2021年11月

KAGOYA CLOUD VPS

ここの VPS を使っています。
一応、いろいろ比較検討したのですが、僕的には「KAGOYA CLOUD VPS」一択でした。
コスパが良いし、自由度が高いと思いました。

特徴は、
・一契約で KVM と OpenVZ が利用できる。
【KAGOYA CLOUD VPS】OpenVZ 新規提供終了のご案内
・プランの種類が多い。
・初期費用無料。
・「日数」×「日額」の金額と、「月額料金」のうち安い方が月額利用料金となる。
・ストレージは、KVM が SSD。OpenVZ が SSD か HDD。
・KVM は、IPv4 アドレスと IPv6 アドレスが付く。OpenVZ は、IPv4 アドレスのみ。
・KVM は、ISO イメージアップロード可。
・DNS の正引き逆引き共に設定可。
(IPv6 にも IPv4 と同じ逆引きが設定されます。)
・試用期間は無し。
などでしょうか。詳しくは、「サービスサイト」と「サポートサイト」を確認して下さい。

僕が借りたのは、KVM 1コア メモリ 1GB SSD 25GB のプランで、月額換算料金 550円です。
OS は、KAGOYA 提供のテンプレート CentOS Stream 8 を使っています。

メールサーバを建ててオリジナル・ドメインでメールアドレスを作成していますが、メールの送受信は Gmail を利用して行っています。また、Clam AntiVirus は、インストールしていません。

SSL/TLSサーバ証明書は、Let’s Encrypt を利用しています。
Web サーバ用(www.wave440.com)は旧サーバから引き継ぎ移転しました。
メールサーバ用(mail.wave440.com)は、旧サーバでは自己署名証明書を使っていたので、今回新たに取得しています。

以下、自分用のメモ書きです。


SSH 接続

参考:ログイン用認証キー作成

インスタンス作成時に、「ログイン用認証キー追加」で登録すると、秘密鍵がダウンロードされます。
パーミッションを「600」にして接続。パスワード不要でいきなり root で接続できます。

[user@fedora34 ~]$ ssh -i Downloads/himitu.key root@IPアドレス ・・・ ・・・ [root@v133-xxx-xxx-xxx ~]#

確認と初期設定

システムのタイムゾーンなどを確認。Time zone は Asia/Tokyo でした。

[root@v133-xxx-xxx-xxx ~]# timedatectl

文字コードなどを確認。

[root@v133-xxx-xxx-xxx ~]# localectl

System Locale が LANG=en_US.UTF-8 になっていました。 僕は、LANG=ja_JP に変更しています。

[root@v133-xxx-xxx-xxx ~]# localectl set-locale LANG=ja_JP.utf8

SELINUX は、すでに disabled になっていました。

[root@v133-xxx-xxx-xxx ~]# cat /etc/sysconfig/selinux

ホスト名を変更。

[root@v133-xxx-xxx-xxx ~]# hostnamectl set-hostname server.wave440.com

確認。
端末上の表記は再ログインなどで反映されます。

[root@v133-xxx-xxx-xxx ~]# hostnamectl

ネットワーク関連

以下を見ておく。

[root@server ~]# cat /etc/hostname

[root@server ~]# cat /etc/hosts

[root@server ~]# cat /etc/resolv.conf

[root@server ~]# nmcli d DEVICE TYPE STATE CONNECTION eth0 ethernet 接続済み System eth0 lo loopback 管理無し --

[root@server ~]# nmcli d show eth0

[root@server ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0

IPv6 の DNS が設定されていなかったので、設定しています。

[root@server ~]# nmcli c mod "System eth0" ipv6.dns 2606:4700:4700::1111,2606:4700:4700::1001 [root@server ~]# systemctl restart NetworkManager

参考:公開 DNS サービス
1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver
Google Public DNS IP addresses

firewalld は、起動済み。アクティブゾーンを確認する。

[root@server ~]# firewall-cmd --state running [root@server ~]# firewall-cmd --get-active-zones public interfaces: eth0

アクティブゾーンの恒久的なファイアウォール設定を確認。

[root@server ~]# firewall-cmd --list-all --zone=public --permanent public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

スワップ領域の作成

Swap 領域が作成されていなかったので、作成します。

[root@server ~]# free -m total used free shared buff/cache available Mem: 809 114 501 12 193 564 Swap: 0 0 0

作成方法は、ココに載っています。→スワップ領域の設定
僕も 1GB 作成しています。

swap ファイル領域を 1GB 確保(ブロックサイズ 1MB で 1024 個)します。

[root@server ~]# dd if=/dev/zero of=/swapfile bs=1M count=1024

パーミッションを変更します。

[root@server ~]# chmod 600 /swapfile

swap を作成します。

[root@server ~]# mkswap /swapfile

swap を有効化します。

[root@server ~]# swapon /swapfile

swap を確認します。

[root@server ~]# free -m total used free shared buff/cache available Mem: 809 116 55 12 637 556 Swap: 1023 0 1023

