スクリプトの準備
http://isoredirect.centos.org/centos/build/からmkdvdiso.shをとってくる
cd /home/hoge/
wget http://isoredirect.centos.org/centos/build/mkdvdiso.sh
必要なパッケージをインストール
yum install mkisofs anaconda-runtime
isoイメージを「/home/hoge/CentOS5」へ入れる
/home/hoge/CentOS5
CentOS-5.1-i386-bin-1of6.iso
CentOS-5.1-i386-bin-2of6.iso
CentOS-5.1-i386-bin-3of6.iso
CentOS-5.1-i386-bin-4of6.iso
CentOS-5.1-i386-bin-5of6.iso
CentOS-5.1-i386-bin-6of6.iso
結合
cd /home/hoge/
sh ./mkdvdiso.sh CentOS5/ /home/hoge/CentOS-5.1-i386-bin-DVD_New.iso
rootで実行しないとマウントできないので失敗するのと、作成するDVDイメージへのパスは絶対パスにしないと失敗するので注意!
<追記>
ちょっと修正しましたので新しい記事はこちらです。
CentOS の Apache でクライアント証明書認証(修正版)
CentOSのApacheでクライアント証明書認証をしてみる。前にDebianでやったので基本は同じだけど、ファイルのパスが違ったりするので再度メモ
作業は「/var/www/ssl」で行い、独自認証局のフォルダは「/var/www/ssl/hogeCA」に作ります。また証明書の期限は30年(10950日)にしてあります。
◆作業準備
作業フォルダ作成
mkdir -p /var/www/ssl
opensslの設定
/etc/pki/tls/openssl.cnf (CentOS5)
/usr/share/ssl/openssl.cnf (CentOS4)
> dir = ./demoCA # Where everything is kept
< dir = ./hogeCA # Where everything is kept
証明書のポリシーを変えたい場合(デフォルトはcountryName,stateOrProvinceName,organizationNameがCAと一致しないとだめなのでCA組織外に発行する場合に困る)<br />
policy = policy_match
policy_matchを直下に定義してある「policy_anything 」に変えるとか、「policy_match」自体を変更するとか(下の例)
変更前
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
変更後
[ policy_match ]
countryName = supplied
stateOrProvinceName = supplied
organizationName = supplied
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
ちなみに
match CAと同じじゃないとダメ
supplied 入力必須
optional あってもなくてもいい
CA作成スクリプトコピー
cp -p /etc/pki/tls/misc/CA /var/www/ssl/ (CentOS5)
cp -p /usr/share/ssl/misc/CA /var/www/ssl/ (CentOS4)
/var/www/ssl/CA
DAYS="-days 10950"
CADAYS="-days 10956"
CATOP=/var/www/ssl/hogeCA
◆認証局CAの作成
cd /var/www/ssl
./CA -newca
CA certificate filename (or enter to create)
止まるので改行をいれる
Making CA certificate ...
