Raspberry Piに無理をさせているので、
ちょっとでもパフォーマンスをアップさせます。
raspi-config
「8. Advanced Option」を選択。
「A3 Memory Split」を選択。
GPUメモリ割り当てを16に変更。
vi /etc/inittab
1:2345:respawn:/sbin/getty noclear 38400 tty1 #2:23:respawn:/sbin/getty 38400 tty2 #3:23:respawn:/sbin/getty 38400 tty3 #4:23:respawn:/sbin/getty 38400 tty4 #5:23:respawn:/sbin/getty 38400 tty5 #6:23:respawn:/sbin/getty 38400 tty6
ポートは空けないので外からは接続できませんが、
ローカルではFTPでも問題ないので導入してみます。
apt-get install vsftpd service vsftpd stop vi /etc/vsftpd.conf
# 下記内容を変更 # 匿名ユーザ拒否 anonymous_enable=YES ↓ anonymous_enable=NO # ローカルユーザ許可 #local_enable=YES ↓ local_enable=YES # 書き込み許可 #write_enable=YES ↓ write_enable=YES # ファイル作成時のパーミッション755 #local_umask=022 ↓ local_umask=022 # アスキーでアップロード許可 #ascii_upload_enable=YES ↓ ascii_upload_enable=YES # アスキーでダウンロード許可 #ascii_download_enable=YES ↓ ascii_download_enable=YES # ホームディレクトリより上へのアクセス制御にchrootリストファイルを利用 #chroot_local_user=YES ↓ chroot_local_user=YES # chrootリストファイルを有効 #chroot_list_enable=YES ↓ chroot_list_enable=YES # chrootリストファイル配置場所 #chroot_list_file=/etc/vsftpd.chroot_list ↓ chroot_list_file=/etc/vsftpd.chroot_list # 下記内容を最終行に追加 # FTP接続制御リストファイル有効 userlist_enable=YES # FTP接続制御リストファイルに追加されていないユーザ拒否 userlist_deny=NO # FTP接続制御リストファイル配置場所 userlist_file=/etc/vsftpd.user_list
chrootリストファイルとFTP接続制御リストファイルに
自身のユーザ名を追加し、FTP再起動。
vi /etc/vsftpd.chroot_list vi /etc/vsftpd.user_list service vsftpd start
Raspberry Piはいつ壊れるか不安なので、
再インストールを見越してWordPressの設定メモ。
.form-allowed-tags {
display:none !important;
}
.tablepress thead th {
font-size: 10pt !important;
color: #989eae !important;
text-align: center !important;
background-color: #202228 !important;
padding: 5px !important;
border-width: 1px !important;
border-style: solid !important;
border-color: #444855 !important;
}
.tablepress tbody td {
font-size: 10pt !important;
color: #989eae !important;
text-align: left !important;
background-color: #202228 !important;
padding: 5px !important;
border-width: 1px !important;
border-style: solid !important;
border-color: #444855 !important;
}
パーマリンク設定を行うと自動で「.htaccess」が作成され、
中身を見てみると「mod_rewrite.c」というモジュールが呼ばれいるので、
モジュールを有効化します。
# モジュール有効 a2enmod rewrite service apache2 restart
既に有効になっている場合は「Module rewrite already enabled」と表示されます。
WorldPressを初期ディレクトリ(wordpress)以外に
リビジョン機能を無効にした状態でインストールします。
cd /var/www wget http://ja.wordpress.org/latest-ja.zip unzip latest-ja.zip # wordpressというディレクトリで展開されますが、気分で変更 mv wordpress/ 任意ディレクトリ名 # ディレクトリに権限付与 chown -R www-data.www-data 任意ディレクトリ名/ cd 任意ディレクトリ名 # wp-config.phpをサンプルからコピーして作成 cp -pi wp-config-sample.php wp-config.php vi wp-config.php
# 下記内容を変更
define('DB_NAME', 'database_name_here');
↓
define('DB_NAME', 'DB名');