OS の再起動時も作成したスワップ(swap)領域が、自動的にマウントされるよう設定をします。

[root@server ~]# sed -i '$ a /swapfile swap swap defaults 0 0' /etc/fstab

インストールとアップデート

EPEL のリポジトリをインストール

[root@server ~]# dnf -y install epel-release

EPEL 設定ファイルの「enabled=1」を「enabled=0」に変更。

[root@server ~]# vi /etc/yum.repos.d/epel.repo

dnf アップデート

[root@server ~]# dnf -y update

ベース,開発ツールパッケージ群インストール。

[root@server ~]# dnf -y group install base "Development tools"

dnf-automatic インストール。

[root@server ~]# dnf -y install dnf-automatic

dnf-automatic-install 自動起動有効+起動。

[root@server ~]# systemctl enable --now dnf-automatic-install.timer

nkf コマンドインストール。

[root@server ~]# dnf --enablerepo=powertools install nkf

jq コマンドインストール。

[root@server ~]# dnf install jq

現在使用中のカーネルバージョンを確認する。

[root@server ~]# uname -r

インストール済みを確認する。

[root@server ~]# dnf repoquery --installonly

カーネルがアップデートされていると思うので再起動する。

[root@server ~]# reboot

root 宛てメールの転送

postfix と mailx をインストール。

[root@server ~]# dnf -y install postfix mailx

postfix 自動起動有効+起動。

[root@server ~]# systemctl enable --now postfix

一応、root 宛ての転送設定があるか確認。

[root@server ~]# grep ^root: /etc/aliases

普段使っているメールアドレスに転送設定をする。(追加

[root@server ~]# vi /etc/aliases ・・・ ・・・ # Person who should get root's mail #root: marc root: fudantukatteiru@example.com

設定反映。

[root@server ~]# newaliases

テストメールを送る。

[root@server ~]# echo test|mail root

※Spamhaus の PBL(Policy Block List)を送信先のメールサーバが利用していると、受け取り拒否されると思います。
PBL データベースにサーバの IP アドレスが載っているかどうかの確認は、Lookup - Reputation Checker - Spamhaus でサーバの IP アドレスを入力して「Lookup」をクリックします。恐らく、「This IP is listed in the Policy Blocklist (PBL)」と表示されます。
削除申請をすることになりますが、その為には逆引きが設定された静的IP であることと、該当ドメインのメールアドレスで申請する必要があるので、それらの設定およびメールサーバ構築後に行うことになります。

【削除申請方法】
上記「This IP is listed in the Policy Blocklist (PBL)」と表示されたページ下の「Show Details」をクリック→「I am running my own mail server」にチェックを入れ「Next Steps」ボタンをクリック→必要事項を入力して「Submit」
   ↓↓↓

   ↓↓↓
メールが送られて来るので、メール内のリンクをクリックして申請を完了します。
削除は自動処理なので、数十分で PBL から削除されます。
ただ、一度削除されても再度載ることもあるようなので定期的なチェックは必要です。
ちなみに、IPv6 アドレスについても同様の確認をしてみましたが、PBL データベースに載ってはいませんでした。


Logwatch のインストール

[root@server ~]# dnf install logwatch

システム時刻を自動的に合わせる

Chrony はインストール済みでした。

[root@server ~]# vi /etc/chrony.conf

変更。(追加

# Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html). #pool 2.centos.pool.ntp.org iburst pool ntp.nict.jp iburst

再起動。

[root@server ~]# systemctl restart chronyd

時刻同期状態確認。

[root@server ~]# chronyc sources

Perl モジュールをインストール

perl-CPAN をインストール。

[root@server ~]# dnf install perl-CPAN

入力

[root@server ~]# perl -MCPAN -e shell CPAN.pm requires configuration, but most of it can be done automatically. If you answer 'no' below, you will enter an interactive dialog for each configuration option instead. Would you like to configure as much as possible automatically? [yes] yes Perl site library directory "/usr/local/share/perl5" does not exist. Perl site library directory "/usr/local/share/perl5" created. Perl site library directory "/usr/local/lib64/perl5" does not exist. Perl site library directory "/usr/local/lib64/perl5" created. Autoconfiguration complete. commit: wrote '/root/.cpan/CPAN/MyConfig.pm' You can re-run configuration any time with 'o conf init' in the CPAN shell Terminal does not support AddHistory. cpan shell -- CPAN exploration and modules installation (v2.18) Enter 'h' for help. cpan[1]> install MIME::Base64 cpan[2]> install CGI cpan[3]> install Jcode cpan[4]> quit

DNS サーバー構築(BIND)

外部向け正引きのみの 権威 DNS サーバです。
逆引きはコントロールパネルで行っています。参考:逆引き設定

bind, bind-chroot インストール。

[root@server ~]# dnf -y install bind bind-chroot

BIND 設定ファイル編集。

[root@server ~]# vi /etc/named.conf

変更追加

options { #listen-on port 53 { 127.0.0.1; }; #listen-on-v6 port 53 { ::1; }; version "unknown"; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-transfer { none; }; ・・・ ・・・ recursion yes; ↓↓↓ recursion no; ・・・ ・・・ logging { channel default_debug { file "data/named.run"; severity dynamic; }; category lame-servers { null; }; }; ・・・ ・・・

以下を最終行へ追加
「160.16.54.90」と「153.120.38.37」はセカンダリネームサーバ(マイハマネット)の IP アドレスです。

zone "wave440.com" { type master; file "wave440.com.db.wan"; allow-query { any; }; allow-transfer { 160.16.54.90; 153.120.38.37; }; notify yes; };

