ラベル VPS の投稿を表示しています。 すべての投稿を表示
ラベル VPS の投稿を表示しています。 すべての投稿を表示

2013年7月1日月曜日

Tiny Tiny RSS+fever plugin+Mr. reader または Reederが最強な件

巷では7月1日でGoogle Readerのサービスが終了すると言うことで、移行先は何処にすれば良いのか話題で賑わっていました。自分のそのなかの一人であったのですが、今回の事で他人のサービスを当てにしているとろくな事は無いなと思った訳です。

と言うことで、私が選んだのはTiny Tiny RSSでした。Tiny Tiny Rssは他人のサービスを使用するものでは無く、自サーバーなどを用意しインストールして自らサービスを立ち上げるタイプのRSSです。これをさくらのVPSにインストールすれば、他人の都合に左右されずにサービスを享受することが出来ます。最高!!

Tiny Tiny RSSをサクッとインストールしてみたのですが、一つ問題がありました。Google Readerの時は使いやすいクライアントソフトが多く存在していました。自分はiPadでMr.Readerを愛用していました。もう手放せない、Mr.Readerじゃないと読む気が起きないというぐらい気に入っていました。

しかし、Tiny Tiny RSSをサポートしているクライアントソフトはお世辞にも良いとはいえないものばかりです。しばらくはwebインターファースで読むしか無いかなと思っていました。

Tiny Tiny RSS プラグイン

Tiny Tiny RSSにはプラグインが組み込める仕組みがあって、デフォルトで有用なプラグインが組み込まれていて、それ以外にも有志によって作成されたプラグインも公開されています。

何か便利なプラグインは無いかと物色していた所、Reeder (iOS) integration with TT-RSS (via Fever API)と言うプラグインが目にとまりました。どうやらFever APIをエミュレートしてReederでTiny Tiny RSSの記事を参照出来るようにするプラグインらしいです。そして、Mr.Readerの最新版もFeverをサポートしています。

そして、Fever API pluginのreadme.mdを見ると Supported/Tested Clients の所に Mr.Readerの文字が… これは入れるしか無いとインストールしてみました。

TinyTinyRSS Fever API pluginのインストール

  1. 最初にhttps://github.com/dasmurphy/tinytinyrss-fever-pluginからmaster.zipをダウンロードしてきます。

  2. 次に、適当な場所で解凍します。

  3. 解凍すると、feverディレクトリが出来ますので、それをTiny Tiny RSSのpluginsディレクトリ(自分の環境では/var/www/htdocs/ttrss/plugins)に入れます。
    # mv tinytinyrss-fever-plugin-master/fever /var/www/htdocs/ttrss/plugins

  4. 次にTiny Tiny RSSをブラウザで開いて「操作」→「Preference」→「plugin」を選択するとfeverのチェックボックスが現れるのでこれをチェックし、Enable seleced pluginsボタンを押下して有効にします。plugin設定画面

  5. fever pluginを有効にしてリロードすると「Preference」ページに「Fever Emulation」タブが追加されますのでこれを開いて、パスワード入力エリアにログイン時のパスワードを入力します。パスワード入力

  6. Mr.ReaderのAdd Accountからfeverを選びます。Mr.Reader Add Account

  7. Server URLはプラグインを入れたディレクトリを指定し、CredentialsにログインIDとパスワードを入力しログインします。Mr.Reader Login

  8. ログインすると同期が始まります。Mr.Reader 同期

  9. 記事の一覧Mr.Reader 記事の一覧

  10. 記事もGoogle Readerの時と同じように読むことが出来ました。Mr.Reader 同期

これで、Google Readerが無くなっても、快適なReader環境を整えることが出来ました。Reeder for iPhoneでも同様にログインして読むことが出来ることを確認しています。

