横断歩道での一時停止は善意ではなく義務 (Powered by WordPress)
久しぶりにサーバーの設定をしています.Debianでhttpsとimapのサーバーを立ち上げようとしていますが,DebianのApache httpdは,Apacheの用意したファイル名などをほとんど全部書き換えていて,非常に難解です.
それでもようやくSSL/TLS接続できるようになりました.ただし,SSLやTLS 1.0サポートを残しておくのはセキュリティー上良くないということで,それらを止める方法をこれから調べます.
もう一つは,imapデーモンで,dovecotを動かすことにします.こちらは設定ファイルがたくさんありますが,設定自体はそんなに難しくなさそうです.平文接続のport 143を止めて完成だと思います.
ただ,これまでUW-imapdで保存したファイルをcpコマンドでコピーしてもdovecotは認識してくれないようなので,Thunderbirdからフォルダーを1つずつコピーしていくしかなさそうです.いや,ツールを使ってコピーした方がいいかな.
Postfixを試すのにAvahiが要るのか,という疑問もあるかと思いますが,筆者のLAN内ではAvahiを有効利用しているので,テストの準備などのいろんな手続きをスムーズにするためインストールすることにしました.
Slackware (64, ARM) 15.0用としてSlackBuildsにzeroconfのサーバーであるAvahi,クライアントであるnss-mdns,そしてAvahiに必要なライブラリーlibdaemonが用意されています.したがって,libdaemonからの順番で,sbopkg -iすれば,インストール完了します.実際,SlackwareARM 15.0のとあるマシンでは,そのようにして他のマシンを参照するのも,他から参照されるのもうまく機能しています.
ところがどっこい,Postfixのテスト用に仕立てたSlackware 15.0 (32bit)の仮想マシンでは,Avahiのbuildができません.gtk+2のバージョンが必要条件(>=2.14.0)を満たしていないとconfigureスクリプトが文句を言いますが,pkgtoolで確認するとちゃんと条件を満たしています(2.24.33).エラーメッセージは的が外れているけど,なにか確かにエラーがあるに違いないです(よくあることです😥).
うまくいったSlackwareARMと失敗したSlackware (32bit)の違いは,もちろんアーキテクチャーや,実マシン・仮想マシンの違いがありますがそれらは別にして,X, XAP, KDEをインストールしていないことです.リモートで運用・管理するのが前提なので,そもそもGUIは要りませんので,省略することによってシステムの容量を減らすことができると考えました.
しかし,これがどうもいけないようです.そもそもAvahiにGUIは関係ないと思うのですが,なんか必要なライブラリーがGUIのライブラリーと依存関係にあるとかないとかいうことでしょうか.知らんけど😥
必要最低限のライブラリーを見つけ出してインストールするというのがGUIをインストールしなかった初期の方針に沿う方法でしょうけど,時間が無駄にかかりますので,ここは諦めて,XとXAPはインストールすることにします(いくらなんでもKDEは要らんでしょう😥).
ここも,ここまでいじってきたシステムにXとXAPを追加してインストールすればいいんですが,完成したときにクリーンインストールからの最小手順だったという形にしたいので,また箱庭を消してゼロからやります.
これは,OpenSSHのdaemonを使っている場合,通常は /etc/ssh/sshd_config 内で,
PasswordAuthentication no
とすることで可能です.しかし,Slackware (64, ARMも)では,PAMの認証を使用していて,上記のオプションだけではパスワード認証をしてしまいます.
パスワード認証を不可にする場合は,
ChallengeResponseAuthentication no
sshd_config では一切触れられていない.切り替えてみました.httpdのサービスのうち,WordPressは大丈夫なようです.
これより後,めんどくさいのでカテゴリーは,LinuxとNetwork,Raspberry Piくらいにします.
また,あまりに詳しい作業内容については,セキュリティー上の問題もあるので書きません.
2022年4月6日(水)の午前中に,ガチャンと切り替えようかと思いましたが,肝心なBIND (named)の設定がまだと気がつき,着手しましたが,難航しています.
もともとBINDのことはあんまり理解してないまま使ってきてました.解ってないのにいろいろ過去の複雑な事情が設定に盛りこまれています.
BINDもセキュリティーの事情からバージョンが上がる度にそういう曖昧さが許されなくなってきているようで,Slackware 14.xで動いていた設定をそのままコピーしても,エラーが出て動いてくれませんでした.
ということで,1, 2日かけて,BINDの設定をチューニングしてから,いよいよガチャンと切り替えます.
BIND (named)の設定のエラーは,メッセージを見ながら,理解していないなりに😓 直して,エラーが出なくなりました.
しかし,システムを起動しても,namedもntpdも動いていない.前のシステムの起動手順などを見てみても,特に変わらないのですが.
なんとなく勘で,システムの時間が設定されていないとnamedが動かず,namedが動いていないから,ntpdがサーバーのipアドレスを取得できなくて動かないのではないか,と当たりを付けました.
一番の問題は,Raspberry Pi Model Bシリーズが,バッテリーにより駆動されるhardware clockを持っていないことです.起動時に何もしないと,1970年1月1日から始まってしまいます.
もともとの起動順は,rc.Mから呼ばれたrc.inet2によって,rc.bindがスタートして,そのあと,rc.Mの少し後でrc.ntpdが起動されます.これでしばらくするとclockが同期しますが,少し時間がかかるので,ntpd起動の前に,
/usr/sbin/ntpdate 0.pool.ntp.org
を実行するように,rc.ntpdに追加してあります.
SlackwareARM 14.xではこれで問題ありませんでした.つまり,システムの時間が1970年1月1日でもnamedは起動して,その後に起動するntpdのサーバー名を解決してくれます.しかし,SlackwareARM 15.0付属のBIND 9.16.xでは,システムの時間がめちゃくちゃだと,namedが居座らずに異常終了してしまいます.
そして,ntpdが時間サーバーのipアドレスを解決できずにやはり異常終了してしまう.
「ニワトリが先かたまごが先か」問題です.
仕方がないので,0.pool.ntp.orgでたまたま表示される1つのipアドレス(仮にnn.nn.nn.nn)を使い,rc.Mの中のrc.inet2起動の前に,
/usr/sbin/ntpdate nn.nn.nn.nn
を書いて,解決しました.poolなのに,固定的に使うのは趣旨に反すると思いますが,起動時の一回だけだから勘弁しもらいましょう.