外部向け正引きゾーンデータベース作成。

[root@server ~]# vi /var/named/wave440.com.db.wan

$TTL 86400 @ IN SOA ns1.wave440.com. root.wave440.com.( 2021110201 ; Serial 7200 ; Refresh 7200 ; Retry 2419200 ; Expire 86400 ) ; Minimum IN NS ns1.wave440.com. IN NS ns1.maihama-net.com. IN NS ns3.maihama-net.com. IN MX 10 wave440.com. ns1 IN A 133.xxx.xxx.xxx IN AAAA 2406:xxxx:xxxx:xxxx:133:xxxx:xxxx:xxxx @ IN A 133.xxx.xxx.xxx IN AAAA 2406:xxxx:xxxx:xxxx:133:xxxx:xxxx:xxxx www IN A 133.xxx.xxx.xxx IN AAAA 2406:xxxx:xxxx:xxxx:133:xxxx:xxxx:xxxx mail IN A 133.xxx.xxx.xxx IN AAAA 2406:xxxx:xxxx:xxxx:133:xxxx:xxxx:xxxx server IN A 133.xxx.xxx.xxx IN AAAA 2406:xxxx:xxxx:xxxx:133:xxxx:xxxx:xxxx wave440.com. IN TXT "v=spf1 mx ~all"

ルートゾーン最新化。

[root@server ~]# dig . ns @198.41.0.4 +bufsize=1024 > /var/named/named.ca

ルートゾーン自動更新設定。

[root@server ~]# vi /etc/cron.monthly/named.root_update

#!/bin/bash new=`mktemp` errors=`mktemp` dig . ns @198.41.0.4 +bufsize=1024 > $new 2> $errors if [ $? -eq 0 ]; then sort_new=`mktemp` sort_old=`mktemp` diff_out=`mktemp` sort $new > $sort_new sort /var/named/named.ca > $sort_old diff --ignore-matching-lines=^\; $sort_new $sort_old > $diff_out if [ $? -ne 0 ]; then ( echo '-------------------- old named.root --------------------' cat /var/named/named.ca echo echo '-------------------- new named.root --------------------' cat $new echo '---------------------- difference ----------------------' cat $diff_out ) | mail -s 'named.root updated' root cp -f $new /var/named/named.ca chown named. /var/named/named.ca chmod 644 /var/named/named.ca which systemctl > /dev/null 2>&1 if [ $? -eq 0 ]; then systemctl restart named-chroot > /dev/null else /etc/rc.d/init.d/named restart > /dev/null fi fi rm -f $sort_new $sort_old $diff_out else cat $errors | mail -s 'named.root update check error' root fi rm -f $new $errors

ルートゾーン月次自動最新化スクリプトへ実行権限付加。

[root@server ~]# chmod 700 /etc/cron.monthly/named.root_update

named-chroot 自動起動有効+起動。

[root@server ~]# systemctl enable --now named-chroot

ポート開放。

[root@server ~]# firewall-cmd --add-service=dns --zone=public --permanent [root@server ~]# firewall-cmd --reload

Apache インストール

Apache と PHP 及び PHP 関連パッケージをインストール。

[root@server ~]# dnf -y install httpd php php-mbstring php-gd php-json php-xml

Apache 設定ファイル編集。

[root@server ~]# vi /etc/httpd/conf/httpd.conf

変更追加削除

ServerAdmin root@localhost ↓↓↓ ServerAdmin webmaster@wave440.com ・・・ ・・・ #ServerName www.example.com:80 ↓↓↓ ServerName www.wave440.com:80 ・・・ ・・・ <Directory "/var/www/html"> # # Possible values for the Options directive are "None", "All", # or any combination of: # Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews # # Note that "MultiViews" must be named *explicitly* --- "Options All" # doesn't give it to you. # # The Options directive is both complicated and important. Please see # http://httpd.apache.org/docs/2.4/mod/core.html#options # for more information. # Options Indexes FollowSymLinks ↓↓↓ Options Includes ExecCGI FollowSymLinks # # AllowOverride controls what directives may be placed in .htaccess files. # It can be "All", "None", or any combination of the keywords: # Options FileInfo AuthConfig Limit # AllowOverride None ↓↓↓ AllowOverride All # # Controls who can get stuff from this server. # Require all granted </Directory> ・・・ ・・・ <IfModule log_config_module> # # The following directives define some format nicknames for use with # a CustomLog directive (see below). # LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined ↓↓↓ LogFormat "%h %l %u %t \"%!414r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined ・・・ ・・・ # # If you prefer a logfile with access, agent, and referer information # (Combined Logfile Format) you can use the following directive. # SetEnvIf Request_URI "default\.ida" no_log SetEnvIf Request_URI "cmd\.exe" no_log SetEnvIf Request_URI "root\.exe" no_log SetEnvIf Request_URI "Admin\.dll" no_log SetEnvIf Request_URI "NULL\.IDA" no_log SetEnvIf Remote_Addr 127.0.0.1 no_log CustomLog "logs/access_log" combined env=!no_log </IfModule> ・・・ ・・・ #AddHandler cgi-script .cgi .pl ・・・ ・・・ # Some examples: #ErrorDocument 500 "The server made a boo boo." #ErrorDocument 404 /missing.html #ErrorDocument 404 "/cgi-bin/missing_handler.pl" #ErrorDocument 402 http://www.example.com/subscription_info.html # ErrorDocument 403 /error/403.shtml ErrorDocument 404 /error/404.shtml

以下を最終行へ追加。

ServerTokens Prod TraceEnable off

autoindex 設定ファイル編集。

[root@server ~]# vi /etc/httpd/conf.d/autoindex.conf

削除

<Directory "/usr/share/httpd/icons"> Options Indexes MultiViews FollowSymlinks AllowOverride None Require all granted </Directory>

テストページ削除。

[root@server ~]# rm -f /etc/httpd/conf.d/welcome.conf

Perl コマンドへ /usr/local/bin/perl でもアクセスできるようにする。

[root@server ~]# ln -s /usr/bin/perl /usr/local/bin/perl

Perl のパスを確認。

[root@server ~]# whereis perl

Apache 自動起動有効+起動。

[root@server ~]# systemctl enable --now httpd

ポート開放。

[root@server ~]# firewall-cmd --add-service=http --zone=public --permanent [root@server ~]# firewall-cmd --reload