投稿者 yanmoo 時刻: 23:42 ラベル: , 0 コメント

2013年4月14日日曜日

StartSSL更新を行う

先日、StartComの証明書を更新したのですが、忘れないように手順を残しておきます。

コントロールパネルログイン用の証明書の更新

StartComで作成した証明書の有効期限2週間前になるとメールが来ます。
メールは「コントロールパネルログイン用の証明書」と「サーバーのSSL証明書」の期限が来るのですが、文面が似ているので「コントロールパネルログイン用の証明書」の更新を忘れないようにしましょう。

認証

StartSSL™ Certificates & Public Key Infrastructureのページに行き、Authenticateからログインします。証明書がインストールされていない場合

その際ブラウザに一年前に作成した「コントロールパネルログイン用の証明書」がインストールされている必要があります。 証明書がインストールされていないと、次のような画面が表示されます。
Operaには証明書がインストールされていなかったので、この画面が出てちょっと焦った。
証明書がインストールされていない場合

証明書がインストールされているブラウザで開くと証明書の要求ダイアログが出ますのでOKを選択します。証明書がインストールされている場合

無事認証が完了すると下記の画面が表示されますので”Control Panel”をクリックして進みます。認証後の画面

“Control Panel”画面に進むと下記の画面になりますので、”Validations Wizard”を選択します。Control Panel画面

Email Address Validation

“Select Validation”画面が表示されますので、Email Address Validation を選択します。
Select Validation画面

“Enter Email Address”画面に移りますので、自分のメールアドレスを入力しContiuneを押下します。Enter Email Addres画面

“Complete Validation”画面が表示された後しばらくして、入力したメールアドレスにメールが送信されますComplete Validation画面

送信されたメールにはVerification Codeが送られてきます。

This mail is intended for the person who requested verification of email ownership at StartSSL™ (http://www.startssl.com).
		
Your verification code is XXXXXXXXXXXXXXXX  
Copy and paste this code now into the form at your open browser window.
	
Thank you!
	
StartCom Ltd.  
StartSSL™ Certification Authority

ここに記載されているコードをVerification Codeに入力します。Verification Codeを入力

Verification Successの画面が出たら終了です。
Email Address Validationは30日間有効なので、その間にDomain Name Validationを行いクライアント証明書を入手する必要があります。Verification Success画面

Domain Name Validation

“Validations Wizard”を選択し”Select Validation”画面を表示させます。今度はDomain Name Validationを選択します。Domain Name Validationを選択

次にドメイン名を入力します。ここではトップレベルのドメイン名を入力します。たとえば foo.invalid.com の場合はinvalid.comを入力します。ドメイン名の入力

Verification Codeを送るメールアドレスを選択してContinueを押下します。(なんか文字化けしてるものがありますね。)ドメイン名の入力

“Complete Validation”画面が表示された後しばらくして、Email Address Validationと同様に選択したメールアドレスにメールが送信されますComplete Validation画面

送信されたメールにはVerification Codeが送られてきます。

This mail is intended for the person who requested verification of domain control at 
StartSSL™ (http://www.startssl.com).

Your verification code is OOOOOOOOOOOO
Copy and paste this code now into the form at your open browser window.

Thank you!

StartCom Ltd.
StartSSL™ Certification Authority

ここに記載されているコードをVerification Codeに入力します。Verification Codeを入力

Verification Successの画面が出たら終了です。
Domain Name Validationも30日間有効なので、30日以内にクライアント証明書を入手する必要があります。Verification Success画面

クライアント証明書の更新

Cerifications Wizardを選択してSelect Cretificate Purpose画面を表示させ、”S/MIME and Authentication Certificate”の選択し次に進みます。Select Cretificate Purpose画面

Generate Private Key画面で”高強度の暗号化”を選んで次に進みます。Generate Private Key画面

Select Email Address画面ではSecure Hash Algorithmを”SHA2”にして次に進みます。Select Email Address画面
これで成功すれば、Congratulations!画面になり、ブラウザにクライアント証明書が自動的にインストールされます。Congratulations画面

