人生の最終目標は気ままな老後生活
GNOME入ってなかったら入れて。
# yum groupinstall "GNOME Desktop"
xrdpのインストール。
# yum install epel-release # yum install xrdp # yum install tigervnc-server
/etc/xrdp/xrdp.iniの下記箇所を変更する。
#max_bpp=32 max_bpp=24
ファイアウォールに例外を登録する。
# firewall-cmd --add-port=3389/tcp --permanent # firewall-cmd --reload
サービスを有効にして、起動。
# systemctl enable xrdp # systemctl start xrdp
OS:CentOS7 1708
SoftetherVPN:4.25
ビルドするためのパッケージをインストール。
# yum install kernel-devel # yum install kernel-headers # yum groupinstall "Development Tools"
http://www.softether-download.com/ja.aspx?product=softetherからOSに合ったVPN ServerのURLを取得しセットアップファイルを取得する。
$ wget [URL]
ダウンロードしたファイルを移動。
# mv ファイル名.tar.gz /usr/local/
ファイルを展開。
# tar xvzf ファイル名.tar.gz
インストールディレクトリに移動。
# cd /usr/local/vpnserver/
ビルドするためにmakeコマンドの実行。
# make
/etc/systemd/system/vpnserver.serviceを下記内容で作成する。
[Unit] Description=SoftEther VPN Server After=network.target [Service] Type=forking ExecStart=/usr/local/vpnserver/vpnserver start ExecStop=/usr/local/vpnserver/vpnserver stop [Install] WantedBy=multi-user.target
自動起動を有効にして、サービスを起動する。
# systemctl enable vpnserver # systemctl start vpnserver
一度ファイアウォールをOFFに。
# systemctl stop firewalld
設定ツールをさっきのとこからダウンロード。設定をウィザードでWindowsから行った。
下記ポート開放して、とりあえず動いてる。
50/tcp 500/udp 4500/udp
ファイアウォールをONに戻して、例外を登録する。
# systemctl start firewalld # firewall-cmd --add-port=50/tcp --permanent # firewall-cmd --add-port=500/udp --permanent # firewall-cmd --add-port=4500/udp --permanent # firewall-cmd --reload
Pogoplugに続きAmazonCloudDriveの無制限プランも終了を宣告されたため、自宅のNASの外部バックアップをどうしようか、昨年の秋頃から悩んでまして、忙しさにかまけている間にAmazonCloudDriveが2/26で契約満了してしまいました orz…
ただ、預けているファイルは180日間は保管してくれるようなので、昨日まで悠々と後釜を探してました。そこで見つけたラストサムライが「hubiC」でした。50ユーロ(6,500円程度)で1年間10TB貸してくれるので、うちのNASのバックアップには十分です。即契約。
hubiCにログインして「My account」→「Developers」→「Add an application」を実行。「Last name」にアプリ名など「Redirection domain」に何かURLを入力して、生成されたIDとシークレットキーを保管しておく。(RedirectionDomainは具体的に何に使うのか分からなかった)
SSHでログインしてインストール。ReadyNASはDebian系のOSなので
# apt-get install hubicfuse
/usr/share/doc/hubicfuse/README.Debianに説明によると下記内容のファイルを「$HOME/.cloudfuse」として作成するらしい。今回は「/root/.cloudfuse」とする。
username=[Hubic user e-mail] password=[Hubic password] client_id=[Hubic client id for the registered application] client_secret=[Hubic client secret for the registered application] redirect_uri=[Hubic redirect uri as registered for the application]
README.Debianによると下記のコマンドでマウントするらしい。
# hubicfuse /mnt/hubic -o noauto_cache,sync_read,allow_other
試しに307,345KBのzipファイルをコピーしてみたところ216秒程度かかったので、毎秒1.4MB程度の速度のようです。
よし、あとはrsyncでバックアップしようと、試しに実行してみたところ、5GBを超える7zファイルをコピー中にどうしてもエラー終了する。–bwlimitや–timeoutオプションも色々試しても、早ければ30MB程度の進捗でエラー終了する。成功する場合も稀にあるが、次の大容量ファイルで結局エラーが出る。なぜだろう。ちょっと分からなかった。
「rsync cloud backup」というキーワードでググると「rsync for cloud storage」というコンセプトのrcloneが出てきた。自分が今、やりたいことがそのままソフトウェアになっていました。最初からこれを使えば良かった orz… でも、ありがとう。作者さん。
hubiCにログインして「My account」→「Developers」→「Add an application」を実行。「Last name」にアプリ名など「Redirection domain」にhttp://localhost:53682/を入力して、生成されたIDとシークレットキーを保管しておく。
このときは1.39が最新だった。早速インストール。
wget https://downloads.rclone.org/rclone-v1.39-linux-arm.zip unzip rclone-v1.39-linux-arm.zip cp rclone-v1.39-linux-arm/rclone /usr/local/bin/
「rclone config」コマンドで対話形式で作成するのだが、Webブラウザが必須なので、SSHでログインしている状態では設定が完了できない。自分のWindowsパソコンで作業して、できたrclone.confをReadyNASにコピーすることにした。
※rclone.confの場所
Windows→ C:\Users\user_name\.config\rclone\rclone.conf
Debian→ /home/user_name/.config/rclone/rclone.conf
rclone config
2018/03/02 14:39:05 NOTICE: Config file "C:\\Users\\user_name\\.config\\rclone\\rclone.conf" not found - using defaults
No remotes found - make a new one
n) New remote
s) Set configuration password
q) Quit config
n/s/q> n
name> hubic
Type of storage to configure.