Web コンテンツ編集ユーザ作成

Web コンテンツ編集ユーザ(例:himari)を作成。

[root@server ~]# useradd himari [root@server ~]# passwd himari

ドキュメントルート所有者を変更する。

[root@server ~]# chown himari: /var/www/html/

himari で SSH 鍵方式ログイン出来るようにする。
himari にスイッチする。

[root@server ~]# su - himari [himari@server ~]$ mkdir ~/.ssh [himari@server ~]$ chmod 700 ~/.ssh

公開鍵の中身を authorized_keys にコピペして保存。

[himari@server ~]$ vi ~/.ssh/authorized_keys [himari@server ~]$ chmod 600 ~/.ssh/authorized_keys

PHP 設定ファイル編集

[root@server ~]# vi /etc/php.ini

変更削除追加

short_open_tag = Off ↓↓↓ short_open_tag = On output_buffering = 4096 ↓↓↓ output_buffering = Off display_errors = Off ↓↓↓ display_errors = On ;date.timezone = Asia/Tokyo ;mbstring.language = Japanese ;mbstring.internal_encoding = UTF-8 ;mbstring.http_input = UTF-8 ;mbstring.http_output = UTF-8 ;mbstring.encoding_translation = Off ↓↓↓ mbstring.encoding_translation = On ;mbstring.detect_order = auto ;mbstring.substitute_character = none ↓↓↓ mbstring.substitute_character = "?"

拡張子が php のファイルも httpd.conf の ErrorDocument で指定したオリジナルのエラーページが表示されるようにする。

[root@server ~]# vi /etc/httpd/conf.d/php.conf

追加

<IfModule !mod_php5.c> <IfModule !mod_php7.c> # Enable http authorization headers SetEnvIfNoCase ^Authorization$ "(.+)" HTTP_AUTHORIZATION=$1 <FilesMatch \.(php|phar)$> SetHandler "proxy:unix:/run/php-fpm/www.sock|fcgi://localhost" </FilesMatch> ProxyErrorOverride on </IfModule> </IfModule>

httpd リロード。

[root@server ~]# systemctl reload httpd

Let’s Encrypt の移転

新サーバで改めて証明書を取得するのではなく、旧サーバから新サーバに移転しました。
旧サーバで /etc/letsencrypt ディレクトリ以下を zip 圧縮して、移転先の新サーバで解凍します。

とりあえず、新サーバに Certbot クライアントをインストールします。参考:Certbot - Centosrhel8 Apache
まず、snapd をインストールし、自動起動有効+起動。

[root@server ~]# dnf --enablerepo=epel install snapd [root@server ~]# systemctl enable --now snapd.socket

シンボリックリンクを作成。

[root@server ~]# ln -s /var/lib/snapd/snap /snap

Core をインストール。

[root@server ~]# snap install core

アップデート。

[root@server ~]# snap refresh core

certbot をインストール。

[root@server ~]# snap install --classic certbot

シンボリックリンクを作成。

[root@server ~]# ln -s /snap/bin/certbot /usr/bin/certbot

旧サーバで /etc/letsencrypt ディレクトリ以下を zip 圧縮する。

[root@old_server ~]# cd /etc/ [root@old_server etc]# zip -ry letsencrypt.zip letsencrypt

新サーバの /etc で letsencrypt.zip を解凍する。

[root@server ~]# cd /etc/ [root@server etc]# unzip letsencrypt.zip [root@server etc]# rm letsencrypt.zip

mod_ssl インストール。

[root@server ~]# dnf -y install mod_ssl

SSL 設定ファイル編集。

[root@server ~]# vi /etc/httpd/conf.d/ssl.conf

変更追加

# Use separate log files for the SSL virtual host; note that LogLevel # is not inherited from httpd.conf. ErrorLog logs/ssl_error_log ↓↓↓ ErrorLog logs/error_log TransferLog logs/ssl_access_log ↓↓↓ CustomLog logs/access_log combined env=!no_log LogLevel warn ・・・ ・・・ #SSLProtocol all -SSLv3 #SSLProxyProtocol all -SSLv3 SSLProtocol -all +TLSv1.2 +TLSv1.3 SSLProxyProtocol -all +TLSv1.2 +TLSv1.3 ・・・ ・・・ SSLCertificateFile /etc/pki/tls/certs/localhost.crt ↓↓↓ SSLCertificateFile /etc/letsencrypt/live/www.wave440.com/cert.pem ・・・ ・・・ SSLCertificateKeyFile /etc/pki/tls/private/localhost.key ↓↓↓ SSLCertificateKeyFile /etc/letsencrypt/live/www.wave440.com/privkey.pem ・・・ ・・・ #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt ↓↓↓ SSLCertificateChainFile /etc/letsencrypt/live/www.wave440.com/chain.pem ・・・ ・・・ Header always set Strict-Transport-Security "max-age=15768000" </VirtualHost>

Apache 設定反映。

[root@server ~]# systemctl reload httpd

ポート開放。

[root@server ~]# firewall-cmd --add-service=https --zone=public --permanent [root@server ~]# firewall-cmd --reload

メールサーバ構築(Postfix+Dovecot+Certbot)