クライアント証明書のバックアップ

クライアント証明書が失われてしまった場合に、startSSLにログイン出来なくなりますので証明書のバックアップをしておきます。 Firefoxの詳細画面を表示して「証明書の表示」を押下します。

Firefox詳細画面

先ほどインストールされた証明書を選択して、「バックアップ」押下しファイルへ保存します。

証明書マネージャー画面

サーバー証明書の更新

Cerifications Wizardを選択してSelect Cretificate Purpose画面を表示させ、”Web Server SSL/TLS Certificate”の選択し次に進みます。Select Cretificate Purpose画面

Generate Private Key画面では、Private Keyは以前サーバ上で作成したキーを再利用しますのでskipを押下して次に進みます。Select Cretificate Purpose画面

Submit Certificate Request画面では、以前作成した証明書署名要求ファイルserver.csrをフォームにコピペする。Select Cretificate Purpose画面
作成したファイルが見つからない場合は下記のようにして証明書署名要求ファイルserver.csrを再度作成します。

証明書要求の作成 手順(server.csr)

$ su
# cd /etc/ssl/private
サーバー秘密鍵の作成 (server.key)
# openssl genrsa -out server.key -aes256 4096
パスフレーズを削除
# openssl rsa -in server.key -out server.key
証明書要求の作成(server.csr)
# openssl req -new -key server.key -out server.csr
#

証明書署名要求ファイルに問題が無ければ下記の画面が出ますので次にいきます。Select Cretificate Purpose画面

証明書に紐付けるドメインを選んで次にいきます。Select Cretificate Purpose画面

証明書に紐付けるサブドメインを選んで次にいきます。Select Cretificate Purpose画面

確認画面が出ますので次にいきます。Select Cretificate Purpose画面

作成されたサーバー証明書が、テキストアリアの中に表示されますので、コピーしてfoobar.com.crtとファイル名を付けてセーブします。FinishをクリックするとThank you画面に遷移して終了です。

Select Cretificate Purpose画面

サーバー側の設定

証明書の作成が終了したならば、サーバー側のファイルを新しい証明書を使って更新します。

以前のファイルをバックアップ

$ su
# cd /etc/ssl/startssl
# cp foobar.jp.crt foobar.jp.crt.old
# cp imapd.pem imapd.pem.old
# cp postfix.pem postfix.pem.old
#

新しいサーバー証明書のコピー

# mv ~/foobar.jp.crt /etc/ssl/startssl

startSSLの証明書が無い場合はダウンロードしておくこと。

# cd /etc/ssl/startssl
# wget https://www.startssl.com/certs/ca.pem
# mv ca.pem startssl.ca.pem
# wget https://www.startssl.com/certs/sub.class1.server.ca.pem
# mv sub.class1.server.ca.pem starssl.sub.class1.server.ca.pem
# wget https://www.startssl.com/certs/ca-bundle.pem
# mv ca-bundle.pem startssl.ca-bundle.pem
#

postfixの設定

# cat foobar.jp.crt startssl.sub.class1.server.ca.pem startssl.ca.pem > postfix.pem

/etc/postfix/main.cfには次の記述

smtpd_tls_cert_file = /etc/ssl/startssl/postfix.pem
smtpd_tls_key_file  = /etc/ssl/private/server.key

リスタートして接続確認

# /etc/rc.d/postfix restart
# openssl s_client -connect localhost:smtps -CAfile /etc/ssl/startssl/startssl.sub.class1.server.ca.pem

imapの設定

# cat /etc/ssl/private/server.key foobar.com.crt startssl.sub.class1.server.ca.pem startssl.ca.pem > imapd.pem

/etc/courier/imapd-sslには次の記述

TLS_CERTFILE=/etc/ssl/startssl/imapd.pem

リスタートして接続確認

# /etc/rc.d/courier_imap_ssl restart
# openssl s_client -connect localhost:imaps -CAfile /etc/ssl/startssl/startssl.sub.class1.server.ca.pem
投稿者 yanmoo 時刻: 23:52 ラベル: , 0 コメント

2012年4月7日土曜日

新さくらのVPSにOpenBSDをインストール

さくらのVPSに新しいプランが発表されました。価格が一番安い「さくらのVPS 1G」はHDDが100GBになり、現在契約しているプランの5倍の容量、メモリーは2倍の容量となりお得感が大きいですね。さらに、乗り換え優遇キャンペーン中で一ヶ月利用料が無料となるので飛びついてみた訳ですが…

新さくらのVPSはOpenBSDはインストールできない?

