CentOS 7に NginXをインストール

ダウンロード・インストール
CentOS7.1でnginxを用いたウェブサーバの構築 - Qiita

Webのルートのディレクトリは下記になる
（SELinuxが有効な場合は変更しない方が面倒が無い？）

/usr/share/nginx/html/

設定
/etc/nginx/nginx.conf

worker_processesはautoで良さそう。
参考 nginx の worker_processes を auto にしたときの挙動 - やまぶろぐ


サービス開始

systemctl start nginx.service

起動時にサービス開始するようにする

systemctl enable nginx.service

HTTPS（TLS）対応
既存の/etc/nginx/conf.d/default.confのserver{}内に下記を追加したらできた。
（公開サーバの場合はセキュリティ設定をもっと絞り上げたほうが良い。）

listen 443 ssl;
ssl_certificate     /path/to/server.crt;
ssl_certificate_key /path/to/server.key;

参考 はてなブックマーク - Bマイナー志向 - 2016年1月30日


リバースプロキシ
同じく/etc/nginx/conf.d/default.confのserver{}内に下記を追加。

location /foo/ {
    proxy_pass https://example.jp/test/;
}

参考
nginx.confが読めるようになる - 魔法使いの卵
Nginx設定のまとめ - Qiita

Ansibleや Itamaeで LAMP環境を作る

参考サイトのメモ。
Itamaeの方がいいかな。


Ansible

Ansibleのインストールと、ごく簡単なplaybook
VagrantとAnsibleでCentOSの環境を用意してみる - yk5656 diary

LAMP環境を作成
AnsibleでとりあえずのLAMP環境してみる - yk5656 diary

PHPをインストール
Ansible でインストール (php 5.6) - Qiita



Itamae

Itamaeのインストール、ごく簡単なレシピ、リモートサーバへの適用
Itamae on AWS - Itamae の EC2 へのインストールとレシピ適用 - - Qiita

レシピの書き方など
Chef脱落者が、Itamaeで快適インフラ生活する話 - Qiita
itamae 入門 - Qiita
Itamaeチートシート - Qiita
vagrantとitamaeによるLAMP環境構築 - Qiita
EC2 のインスタンスを Itamae でプロビジョニングした | mizoguche.info

設定値をJSONまたはYAMLに切り出す
第3回　ノード属性で汎用的なレシピを書く：Itamaeが構成管理を仕込みます！ ～新進気鋭の国産・構成管理ツール～｜gihyo.jp … 技術評論社

公式ドキュメント（英語。詳細は載ってない）
Home · itamae-kitchen/itamae Wiki · GitHub

公式ドキュメントが想像よりそっけないので、詳細は他のブログ等やQiitaで調べながら...。まあシェルコマンドが使えるから汚い書き方でいいならどうにでもなるけど。

certbot (Let's Encrypt)を Amazon Linuxにインストール

以前一度挫折した（古いAmazon Linuxをアップデートして使っているためだと思われる）が、certbotに改名後に試してみたら、できた。


前提

• gitはインストール済み
• WebサーバはApache

手順

1. sudo easy_install pip
2. sudo pip install --upgrade pip
3. sudo /usr/local/bin/pip install --upgrade virtualenv
4. （作業用ディレクトリで）
   git clone https://github.com/certbot/certbot
5. cd certbot
6. ./certbot-auto certonly --webroot -w /var/www/html -d ドメイン名 --agree-tos -m メールアドレス --debug
7. /etc/httpd/conf.d/ssl.confの下記箇所を変更する。（Apache2.4.8より前のバージョン場合は微妙に違うので参考サイト参照。）
   SSLCertificateFile /etc/letsencrypt/live/ドメイン名/fullchain.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/ドメイン名/privkey.pem
8. httpdを再起動

証明書の自動更新
証明書の期限は90日なので、cronで定期更新させる。cronがメールを飛ばすように設定してあれば結果がメールで来る。

（例：月に1回更新する場合。日時は月初にすると混雑しそうなので、適当にずらした方がよいかも。）

45 3 12 * * ./certbot/certbot-auto renew && sudo service httpd reload

（2016/6/25 追記）
--debugも付けた方がよいかも？参考→Let's Encryptの cronによる実行が動かなくなった時の対策
（追記終わり）

期限まで30日以上ある場合は更新されない。それでも更新したい場合は--force-renewオプションを付ける。
上記例を試した時はまだ更新されなかったので、本当にこれでよいかはその日が来てから確認する。（--debug無しとか大丈夫か？タイミングによっては、月イチだと期限切れになるケースがあるかも？）