バーチャルホスト設定ファイル作成

[root@server ~]# vi /etc/httpd/conf.d/virtualhost-www.wave440.com.conf

メールサーバ名(例:mail.wave440.com)で Web サーバ(例:www.wave440.com)へアクセスできるようにする。

<VirtualHost *:80> ServerName www.wave440.com ServerAlias mail.wave440.com DocumentRoot /var/www/html </VirtualHost>

Apache 設定反映。

[root@server ~]# systemctl reload httpd

サーバ証明書取得。

[root@server ~]# certbot certonly --webroot -w /var/www/html/ -m any@example.com -d mail.wave440.com --agree-tos

Postfix 設定ファイル編集。

[root@server ~]# vi /etc/postfix/main.cf

変更削除追加

#myhostname = host.domain.tld #myhostname = virtual.domain.tld myhostname = mail.wave440.com ・・・ ・・・ #mydomain = domain.tld mydomain = wave440.com ・・・ ・・・ #myorigin = $myhostname #myorigin = $mydomain myorigin = $mydomain ・・・ ・・・ #inet_interfaces = all #inet_interfaces = $myhostname #inet_interfaces = $myhostname, localhost inet_interfaces = localhost ↓↓↓ inet_interfaces = all ・・・ ・・・ mydestination = $myhostname, localhost.$mydomain, localhost ↓↓↓ mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain #mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain #mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, # mail.$mydomain, www.$mydomain, ftp.$mydomain ・・・ ・・・ #home_mailbox = Mailbox #home_mailbox = Maildir/ home_mailbox = Maildir/ ・・・ ・・・ #smtpd_banner = $myhostname ESMTP $mail_name #smtpd_banner = $myhostname ESMTP $mail_name ($mail_version) smtpd_banner = $myhostname ESMTP unknown ・・・ ・・・ #smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem ・・・ ・・・ #smtpd_tls_key_file = /etc/pki/tls/private/postfix.key

以下を最終行へ追加

smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination message_size_limit = 10485760 smtpd_tls_security_level = may smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_cert_file = /etc/letsencrypt/live/mail.wave440.com/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail.wave440.com/privkey.pem smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache

master.cf 編集。

[root@server ~]# vi /etc/postfix/master.cf

削除

#submission inet n - n - - smtpd # -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes ・・・ ・・・ #smtps inet n - n - - smtpd # -o syslog_name=postfix/smtps # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes

cyrus-sasl インストール。

[root@server ~]# dnf -y install cyrus-sasl

自動起動有効+起動。

[root@server ~]# systemctl enable --now saslauthd

新規ユーザー追加時に自動でホームディレクトリに Maildir 形式のメールボックスが作成されるようにする。

[root@server ~]# mkdir -p /etc/skel/Maildir/{new,cur,tmp} [root@server ~]# chmod -R 700 /etc/skel/Maildir/

存在しないユーザー宛メールの破棄。

[root@server ~]# vi /etc/postfix/main.cf

以下を最終行へ追加

local_recipient_maps = luser_relay = unknown_user@localhost

unknown_user 宛メールを破棄。

[root@server ~]# echo unknown_user: /dev/null >> /etc/aliases

/etc/aliases 変更反映。

[root@server ~]# newaliases

Postfix 再起動。

[root@server ~]# systemctl restart postfix

ポート開放。

[root@server ~]# firewall-cmd --add-port=25/tcp --zone=public --permanent [root@server ~]# firewall-cmd --add-port=587/tcp --zone=public --permanent [root@server ~]# firewall-cmd --reload

Dovecot インストール。

[root@server ~]# dnf -y install dovecot

10-mail.conf 編集。

[root@server ~]# vi /etc/dovecot/conf.d/10-mail.conf

追加

#mail_location = mail_location = maildir:~/Maildir

10-auth.conf 編集。

[root@server ~]# vi /etc/dovecot/conf.d/10-auth.conf

追加

#disable_plaintext_auth = yes disable_plaintext_auth = no

10-ssl.conf 編集。

[root@server ~]# vi /etc/dovecot/conf.d/10-ssl.conf

変更

ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ↓↓↓ ssl_cert = </etc/letsencrypt/live/mail.wave440.com/fullchain.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem ↓↓↓ ssl_key = </etc/letsencrypt/live/mail.wave440.com/privkey.pem

Dovecot 自動起動有効+起動。

[root@server ~]# systemctl enable --now dovecot

ポート開放。

[root@server ~]# firewall-cmd --add-port=995/tcp --zone=public --permanent [root@server ~]# firewall-cmd --reload

SSH によるリモート接続はできないメールユーザ(例:rin)を作成。

[root@server ~]# useradd -s /sbin/nologin rin [root@server ~]# passwd rin

独自ドメインのメールアドレスを Gmail で送受信する

まずは、メール受信の設定から。
歯車アイコンの設定→すべての設定を表示→アカウントとインポート→メールアカウントを追加する

ポートは、995,SSL 使用にチェック。他のチェックボックスは、お好みで。

ポートは、587,TLS 使用を選択。

メール受信はすでに出来るので、以下の記載内容を実行する。


DKIM の設定をする

OpenDKIM インストール。

[root@server ~]# dnf --enablerepo=epel install opendkim

/etc/opendkim/keys/ にキーペア(秘密鍵/公開鍵)の情報ファイルを作成。

[root@server ~]# opendkim-genkey -D /etc/opendkim/keys/ -d wave440.com

ファイルの所有権を設定。

[root@server ~]# chown opendkim: /etc/opendkim/keys/*

確認。

[root@server ~]# ls -l /etc/opendkim/keys/ 合計 8 -rw------- 1 opendkim opendkim 887 4月 2 20:03 default.private -rw------- 1 opendkim opendkim 315 4月 2 20:03 default.txt

