MySQL

標準のリポジトリだとバージョン5.1なので、RemiからMySQL 5.5をインストールします。MariaDBは……まだいいや。

# yum --enablerepo=remi install mysql-server mysql-devel

設定ファイルで文字コードをutf-8に変更します。

# vi /etc/my.cnf

以下末尾に追加
character-set-server=utf8

[mysqldump]
default-character-set=bynary

[client]
default-character-set=utf8

データベースを初期化して起動。

# mysql_install_db
# service mysqld start
# chkconfig mysqld on

rootのパスワード設定。最初はEnter、次はパスワード入力、その後は全部Yキーでいけた。

# mysql_secure_installation

設定完了。MySQLが使えるようになりました。

# mysql -u root -p

PHP

標準のリポジトリだとバージョン5.3なので、RemiからPHP 5.4をインストールします。5.3ってあと2ヶ月でサポート終了だしね。

# yum --enablerepo=remi install php php-devel php-mysql php-gd php-pear php-mbstring

設定ファイルいじります。

# vi /etc/php.ini

session.use_trans_sid = 1
display_errors = On
error_reporting  =  E_ALL & ~E_NOTICE
mbstring.language = Japanese
upload_max_filesize = 10M
short_open_tag = On
date.timezone = "Asia/Tokyo"

PHPからsshを使いたいので（WordPressとかで）インストール。

# yum --enablerepo=remi install libssh2-devel
# pecl install ssh2-0.12

設定ファイルを作成してsshモジュールを追加する。

# vi /etc/php.d/ssh2.ini

extension=ssh2.so

Apache再起動で反映。

# service httpd restart

phpMyAdmin

MySQLをコマンドラインで操作するのメンドイのでphpMyAdminインストール。

# yum --enablerepo=remi install phpmyadmin

アクセス制限を付ける。ここでは.jpのみアクセス可。

# vi /etc/httpd/conf.d/phpMyAdmin.conf

<Directory /usr/share/phpMyAdmin/>
の中の
Allow from 127.0.0.1
の下に以下を追加
Allow from .jp

リンクファイルを作成してネット上から見えるようにする。

# ln -s /usr/share/phpMyAdmin /var/www/html/phpmyadmin

Apache再起動で反映。

# service httpd restart

これで以下からアクセスできるようになります。
http://www????.sakura.ne.jp/phpmyadmin/

以前はコマンドラインからちまちまとMySQLをいじってたけど、某ゲーム会社で仕事した時にphpMyAdminが使われていて、なんだ使っても良かったんだ、と納得して以来使ってます。

まあゲームはデータ量が膨大だし、GUIないと技術者以外触れないしね。勿論セキュリティ対策は色々してあった。

Apache 2.2をインストールします。今回はやらないけど、webサーバの世界では最近nginxが伸びてるみたいだね。

# yum install httpd

起動と自動起動。ただし一通りの設定が完了してから。

# service httpd start
# chkconfig httpd on

起動中に設定変更したら再起動が必要です。

# service httpd restart

ドメイン管理ユーザ

ドメインごとに管理するユーザを分けます。普通にユーザを作成すると自分のホームディレクトリより上の階層に行けてしまうので、chrootを使って行けないようにします。

グループ作成。

# groupadd sftpgroup

グループに所属するユーザにchrootを適用します。

# vi /etc/ssh/sshd_config

サブシステム変更
#Subsystem       sftp    /usr/libexec/openssh/sftp-server
Subsystem       sftp    internal-sftp

グループと行ける範囲を末尾に追加
Match group sftpgroup
  ChrootDirectory ~
  ForceCommand internal-sftp

sshdを再起動します。SSHの設定が変わるので、ミスってたらサーバに接続できなくなります。要チェック！

# service sshd restart

あとはユーザを作成していけば /home/hoge/ がルートディレクトリになります。

ユーザ作成
# useradd -g sftpgroup hoge
# passwd hoge

ホームディレクトリの所有者をrootにする
# chown root:root /home/hoge
# chmod 755 /home/hoge

ディレクトリ作成とパーミッション変更
# mkdir /home/hoge/public_html
# chmod 777 /home/hoge/public_html