備考的な

• Aapcheは停止しなくても大丈夫。（ｗebrootオプションを使う場合はいいらしい。）
• 証明書生成時にポート443は開いてなくても大丈夫。
• /var/www/htmlに.well-knownディレクトリが残る。消してもいいのかな？

さよなら自己署名！さよならオレオレ証明書！


参考

• Let's Encrypt の使い方 - Let's Encrypt 総合ポータル
• Amazon Linux で certbot(letsencrypt) を使って SSL 証明書を取得する - tkuchikiの日記
• Let’s Encrypt サーバー証明書の取得と自動更新設定メモ | あぱーブログ
• 無料SSL証明書 Let's Encrypt の発行と自動更新をWebサーバー無停止で行う - 9mのパソコン日記

grepの技いろいろ

基本形

grep 'keyword' path/to/dir

各出力行の前に、入力ファイルにおける行番号を表示する

grep -n 'keyword' path/to/dir

再帰的にディレクトリ内を検索する

grep -r 'keyword' path/to/dir

正規表現で検索する

grep -E 'reg|exp' path/to/dir

ファイルの拡張子を限定する

grep --include='*.html' 'keyword' path/to/dir

検索結果をUnicodeに変換する

grep 'keyword' path/to/dir | nkf -w

キーワードをShift_JISにして検索する

grep `echo "キーワード" | nkf -s` path/to/dir

組み合わせるとこんな感じ？（正規表現はSJIS検索と同居でき無さそうなので除外）

grep -nr --include='*.html' `echo "キーワード" | nkf -s` path/to/dir | nkf -w

RedHatの yumリポジトリに remiを追加する方法

wgetがなければインストール

yum install wget

yumリポジトリにepel追加（remiの追加の前に必要）
CentOSにEPELリポジトリを追加する - Qiitaを参考に、最新（マイナー）バージョンのURLを調べる
（RedHat5の場合）

rpm -ivh http://ftp-srv2.kddilabs.jp/Linux/distributions/fedora/epel/5/i386/epel-release-5-4.noarch.rpm

yumリポジトリにremi追加
（RedHat5の場合）

rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-5.rpm

epelをデフォルトでは使用しないようにする

vi /etc/yum.repos.d/epel.repo

enabled=0にする
（remiはデフォルトでenabled=0になっている）


remiを使う時にはenabledrepoオプションを付ける
（例）

yum install --enablerepo=epel,remi php

参考：Remi 基本リポジトリで提供されていないパッケージのyumインストール - [yum/Linux [Red Hatなど]] ぺんたん info （きちんとGPGを確認するやり方）

EBSの rootボリュームをのサイズを増やす方法

Amazon EC2でEBSのrootボリュームの容量を増やす方法のメモ。

1. インスタンスを停止する
2. EBSボリュームをDetachする
3. Detachしたボリュームのスナップショットをとる
4. スナップショットからボリュームを作成する
   その際に、任意のサイズを指定する
   また、Availability Zoneはインスタンスと同じZoneを指定する
5. 作成したボリュームをインスタンスにAttachする
   その際に、下記のデバイスとして指定する

   /dev/sda1
6. インスタンスを起動する
7. SSHでログインして、resize2fsコマンドを実行する

   sudo resize2fs /dev/sda1
8. dfでリサイズ後の容量を確認する

   df -h

参考：EBS-backedインスタンスのrootボリュームをサイズ増量 | koba206の開発WIKI

ホスト型侵入検知ツール（IDS）の aideを Amazon Linuxにインストール

徳丸さんが改ざん検知を導入したそうなので、うちにも入れてみた。徳丸さんはionotifywait（とTripwire）を採用したそうだけど、調べてみたらaideの方が使いやすそう。aideはTripwireなどと同じホスト型の侵入検知ツールというか改竄検知ツール、というか差分ファイル調査ツール。

なのでaideをAmazon Linuxにインストールしてcronで動かすまでの備忘録。rootで作業した。

インストール

yum install aide

設定ファイル編集

vi /etc/aide.conf

• デフォルト設定の注意点
• /var/www が含まれていないのでWebファイルの改竄を検知できない
• /etc/httpd も含まれていない
• /var/log が含まれているのでログが書かれると反応してしまう
• 最初は厳し目（検知多め）にしておいて、使いながら緩くしていくのが良さそう

cron設定例

MAILTO=foo@example.com

00 2 * * * cd /var/lib/aide; cp aide.db.new.gz aide.db.gz; /usr/sbin/aide -u > /dev/null || cat /var/log/aide/aide.log