公開鍵情報ファイルの内容を確認。

[root@server ~]# cat /etc/opendkim/keys/default.txt default._domainkey IN TXT ( "v=DKIM1; k=rsa; " "p=公開鍵データ" ) ; ----- DKIM key default for wave440.com

DNSサーバ(外部向け正引きゾーンデータベース)に DKIM で利用する2つのレコード(公開鍵レコードと ADSP レコード)及び DMARC レコードを登録。

[root@server ~]# vi /var/named/wave440.com.db.wan

最終行へ追加(公開鍵レコードは、上記 default.txt の内容をそのままコピペで O.K.)。
なお、外部向け正引きゾーンデータベースファイルの Serial 値も更新する。

default._domainkey IN TXT ( "v=DKIM1; k=rsa; " "p=公開鍵データ" ) ; ----- DKIM key default for wave440.com _adsp._domainkey.wave440.com. IN TXT "dkim=unkown" _dmarc.wave440.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-rua@wave440.com"

BIND 設定反映。

[root@server ~]# systemctl reload named-chroot

opendkim.conf の設定。

[root@server ~]# vi /etc/opendkim.conf

変更削除

・・・ ・・・ ## Selects operating modes. Valid modes are s (sign) and v (verify). Default is v. ## Must be changed to s (sign only) or sv (sign and verify) in order to sign outgoing ## messages. Mode v ↓↓↓ Mode sv ・・・ ・・・ ## Add a DKIM-Filter header field to messages passing through this filter ## to identify messages it has processed. SoftwareHeader yes ↓↓↓ SoftwareHeader no ・・・ ・・・ ## Domain(s) whose mail should be signed by this filter. Mail from other domains will ## be verified rather than being signed. Uncomment and use your domain name. ## This parameter is not required if a SigningTable is in use. # Domain example.com ↓↓↓ Domain wave440.com ・・・ ・・・ ## Identifies a set of "external" hosts that may send mail through the server as one ## of the signing domains without credentials as such. # ExternalIgnoreList refile:/etc/opendkim/TrustedHosts ## Identifies a set "internal" hosts whose mail should be signed rather than verified. # InternalHosts refile:/etc/opendkim/TrustedHosts ・・・ ・・・

TrustedHosts ファイル確認。

[root@server ~]# cat /etc/opendkim/TrustedHosts # OPENDKIM TRUSTED HOSTS # To use this file, uncomment the #ExternalIgnoreList and/or the #InternalHosts # option in /etc/opendkim.conf then restart OpenDKIM. Additional hosts # may be added on separate lines (IP addresses, hostnames, or CIDR ranges). # The localhost IP (127.0.0.1) should always be the first entry in this file. 127.0.0.1 ::1 #host.example.com #192.168.1.0/24

OpenDKIM の起動と自動起動設定。

[root@server ~]# systemctl enable --now opendkim

SMTP接続時にDKIMと連携するパラメータ設定を追記。

[root@server ~]# vi /etc/postfix/main.cf

最終行へ追加

# DKIM連携の設定 smtpd_milters = inet:127.0.0.1:8891 non_smtpd_milters = inet:127.0.0.1:8891 milter_default_action = accept

設定ファイルにエラーが無いか確認して、Postfix の設定再読み込み。

[root@server ~]# postfix check [root@server ~]# systemctl reload postfix

確認のため Gmail 等にメール送信してみる。
Gmail の例(メッセージのソースを表示)。
↓↓↓


Certbot サーバ証明書自動更新

Certbot パッケージには、有効期限が切れる前に証明書を自動的に更新する systemd タイマーが付属しています。
一日2回、更新が試されます。

[root@server ~]# systemctl list-timers [root@server ~]# cat /etc/systemd/system/snap.certbot.renew.timer

post_hook の設定は、/etc/letsencrypt/renewal/ にドメイン名の .conf ファイルがあるので、その [renewalparams] セクションに追記しています。
追加

[root@server ~]# vi /etc/letsencrypt/renewal/www.wave440.com.conf

・・・ ・・・ authenticator = webroot webroot_path = /var/www/html, post_hook = systemctl reload httpd ・・・ ・・・

[root@server ~]# vi /etc/letsencrypt/renewal/mail.wave440.com.conf

・・・ ・・・ authenticator = webroot webroot_path = /var/www/html, post_hook = systemctl restart postfix;systemctl restart dovecot ・・・ ・・・

cron で古い証明書の削除だけ行なっています。

[root@server ~]# vi /etc/cron.weekly/certbot

#!/bin/bash find /etc/letsencrypt/archive/www.wave440.com/ -mtime +90 -delete find /etc/letsencrypt/archive/mail.wave440.com/ -mtime +90 -delete find /etc/letsencrypt/csr/ -mtime +90 -delete find /etc/letsencrypt/keys/ -mtime +90 -delete

スクリプトへ実行権限付加。

[root@server ~]# chmod +x /etc/cron.weekly/certbot

MariaDB インストール

php-mysqlnd も一緒にインストールしています。

[root@server ~]# dnf -y install mariadb-server php-mysqlnd

MariaDB 設定ファイル編集。

[root@server ~]# vi /etc/my.cnf.d/mariadb-server.cnf

追加

# This group is only read by MariaDB servers, not by MySQL. # If you use the same .cnf file for MySQL and MariaDB, # you can put MariaDB-only options here [mariadb] character-set-server = utf8mb4 [client-mariadb] default-character-set = utf8mb4