Generating a 1024 bit RSA private key
.............++++++
.......++++++
writing new private key to '/var/www/ssl/hogeCA/private/./cakey.pem'
Enter PEM pass phrase: CAの秘密鍵のパスフレーズ
Verifying - Enter PEM pass phrase: CAの秘密鍵のパスフレーズ確認
CentOS5.1がリリースされました。今回はServerCDというわけではありませんが、ネットワークインストール用としてCentOS-5.1-i386-netinstall.isoというのが増えたようです。DVDの「/images/boot.iso」と同じものじゃないかと思いますがどうなんでしょう、未確認。そういやプロキシ経由でネットワークインストールできないような気がするのだけどやりかたどっかに書いてないかなー
[CentOS-announce] Release for CentOS-5.1 i386 and x86_64
追記
「CentOS-5.1-i386-netinstall.iso」と「/images/boot.iso」は同じでした。
ef1ef0b841964a1bbdd4286b157fb99f CentOS-5.1-i386-netinstall.iso
ef1ef0b841964a1bbdd4286b157fb99f boot.iso
余ってるSPARCのマシンでDebian運用中なのですが、ディスプレイがデカいのでその辺のPCの切り替え機につないで省スペース化しようと思い、標準は変な?解像度なので、普通ぐらいのに落としてつないでみようと思ったメモ
やり方は、STOP+AでOpenBootのプロンプトへ落ちて
setenv output-device screen:r1024x768x60
reset-all
で、OpenBootからの解像度を変更できます。ちなみにうちのはCreatorなんちゃらというカードらしい。
ちなみにデフォルトに戻すときは、
setenv output-device screen
reset-all
です。
しかし、映そうとした液晶CRTだと映らず、ブラウン管のやつならOKでした。ワークステーション系はSync on Greenとかってやつに対応のでないとダメらしい。
CentOS5はiSCSIデバイスへインストールできるので試しにやってみようというメモ。といいつつ本当に試しなので、VMWareでインストールしてみる。
しかし、CentOS5のDVDイメージからのインストールでiSCSIを選択すると、なんかうまくいかない(どうもインストーラーのバグくさい)、ネットワークブートでインストールするとちゃんと選択できました。
画面のイメージは、RHEL5とだいたい同じなので、こんな感じ
4.16. 高度なストレージオプション(Red Hat Enterprise Linux インスト-ルガイド)
んで、試しに「/」一本でiSCSIへいれたので、インストール後はブートできず死亡しました、iSCSI対応NICでもないのであたりまえだ(笑)
次回は、iSCSIデバイスからbootしてみる予定
VistaでもiSCSI Initiatorの機能が標準装備なので CentOS5でiSCSI Targetを作ってみる。
iSCSI Initiator :クライアント側
iSCSI Target :ホスト側
※必要そうなパッケージ
yum groupinstall 'Development Tools'
yum install openssl-devel
※ソースのダウンロード
iSCSI Enterprise Target Projectのlatest stable versionのリンクからSourceForgeへ飛んでソースをダウンロード。
tar xzvf iscsitarget-0.4.15.tar.gz
cd iscsitarget-0.4.15
make
make install
※パッケージの更新停止
yumでKernelをアップデートしちゃうとダメになるので更新されないようにする。Kernelを更新した際はコンパイルからやりなおしです。
/etc/yum.conf
exclude=kernel
※iSCSI Targetの設定ファイル
とりあえず、動くようにするだけの設定
iqn(iSCSI Qualified Name)はタイプ識別子「iqn.」、ドメイン取得日、ドメイン名、ドメイン取得者が付けた文字列としてつけるらしい。
「/dev/strage/lvtest」はiSCSIにするパーティション名
/etc/ietd.conf
Target iqn.2007-11.com.exsample:storage.lvtest
IncomingUser
OutgoingUser
Lun 0 Path=/dev/strage/lvtest,Type=fileio
※サービスの起動
service iscsi-target start
chkconfig --add iscsi-target
chkconfig iscsi-target on
※その他
iSCSI Targetをつくれるもの、Strage Server用のDISK装置についてる事がおおいのかな。
open-e
Linuxの場合は簡単にNICを負荷分散、冗長化できるのでメモ、NICのメーカーや型番が違っていても問題ありません、スイッチも特別なものでなくても大丈夫、別のスイッチすれば尚二重化効果は大です。ただし、リピータハブに刺すのはダメなので注意。Windowsだと、Teamingと呼ばれる事が多いと思いますが、こちらはドライバにその機能がついてれば可能です(やったことないけど(笑))
※ネットワーク関係の設定 bond0でeth0とeth1をbonding
/etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
BOOTPROTO=none
ONBOOT=yes
NETWORK=192.168.1.0
NETMASK=255.255.255.0
IPADDR=192.168.1.10
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
/etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
※bond0のモジュール設定、modeはタイプによっていろいろあるのでRHEL4のマニュアル参照(以下抜粋)
/etc/modprobe.conf
alias bond0 bonding
options bond0 mode=0 miimon=200
mode= bondingモジュールに許可された 4つのポリシーの中から1つを指定します。このパラメータに有効な値は次の通りです。
0 耐障害性と負荷バランシングに対するラウンド ロビン ポリシーを設定します。ボンディングされたスレーブインターフェイスは使用できるものから順に、送受信を順次行ないます。
1 耐障害性に対するアクティブ バックアップ ポリシーを設定します。最初に使用できるボンディングされたスレーブインターフェイスによって送受信が行なわれます。ボンディングされた他のスレーブインターフェイスはアクティブなスレーブインターフェイスが失敗した場合のみ使用されます。
2 耐障害性と負荷バランシングに対する XOR (exclusive-or)ポリシーを設定します。この方法では、インターフェイスによって1スレーブ NIC の MACアドレスと受信要求の MACアドレスが適合されます。このリンクが確立されると、最初に使用できるインターフェイスから送信を順次行ないます。
3 対障害性用のブロードキャストポリシーを設定します。全ての送信は、全てのスレーブインターフェイスで送られます。
4 IEEE 802.3ad ダイナミックリンク集合ポリシーを設定します。同じスピードとデュープレックス設定を共有する集合グループを作成します。アクティブな集合体内の全てのスレーブ上で送信と受信をします。そして802.3ad 対応のスイッチを必要とします。
5 対障害性とロードバランシング用の送信ロードバランシング (TLB)ポリシーを設定します。外部への送信は、各スレーブインターフェイス上の現在のロードに従って配信されます。受信は現在のスレーブにより受け付けられます。もし受信するスレーブに障害があるともう一つのスレーブが問題のスレーブの MAC アドレスを引き取ります。
6 対障害性とロードバランシング用のアクティブロードバランシング (ALB)を設定します。IPV4 通信用の送信および受信ロードバランシングを含んでいます。受信のロードバランシングは ARP ネゴシエーションによって達成されます。
※状態の確認
ifconfig
cat /proc/net/bonding/bond0
A.3. イーサネットパラメータ(Red Hat Enterprise Linux 4: リファレンスガイド)
OpenPNEで携帯メール投稿したときのメモ
(サーバはPostfixで別ドメインで運用中)
メールの宛先になるドメイン名(当然MXかAレコードなどで引けること)
config.php
// メールサーバードメイン
// 携帯メール投稿の宛先などのドメイン名に使われる
define('MAIL_SERVER_DOMAIN', 'sns.sample.com');
/etc/postfix/main.cf
SNSのドメインとは別なドメインでメールサーバの運用をしている場合、mydestinationに追加
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, sns.sample.com
最下行にでも追加
virtual_alias_maps = pcre:/etc/postfix/virtual.openpne
ファイル新規作成
/etc/postfix/virtual.openpne
/^get\@sns\.sample\.com$/ openpne-request
/^p\d+-[\da-f]{12}\@sns\.sample\.com\$/ openpne-request
/^t\d+-[\da-f]{12}\@sns\.sample\.com\$/ openpne-request
/^b\d+-[\da-f]{12}\@sns\.sample\.com\$/ openpne-request
main.cf更新後
service postfix reload
/etc/aliases
openpne-admin: admin@sample.com
openpne-request: "|/usr/bin/php /var/www/html/OpenPNE/bin/mail.php"
/etc/aliases修正後
newaliases で更新
ttyを持ってない状態でsudoをしようとすると、
sorry, you must have a tty to run sudo
と出てしまう際の対処、
/etc/sudoers
#Defaults requiretty ←コメントアウト
たとえば、apacheとかで無理やりsudoでコマンドを実行させたい場合(セキュリティ上はあまり好ましくないので使用には注意)
Linuxでのクラスタを実現するOSSのHeartbeatの日本語サイトができたとのこと、そんなに複雑なソフトではないので英語の情報でもなんとかなると思いますが、日本語のサイトができて情報が充実すれば尚よしって感じですね。
そういえば。。Heartbeatは一つ業務系のにいれたことありますが、CPUの負荷が高い時に誤検知してFail Overしてしまって結局あきらめたのがあったなー(笑)