• 毎晩2時に、前回作ったDBを適用し、チェック＆DB作成を実行し、異常があった場合のみログの内容をメールで送付する場合の例
• エラーがある場合は標準出力に出力されるエラー情報と同じ内容がログにも出力されるので、標準出力は /dev/null に捨てている

きちんとやるなら、aideのDBをどうやって守るか（別サーバに置くなど）とかも考えないといけないみたい。

Amazon Linuxに Ruby 2.0（+ Rails）をインストールするメモ

現時点でyumでは2.0は入れられないので調べた。

いろんなやり方があって、みんな微妙に違うから、参考サイトのパッチワークになってしまった。

参考にしたのは下記のサイト、下記の箇所。

AmazonLinuxにrbenvでrubyを入れてみる · mechamogera/MyTips Wiki · GitHub

• yumで依存するパッケージをインストールする（全部いるのかどうかは分からない）

amazon web services - Installing Ruby 2.0 and Rails 4.0.0beta on AWS EC2 - Stack Overflow

• “Here is a variant with rbenv.”の方に従って、
• rbenvをインストール
• ruby-buildをインストール
• /etc/profile.d/rbenv.shファイルを作成
• “. /etc/profile”を実行

LinuxにRuby on Railsをインストールする | tsuchikazu blog

• Rubyをインストール（必要に応じてバージョンを指定する）
• Railsをインストール（必要に応じてバージョンを指定する。本家サイトはこちら）

後で気付いたが、Amazon Linuxには最初からRuby 1.8が入っているからrbenvにしてよかった。

MySQL 5.6を RPMからインストール

現時点でyumに無いMySQL5.6をAmazon Linuxにインストールするメモ。

バージョン番号は現時点での最新版なので必要に応じて読み替えること。

インストール

（参考：How to install MySQL 5.6 on Amazon Linux EC2 Instance in AWS、MySQL :: MySQL 5.6 Reference Manual :: 2.5.1 Installing MySQL on Linux Using RPM Packages）

1. wget http://dev.mysql.com/get/Downloads/MySQL-5.6/MySQL-client-5.6.12-1.el6.x86_64.rpm/from/http://cdn.mysql.com/ -O MySQL-client-5.6.12-1.el6.x86_64.rpm
2. wget http://dev.mysql.com/get/Downloads/MySQL-5.6/MySQL-server-5.6.12-1.el6.x86_64.rpm/from/http://cdn.mysql.com/ -O MySQL-server-5.6.12-1.el6.x86_64.rpm
3. wget http://dev.mysql.com/get/Downloads/MySQL-5.6/MySQL-devel-5.6.12-1.el6.x86_64.rpm/from/http://cdn.mysql.com/ -O MySQL-devel-5.6.12-1.el6.x86_64.rpm
4. wget http://dev.mysql.com/get/Downloads/MySQL-5.6/MySQL-shared-5.6.12-1.el6.x86_64.rpm/from/http://cdn.mysql.com/ -O MySQL-shared-5.6.12-1.el6.x86_64.rpm
5. yum install MySQL-*.rpm

chkconfigに登録しようと見てみたら、もうmysqlが登録されてた。

初期設定

CentOS 6.4にMySQL 5.6をサクッとインストールする | はったりエンジニアの備忘録の「初期設定」のとこを参考に進める。

cronでエラー時にメールを送信するサンプル

1. 標準出力とエラー出力の両方をログに記録しつつ、エラー出力がある場合はその内容をメールする場合

MAILTO=foo@example.com

* * * * * (php test.php 1>>test.log) 2>&1 | tee -a error.log

teeで -a オプションを付けてerror.logに追記するようにしている。
test.logとerror.logは同じファイルでもOK。

エラー出力もログに残したいけど、何らかのエラーが出た時にメールさせたい場合に使う。

2. コマンドの戻り値が0でない場合のみ、ログの最後の方をメールする場合

MAILTO=foo@example.com

* * * * * php test.php 1>>test.log 2>>error.log || tail error.log

test.logとerror.logが同じでよいなら、2>&1にすればよい。
メールに出力するのはtailじゃなくてもよい。
異常じゃなくてもエラー出力を出すような処理の場合はこちらで。

Linuxで外部からアクセス可能なサービス（デーモン）を調べる方法

メモ。

Runレベルごとの起動状況を調べ、ファイアウォールも調べ、使われているポートを調べる。ポートを使っているのがxinetdならそれを使ってる本体も調べる。

• 現在のRunレベルを表示
• /sbin/runlevel
• 結果の右側が現在のRunレベル
• 参考：起動設定・ランレベルの設定 
• Runレベルごとのデーモンの起動有無をリスト表示
• chkconfig --list
  or
  /sbin/chkconfig --list
• ファイアウォール設定を表示
• /sbin/iptables -L
• 空いているポートとそれを使っているプログラムを表示
• netstat -lanput
• 参考：netstatでポートを空けているプログラムを知る - よくきたはてダ
• xinetdを使っているプログラムを調べる
• /etc/xineted.conf および /etc/xineted.d/ 内の設定ファイルを見る
• 参考：xinetd の設定 

