Let’s Encryptの証明書を自動更新する

コメントを残す

Let’s EncryptのTLS証明書は2025年9月現在、有効期限が90日です。都度TLS証明書を更新するのは手間なので自動化します。更新はcertbotがやってくれます。

環境はUbuntu Server 24.04 LTSです。
以下で、certbotをインストールしておきます。

sudo apt install certbot

以下にウェブサーバの設定リロードするフックスクリプトを作成して設置します。certbotのフックにはpre、deploy、postの3種類がありますが、ここではdeployで実行します。

 cat /etc/letsencrypt/renewal-hooks/deploy/nginx
#!/bin/bash
/usr/bin/systemctl reload nginx.service

初回は以下のコマンドで作成したフックスクリプトを指定して証明書を作成します。

sudo certbot certonly --webroot -w [webサイトのディレクトリ] -d carme-ln.net --deploy-hook=nginx

証明書の自動更新はcertbotをインストールされるとsystemd timerが登録されますので、有効にしておきます。

sudo systemctl enable certbot.timer
sudo systemctl start certbot.timer
sudo systemctl status certbot.timer
● certbot.timer - Run certbot twice daily
     Loaded: loaded (/usr/lib/systemd/system/certbot.timer; enabled; preset: enabled)
     Active: active (waiting) since Sat 2025-09-06 18:54:01 JST; 5 days ago
    Trigger: Fri 2025-09-12 18:37:03 JST; 3h 53min left
   Triggers: ● certbot.service

Sep 06 18:54:01 ********** systemd[1]: Started certbot.timer - Run certbot twice daily.

ログなどは/var/log/letsencrypt/letsencrypt.logで確認できます。

ThinkPad T480sのWi-FiをIntel AX210に換装する

コメントを残す

ThinkPad T480sの延命策として、無線LANのアダプタを最新のものに換装しました。
T480sに搭載されている Wireless-AC 8265は、Wi-Fi 5 (IEEE802.11ac)対応までとなっており、最高速度も867 Mbpsということで非力感を感じます。また、セキュリティ面でもWPA2までの対応ということで、無線APの暗号化モードをWPA2-PSK/WPA3-SAEからWPA3-SAEのみにしたいという思いもありました。

続きを読む

ZabbixでLinux機のSMARTを監視する

コメントを残す

ZabbixでLinux機のストレージのSMARTをZabbixに標準で組み込まれているのモジュールで監視する設定をしてみます。

環境構成

Zabbixサーバ Zabbixバージョン:6.0.7
Linux機 OS:Ubuntu 22.04
Linux機 Zabbix Agent:6.0.8

Zabbix エージェントのインストール

Zabbix Agent2をインストールする

smartmontoolsインストールと実行権限設定

// SMART用のツールをインストール
$ sudo apt install smartmontools
// SMART取得の確認
$ sudo smartctl -a /dev/nvme0

zabbixエージェントがsmartctlコマンドを実行できるように、sudoersでzabbixユーザに実行権限を付与します。(太字の部分を追記)

$ sudo visudo
# User privilege specification
root    ALL=(ALL:ALL) ALL
zabbix  ALL=(ALL:ALL) NOPASSWD:/usr/sbin/smartctl

Zabbix監視設定

ホスト設定に「Template Module SMART by Zabbix agent2」を追加する。

動作確認

取得できていればOK

ThinkPad T480sでメモリの増設とSSDの交換をしてみた

1件のフィードバック

年始にThinkPad T480sを購入しました。

メモリとSSDは自分で後から増設した方が安上がりなため、PC購入後にSSDの交換とメモリの増設をやってみました。

※メモリの増設やストレージの交換を行うと、メーカーの保証対象外になるため自己責任で行ってください。

 購入時のスペックと増設・交換後のスペックは以下の通りです。

  購入時 増設・交換後
CPU Intel Core i7-8550U
メモリ DDR4-2400 8GB
(オンボードのみ)		 DDR4-2400 16GB
(オンボード8GB + 拡張スロット8GB)
SSD SATA SSD 128GB NVMe SSD 512GB
GPU Intel UHD グラフィックス 620
ディスプレイ 14インチ WQHD
OS Windows 10 Pro (1803)