The High Availability Linux プロジェクト
冗長構成を支えるOSSミドルウェア「Heartbeat」の日本語Webサイトがオープン(Enterprise Watch)
CentOSをRHELにダマす方法
OSやバージョンチェックしてるアプリケーションをいれてみたい時用
/etc/redhat-release
Red Hat Enterprise Linux ES release 4 (Nahant Update 4)
Red Hat Enterprise Linux Server release 5 (Tikanga)
< 追記>
/etc/issue
も調べられるかもしれないらしいとのことです。このファイルもチェックです。
先日は勉強不足で、qmail+vpopmailにIMAPするためにCourier IMAPなんてものをソースからいれちゃいましたが、CentOSの標準RPMでは、Dovecotでvpopmailに対応していないのですが、SRPMからコンパイルすれば対応することができました。SRPMのrebuildの時のconfigureでデフォルト「–with-vpopmail」の状態なので、vpopmailのライブラリが見えればenableになるので、組み込まれるはずです。
また、Courier IMAPはでかいので、コンパイルするの面倒だし、他からもってくるより、CentOS標準のSRPMでいれたほうがスマートかなと。
今回はCentOS5で作業しましたが、CentOS4でもたぶんOKのはず。
で、作業メモ
◆まず最初にqmail+vpopmailの環境を構築してあること。
◆必要なパッケージのインストール
yum groupinstall "Development Tools"
yum install openssl-devel openldap-devel pam-devel zlib-devel krb5-devel gettext-devel postgresql-devel mysql-devel
◆SRPMの取得
wget http://ftp2.riken.jp/Linux/centos/5.2/os/SRPMS/dovecot-1.0.7-2.el5.src.rpm
◆コンパイルとインストール
ほんとはrootでやっちゃよくないが、vpopmailのライブラリがたぶん見えないといけないのでrootで作業した。
「chmod 755 /home/vpopmamil」してからやればたぶん一般ユーザでも大丈夫。
su -
mkdir -p $HOME/rpm/{SOURCES,SPECS,BUILD,SRPMS,RPMS/i386}
echo “%_topdir $HOME/rpm” >> $HOME/.rpmmacros
rpmbuild --rebuild dovecot-1.0.7-2.el5.src.rpm
cd ~/rpm/RPMS/i386
rpm -ihv dovecot-1.0.7-2.i386.rpm
◆Dovecotがアップデートされないようyumに設定しておく
/etc/yum.conf
exclude=dovecot
◆Dovecotの設定
/etc/dovecot.conf
サービスはimapだけに
#protocols = imap imaps pop3 pop3s
protocols = imap
ローカルホストからしか接続しないように
protocol imap {
listen = 127.0.0.1:143
}
コメントをはずす
passdb vpopmail {
# [cache_key=] - See cache_key in PAM for explanation.
#args =
}
コメントをはずす
userdb vpopmail {
}
◆マシン起動時にdovecotも起動するようにする
chkconfig dovecot on
普通は自動でできてるもんなんですが、OpenVZの既成のCacheファイルとか使うとlocaleがCとかPOSIXしか定義されてないので日本語のロケールを定義してみる
localedef -f UTF-8 -i ja_JP ja_JP.utf8
localedef -f UTF-8 -i ja_JP ja_JP
localedef -f EUC-JP -i ja_JP ja_JP.eucjp
確認は
locale -a
なんでかというと、squirrelmailでロケールをja_JPに設定したのに日本語のメニューにならないもんでシステムにロケールが必要だったみたいなのでメモ、サーバなので、日本語のロケールなんてどうでもいいのだけど。
万が一、SHIFT-JISを作りたくなった時用
localedef -f SHIFT_JIS -i ja_JP ja_JP.SJIS
いままで緊急用の1CD LinuxとしてKNOPPIXを使っていたのだけど、CentOSのLiveCDもでてるので、試してみる。。なんかよさげなのでこっちもCDに焼いておこう。
[CentOS-announce] CentOS 5 i386 Live CD
ちなみにLive CDのrootのパスワードは「12qwaszx」のようです。
[CentOS-announce] Re: CentOS 5 i386 Live CD
そのうちUSBメモリにいれて起動できるようにしてみようかと検討中。
昔はmod_gzipというのもありましたが、現在のApache2.0,2.2はmod_deflateです。仕組みとしては、Webサーバがファイルを一旦圧縮して、ブラウザまで小さいサイズで転送し、ブラウザが解凍して表示するというものです。ブロードバンドなこのご時世にはあまり関係ないかもしれませんが、いまどき@FreedやAir-Hなどの細い線の場合や、テキスト中心で伝送量が多いようなサイトには効果はあるかもしれません。