バーチャルホスト

1台のサーバで複数のドメインを運用したいので、バーチャルホストの設定をします。

# vi /etc/httpd/conf/httpd.conf

この行のコメントアウトを外す
NameVirtualHost *:80

ホスト設定を追加(1)
<VirtualHost *:80>
    ServerAdmin webmaster@www????.sakura.ne.jp
    DocumentRoot /var/www/html
    ServerName www????.sakura.ne.jp
    ErrorLog logs/error_log
    CustomLog logs/access_log common
</VirtualHost>

ホスト設定を追加(2)～(ドメインの数だけ追加する)
<VirtualHost *:80>
    ServerAdmin webmaster@hoge.com
    DocumentRoot /home/hoge/public_html
    ServerName hoge.com
    ServerAlias www.hoge.com
    ErrorLog logs/hoge.com-error_log
    CustomLog logs/hoge.com-access_log common
</VirtualHost>

ちなみに記述の通り、(1)にさくらから付与されたサブドメインを置いて、(2)以降に自前のドメイン群を置くようにしています。

別にさくらのサブドメイン使う必要は無いんだけど、IPアドレスや未設定のドメインでアクセスされた時に一番上のVirtualHostが参照されるので、念のため設置してます。別々のドメインで同じサイトが表示されるとSEO的にもまずいし。

公開前にサイトを確認する

DNSを向ける前にサイトを確認したいので、ユーザーディレクトリの設定をします。ユーザー名がhogeの場合、こんなチルダ付のURLで見れるようになります。
http://www????.sakura.ne.jp/~hoge/

# vi /etc/httpd/conf/httpd.conf

#UserDir disabled
UserDir public_html

以下のコメントアウトを外してOptionsの中身を見直す
<Directory /home/*/public_html>
    AllowOverride FileInfo AuthConfig Limit
    Options MultiViews SymLinksIfOwnerMatch
    <Limit GET POST OPTIONS>
        Order allow,deny
        Allow from all
    </Limit>
    <LimitExcept GET POST OPTIONS>
        Order deny,allow
        Deny from all
    </LimitExcept>
</Directory>

SSL

OpenSSLは既に入っているので、mod_sslをインストールします。

# yum install mod_ssl

SSLを使用するドメインを追加します。

# vi /etc/httpd/conf.d/ssl.conf

以下を追加
<VirtualHost *:443>
    SSLEngine on
    SSLProtocol all -SSLv2
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
    SSLInsecureRenegotiation on
    SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
    ServerAdmin webmaster@hoge.com
    DocumentRoot /home/hoge/public_html
    ServerName hoge.com
    ServerAlias www.hoge.com
    ErrorLog logs/hoge.com-error_log
    CustomLog logs/hoge.com-access_log common
</VirtualHost>

SSLサーバ証明書（有料）が必要なんだけど、自分が使うだけなので無しで行きます。ブラウザが警告を出すけど無視してページ開けます。ほんとは良くないんだけどね。

gzipで圧縮

前に.htaccessでやっていた転送データをgzip圧縮する方法ですが、今回はこちらに書きます。これで転送量が減るね。

# vi /etc/httpd/conf/httpd.conf

以下を追加
<Location />
    SetOutputFilter DEFLATE
    BrowserMatch ^Mozilla/4 gzip-only-text/html
    BrowserMatch ^Mozilla/4\.0[678] no-gzip
    BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
    SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
    Header append Vary User-Agent env=!dont-vary
</Location>

