --enablerepo=remi install mod_ssl

SSL証明書は無料のLet’s Encryptを使います。取得方法は省略。

SSLサーバの設定は以下にまとめて書いておきます。

vi /etc/httpd/conf.d/vhost.conf

<virtualHost *:443>

    SSLEngine on

    SSLCertificateFile /etc/letsencrypt/live/hoge.com/cert.pem

    SSLCertificateKeyFile /etc/letsencrypt/live/hoge.com/privkey.pem

    SSLCACertificateFile /etc/letsencrypt/live/hoge.com/chain.pem

    ServerAdmin webmaster@hoge.com

    DocumentRoot /home/hoge/public_html

    ServerName hoge.com

    ServerAlias www.hoge.com

    ErrorLog logs/hoge.com-error_log

    CustomLog logs/hoge.com-access_log common

</VirtualHost>

設定できたら再起動。

# systemctl restart httpd

MySQL(MariaDB)

MariaDBインストールします。

# yum install mariadb mariadb-server

起動

# systemctl enable mariadb

# systemctl start mariadb

初期設定

# mysql_secure_installation

出てくる質問は以下の通り。

・MariaDBのrootにパスワード設定

・匿名ユーザ(anonymous)の削除

・リモートからrootユーザ接続禁止

・テスト用データベースの削除

文字コードをUTF-8にする。

vi /etc/my.cnf.d/server.cnf

[mysqld]

の後に以下を追加

character-set-server=utf8

終わったら再起動

# systemctl restart mariadb

PHP

PHP7とそれに関係するものをインストール。

# yum install --enablerepo=remi,remi-php70 php php-devel php-mysqlnd php-pear php-mbstring php-pdo php-gd

phpMyAdmin

せっかくなのでMySQL(MariaDB)の管理ページを入れる。

# yum --enablerepo=remi-php70 install phpmyadmin

ここにもアクセス制限。

vi /etc/httpd/conf.d/phpMyAdmin.conf

<RequireAny>

の下に

Require host .jp

など

メールサーバ

ない場合はインストール。

# yum install postfix cyrus-sasl cyrus-sasl-md5

Postfix(送信)の設定。

# vi /etc/postfix/main.cf

以下のように修正

myhostname = www????.sakura.ne.jp

mydomain = www????.sakura.ne.jp

myorigin = $mydomain

inet_interfaces = all

#inet_interfaces = localhost

inet_protocols = ipv4

mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

home_mailbox = Maildir/

smtpd_banner = $myhostname ESMTP unknown

以下を追加(スパム対策)

disable_vrfy_command = yes

smtpd_helo_required = yes
以下を追加(バーチャルドメイン用)

virtual_alias_maps = hash:/etc/postfix/virtual
以下を追加(SMTP-Auth用)

smtpd_sasl_auth_enable = yes

smtpd_sasl_type = cyrus

smtpd_sasl_path = smtpd

smtpd_sasl_local_domain = $myhostname

smtpd_recipient_restrictions = smtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
以下を追加(メールへの添付可能サイズを無制限にする)

message_size_limit = 0

mailbox_size_limit = 0

メール送信時にサブミッションポート(587)を使用します。

# vi /etc/postfix/master.cf

以下の行のコメントアウトを外す

submission inet n       -       n       -       -       smtpd

-o smtpd_sasl_auth_enable=yes

-o smtpd_client_restrictions=permit_sasl_authenticated,reject

-o milter_macro_daemon_name=ORIGINATING

再起動。

# systemctl restart postfix

# systemctl enable postfix

SMTP認証のためにSaslauthdを使用します。アプリと認証処理を分離してくれるものらしい。

# vi /etc/sysconfig/saslauthd

Linuxユーザのパスワード(/etc/shadow)を使う

MECH=shadow

起動します。

# systemctl enable saslauthd

# systemctl start saslauthd

Dovecot(受信)をインストールします。

yum install dovecot

設定していきます。

# vi /etc/dovecot/conf.d/10-mail.conf

以下の行のコメントアウトを外す

mail_location = maildir:~/Maildir

# vi /etc/dovecot/dovecot.conf

protocols = imap pop3 lmtp

listen = *

# vi /etc/dovecot/conf.d/10-auth.conf

パスワードを平文にする

disable_plaintext_auth = no

# vi /etc/dovecot/conf.d/10-ssl.conf

SSL接続しない

ssl = no

Dovecotを起動します。

# systemctl enable dovecot

# systemctl start dovecot

useradd時にメールボックス用のディレクトリを自動で作成されるようにします。

# mkdir -p /etc/skel/Maildir/{new,cur,tmp}

# chmod -R 700 /etc/skel/Maildir/

メールアドレス作成

メールアカウント用のユーザをシェルログイン不可で作成します。

# useradd -s /sbin/nologin hoge-info

# passwd hoge-info

useraddしたらメールボックスはこのように作成されました。

/home/hoge-info/Maildir/new/

/home/hoge-info/Maildir/cur/

/home/hoge-info/Maildir/tmp/

メールアドレスとその振り分け処理を作成します。ドメインごとにanythingの行を入れないとメールが使用できません。

# vi /etc/postfix/virtual

hoge.com         anything

info@hoge.com    hoge-info

web@hoge.com     hoge-web

振り分けを反映させます。

# postmap /etc/postfix/virtual

まとめ

1記事にまとめてみたけど、やっぱ設定項目多いね。

iPad Pro買いました。今使ってるiPad Airがまだ使えるかなと思ってたんだけど、買ってから4年近いからバッテリーもヘタってきてるし、処理も重たく感じることがあったので。