LVMで linux rescue

LVMのlinux rescueについて調べたリンクのメモ。

• LVMでlinux rescue
• LinuxでLVMのデータを抜き出す方法: sanonosa　システム管理コラム集
• Linux LVM パーティションが見えなくなった！！ - DirectX.tv Doppelheit
• 上記（sanonsa）を参考にしてやった記録
• linux rescue [がらくたネット]
• レスキューモードで起動し、LVM論理ボリュームにe2fsck実行後マウントする - パソコンに関する話題 - Yahoo!ブログ
• コメント欄も参照（要訂正？）
• LVMで使っていたドライブからデータを救出する - kinneko@転職先募集中の日記
• e2fsckについて
• e2fsckでもダメなものはどうしたらいい？ - Linux系OS - 教えて！goo
• HDDの空読みによる物理的破損チェックも

監視ツールMonitの調査メモ

フリーでオープンソースなサーバ監視ツール「Monit」についての調査メモ。参考サイトの羅列がメイン。


監視対象

• プロセスの死活
• ファイルの更新有無（更新日時 or MD5）
  
• CPU使用率
• メモリ使用率
• ストレージ（HDD等）使用率
  
• TCP/UDPのポート（参考：Monit - utility for monitoring services on a Unix system）
• Ping（ICMP）（参考：Monit - utility for monitoring services on a Unix system）
  

できること

• プロセスを再起動
• プロセスを止める
  
• メールで通知
  

その他

• 簡易Webサーバ付きで、状況をWebページで確認できる
• yumだとRPMforgeから最新版の5.1.1をインストールできる（2010年9月現在）
• /etc/monit.confはchmodで700にする
  

参考サイト

• Monitの概要と基本的な設定
  
• monit でプロセスを監視する - いますぐ実践! Linuxシステム管理 / Vol.158
• monit でいろいろ監視する - いますぐ実践! Linuxシステム管理 / Vol.159
• Monit自身の死活監視をする方法
• Monitでサービス・プロセス監視、止まったら勝手にリスタート(3) « 旧SawanoBlog.
• MonitからのAlertメール送信でGMailを使う方法
  
• ARCHIVESDRIVE HD （←コメント欄参照）
• Monitor memcached with Monit and alert with Gmail - Arthur Chang（英語）
  
• Tips
  
• httpdをうまく再起動できない場合の対処法：monit tips -httpd- | Carpe Diem
• Passengerを使っている場合のプロセス制御について：monit で httpd を監視するときの tips | Carpe Diem
• ポートの監視でHTTP Request Headerを付ける：hollyなblog : monit+httpd+mod_vhost_aliasではまった時の対処法
  
• 本家（英語）
• マニュアル：Monit - utility for monitoring services on a Unix system
  
• トップページ：Monit | Monitor processes, files, devices and remote systems
  

Cucumberインストールメモ

素に近いCentOSへのインストールのメモ。Railsは使わない。
（やったことを順に書いたので、「正しいインストール方法」としては読み辛い。）

1. Rubyインストール
   
   

   yum install ruby ← 1.8.6以降が必要になり、後でソースから入れなおした

2. Ruby Gemsインストール
   
   

   yum install rubygems ← Rubyを入れなおしたのでこちらもソースから入れなおした

3. Cucumberインストール
   
   

   gem install cucumber

   最初はずっとcucamberと書いていてエラーにされた
   
4. Webratインストール
   
   

   gem install webrat

   しようとしたらエラーになった。
   
   

   Building native extensions.  This could take a while...
   ERROR:  Error installing webrat:
           ERROR: Failed to build gem native extension.
   
   /usr/bin/ruby extconf.rb install webrat
   can't find header files for ruby.
   