いえ、できます。

正確には、驟雨のカーネル探検隊さんの所で紹介されていた方法では出来ませんでした。前回インストールしたときは、Ubuntuを再インストールしてGRUB2からOpenBSDのインストーラを立ち上げる方法を取っていました。

今回も、その方法でインストールを試みました。しかしこの方法では、ブートはするのですがHDDを認識しなくなってしまいました。ブート時のメッセージを見ると、旧サービスではI/Oの仮想化にQEMUが使われている?ようですが、新サービスではに、virtioが使われるようになったらしく、OpenBSDがvirtioを認識できないのでHDDが見えていなかったようです。

FreeBSDからインストールしよう。

色々調べてみると、新さくらのVPSにFreeBSDをインストールするとQEMUが使われる事がわかりました。FreeBSDのブートメッセージを見ると下記の様に"QEMU HARDDISK"と出力されています。 FreeBSDのdmesg

ならば、FreeBSDからインストールすればいいんじゃね? と言う事で次のような手順でインストールしてみました。

  1. FreeBSDをインストール
  2. FreeBSD上にGRUB2をインストール
  3. GRUB2からOpenBSDのインストーラをキックする
  4. OpenBSDをインストール

インストールのベースがUbuntuがFreeBSDに変わっただけですね。

FreeBSDをインストール

カスタムOSインストールガイド FreeBSD編に従ってインストールします。インストールしたものはすぐ消えてしまうので適当で構いません。パーティションの設定はおまかせ・インストールもミニマムで問題無いです。

FreeBSD上にGRUB2をインストール

インストールが終了したらGRUB2のインストールを行います。最初に必要なパッケージをftpでダウンロードしてきます。

# ftp ftp://ftp2.jp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8.1-release/devel/libiconv-1.13.1_1.tbz
# ftp ftp://ftp2.jp.freebsd.org/pub/FreeBSD/ports/amd64/packages-8.1-release/devel/gettext-0.18_1.tbz
# ftp ftp://ftp2.jp.freebsd.org/pub/FreeBSD/ports/amd64/packages-9.0-release/sysutils/grub2-1.98_1.tbz
#

ここで注意するのが、「”grub2はpackages-8.1-release”でなく”packages-9.0-release”のパッケージを使用する。」と言うことです。

自分の環境では、packages-8.1-releaseのパッケージを使用するとgrub-installコマンドがエラーになり、grubがインストール出来ませんでした。

# grub-install /dev/ad0
/usr/local/sbin/grub-probe: error: cannot find a device for /boot/grub (is /dev mounted?).
No path or device is specified.
Try `/usr/local/sbin/grub-probe --help' for more information.
Auto-detection of a filesystem module failed.
Please specify the module with the option `--modules' explicitly.
#

必要なファイルがダウンロード出来たならばインストールします。

# pkg_add libiconv-1.13.1_1.tbz  gettext-0.18_1.tbz grub2-1.98_1.tbz
pkg_add: warning: package 'grub2-1.98_1' requires 'gettext-0.18.1.1', but 'gettext-0.18_1' is installed

#############################################################
To install GRUB on the master boot record of your hard drive
use 'grub-install ' command.