CentOSで、画像ファイル以外をすべて圧縮対象にしちゃってもいいって場合は、
/etc/httpd/conf.d/deflate.conf とか作って、
ifmodule mod_deflate.c
location /
# Insert filter
SetOutputFilter DEFLATE
# Netscape 4.x has some problems...
BrowserMatch ^Mozilla/4 gzip-only-text/html
# Netscape 4.06-4.08 have some more problems
BrowserMatch ^Mozilla/4\.0[678] no-gzip
# MSIE masquerades as Netscape, but it is fine
# BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
# NOTE: Due to a bug in mod_setenvif up to Apache 2.0.48
# the above regex won't work. You can use the following
# workaround to get the desired effect:
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary
# Make sure proxies don't deliver the wrong content
Header append Vary User-Agent env=!dont-vary
/location /
DeflateFilterNote Input instream
DeflateFilterNote Output outstream
DeflateFilterNote Ratio ratio
LogFormat '"%r" %{outstream}n/%{instream}n (%{ratio}n%%)' deflate
#CustomLog logs/deflate_log deflate
/ifmodule
などでOKです。バーチャルホストでやりたい場合は、その辺にいれてあげれば大丈夫かな?
Apache モジュール mod_deflate
スパム対策の一貫としてグレイリスティングを試してみる。実際にはCentOS5でPostgrey+amavisd-new(spamassassin+clamav)+Postfixの構成ですが、とりあえずPostgreyだけ。
一応仕組みとしては、相手のメールサーバ(または、BOT端末)接続してきても、rejectしてリトライしてきたらつないであげるというものです。まともなメールサーバならリトライしてくるだろうし、BOT系はリトライしないのが多いことを利用したものです。
んで、会社メールの場合、数分たりとも遅延すると、メールが届かねー、遅い!!!とかって事がよくわるわけで、ホワイトリストの設定をどうしようかってとこですが、今回は、逆引きできない(逆引きはPostfixで止めてもいいのですが本当に止めてしまうといろいろ困る)方や、foreign countryっぽい方々に遅延していただいて、あとは、spamassassinに任せましょうという設定にしてみます。
まず、前提として、Postfixでメールが運用されている状態で、
最初に、CentOSの場合dagのリポジトリをいれておきます。
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
で、パッケージのインストール
yum install postgrey
起動スクリプトの編集
/etc/init.d/postgrey
#OPTIONS="--unix=$SOCKET"
OPTIONS="--whitelist-clients=/etc/postfix/postgrey_whitelist_clients --whitelist-recipients=/etc/postfix/postgrey_whitelist_recipients --inet=10023 -d --unix=$SOCKET"
マシン起動時にpostgreyが起動するように
chkconfig postgrey on
postfixのフィルタとして登録
/etc/postfix/main.cf
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:10023
main.cfに追加する内容は
postconf | grep smtpd_recipient_restrictions
とかってした時の表示されるやつの一番後ろあたりに追加すればいいと思います。
ホワイトリスト(例)
/etc/postfix/postgrey_whitelist_clients
docomo.ne.jp
ezweb.ne.jp
vodafone.ne.jp
softbank.ne.jp
.co.jp
.or.jp
.gr.jp
.ed.jp
.go.jp
.ad.jp
.ac.jp
とかってしとくと、日本のちゃんとしてそうなところからは遅延しないかも。でも、汎用JP,NE.JP,あとは.COM,.NETとかがダメなので、必要に応じてホワイトリストへ入れておきましょう
遅延してるレポート確認