Choose a number from below, or type in your own value
1 / Amazon Drive
\ "amazon cloud drive"
2 / Amazon S3 (also Dreamhost, Ceph, Minio)
\ "s3"
3 / Backblaze B2
\ "b2"
4 / Box
\ "box"
5 / Cache a remote
\ "cache"
6 / Dropbox
\ "dropbox"
7 / Encrypt/Decrypt a remote
\ "crypt"
8 / FTP Connection
\ "ftp"
9 / Google Cloud Storage (this is not Google Drive)
\ "google cloud storage"
10 / Google Drive
\ "drive"
11 / Hubic
\ "hubic"
12 / Local Disk
\ "local"
13 / Microsoft Azure Blob Storage
\ "azureblob"
14 / Microsoft OneDrive
\ "onedrive"
15 / Openstack Swift (Rackspace Cloud Files, Memset Memstore, OVH)
\ "swift"
16 / Pcloud
\ "pcloud"
17 / QingCloud Object Storage
\ "qingstor"
18 / SSH/SFTP Connection
\ "sftp"
19 / Webdav
\ "webdav"
20 / Yandex Disk
\ "yandex"
21 / http Connection
\ "http"
Storage> 11
Hubic Client Id - leave blank normally.
client_id> xxxxxxxxxxxxxxx
Hubic Client Secret - leave blank normally.
client_secret> xxxxxxxxxxxxxxxxxxxxxxxx
Remote config
Make sure your Redirect URL is set to "http://localhost:53682/" in your custom config.
Use auto config?
* Say Y if not sure
* Say N if you are working on a remote or headless machine
y) Yes
n) No
y/n> y
If your browser doesn't open automatically go to the following link: http://127.0.0.1:53682/auth
Log in and authorize rclone for access
Waiting for code...
Got code
--------------------
[hubic]
client_id = xxxxxxxxxxxxxxx
client_secret = xxxxxxxxxxxxxxxxxxxxxxxx
token = {"access_token":"xxxxxxxxxxxxxxxxxxxxxxxx","token_type":"Bearer","refresh_token":"xxxxxxxxxxxxxxx","expiry":"2018-03-02T20:39:46.0624465+09:00"}
--------------------
y) Yes this is OK
e) Edit this remote
d) Delete this remote
y/e/d> y
設定がちゃんとしていれば表示されるはず。
rclone lsd hubic:
試しに先程の5GBの7zファイルが入ったディレクトリを同期してみたところ、1時間ちょっとで同期完了した。あれ、速い。マルチスレッドなのか、仕組みは良く分からないが、完了が早くて素晴らしい。思わぬ副産物。
rclone sync -v /data/public/test/ hubic:test/
viで/root/sh/backup.shを作成。cronで実行するのでフルパスで記述。うちのNASには “[作業用]” というテンポラリディレクトリがあるので、それは除外。あと隠しファイルも。
ちなみに-cオプションつけるとチェックサムによる差分比較になるらしい。
/usr/bin/rclone sync -v --exclude "\[作業用\]/**" --exclude ".**" /data/public/ hubic:BACKUP/
初回のフルバックアップは半月程度かかる計算になるので、増分バックアップのジョブを登録する前に実施する。
フルバックアップが完了したら、トラフィックの少なそうな毎朝3時の増分バックアップジョブを登録する。ログっぽいのも残す。
# crontab -e -u root
00 03 * * * /bin/sh /root/sh/backup.sh 2>&1 | tee /root/sh/backup.log
topコマンドでCPU使用率順にプロセスが表示される。
※Shift+mでメモリ使用量順 Shift+pでCPU使用率順に切り替え
$ top
特定のプロセスを監視する場合。
$ top -p [PID]
とりあえず、この時はこんな感じだった。dnf listで調べることをおすすめします。
# dnf install java-1.8.0-openjdk-openjfx.x86_64 # dnf install openjfx
CentOS7にSamba4(4.6.5)をインストールし、ActiveDirectoryを構築した環境でWindowsからSMBプロトコルでアクセスする。
※Samba4にてドメインコントローラーの構築が完了している前提
共有用のディレクトリを作成する。
今回は /home/samba/share/ でやる。
# mkdir /home/share/ # chmod 777 /home/share/
/usr/local/samba/etc/smb.confを編集する。