htmlファイルアップロード

普通はftpでアップロードするんだけど、セキュリティとか設定の手間とか考えてsftpを使うことにしました。sshの認証を使うのでサーバ側の設定は必要ないし。

FileZillaなどで接続方法をsftpにして、ドメイン管理ユーザのIDパスワードで接続できます。

データは以下のディレクトリに上げていきます。

/home/hoge/public_html/

その他

必要に応じて。

# vi /etc/httpd/conf/httpd.conf

ディフォルト文字コードの指定コメントアウト(文字化けする場合)
#AddDefaultCharset UTF-8

ログのIPをホスト名に変換(重くなるけど)
HostnameLookups On

しかしApacheの情報ぐぐると、平気で10年以上前のページが上位に出てきて凄いね。

サーバにファイアウォールを設定します。内容はさくらのサポート情報を参考に、というかほぼそのまま書いてます。

まずは攻撃対策のルールを記述します。

# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

localhostとpingを許可します。

# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -p icmp -j ACCEPT

必要なポートを開放します。ポート番号はそれぞれhttp(80)、https(443)、pop3(110)、smtp(25)、submission(587)、ssh(22)です。

# iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
# iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

許可済みのパケットのみ通します。

# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT

記述したルールをファイルに保存します。再起動はしなくても反映されるっぽい？

# service iptables save

一応再起動
# service iptables restart

ちなみにルールを修正したい場合は以下のファイルを直接いじります。最初からここに記述していっても良いんだろうけど。

# vi /etc/sysconfig/iptables

設定の確認はこちら。

# iptables -L

さくらのVPSお試し期間中は、ここの設定に関係なくメール送れないけどね。

別サーバでの話だけど、imap許可してたら物凄い勢いでアクセスされてサーバ会社から警告が来て驚いた思い出。即閉じた。

今のサーバを借りてから3年経つので、乗り換えのためにさくらのVPS 2Gを借りました。スペックは以下のように変わっています。

毎回サーバの設定に苦労するので、手順を書き出してみることにしました。いつもはローカルにメモしてるんだけどね。

sshの設定

まずは仮登録後に送られてくるメールからVPSコントロールパネルに入り、サーバを起動させます。次にリモートコンソールからログインしてrootのパスワードを変更します。

# passwd

rootで直接ログインできるのは危険なので、作業用アカウントを作成します。

ユーザーhoge作成
# useradd hoge

hogeのパスワード設定
# passwd hoge

hogeをwheelグループに入れる
# usermod -G wheel hoge

作業用アカウント（wheelグループ）以外ではroot権限を使えないように制限を付けます。

sudoできるユーザ
# visudo

この行を有効化
%wheel ALL=(ALL) ALL

suできるユーザ
# vi /etc/pam.d/su

この行を有効化
auth required /lib/security/$ISA/pam_wheel.so use_uid

rootで直接ログインできないようにします。

# vi /etc/ssh/sshd_config

yesをnoに変更する
PermitRootLogin no

再起動
# service sshd restart

最後にTCP wrapperでsshにログインできるホストを制限します。

拒否リスト
# vi /etc/hosts.deny

以下を追加
sshd : all

許可リスト
# vi /etc/hosts.allow

以下を追加
sshd : localhost
sshd : www????.sakura.ne.jp
sshd : .jp

これでサーバ自身と.jp以外の人はアクセスできなくなりました。ちゃんと自分のプロバイダに合致したホスト名を指定しないと繋がらなくなります。

ほんとは公開鍵を使ったほうが良いんだけどね。

ついでに日本語化。

# vi /etc/sysconfig/i18n

LANG="C"
を
LANG="ja_JP.UTF-8"
に変更

yumでRemiリポジトリを使う

標準のyumだと古いパッケージばかりなので、比較的新しいのがインストールできるRemiリポジトリを使用します。

CentOS6用
# wget http://rpms.famillecollet.com/enterprise/remi-release-6.rpm
# rpm -Uvh remi-release-6.rpm

Remiを指定してインストールする場合には以下のように記述します。

# yum --enablerepo=remi install (パッケージ名)

アップデートは新旧入り混じると面倒なので、Remiで入れたのは個別でやった方が良いのかな。

通常パッケージ全部アップデート
# yum update

Remiで入れたの個別アップデート
# yum --enablerepo=remi update (パッケージ名)

設定ミスが無いか必死にぐぐりながらいじってます（汗）

まあWordPressに限らない方法なんだけどね。

PageSpeed InsightsというGoogle製のサイトの表示速度を調べてくれるサイトを知りました。何年も前からあったみたいだけど。
ともかく、ここにURLを入れたら速度が遅くなってる原因がわかります。便利だね。