define('DB_USER', 'username_here');
↓
define('DB_USER', 'DBユーザ名');
define('DB_PASSWORD', 'password_here');
↓
define('DB_PASSWORD', 'DBパス');
# 下記内容を「編集が必要なのはここまで(略)」より上に追加
/* リビジョン無効 */
define('WP_POST_REVISIONS', false);
下記URLにアクセスする。
http://z-area.net/任意ディレクトリ名/wp-admin/install.php
初期設定後にログインすると記事を投稿できるようになります。
初期設定画面が出てこない場合、下記設定を一時的に変更する。
vi /etc/apache2/sites-available/default
# 下記内容を変更(「/var/www/」の子要素) Options -Indexes FollowSymLinks -MultiViews ↓ Options Indexes FollowSymLinks -MultiViews
service apache2 restart
WordPress導入後は設定を元に戻しておきます。
apt-get install mysql-server
rootのパス入力を求められるので2回入力。
インストール後に文字コードの設定を行う。
vi /etc/mysql/my.cnf
# 下記内容を追加([mysqld]に) # クライアントの文字コードに依存しない skip-character-set-client-handshake # 文字コード character-set-server=utf8
MySQL導入が完了したらWordPress用にDBとDBユーザを作成する。
mysql -u root -pパスワード
mysql> create database DB名; mysql> grant all privileges on DB名.* to DBユーザ名@localhost identified by "DBパス"; mysql> flush privileges;
mysql> alter database DB名 character set utf8;
文字コードの確認を行う場合、下記SQL文で確認。
mysql> show variables like 'char%';
character_set_filesystemとcharacter_sets_dir以外がUTF-8になっていれば問題なし。
WordPressを公開するためにphp5とMySQLを導入します。
# php本体 apt-get install php5 # php高速化:気持ち的に apt-get install php-apc # phpライブラリ(cURL):本当に必要か謎 apt-get install php5-curl # phpライブラリ(gd):本当に必要か謎 apt-get install php5-gd # phpライブラリ(mysql):必須 apt-get install php5-mysql
apt-get install mysql-server
rootのパス入力を求められるので2回入力。
インストール後に文字コードの設定を行う。
vi /etc/mysql/my.cnf
# 下記内容を追加([mysqld]に) # クライアントの文字コードに依存しない skip-character-set-client-handshake # 文字コード character-set-server=utf8
MySQL導入が完了したらWordPress用にDBとDBユーザを作成する。
mysql -u root -pパスワード
mysql> create database DB名; mysql> grant all privileges on DB名.* to DBユーザ名@localhost identified by "DBパス"; mysql> flush privileges;
mysql> alter database DB名 character set utf8;
文字コードの確認を行う場合、下記SQL文で確認。
mysql> show variables like 'char%';
character_set_filesystemとcharacter_sets_dir以外がUTF-8になっていれば問題なし。
現場ではログはデイリーなのでどうやってるのかということで設定お試しです。
さらにログ解析した際、エクセルでやらされた覚えがありますが、
やはりツールがあるようなのでお試しです。
vi /etc/apache2/sites-available/default
# 下記内容を変更
CustomLog ${APACHE_LOG_DIR}/access.log combined
↓
#CustomLog ${APACHE_LOG_DIR}/access.log combined
# 下記内容を追加
# XXは固定化したいIPによって変更
# ownlog:自身のアクセスログ ⇒ access_own.log に出力
# robotlog:検索ロボットのアクセスログ ⇒ access_robot.log に出力
# nolog:自身と検索ロボット以外のアクセスログ ⇒ access.log に出力
SetEnvIf Remote_Addr "192.168.XX." ownlog nolog
SetEnvIf Remote_Addr "127.0.0.1" ownlog nolog
SetEnvIf User-Agent "Googlebot" robotlog nolog
SetEnvIf User-Agent "bingbot" robotlog nolog
SetEnvIf User-Agent "MJ12bot" robotlog nolog
SetEnvIf User-Agent "YahooFeedSeeker" robotlog nolog
SetEnvIf User-Agent "ichiro/mobile goo" robotlog nolog