第8世代のIntel CPUではコア数が増加しており、性能は違えど今使っているデスクトップPCと同じ8スレッド数のCPUがノートPCでも使えるというのは感慨深いです。
キーボードもタイプしやすいのはもちろんのこと、USB type-CやHDMIだけでなく、有線LANポートもついているのも高評価です。
WQHD液晶にしたのが案外よく、広いデスクトップがあると作業効率が上がります。

続きを読む

Let’s Encrypt 公開ベータ版を導入してみた

コメントを残す

久々の更新です。
更新していない間にこのサイトのサーバーを入れ替えたりIPv6 に対応したりと色々やっていました。

12月3日にLet’s Encrypt が公開ベータとしてだれでも使えるようになりました。
https://letsencrypt.org/2015/12/03/entering-public-beta.html
Let’s Encrypt は米電子フロンティア財団が運営する、ウェブサイトを無料でHTTPS 化するプロジェクトです。
ということでLet’s Encrypt でSSL 証明書を導入してみました。

続きを読む

SECCON 2014 OnlineのWrite up

コメントを残す

夏です。CTFの季節がやってきました。
今年のSECCON CTFはオンライン予選が最初でした。
朝9時から21時までの12時間という短い時間で行われました。
私は今回もwasamusumeで参加しました。

私は他の用事があったので、がっつりやれませんでしたが
息抜きに問題を解いたのでWrite upを書いてみます。

続きを読む

pkg(またはPorts)でBINDを使う時に気をつけること

コメントを残す

FreeBSD8.4とFreeBSD9.2で最新のBINDをpkgで導入するときに気をつける点があるのでメモ

pkgだとportsに比べてコンパイルしなくてもよいので手軽にインストールできます。

# pkg install bind99
# echo "named_enable=\"yes\"" >> /etc/rc.conf
# /etc/rc.d/named start

これだけだとシステムデフォルトのBINDが動いてしまいます。
pkgでインストールしたBINDにするには以下の設定をする必要があります。

# echo "named_program=\"/usr/local/sbin/named\"" >> /etc/rc.conf

ただし、これだけではエラーが出るので起動しません。
chroot環境の/usr/local/etcにBINDの設定ファイルを置く必要があります。

# mkdir -p /var/named/usr/local/etc
# ln -s /etc/namedb/named.conf /var/named/usr/local/etc/
# ln -s /etc/namedb/rndc.key /var/named/usr/local/etc/

これでpkg(またはports)でインストールしたBINDで起動できます。

/var/log/messageで正しく起動しているかを確認しておきましょう。

$ less /var/log/messages
Jul 12 xx:xx:xx gw named[xx]: starting BIND 9.9.5 -t /var/named -u bind
Jul 12 xx:xx:xx gw named[xx]: built with '--localstatedir=/var' '--disable-linux-caps' ...
Jul 12 xx:xx:xx gw named[xx]: ----------------------------------------------------
Jul 12 xx:xx:xx gw named[xx]: BIND 9 is maintained by Internet Systems Consortium,
Jul 12 xx:xx:xx gw named[xx]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Jul 12 xx:xx:xx gw named[xx]: corporation.  Support and training for BIND 9 are
Jul 12 xx:xx:xx gw named[xx]: available at https://www.isc.org/support
Jul 12 xx:xx:xx gw named[xx]: ----------------------------------------------------
Jul 12 xx:xx:xx gw named[xx]: command channel listening on 127.0.0.1#953
Jul 12 xx:xx:xx gw named[xx]: command channel listening on ::1#953
Jul 12 xx:xx:xx gw named[xx]: all zones loaded
Jul 12 xx:xx:xx gw named[xx]: running

ここのサーバーを調整しました

コメントを残す

ここのサーバーはさくらのVPS上でUbuntu 14.04を動かしています。
いくつか問題があったので調整してみました。

nginx+fastcgi+php構成に変更

これまでWordPressのパーマネントの関係で、このブログでは
nginxからリバースプロキシでApacheにリクエストを投げるという無駄なことをしていました。