   
   Gem files will remain installed in /usr/lib/ruby/gems/1.8/gems/nokogiri-1.4.1 for inspection.
   Results logged to /usr/lib/ruby/gems/1.8/gems/nokogiri-1.4.1/ext/nokogiri/gem_make.out

   
   
   1. 参考になりそうな記事を見つけた → gem で nokogiri, webrat放り込む時にエラーでた on Ubuntu 9.04 - ザ・職人
   2. libxml2はインストール済みだった
   3. libxml2-develインストール
      
      

      yum install libxml2-devel

      でもWebratはインストールできなかった
      
   4. libxsltはインストール済み
   5. libxslt-develインストール
      
      

      yum install libxslt-devel

      でもWebratはダメ
   6. もしかしてruby-devel？
      
      

      yum install ruby-devel

   7. webrat再チャレンジ
      
      

      gem install webrat

      入った！
      
5. Mechanizeインストール
   
   

   gem install mechanize

6. RSpecも必要？
   
   

   gem install rspec

これでインストール完了。

インストールされたバージョンは

• Ruby 1.8.5
  
• Cucumber 0.6.4
• Webrat 0.7.0
• Mechanize 1.0.0
• RSpec 1.3.0
  

試しに動かしてみたい。
ここが参考になりそう → エンジニアは空を飛ぶ: Cucumber入門(1) 一番最初のCucumber
featureの日本語化についてはここを参考にやってみる → Ruby/cucumber/日本語を使う方法 - TOBY SOFT wiki


ディレクトリ作成

cd /tmp
mkdir cuke
cd cuke
mkdir features
mkdir features/step_definitions
mkdir features/support

環境設定ファイル作成
下記を参考に

• Cucumber+WebratでPHPアプリのテストをする | CAPH TECH
  
• あーありがち - Cucumber を PHP アプリに対して本当に使えることが分かった

vi features/support/env.rb

require 'spec/expectations'
require 'cucumber/formatter/unicode'

# Webrat
require 'webrat'

require 'test/unit/assertions'
World(Test::Unit::Assertions)

Webrat.configure do |config|
  config.mode = :mechanize
end

World do
  session = Webrat::Session.new
  session.extend(Webrat::Methods)
  session.extend(Webrat::Matchers)
  session
end

featureファイル作成

vi features/test.feature

# language: ja
機能: Cukeのテスト
  "Cucumber"をGoogle検索してCucumber関連の検索結果を得る

  シナリオ: 同上
    前提 "http://www.google.co.jp/"ページを表示している
    もし "cucumber"を検索する
    ならば "moroの日記"と表示されていること

stepsファイル作成（ためしにGivenだけ）

vi features/step_definitions/test_steps.rb

# -*- encoding: UTF-8 -*-

前提 /^"([^"]+)"ページを表示している$/ do |url|
  visit url
end

動かしてみる

cucumber

エラー発生

    前提 "http://www.google.co.jp/"ページを表示している # features/step_definitions/test_steps.rb:3
      undefined method `instance_variable_defined?' for #<Net::HTTP www.google.co.jp:80 open=false> (NoMethodError)
      (eval):2:in `visit'
      ./features/step_definitions/test_steps.rb:4:in `/^"([^"]+)"ページを表示している$/'
      features/test.feature:6:in `前提 "http://www.google.co.jp/"ページを表示している'

instance_variable_definedはRuby1.8.6以降が必要らしい → rip のインストール - オボロぼろぼろ
Ruby1.8.6以降はyumでは見つからなかったので、ソースからコンパイルする必要があるようだ。


こちらを参考に → マルニカ。 CentOSに最新Rubyをインストール。

Rubyをアンインストール

yum remove ruby

gemsも一緒にremoveされた。

後は上記サイトのとおりに。
Rubyはなんとなく1.9.1を選んだ。
最新のバージョン番号は下記で確認で。

• RPMforge → DAG: rpmforge-release RPM packages for Red Hat, CentOS and Fedora
• Ruby → ダウンロード
• Gems → RubyForge: RubyGems: Project Info
  

またひととおりCucumberからインストールし直しだ．．．

（Gemでインストールし直す。）

インストールされたバージョンは

• Ruby 1.9.1
  
• Cucumber 0.6.4
• Webrat 0.7.0
• Mechanize 1.0.0
• RSpec 1.3.0

再チャレンジ

cucumber

3 steps (2 undefined, 1 passed)

「前提」が通った！


steps内の記述については下記が参考になりそう。

• Cucumber+WebratでPHPアプリのテストをする | CAPH TECH（古い書き方？）
  
• Cucumber + Webrat CheatSheet « Rails Playground
  
• : Webrat::Matchers [brynary-webrat]
  

日本語でStepsを定義する際には書き方をmoro-misoに合わせておいた方が後々幸せになれるかも。


また、Cucumberの問題ではないが、CentOS 5.4でもprelinkはRuby-1.9.1のバイナリを破壊する、かも | Selfkleptomaniacという問題が発生したので、ここに書いてある対応をした。