[global] unix charset = UTF8 dos charset = CP932 netbios name = TEST-DC1 realm = LOCAL.EXAMPLE.COM workgroup = EXAMPLE dns forwarder = 8.8.8.8 server string = TEST-DC1 server role = active directory domain controller idmap_ldb:use rfc2307 = yes [share] path = /home/share/ comment = EXAMPLE\AdministratorとEXAMPLE\DomainUsersのみが読み書き可能 read only = no valid users = Administrator "@domain users" inherit acls = yes inherit owner = yes inherit permissions = yes vfs objects = acl_xattr streams_xattr
Sambaサービスを再起動して動作を確認する。
今回はプライマリとセカンダリの2台を構成する。
ホスト名の設定。それぞれ test-dc1 test-dc2 とする。
# hostnamectl set-hostname test-dc1
NTPサーバーにする。
※構築手順はこちらの記事を参照
必要なコンポーネントのインストールらしい。
yum -y install \ perl \ gcc \ libacl-devel \ libblkid-devel \ gnutls-devel \ readline-devel \ python-devel \ gdb \ pkgconfig \ krb5-workstation \ zlib-devel \ setroubleshoot-server \ libaio-devel \ setroubleshoot-plugins \ policycoreutils-python \ libsemanage-python \ setools-libs-python \ setools-libs \ popt-devel \ libpcap-devel \ sqlite-devel \ libidn-devel \ libxml2-devel \ libacl-devel \ libsepol-devel \ libattr-devel \ keyutils-libs-devel \ cyrus-sasl-devel \ cups-devel \ bind-utils \ libxslt \ docbook-style-xsl \ openldap-devel
最新版のSambaをダウンロードする。この記事を書いたときは4.6.5だった。
$ wget http://www.samba.org/samba/ftp/samba-latest.tar.gz
解凍してインストールする。
$ tar zxf samba-latest.tar.gz $ cd samba-* # ./configure; make; make install
ファイアウォールの例外を登録する。
# firewall-cmd --permanent --add-port=42/tcp # firewall-cmd --permanent --add-port=53/tcp # firewall-cmd --permanent --add-port=53/udp # firewall-cmd --permanent --add-service=kerberos # firewall-cmd --permanent --add-service=ntp # firewall-cmd --permanent --add-port=135/tcp # firewall-cmd --permanent --add-port=137/udp # firewall-cmd --permanent --add-port=138/udp # firewall-cmd --permanent --add-port=139/tcp # firewall-cmd --permanent --add-service=ldap # firewall-cmd --permanent --add-port=389/tcp # firewall-cmd --permanent --add-port=389/udp # firewall-cmd --permanent --add-service=samba # firewall-cmd --permanent --add-port=464/tcp # firewall-cmd --permanent --add-port=464/udp # firewall-cmd --permanent --add-service=ldaps # firewall-cmd --permanent --add-port=1024-5000/tcp # firewall-cmd --permanent --add-port=49152-65535/tcp # firewall-cmd --permanent --add-port=5722/tcp # firewall-cmd --permanent --add-port=9389/tcp # firewall-cmd --reload
SELinuxの例外を登録する。
# setsebool -P samba_domain_controller true # setsebool -P samba_export_all_ro true # setsebool -P samba_export_all_rw true # setsebool -P samba_enable_home_dirs true
systemdにsambaサービスを登録する。
/etc/systemd/system/samba.service を下記内容で作成。
[Unit] Description= Samba 4 Active Directory After=syslog.target After=network.target [Service] Type=forking PIDFile=/usr/local/samba/var/run/samba.pid ExecStart=/usr/local/samba/sbin/samba [Install] WantedBy=multi-user.target
ドメインをセットアップする。
※–use-rfc2307 (Linux/BSD/macOSを認証する場合は必須)
※–interactive (セットアップを対話式で行う)
※–function-level=2008_R2 (機能レベルを2008_R2に)
# /usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive --function-level=2008_R2
Realm: LOCAL.EXAMPLE.COM
Domain: EXAMPLE
下記のエラーが発生した場合は/etc/krb5.confの includedir /etc/krb5.conf.d/ をコメントアウトする。