A typical menu entry in /boot/grub/grub.cfg for FreeBSD:
menuentry "FreeBSD" {
	set root(hd0,1,a)
	kfreebsd /boot/loader
}
Or use grub-mkconfig to create the config file.
#############################################################
#

ワーニングが出ますが気にせず、grubをインストールします。

# grub-install /dev/ad0
Installation finished. No error reported.
# cd /boot/grub
# vi /boot/grub.cfg
# vi /boot/grub/grub.cfg
menuentry "FreeBSD" {
	set root(hd0,1,a)
	kfreebsd /boot/loader
}

grubのインストールが完了したら、bsd.rdを/boot以下にダウンロードし、リブートします。

# cd /boot
# sudo ftp ftp://ftp.jaist.ac.jp/pub/OpenBSD/5.0/amd64/bsd.rd
# sync;sync;sync;reboot
#

GRUB2からOpenBSDのインストーラをキックする

リブートとすると下記の様なgrubの画面が出てきますので、すかさず"c"キーを押下します。

FreeBSDのgrubメニュー

次にbsd.rdを読み込んでブートさせます。

bsd.rdのロード

hddが認識されています。

OpenBSDのdmesg

その後は、普通のOpenBSDインストール作業と変わらないので、粛々とインストール作業を進めればよいでしょう。

投稿者 yanmoo 時刻: 23:23 ラベル: , 0 コメント

2011年12月17日土曜日

さくらVPSでOpenBSD (squidの設定)

squidをインストールして設定してみます。

squidはproxyサーバーですが、自分の場合「外出時にiphoneなどで何処かのサイトにアクセスしたいけど、不要な画像とかは表示したくないのでsquidでブロックしちゃうよ。」的な使い方になります。

このようなコンテンツフィルタリングにはsquidGuardなどがありますが、そこまでやる気はない(サーバーの物理メモリも少ないのでプロセスはあまり立ち上げたくない)ので、squidで出来る程度のフィルタリングになります。

設定ポリシーは

  • squidのバージョンは2.7(portsでインストール)
  • squidだけで、コンテンツフィルタリングするぞ。
  • ディスクがもったいないので、コンテンツのキャッシュは無効にします。
  • 外部からのアクセスなので、Proxy認証をかけます。
  • 画像をブロックしたときにエラーページを返すとレイアウトが崩れるのでなんとかする。

インストール

portsでインストールします。

# cd /usr/ports/www/squid/
# make install
# make clean=depends
#

/etc/rc.conf.localの設定

インストールが完了したら、/etc/rc.conf.localに下記の設定を追加します

squid_flags=""
pkg_scripts="postfix saslauthd …… 略 …… courier_imap_ssl squid"

アクセスコントロールの設定

最初にaclの設定をします。この辺はデフォルトの設定をコピペしただけです。

# Recommended minimum configuration:
#
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8	    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl localnet src 192.168.0.0/16	# RFC1918 possible internal network

acl SSL_ports  port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

ブラックリストの設定とキャッシュの無効化

/etc/squidにコンテンツフィルタリングの設定ファイル、whitelist.txt blacklist.txt blackpath.txtを置く事にします。また全てのアクセスをキャッシュしない設定にします。

# blacklistとwhitelistの設定
acl whitelist url_regex -i     "/etc/squid/whitelist.txt"
acl blacklist url_regex        "/etc/squid/blacklist.txt"
acl blackpath urlpath_regex -i "/etc/squid/blackpath.txt"

# cacheを無効にする
no_cache deny all

squidアクセスの制限設定

aclのblacklist・blackpathで定義したコンテンツはブロックします。aclのwhitelistで定義したコンテンツはブロックしません。

# cachemgrアクセス(キャッシュされたオブジェクト情報へのアクセス)は
# ローカルホストからのみ許可する。
http_access allow manager localhost
http_access deny  manager
# acl名Safe_portsで定義したポート以外へのリクエストを拒否する。
http_access deny !Safe_ports
# SSLポート以外へのCONNECTメソッドのリクエストは拒否する。
http_access deny CONNECT !SSL_ports