そこで今回ようやくnginx+fastcgi+php 構成に変更しました。

1. fastcgiのインストール

Ubuntuでは以下のコマンドでインストールします

sudo apt-get install php5-fpm

2. nginxの設定

nginxの設定は以下を参考にさせてもらいました。
nginx+php+fastcgiでwordpressを動かしてみた – polidog lab++
変えているところはfastcgi_passの設定で、UNIXソケットでやりとりするようにしています。

WordPress上でSuperCacheプラグインを使用しているので
http://wiki.dreamhost.com/Nginx#WordPress
を参考にキャッシュが有効になるようにしました。

server {
        listen  80;
        server_name diary.carme-ln.net;
        -- 中略 ---
        location / {
                index index.php index.html index.htm;
                root [path];

                if (-f $request_filename) {
                        break;
                }

                set $supercache_file '';
                set $supercache_uri $request_uri;

                if ($request_method = POST) {
                        set $supercache_uri '';
                }

                # Using pretty permalinks, so bypass the cache for any query string
                if ($query_string) {
                        set $supercache_uri '';
                }

                if ($http_cookie ~* "comment_author_|wordpress|wp-postpass_" ) {
                        set $supercache_uri '';
                }

                # if we haven't bypassed the cache, specify our supercache file
                if ($supercache_uri ~ ^(.+)$) {
                        set $supercache_file /wp-content/cache/supercache/$http_host$1/index.html;
                }

                # only rewrite to the supercache file if it actually exists
                if (-f $document_root$supercache_file) {
                        rewrite ^(.*)$ $supercache_file break;
                }

                # all other requests go to WordPress
                if (!-e $request_filename) {
                        rewrite ^.*$ /index.php last;
                }
        }

        location ~\.php$ {
                root [path];
                fastcgi_pass unix:/var/run/php5-fpm.sock;
                fastcgi_index  index.php;
                fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
                include        fastcgi_params;
        }
}

無事に表示できているようなのでApacheを起動しないようにします

sudo update-rc.d -f apache2 remove

Apacheを止めたのでサーバーのメモリ使用量を減らすことが出来ました。めでたし。

サーバーの起動が遅い問題

サーバーを再起動した時に起動がやたら長い問題が出ていました。
さくらのVPSのコンソールから起動の様子を観察していると
“Waiting up to 60 more seconds for network configuration…”
と表示されており調べてみると、
どうやらネットワーク設定に問題があってフェイルセーフでウエイトが掛かっていたようです。

/etc/network/interfacesを見て見るとネットワーク設定を読み込む時にethtoolが呼ばれています。

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address xxx.xxx.xxx.xxx
        netmask xxx.xxx.xxx.xxx
        gateway xxx.xxx.xxx.xxx
        dns-nameservers xxx.xxx.xxx.xxx,xxx.xxx.xxx.xxx
post-up /usr/sbin/ethtool -K eth0 tso off

ethtoolのパスを調べてみると/usr/sbinではなく/sbinにありました。
サーバーをアップグレードした際にethtoolのパスが変わって、スクリプトが走らないため起動に時間が掛かっていたようです。
/sbin/ethtool に変更してあげると起動が遅い問題は解消しました

画像の表示などが遅い

起動時にethtoolで設定されるTSOの無効化が有効になっていないせいでした。

post-up /sbin/ethtool -K eth0 tso off

さくらのVPSではこれを入れないと通信が遅くなるみたいです。
このVPSサーバーは初期のVPSマシンなので、最新のサーバーではどうなっているかは分からないです。

Eclipse4.3.2でJava8を書けるようにする

コメントを残す

EclipseでのJava8のサポートは6月にリリースされる予定の4.4から

Eclipse 4.3 KeplerでJava8の構文を使おうとすると以下の様にエラーが出てしまう
eclipse_java8_non_support

4.4が出るまで待てないので、4.3.2用のJava8サポートパッチをインストールする
JDT/Eclipse Java 8 Support For Kepler – Eclipsepedia
https://wiki.eclipse.org/JDT/Eclipse_Java_8_Support_For_Kepler

addedEclipsePatch
インストールして再起動したのち、コンパイラー設定を1.8に変更すればコンパイルが通るようになる
preferenceJava8

eclipse_java8_support