ERROR(ldb): uncaught exception - operations error at ../source4/dsdb/samdb/ldb_modules/password_hash.c:2816
参照DNSを自身のIPアドレスにする。
dns-searchをRealmに変更する。
サービスを有効にして起動する。
# systemctl enable samba # systemctl start samba
参照DNSのプライマリをプライマリドメコンのIPアドレスにする。
dns-searchをRealmに変更する。
プライマリでkrb5.conf内をコメントアウトしている場合は同じく /etc/krb5.conf の includedir /etc/krb5.conf.d/ をコメントアウトする。
ドメコンとしてドメイン参加させる。
# samba-tool domain join example DC -U administrator --realm=LOCAL.EXAMPLE.COM
/usr/local/samba/etc/smb.confに下記を追記する。
dns forwarder = [プライマリと同じforwarder] idmap_ldb:use rfc2307 = yes
参照DNSのセカンダリを本サーバーのIPアドレスにする。
サービスを有効にして起動する。
# systemctl enable samba # systemctl start samba
グループポリシーが自動では同期されないので、グループポリシーの変更後はセカンダリにて下記コマンドを実行する必要がある。
# rsync -a -u -e ssh root@test-dc1:/usr/local/samba/var/locks/sysvol/ /usr/local/samba/var/locks/sysvol/ # /usr/local/samba/bin/samba-tool ntacl sysvolreset
Windowsの管理ツールではパスワードやアカウントロックのポリシーが変更できなかった。samba-toolで直接変更する。
# /usr/local/samba/bin/samba-tool domain passwordsettings set --complexity=on # /usr/local/samba/bin/samba-tool domain passwordsettings set --min-pwd-length=5 # /usr/local/samba/bin/samba-tool domain passwordsettings set --min-pwd-age=30 # /usr/local/samba/bin/samba-tool domain passwordsettings set --max-pwd-age=0 # /usr/local/samba/bin/samba-tool domain passwordsettings set --account-lockout-duration=60 # /usr/local/samba/bin/samba-tool domain passwordsettings set --account-lockout-threshold=3 # /usr/local/samba/bin/samba-tool domain passwordsettings set --reset-account-lockout-after=60 # /usr/local/samba/bin/samba-tool domain passwordsettings set --history-length=5
DNSの更新状況の確認。
No DNS updates needed ならOKらしい。
# /usr/local/samba/sbin/samba_dnsupdate --verbose
FSMOの確認。
# /usr/local/samba/bin/samba-tool fsmo show
FSMOの移行。転送先サーバーで下記コマンドを実行する。
# /usr/local/samba/bin/samba-tool fsmo transfer --role all
smartctlコマンドを使えるようにする。
# yum -y install smartmontools
SMARTに対応しているか確認する。
# smartctl /dev/sda -i
SMART情報を取得する。
# smartctl /dev/sda -A
※ValueがThresholdを下回っていないかなどを確認する
NTPをインストールする。
# yum -y install ntp
設定ファイルを変更する。
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap server ntp1.jst.mfeed.ad.jp iburst server ntp2.jst.mfeed.ad.jp iburst server ntp3.jst.mfeed.ad.jp iburst
ファイアウォールに例外を追加する。
# firewall-cmd --add-service ntp --permanent # firewall-cmd --reload
サービスの自動起動を有効にして起動もする。
# systemctl enable ntpd # systemctl start ntpd
※補足
タイムゾーンをJSTに変更するには…
# cp /usr/share/zoneinfo/Asia/Tokyo /etc/localtime
さくらレンタルサーバーに「Let’s Encrypt」の無料SSL証明書をインストールするために、Ubuntuでマニュアル発行する手順。
gitをインストール。
# apt-get install git
ローカルにコピーする。
$ git clone https://github.com/letsencrypt/letsencrypt
コピーしたディレクトリに移動。
$ cd letsencrypt/
実行環境を最新にするため、Helpを表示する。
$ ./letsencrypt-auto --help
SSL証明書の発行要求。
$ ./letsencrypt-auto certonly --manual -d [ドメイン名]
なんか色々質問されたりするので適宜入力していく。
Press ENTER to continueと出たら出た結果に記載あるファイルを作成し、本番サーバーのwwwルートに/.well-known/acme-challenge/を作成してその中に配置、Enterキーを押下する。
成功するとCongratulation…と表示され、下記場所に証明書が作成される。
※Rootじゃないと読めない
/etc/letsencrypt/live/[ドメイン名]