Amazon EC2の AMIとして 自分でCentOSをインストールする方法

Amazon EC2上の仮インスタンス上でCentOSのAMIを作成する方法を書こうとしたのだけれど、途中試行錯誤したので作業ログ的なメモになってしまった。

1. Amazonが用意しているFedoraのAMIでAmazon EC2 API Toolsが既に入っているインスタンスを立ち上げる。（Amazon EC2 API Toolsをインストールする手間が省ける）
   
2. 下記サイトを参考に、X.509証明書と秘密鍵をダウンロードする
   
• 下手な鉄砲も･･･ » Amazon EC2用Centos5イメージを作って、EC2上で動作させてみる（１）
3. 2でダウンロードした2つのファイルを、1で立ち上げたインスタンスに転送する
   
4. 下記サイトを参考に、1のインスタンス上でCentOSをセットアップする
   
• 下手な鉄砲も･･･ » Amazon EC2用Centos5イメージを作って、EC2上で動作させてみる（１）
• Amazon EC2 API Toolsをセットアップする。AMI Toolsの方は既に入っているので作業不要
• API Toolsのダウンロードは
  
  

  wget http://s3.amazonaws.com/ec2-downloads/ec2-api-tools.zip

• .bashrcへの追記をすぐに反映させるには
  
  

  source ~/.bashrc

• GNUのJavaではAPI Toolsが使えないようなので注意 → Amazon Web Services Developer Community : ec2-register + java error ...
  （yumでインストールしたらGNUのJavaだったので動かなかった）
  
• JDKのダウンロードはJava SE Downloads - Sun Developer Network (SDN)から
  
• /etc/profileへの追記の反映
  
  

  source /etc/profile

• API Toolsが無いと後でやるec2-registerができない
• 下手な鉄砲も･･･ » Amazon EC2用Centos5イメージを作って、EC2上で動作させてみる（２）
• yum-xen.confのバージョン番号（5.2）のところは、使いたいバージョン（現在の最新は5.4）に変更すること
• 下手な鉄砲も･･･ » Amazon EC2用Centos5イメージを作って、EC2上で動作させてみる（３）
• 「起動時に「ec2-add-keypair で作った公開鍵」を受け取るためのスクリプトを用意」のところで出てくるURL「http://169.254.169.254/1.0/meta- data/public-keys/0/openssh-key」のIPアドレス「169.254.169.254」は、AmazonのLAN内のIPアドレスらしい
• 作業用のインスタンスにあるスクリプトを持っていってもいいらしい → EC2のAMIを自作するならEC2上で作業すると楽できる - Lism.in * blog - nekoya (id:studio-m)
  
• 下手な鉄砲も･･･ » Amazon EC2用Centos5イメージを作って、EC2上で動作させてみる（４）
• EC2登録用バンドルイメージの作成（ec2-bundle-image）は全然終わらないので中断して再実行したらできた。（EC2のSmallインスタンスでやるとけっこう時間がかかる？）
  
• バンドルイメージ作成時にディレクトリを指定しないと/tmp内に作られる。S3へのアップロードは/tmpにcdしてから行う
• バンドルイメージのS3へのアップロード（ec2-upload-bundle）のパラメータについての補足説明
• -b → バケット名。自分で決める。事前にバケットを作成する必要はない
• -a → Access Key ID
• -s → Secret Access Key
• バンドルイメージのEC2からS3へのアップロードは数分で終わった
• イメージの登録（ec2-register）の時にpemのパスが違う（どこかで間違えたみたい）というエラーになったので、パスに合わせてpemをコピーした
• イメージの登録で下記のエラーが出たので、-n オプションで適当な名前をつけたらOKだった
  
  

  Required option '-n, --name NAME' missing (-h for usage)

5. イメージの登録まで済めば、AWS Management Consoleの左側のメニューの「Images」のAMIsのところに、作ったAMIが表示される！
   

でもこの方法だとEBSからの起動ではなくinstance-store（S3）からの起動になってしまう。
なのでEBSから起動できるAMIを作ってみる。

1. 作成したOSイメージ（centos5.img）を/tmpに移動（移動は不要？）
2. 後はsuz-lab - blog: Migrating a CentOS S3 Based AMI to an EBS Based AMIを参考に進める
• ddでAMIイメージをコピーしたらいつまでたっても終わらないので別のssh繋げて見てみたら終わってるように見えたのでそのまま進めてしまった
• ec2regはec2-registerのalias
• ec2regの -d オプションはdescriptionの登録なので省略してもOK