自動起動有効+起動。

[root@server ~]# systemctl enable --now mariadb

MariaDB 初期設定。

[root@server ~]# mysql_secure_installation

入力コメント

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! In order to log into MariaDB to secure it, we'll need the current password for the root user. If you've just installed MariaDB, and you haven't set the root password yet, the password will be blank, so you should just press enter here. Enter current password for root (enter for none): OK, successfully used password, moving on... Setting the root password ensures that nobody can log into the MariaDB root user without the proper authorisation. Set root password? [Y/n] New password: 任意の root パスワードを応答 Re-enter new password: 上記と同じパスワードを応答(確認) Password updated successfully! Reloading privilege tables.. ... Success! By default, a MariaDB installation has an anonymous user, allowing anyone to log into MariaDB without having to have a user account created for them. This is intended only for testing, and to make the installation go a bit smoother. You should remove them before moving into a production environment. Remove anonymous users? [Y/n] ... Success! Normally, root should only be allowed to connect from 'localhost'. This ensures that someone cannot guess at the root password from the network. Disallow root login remotely? [Y/n] ... Success! By default, MariaDB comes with a database named 'test' that anyone can access. This is also intended only for testing, and should be removed before moving into a production environment. Remove test database and access to it? [Y/n] - Dropping test database... ... Success! - Removing privileges on test database... ... Success! Reloading the privilege tables will ensure that all changes made so far will take effect immediately. Reload privilege tables now? [Y/n] ... Success! Cleaning up... All done! If you've completed all of the above steps, your MariaDB installation should now be secure. Thanks for using MariaDB!

【MariaDB 操作】

MariaDB へ root でログイン。

[root@server ~]# mysql -u root -p Enter password:

testDB データベースへの全てのアクセス権限を持った、新規ユーザー mei(パスワード:meipass )を登録。

MariaDB [(none)]> grant all privileges on testDB.* to mei@localhost identified by 'meipass';

ログアウト。

MariaDB [(none)]> exit Bye

MariaDB へ mei ユーザでログイン。

[root@server ~]# mysql -u mei -pmeipass

testDB データベース作成。

MariaDB [(none)]> create database testDB;

testDB データベースへ接続。

MariaDB [(none)]> use testDB;

testTB テーブル作成。

MariaDB [testDB]> create table testTB(num int, name varchar(50));

・作成確認

mei ユーザ登録確認。

MariaDB [(none)]> select user from mysql.user where user='mei';

データベース作成確認。

MariaDB [(none)]> show databases;

テーブル作成確認。

MariaDB [testDB]> show tables;

カラム確認。

MariaDB [testDB]> show columns from testTB;

データ内容確認。select * from テーブル名;

MariaDB [testDB]> select * from testTB;

・削除

testTB テーブル内データ削除。delete from テーブル名 where カラム名="値";

MariaDB [testDB]> delete from testTB where num=1;

testTB テーブル削除。

MariaDB [testDB]> drop table testTB;

testDB データベース削除。

MariaDB [testDB]> drop database testDB;

mei ユーザから全てのデータベースへのアクセス権限を剥奪し、ユーザ削除。

[root@server ~]# mysql -u root -p Enter password: ・・・ ・・・ MariaDB [(none)]> revoke all privileges on *.* from mei@localhost; MariaDB [(none)]> delete from mysql.user where user='mei' and host='localhost'; MariaDB [(none)]> flush privileges;

【その他】

PRIMARY KEY と AUTOINCREMENT を設定したカラムを追加する。

MariaDB [testDB]> alter table testTB add id int not null primary key auto_increment;

【データのバックアップ及びリストア】

ダンプファイル名:testDBsql.dmp

[root@server ~]# mysqldump -u mei -pmeipass testDB > testDBsql.dmp [root@server ~]# mysql -u mei -pmeipass testDB < testDBsql.dmp

Rclone で Google Drive へバックアップ

rclone インストール。

[root@server ~]# curl https://rclone.org/install.sh | bash ・・・ ・・・ rclone v1.57.0 has successfully installed. Now run "rclone config" for setup. Check https://rclone.org/docs/ for more details.

リモート設定を登録。入力コメント
client_id,client_secret は、作成せずに空エンターでも可ですが、パフォーマンスが落ちるとのこと。
作成するのであれば、ご参考まで。→ rclone 用に独自の Google Drive クライアント ID を作成する。