このブログのTOPページを試してみたらモバイルが57/100、PCが67/100でした。スコア低いなあ。なので「修正が必要」と書かれている2つの対処法を試してみた。

圧縮を有効にする

これはサーバからブラウザへ転送するデータをGZIPで圧縮しろってことです。Apacheにmod_deflateなるものを入れる必要があるんだけど、うちの環境だと最初から入ってた。なのでネット情報を参考に.htaccessに以下を追加。

<IfModule mod_deflate.c>
SetOutputFilter DEFLATE
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary
Header append Vary User-Agent env=!dont-vary
</IfModule>

GZIPに対応していないブラウザなどを除外してるね。

ブラウザのキャッシュを活用する

画像などに有効期限を付ければブラウザキャッシュが効くよということです。これも同じくApacheにmod_expiresが入っていたので、やはりネット情報を参考に.htaccessに追加。

<ifModule mod_expires.c>
ExpiresActive On
ExpiresDefault A1
ExpiresByType image/gif A604800
ExpiresByType image/jpeg A604800
ExpiresByType image/png A604800
ExpiresByType image/x-icon A604800
ExpiresByType text/css A604800
ExpiresByType text/javascript A604800
ExpiresByType application/x-javascript A604800
ExpiresByType application/x-shockwave-flash A604800
</ifModule>

A604800は有効期限をアクセスした時から604800秒（1週間）後にするって意味です。

結果

.htaccessに上の2つを記述しただけでモバイルが73/100、PCが86/100になりました。結構良いスコアになったね。

「修正を考慮」という所に他の対処法も載っていて、その中で「サーバーの応答時間を短縮する」というのが気になりました。サーバが古いので遅いのは仕方ないとして、多分これはWordPressが重いせいだな。

実はWordPressのプラグインでキャッシュ系を幾つか試してみたんだけど、うちの環境ではうまく動かなかった。そんな訳でWordPress以外でも使える手法のみになっちゃいました。

前回の修理の後から、パソコンの電源が突然落ちるようになってしまいました。

色々試してみたら、ニコニコ動画などを20分以上再生すると落ちるっぽい。前回電源ユニットの交換をしたので、それのせいかな。

そんな訳でサポートに連絡したんだけど、BIOSをアップデートしろだのグラフィックドライバを最新にしろだの言ってきて、どうにも核心に近づいてる気がしない。前回の修理ではHDDを外して送ったので、そのせいじゃないのかと言われ、OSの再インストールを試すよう指示される。きがるにいってくれるなあ……

OS再インストールは面倒なので、ブラウザ上での動画再生で電源が落ちるのは再現性があるからと説明したんだけど、ネット由来の現象はサポート外と言われてしまう。仕方ないので他の方法を試していたら、ブルーレイの再生でも電源が落ちるのを確認。それでようやく修理に応じてくれました。長かった……

修理自体は4日で終わって戻ってきました。それで修理報告書を見てみたら……ビデオカードの故障でした。そっち？！

これは予想外だった。

1ヶ月位前から、パソコンのファンが掃除機並にうるさくて困ってました。中を開いてエアダスターでホコリ飛ばしたりしたものの、音は変わらず。さすがにストレスになってきたのでメーカーに問い合わせたら「保証期間内なので修理します」と言ってくれました。

修理に出す際、ハードディスクを取り外して送るというやり方が載ってました。情報漏洩や破損対策か。以前、別のメーカーに修理に出したPCは「落として壊しちゃいました」とかアホな事やられたし、今回はハードディスクを外して送ったよ。

送料無料で梱包も配送業者がやってくれました。楽チンだね。数日後に電話がかかってきて、電源ユニットを交換したとの事でした。ファンだけの問題じゃなかったのか。

そして送り出してから5日後にPCが返ってきました。今のところ騒音は無し。いやぁ延長保証しておいて良かったよ。

ちなみに修理中はノートPCを使ってましたが、グレア液晶で13インチなので目が疲れました。ディスプレイに繋げばよかったんだけどね。