S3に作った時の「バンドルイメージの作成」以降がEBSへのコピーに変わった感じか。こっちの方が作るのも楽だ。
今ではもうEBSからの起動が普通なので、こちらの方法で手順をまとめられると良かったのだが。

CentOSに lsyncをセットアップするメモ

1. gccをインストールしてない場合は、gccをインストール
   
   

   yum install gcc

2. あとは下記リンク先の説明のとおりに
   Linuxでリアルタイムミラーリング « Fosters Technical Blog
   （この例はlsyncd.conf.xmlの代わりにlsyncd.confに1行書くだけという設定が少し特殊）
   
3. rsyncdの詳細な設定（ログファイルの指定等）についてはこちらを参照
   rsyncd.conf
4. こちらのパッチを使えばssh経由で使えるらしい
   lsyncdを使ってみた - ドンゴレ日記 via lsyncd設定 - kame-tの日記
   でも現在はoptionの指定だけでssh経由にできる？
   Issue 6 - lsyncd - SSH on another port - Project Hosting on Google Code
   

その他の参考

• lsyncd + rsyncdを使用したサーバ間リアルタイム同期 | 自宅がiDC？
• FreeBSD(とLinux)雑記:lsyncd+rsyncdによるディレクトリ同期 - livedoor Blog（ブログ）
• Ikeda-＞Weblog() » [メモ] lsyncd+rsync でミラーリング
  

今さらPHP4の環境を作るメモ

yumでは入れられないPHP4をインストールしたい。
インストールされていたApache2.2とPHP5は事前にアンインストールした。

1. gccをインストール（コンパイルに必要）
   
   

   yum install gcc

2. OpenSSL-develをインストール（ApacheでSSLを使う場合に必要）
   
   

   yum install openssl-devel

   
   
   • （OpenSSL1.0が標準的なyumでインストールできるようになるのはいつだろう）
     
3. Apache2.0をインストール
   
• 下記のconfigure～make installまでを参考にする
• えせSEの1日1Hack : 1サーバに、PHP5とPHP4の環境を構築する
  
• 2010年4月現在、Apache2.0系の最新バージョンは2.0.63
• PHPを使う場合、MPMはpreforkでないといけないらしい → ウノウラボ Unoh Labs: Apache MPM の基礎をしっかりと理解しよう！
  
• Apache2.2系ではPHP4は動かない？（設定方法が分からなかったので2.0系にした）
• 試しに動かしてみる
  
  

  /usr/local/apache2/bin/apachectl start

  
  
  • /usr /local/apache2/conf/httpd.confのServerNameを設定しないと警告っぽいのが表示されるが、起動はされるみたい
    
4. flexをインストール（PHPのインストールに必要）
   
   

   yum install flex

5. PHP4をインストール
   
• 下記のconfigure～make installまでを参考にする
  
• 参考：えせSEの1日1Hack : 1サーバに、PHP5とPHP4の環境を構築する
• configureのオプションは欲しい環境に合わせて変える
  
• PHP4.2以降では--enable-trans-sidは不要らしい
  
• 詳細は下記を参考に
• Apache2(with mod_deflate) + PHP4のインストール （主なオプションの説明）
• PHP: 中心となる configure オプションのリスト - Manual （全オプションのリスト）
• 試しに動かしてみる
  
  

  /usr/local/php/bin/php -v

6. SELinuxが有効な場合、Apache用PHPモジュールのラベル（セキュリティコンテキスト）を変更する
   
   

   chcon -t textrel_shlib_t /usr/local/apache2/modules/libphp4.so

   
   
   • 参考：cannot restore segment prot after reloc: Permission denied - Linuxシステム設定
     
   • SELinuxが有効な場合、これを変更しないとApache（再）起動時に下記のようなエラーが出る
     
     

     Syntax error on line 232 of /usr/local/apache2/conf/httpd.conf:
     Cannot load /usr/local/apache2/modules/libphp4.so into server: /usr/local/apache2/modules/libphp4.so: cannot restore segment prot after reloc: Permission denied

7. Apacheの設定
   
   

   vi /usr/local/apache2/conf/httpd.conf

   
   
   • AddTypeを追加
     
     

     AddType application/x-httpd-php .php

   • DirectoryIndexを変更（index.phpを追加）
     
     

     DirectoryIndex index.php index.html index.html.var

   • Webコンテンツのディレクトリを変更（/var/www/htmlにする）
     
     

     #DocumentRoot "/usr/local/apache2/htdocs"
     DocumentRoot "/var/www/html"

   • Apacheを再起動
     
     