SetEnvIf User-Agent "360Spider" robotlog nolog
SetEnvIf User-Agent "SurveyBot" robotlog nolog
SetEnvIf User-Agent "ia_archiver" robotlog nolog
SetEnvIf Remote_Addr "208.43.225.84" robotlog nolog
SetEnvIf Remote_Addr "208.43.225.85" robotlog nolog
SetEnvIf User-Agent "crowler" robotlog nolog
CustomLog ${APACHE_LOG_DIR}/access_own.log common env=ownlog
CustomLog ${APACHE_LOG_DIR}/access_robot.log combined env=robotlog
CustomLog ${APACHE_LOG_DIR}/access.log combined env=!nolog
vi /etc/logrotate.d/apache2
# 下記内容を変更 weekly ↓ daily rotate 52 ↓ rotate 90
1日単位でログをローテーションするよう変更したため、
新規ファイルをログフォルダで作成できるようログ権限を変更する。
chmod 605 /var/log/apache2
apt-get install webalizer # インストール時に自動作成された「/var/www/webalizer」は1のアクセスログ用 # 2のアクセスログ用フォルダを作成 mkdir /var/www/webalizer/robot # 1のアクセスログ解析ファイルを編集 vi /etc/webalizer/webalizer.conf
# 下記内容を変更 # Incremental no ↓ Incremental yes # 下記内容を追加 HTMLHead <META HTTP-EQUIV="content-Type" CONTENT="text/html; charset=UTF-8">
# 1のアクセスログ解析ファイルをコピーして2のアクセスログ解析ファイルを作成 cp -pi /etc/webalizer/webalizer.conf /etc/webalizer/robot.conf vi /etc/webalizer/robot.conf
# 下記内容を変更 LogFile /var/log/apache2/access.log.1 ↓ LogFile /var/log/apache2/access_robot.log.1 OutputDir /var/www/webalizer ↓ OutputDir /var/www/webalizer/robot
既に出力済のアクセスログがあれば、過去分を解析する。
webalizer -c /etc/webalizer/webalizer.conf /var/log/apache2/access.log webalizer -c /etc/webalizer/robot.conf /var/log/apache2/access_robot.log
アクセスログ解析結果はHTMLで参照する。
1.http://z-area.net/webalizer/
2.http://z-area.net/webalizer/robot/
現状のままでは、誰でもアクセスログ解析結果を参照できてしまうので制御する。
vi /var/www/webalizer/.htaccess
# 下記内容を追加 # XXは固定化したいIPによって変更 order deny,allow deny from all allow from 192.168.XX. allow from 127.0.0.1 allow from localhost
vi /var/www/webalizer/robot/.htaccess
# 下記内容を追加 # XXは固定化したいIPによって変更 order deny,allow deny from all allow from 192.168.XX. allow from 127.0.0.1 allow from localhost
vi /etc/network/interfaces
# 下記内容を変更 iface eth0 inet dhcp ↓ iface eth0 inet static # 下記内容を追加 address 固定化したいIP(Cクラス内) netmask 255.255.255.0 gateway ルータのIP
apt-get install apache2
インストールは本当に簡単。
次にApache2のセキュリティ設定を変更する。
vi /etc/apache2/conf.d/security
# 下記内容を変更 # サーバ情報表示内容 ServerTokens OS ↓ ServerTokens ProductOnly # サーバ署名表示内容 ServerSignature On ↓ ServerSignature Off
次にApache2のホスト設定を変更する。
vi /etc/apache2/sites-available/default
# ServerAdminの上に下記内容を追加 ServerName z-area.net # 下記内容を変更(「/var/www/」の子要素) Options Indexes FollowSymLinks MultiViews ↓ Options -Indexes FollowSymLinks -MultiViews # .hatcessファイル制御(単純にAllで良いのかは要検討) AllowOverride None ↓ AllowOverride All
service apache2 restart
Indexes:ディレクト一覧表示制御
FollowSymLinks:シンボリックリンク利用制御
⇒ロリ○ップでのセキュリティ事故はシンボリックリンクに関するもの。