cat /var/log/maillog | postgreyreport
昨日のつづき、こんな面倒なことしなくてもUSBでブートできるイメージが最初からあるじゃんorz
CDイメージの /images/diskboot.img
dd if=diskboot.img of=/dev/sda
WindowsでDDしたい場合など
DDforWindows(シリコンリナックス株式会社)
章 2章. 準備のためのステップ
(Red Hat Enterprise Linux 4: インストールガイド )
CD-ROMがついてない面倒なサーバがあって、外付けUSB-CDを持ってくのも面倒なので、USBメモリでブートしてあとはネットワークインストールしちゃえばいいじゃんってテスト(^^)
◆用意するもの
・CentOSのboot.iso
CD1枚目の「/images/boot.iso」または、ftp://ftp.riken.jp/Linux/centos/5/os/i386/images/boot.isoとか
・syslinux
このへんのsyslinux-3.51.zipとか
・ISOファイルの中身を取り出せるもの
有名なところだとDAEMON Toolsとか、他にはExplzhとかISOファイルの中身を取り出せれるものならなんでもOK
・CentOSのインストールイメージ
本家のミラーサイトでもいいけど、ガシガシアクセスすると迷惑なのでDVDの中身をHTTPとかFTPとかでアクセスできるようにしておく
◆作業手順(Windows上でやる場合)
1.USBメモリをFAT32でフォーマット
2.boot.isoの中身「/isolinux」内のファイルをUSBメモリの「/」へコピー
3.「isolinux.cfg」を「syslinux.cfg」へリネーム
4. ダウンロードしたsyslinuxのコマンド
「win32\\syslinux.exe -ma G:」(G:はUSBメモリのドライブ)
5.完了。USBメモリからブートしてみる
ようはCD-ROM用のISOLINUXをFAT用のSYSLINUXに変更してるだけです。
参考URL
1CD LinuxをUSBメモリから起動するには(@IT)
PHPのIMAPモジュールを使って、POP3かIMAP4でユーザ認証させてみる。。。。とOpenできるか調べるだけとおもってたらちょっとハマったのでメモ。(あたりまえですが、php-imapはいれてあること)
エラー内容
PHPのエラー
Warning: imap_open() [function.imap-open]: Couldn't open stream {localhost:110/pop3}INBOX in /test.php on line xx
/var/log/maillog(ちなみにPOP3サーバはDovecot)
May xx 00:00:00 centos5 dovecot: pop3-login: Disconnected: rip=::ffff:127.0.0.1, lip=::ffff:127.0.0.1, TLS handshake
なんかエラーになる。Google様とかで調べてると、Redhat系のRPMパッケージで、imap-sslオプション付きだと「/notls」をつけてTLSを使わないようにして認証しないとダメらしい。たしかにphpinfo()では「SSL Support enabled」だね。
サンプル
// notls をつけないとダメ
//$mbox = imap_open("{localhost:110/pop3}INBOX", $userid, $password);
$mbox = @imap_open("{localhost:110/pop3/notls}INBOX", $userid, $password);
if ( $mbox != false ){
@imap_close($mbox);
//OKな処理
} else {
//NGな処理
}
CentOS5のPHP5でSQLiteを使おうと思ったら、なんでか動かないのですが、sqlite_open()がundefined functionって怒られますが、、php-pdoがインストールされていいればいいのかと思うのですが、他になんかいるの?
エラー
Fatal error: Call to undefined function sqlite_open() in filename
phpinfoの中身
pdo_sqlite
PECL Module version 1.0.1 $Id: pdo_sqlite.c,v 1.10.2.6 2006/01/01 12:50:12 sniper Exp $
SQLite Library 3.3.6
$ rpm -qa | grep php
php-5.1.6-12.el5
php-pdo-5.1.6-12.el5
php-imap-5.1.6-12.el5
php-common-5.1.6-12.el5
php-cli-5.1.6-12.el5
php-gd-5.1.6-12.el5
php-pgsql-5.1.6-12.el5
php-pear-1.4.9-4
php-mbstring-5.1.6-12.el5
php-xml-5.1.6-12.el5
php-mysql-5.1.6-12.el5
Facebook
Twiter
最近のコメント