     /usr/local/apache2/bin/apachectl restart

Postfixでメール受信時に PHP等のプログラムを実行する方法

空メールを受け取った時の自動メール返信などに。

1. Postfixの設定ファイル（/etc/postfix/main.cf）にvirtualファイルのパスを書く（hogeのところは任意の名前）
   
   

   virtual_alias_maps = pcre:/etc/postfix/virtual.hoge

2. 上記で書いたパス（/etc/postfix/virtual.hoge）にテキストファイルを作成し、正規表現等で振り分けを設定する
   左側の条件にマッチした場合のみ、右側のaliasに渡される（詳細はpostfix virtualで調べれば色々出てくる）
   
   

   /^[0-9]+@/ hoge-request

3. /etc/aliasesに上記で書いたaliasを追加
   左側にalias名、右側にクォーテーションで括って実行するファイル（php）とそれに渡すパラメータを書く
   この場合、/var/php/hoge.phpが実行される
   
   

   hoge-request: "|/usr/bin/php /var/php/hoge.php"

4. Postfixを再起動
   
   

   newaliases
   /usr/sbin/postfix restart

5. PHP内では標準入力からメールの生データを受け取れる
   PEAR::Mail_mimeDecodeを使うと便利だと思う
   
   

   $raw_mail = file_get_contents("php://stdin");

参考：SEメモ 受信したメールをPHPにパイプさせる方法

SELinuxコマンドメモ

SELinuxの状態を確認する

/usr/sbin/getenforce

• "Enforcing"なら有効
• "Permissive"なら無効

SELinuxを一時的に無効/有効にする
無効

/usr/sbin/setenforce 0

有効

/usr/sbin/setenforce 1

SELinuxにアクセス拒否された結果のログを見る

/sbin/ausearch -m avc

• ログは /var/log/messages に出力されるという説明をよく見かけるが、手元の環境では /var/log/audit/audit.log に出力されている。
• "scontext"がアクセスしてきたプロセスの情報で、"tcontext"がアクセス対象のセキュリティコンテキストみたい。
• 参考：selinux - xField Wiki
  

各ディレクトリ・ファイルのセキュリティコンテキスト（ラベル）を見る

ls -aZ [パス]

セキュリティコンテキストを変更する

chcon -t <セキュリティコンテキスト> <パス> [-R]

• 最後の-RはリカーシブのR
• "setenforce 0"してから変更する必要がある
• 参考：第5回　タイプを変更してトラブルに対処する - 第一人者がやさしく教える新SELinux入門：ITpro
  （複数のアプリケーションからアクセス可能にするやり方も書いてある。）
  

セキュリティコンテキストを規定の値に戻す

/sbin/restorecon -R <パス>

• 手元の環境では想定通りに動かなかった。使い方が違うのかな？
  

booleanを一覧表示する

/usr/sbin/getsebool -a

audit2allowでポリシーを変更

/usr/sbin/setenforce 0
audit2allow -M local -i <抜き出したログ>
/usr/sbin/semodule -i local.pp
/usr/sbin/setenforce 1

• ログ（ /var/log/audit/audit.log ）には許したいアクセス以外も含まれているので、"/sbin/ausearch -m avc"を使って該当箇所だけを抜き出してテキストファイルとして保存する
• setenforceは不要？
  
• 参考
• Red Hat Enterprise Linux 5で始めるSELinux － ＠IT
• DokuWiki + SELinux - やったるでぇ

時間があるなら、第一人者がやさしく教える新SELinux入門---目次 - 第一人者がやさしく教える新SELinux入門：ITproを一読したい。
ボリュームが多いけど、基礎から駆け足で学ぶのによさそう。

Sambaセットアップの参考サイト

Sambaセットアップ時の参考サイトのメモ。


Sambaのセットアップ
　参考：Sambaをインストールして、みんなでファイルを共有できるようにする。
補足

• 自分の場合、WORKGROUPがWorkgroupとInitCapになっていて、全部大文字だとダメだった。
• passdb backendは tdbsam のままでOKだった。

SELinuxを有効にしている場合、Windowsからログインしようとすると「ネットワーク名が見つかりません。」というエラーになるのでsetseboolコマンドを使う。
　参考：[unix][soft][windows] Sambaをインストールした - メモの日々(2009-03-05)


Windows側からファイルを作成した際のデフォルトのパーミッションの設定
　参考：チョレオ - Sambaでファイル共有のパーミッションではまる話


Windowsから他のユーザーでアクセスしたくなったら、コマンドプロンプトからネットワークログイン情報を削除する。

　参考：Tips Labo Windows：ネットワークのログイン情報を削除する方法


もうちょっと詳しい情報
　共有フォルダの作成と詳細設定