[root@server ~]# rclone config 2021/11/05 22:41:12 NOTICE: Config file "/root/.config/rclone/rclone.conf" not found - using defaults No remotes found - make a new one n) New remote s) Set configuration password q) Quit config n/s/q> n name> google-backup ← 任意のリモート設定名 Option Storage. Type of storage to configure. Enter a string value. Press Enter for the default (""). Choose a number from below, or type in your own value. 1 / 1Fichier \ "fichier" 2 / Alias for an existing remote \ "alias" 3 / Amazon Drive \ "amazon cloud drive" 4 / Amazon S3 Compliant Storage Providers including AWS, Alibaba, Ceph, Digital Ocean, Dreamhost, IBM COS, Minio, SeaweedFS, and Tencent COS \ "s3" 5 / Backblaze B2 \ "b2" 6 / Better checksums for other remotes \ "hasher" 7 / Box \ "box" 8 / Cache a remote \ "cache" 9 / Citrix Sharefile \ "sharefile" 10 / Compress a remote \ "compress" 11 / Dropbox \ "dropbox" 12 / Encrypt/Decrypt a remote \ "crypt" 13 / Enterprise File Fabric \ "filefabric" 14 / FTP Connection \ "ftp" 15 / Google Cloud Storage (this is not Google Drive) \ "google cloud storage" 16 / Google Drive \ "drive" 17 / Google Photos \ "google photos" 18 / Hadoop distributed file system \ "hdfs" 19 / Hubic \ "hubic" 20 / In memory object storage system. \ "memory" 21 / Jottacloud \ "jottacloud" 22 / Koofr \ "koofr" 23 / Local Disk \ "local" 24 / Mail.ru Cloud \ "mailru" 25 / Mega \ "mega" 26 / Microsoft Azure Blob Storage \ "azureblob" 27 / Microsoft OneDrive \ "onedrive" 28 / OpenDrive \ "opendrive" 29 / OpenStack Swift (Rackspace Cloud Files, Memset Memstore, OVH) \ "swift" 30 / Pcloud \ "pcloud" 31 / Put.io \ "putio" 32 / QingCloud Object Storage \ "qingstor" 33 / SSH/SFTP Connection \ "sftp" 34 / Sia Decentralized Cloud \ "sia" 35 / Sugarsync \ "sugarsync" 36 / Tardigrade Decentralized Cloud Storage \ "tardigrade" 37 / Transparently chunk/split large files \ "chunker" 38 / Union merges the contents of several upstream fs \ "union" 39 / Uptobox \ "uptobox" 40 / Webdav \ "webdav" 41 / Yandex Disk \ "yandex" 42 / Zoho \ "zoho" 43 / http Connection \ "http" 44 / premiumize.me \ "premiumizeme" 45 / seafile \ "seafile" Storage> 16 Option client_id. Google Application Client Id Setting your own is recommended. See https://rclone.org/drive/#making-your-own-client-id for how to create your own. If you leave this blank, it will use an internal key which is low performance. Enter a string value. Press Enter for the default (""). client_id> ← 作成していればクライアント ID を入力 Option client_secret. OAuth Client Secret. Leave blank normally. Enter a string value. Press Enter for the default (""). client_secret> ← 作成していればクライアント シークレットを入力 Option scope. Scope that rclone should use when requesting access from drive. Enter a string value. Press Enter for the default (""). Choose a number from below, or type in your own value. 1 / Full access all files, excluding Application Data Folder. \ "drive" 2 / Read-only access to file metadata and file contents. \ "drive.readonly" / Access to files created by rclone only. 3 | These are visible in the drive website. | File authorization is revoked when the user deauthorizes the app. \ "drive.file" / Allows read and write access to the Application Data folder. 4 | This is not visible in the drive website. \ "drive.appfolder" / Allows read-only access to file metadata but 5 | does not allow any access to read or download file content. \ "drive.metadata.readonly" scope> 1 Option root_folder_id. ID of the root folder. Leave blank normally. Fill in to access "Computers" folders (see docs), or for rclone to use a non root folder as its starting point. Enter a string value. Press Enter for the default (""). root_folder_id> Option service_account_file. Service Account Credentials JSON file path. Leave blank normally. Needed only if you want use SA instead of interactive login. Leading `~` will be expanded in the file name as will environment variables such as `${RCLONE_CONFIG_DIR}`. Enter a string value. Press Enter for the default (""). service_account_file> Edit advanced config? y) Yes n) No (default) y/n> n Use auto config? * Say Y if not sure * Say N if you are working on a remote or headless machine y) Yes (default) n) No y/n> n Option config_verification_code. Verification code Go to this URL, authenticate then paste the code here. https://accounts.google.com/o/oauth2/auth?access_type=offline&client_id=202264815644.apps.googleusercontent.com&redirect_uri=xxxxx ← ブラウザでアクセス Enter a string value. Press Enter for the default (""). config_verification_code> 4/ux5gNj-_mIu4DOD_gNZdjX9EtOFfxxxxx ← 最後のページで表示されるコードをコピペ 2021/11/05 22:50:59 NOTICE: Make sure your Redirect URL is set to "urn:ietf:wg:oauth:2.0:oob" in your custom config. Configure this as a Shared Drive (Team Drive)? y) Yes n) No (default) y/n> n -------------------- [google-backup] type = drive client_id = 43xxxxx-ofa3xxxxx.apps.googleusercontent.com client_secret = gYxxxxx scope = drive token = {"access_token":"ya29.AHES6ZTtm7SuokEB-RGtbBty9IIlNiP9-eNMMQKtXdMP3sfjL1Fcxxxxx","token_type":"Bearer","refresh_token":"1/HKSmLFXzqP0leUihZp2xUt3-5wkU7Gmu2Os_eBnzw74xxxxx","expiry":"2021-11-05T23:50:58.813990518+09:00"} team_drive = -------------------- y) Yes this is OK (default) e) Edit this remote d) Delete this remote y/e/d> y Current remotes: Name Type ==== ==== google-backup drive e) Edit existing remote n) New remote d) Delete remote r) Rename remote c) Copy remote s) Set configuration password q) Quit config e/n/d/r/c/s/q> q

BACKUP ディレクトリを作成。

[root@server ~]# rclone mkdir google-backup:/BACKUP

確認。

[root@server ~]# rclone lsd google-backup: -1 2020-11-28 12:55:06 -1 BACKUP

コピーしてバックアップをとる。
(-P/--progress:リアルタイムの転送統計を表示する)

[root@server ~]# rclone copy /path/to/dir/website.tar google-backup:/BACKUP/ -P Transferred: 2.407M / 2.407 MBytes, 100%, 264.357 kBytes/s, ETA 0s Transferred: 1 / 1, 100% Elapsed time: 9.9s

確認。

[root@server ~]# rclone ls google-backup:/BACKUP/ 2524097 website.tar

- guitar site WAVE -