Airは黒いのでしたが、今回Proは白にしました。

持って最初に思ったのは薄くて軽いなあということ。実際は重さ同じなんだけどね。サイズが少し大きいから軽く感じるのかな。

容量ほんとは128GBが良かったんだけど、ラインナップにないんだよね。なので多いけど256GBにした。

液晶が綺麗になったね。明るさがアップしたというから、そのお陰かな。

背面カメラが飛び出てるのが気になる。今回純正の安い方のカバーを買ったんだけど、それだと後ろが丸裸だからうっかりカメラをぶつけてしまいそうだ。

アプリ

App Storeから最低限必要なのだけダウンロードして設定。Googleなどのアカウントを2段階認証にしてたんで、ちょっと手間だけどまあそんなに時間かからず完了。

Kindleは400冊以上買ってあるから、一度に落とすのも大変だし読むごとにダウンロードすることにする。なんかコレクションが一部おかしくなってたけど、まあ気付いたら直す感じで。

レイクライシスはAirでは開始直後に処理落ちしてたけど、Proでは処理落ちなし。さすが。他のゲームも試していこう。

Apple Pencil

最近絵を描いてないけど、せっかくなのでPencilも買いました。Procreateでしばし試し描き。以前のサードパーティ製のとは比べ物にならないくらい良いね。ペン先が細いから精密なのも描けそう。

PCのタブレット持ってるけど、準備するのが億劫であんまり触らなくなっちゃったんだよね。iPadでお絵かき再開しようかな。

充電方法はちょっと変だけど、15秒の充電で30分描けるってのが面白い。

まとめ

まだ使ってない機能はたくさんあるし、秋にはiOS11が出てさらに便利になるので楽しみです。

先月さくらのVPSを借りましたが、ようやく全サイト移転完了しました。

メールの設定がうまくいかず、しばらく悩んでましたが、設定ミスを見つけて何とか動かせました。バージョンの違いから微妙に設定が変わってるのが厄介だね。

そしてようやくSSL化です。以前から1サイトだけLet’s EncryptでSSLにしてたんだけど、今回すべてのサイトに適用しました。これも時代の流れだしね。

.htaccessでリダイレクトかけてあるので、こちらへのリンクはそのままでも大丈夫です。

あとWordPressのマルチサイト機能を解除。管理ページからデータをエクスポートして新サーバに載せ替えて、URLを書き換えて、メディア(画像)がなぜか管理ページから見えないからMySQLでwp_postテーブルとwp_postmetaテーブルをインポートして、とか結構手間がかかりました

WordPressのマルチサイト機能は重かったり使えないプラグインがあったりと、ちょっと不便だったしね。

他にもリンクの修正、未だに残っていたShift_JISのスクリプトをUTF-8に直したりと、色々行いました。今回のサーバ移転はいつも以上に大変だった。

新サーバはSSDなので、サイトの表示が早くなりました。良い感じ。

さくらのVPSの初期費用無料クーポンが来ていたので、新たにサーバを借りました。

いま使っているサーバもさくらのVPSで、特に不満とかは無いのですが、使い始めから既に3年経つし、新しいサーバはスケールアップにも対応したみたいだし、CentOS7も試してみたいなあ、というふわっとした理由です。

少し料金高くなったけどね。

プラン

既存のサーバと比べて以下のように変わりました。

さくらのVPS(v3) 2G
↓
さくらのVPS(v4) SSD 2G

サーバで初SSD！　これは速くなりそうだ。検証している幾つかのサイトを見たところ、おおむね3倍くらい速くなるらしい。

ストレージ HDD 200GB → SSD 50GB
1/4に減ったけど、そもそも50GBですら使いこなせないから問題なし。

OS CentOS 6.5 → CentOS 7.1
LAMP構築してみたけど、思ったより変わってなかったな。serviceがsystemctlになって、iptablesがfirewalldになって、MySQLがMariaDBになったくらい？

あとPHPを7.0にしました。5.x系の2倍速いらしい。

今後

いまは新旧2台構成ですが、ある程度構築できたら、既存のサイトを全部新サーバに移転します。Wordpressとか速くなるかな。

WordPress自体もマルチサイト化してるのを止めたり、サイトをSSL化したり、その他やってみたいことが色々あるので、ちまちま試してみようかと思います。

ふと、PS4から動画が投稿できるってのを思い出して、試しにアップしてみました。GRAVITY DAZE 2の体験版です。少し前に前作をクリアしたところだしね。

知らなかったんだけど、PS4って常に動画を保存し続けてるみたいだね。それでSHAREボタンを押せば直前の15分間の動画がビデオクリップに格納されるという。のんびりプレイするつもりだったので、30分間保存できるように設定変更して、YouTubeでも15分以上アップできるように変更しました。

そして保存した動画を「SHARE factory」というアプリで加工。まあ今回はムービー前後の余分な箇所をカットしただけだどね。

YouTubeにアップしようとしたらアカウントの確認画面が表示されて、ログインしても先に進めなくなってしまった。試行錯誤したところ、一旦PS4からログアウトして再ログインしたらちゃんと投稿画面に進めました。

PS4上では動画サイズは28分で1.3GBあり、結構大きいなと思ってたんだけど、YouTubeに持ってきたら0.6GBに変換されてました。画質もちょっと落ちてるな…まあいいけど。YouTubeにアップできる上限が128GBとの事なので、このフォーマットなら100時間くらい上げられるね。

結構お手軽にプレイ動画が上げられることがわかったので、なんか気が向いたらアップするかも。