マイナスオプションで制御しても色々問題があるようなのでひとまず有効のまま。
参考URL:https://fumiyas.github.io/2013/09/03/no-followsymlinks-is-not-safe.html
MultiViews:多言語表示制御
「http://固定化したいIP/」でIt Works!が表示されれば成功。
echo "sshd: ALL" >> /etc/hosts.allow echo "ALL: ALL" >> /etc/hosts.deny
「teratermインストールフォルダ/サーバー名」にファイル名「id_rsa.pub」で公開鍵を保存。
※保存場所は任意。
続いて「秘密鍵の保存」をクリック。
「teratermインストールフォルダ/サーバー名」にファイル名「id_rsa」で秘密鍵を保存。
「キャンセル」をクリックして鍵生成窓を閉じる。
先ほど保存した「id_rsa.pub」をTeraTermの画面へドラッグ&ドロップ。
※ログインユーザーのホームディレクトリにid_ras.pubを転送。
「ファイル転送を行いますか?」で「SCP」をクリック。
「id_rsa.pub」が保存されていることを確認。
公開鍵をサーバーへ登録する。
cd mkdir .ssh chmod 700 .ssh cat id_rsa.pub > .ssh/authorized_keys chmod 600 .ssh/authorized_keys rm -f id_rsa.pub
sshd_configを編集する。
vi /etc/ssh/sshd_config
# 下記内容を変更 # RSA公開鍵による認証その1 #PubkeyAuthentication yes ↓ PubkeyAuthentication yes # RSA公開鍵による認証その2 #AuthorizedKeysFile %h/.ssh/authorized_keys ↓ AuthorizedKeysFile %h/.ssh/authorized_keys # パスワードでの認証制御 #PasswordAuthentication yes ↓ PasswordAuthentication no # 下記内容を追加 # チャレンジ/レスポンス認証制御 ChallengeResponseAuthentication no
/etc/init.d/ssh restart
TeraTermは一旦exitする。
TeraTermを起動。「ホスト名」を入力して「OK」をクリック。
「ユーザ名」と先ほど入力した「パスフレーズ」を入力。
「RSA/DSA鍵を使う」にチェックを入れ「秘密鍵」をクリックして保存した秘密鍵「id_rsa」を選択。
「OK」をクリック。
apt-get install ufw
ufwは上から順に評価されるので、上に1番強い制御を設定。
# すべてのアクセスを拒否 ufw default DENY # 20番ポートの通信を条件付許可(FTP) ufw limit 20 # 21番ポートの通信を条件付許可(FTP) ufw limit 21 # 22番ポートの通信を条件付許可(SSH) ufw limit 22 # 80番ポートの通信を許可(HTTP) ufw allow 80 # 8080番ポートの通信を許可(HTTP) ufw allow 8080 # 設定を有効化後に設定値を確認 ufw enable ufw status
| To | Action | From |
|---|---|---|
| 20 | LIMIT | Anywhere |
| 21 | LIMIT | Anywhere |
| 22 | LIMIT | Anywhere |
| 80 | ALLOW | Anywhere |
| 8080 | ALLOW | Anywhere |
passwd root
変更後のパスワード入力。
変更後のパスワード再入力。
adduser ユーザ名
変更後のパスワード入力。
変更後のパスワード再入力。
残りの項目は空でエンターを押下すれば問題なし。
最後に”Y”を入力。
sudoを管理する「/etc/sudoers」を編集するための特殊コマンドを実行する。
特殊なエディタが起動したらデフォルトユーザpiの下に作業ユーザを追加する。
visudo
# 下記内容を追加 # PASSWDはsudoコマンド時にパスワード入力を求める。 ユーザ名 ALL=(ALL) PASSWD: ALL
CTRL+Xとエンターで保存する。
次にデフォルトユーザpiの所属を確認する。
groups pi pi : pi adm dialout cdrom sudo audio video plugdev games users netdev input spi gpio
作業ユーザにも同様の所属を適用する。
sudo usermod -G adm,dialout,cdrom,sudo,audio,video,plugdev,games,users,netdev,input,spi,gpio ユーザ名
再起動後、作業ユーザが同様の所属になったか確認する。
groups ユーザ名 ユーザ名 : ユーザ名 adm dialout cdrom sudo audio video plugdev games users netdev input spi gpio
userdel pi
「/etc/sudoers」からもデフォルトユーザをコメントアウトする。
visudo
# 下記内容を変更 pi ALL=(ALL) NOPASSWD: ALL ↓ # pi ALL=(ALL) NOPASSWD: ALL
vi /etc/ssh/sshd_config
# 下記内容を変更 # rootログイン制御 PermitRootLogin yes ↓ PermitRootLogin no # 空パスワード制御 PermitEmptyPasswords yes ↓ PermitEmptyPasswords no # 下記内容を追加 # 指定ユーザ名のみのログイン制御 AllowUsers ユーザ名
/etc/init.d/ssh restart