# whitelistは許可 と blacklist拒否
http_access allow whitelist
http_access deny  blacklist
http_access deny  blackpath
deny_info http://blackhole.example.com/index.php?url=%s blacklist
deny_info http://blackhole.example.com/index.php?url=%s blackpath

# ローカルホスト ローカルネットからのアクセスは許可する。
http_access allow localnet
http_access allow localhost

画像をブロックするとリンク切れの状態なる問題

blacklistで画像をブロックすると、squidは空白のページを返してきます。するとsafariなどのブラウザは画像のリンクが切れていると判断して、はてなマークのアイコンを表示してしまい画面が見づらくなってしまいます。

画像link切れ

これを回避するために下記の設定を行い、ブロックした場合はhttp://blackhole.example.com/index.phpに飛ばします。index.phpでは引数に指定されたURLにより出力内容を変えてあげます。

deny_info http://blackhole.example.com/index.php?url=%s blacklist
deny_info http://blackhole.example.com/index.php?url=%s blackpath

index.phpは拡張子をみて、それに見合った1dotの白画像を出力するだけの簡単なプログラムです。

<?php
error_reporting(0);
if(preg_match('/\.(jpeg|jpg|jpe)$/',$_GET['url'])){
    $img = file_get_contents('./images/spacer.jpg') ;
    header('Content-type: image/jpeg') ;
    echo $img ;
}
elseif(preg_match('/\.(png)$/',$_GET['url'])){
    $img = file_get_contents('./images/spacer.png') ;
    header('Content-type: image/png') ;
    echo $img ;
}
elseif(preg_match('/\.(gif)$/',$_GET['url'])){
    $img = file_get_contents('./images/spacer.gif') ;
    header('Content-type: image/gif') ;
    echo $img ;
}
else{
    echo "" ;
}
?>

この設定をした後の画面は下記のようになりすっきりします。

画像link切れ対処

認証の設定

外部サイトのproxyなので他人に使用されないように認証をかけます。basic認証だと平文でパスワードが流れてしまうので、Digest認証を使うことにします。

## 認証設定
# digestを使用
auth_param digest program /usr/local/libexec/digest_pw_auth /etc/squid/digpass
# 認証プロセスの数を指定します。
auth_param digest children 5
# ダイジェスト認証の「ユーザ名・パスワード画面」に表示する文字
auth_param digest realm Squid proxy-caching web server
# クライアントエージェントの有効性をチェックする時間を指定します
auth_param digest nonce_garbage_interval 5 minutes
# nonce(臨時・その場限り)の有効性のチェックする時間を指定します
auth_param digest nonce_max_duration 30 minutes
# nonceの使用できる回数を指定します。
auth_param digest nonce_max_count 50
# Squidでnonceのカウンターを1づつ進めていきます。
auth_param digest nonce_strictness on
# このディレクティブはoffにセットされたならnonceのカウントチェックを無効
auth_param digest check_nonce_count off
auth_param digest post_workaround off

# 認証を要求
acl password proxy_auth REQUIRED
# 認証を通ったアクセスは許可
http_access allow password
# そのほかのアクセスはすべて拒否する
http_access deny all

設定値はsquid.confのコメントに書いてあったものをほぼコピーしただけです。但し、auth_param digest check_nonce_countはoffにしておかないと、iOSで認証ダイアログが繰り返し表示されてしまいました。原因を特定するのにえらい苦労しました。IDとパスワードは/etc/squid/digpassに平文でID:PASSWORDの形式で列記してあげれば良いです。

それ以外の設定

ヘッダ情報やキャッシュなどの設定を行います。

# ドットなしのホスト名にローカルなドメイン名を付加します。
append_domain .example.com

# squidが受け付けるhttpのポート番号
http_port 1234

## ヘッダー情報の設定
# 内部 IP アドレスが送られないようにする
forwarded_for off
# Proxyの存在を知らせない
header_access X-Forwarded-For deny all
header_access Cache-Control deny all

## キャッシュの設定
# 複数のsquidサーバで、お互いのキャッシュ情報を参照し、効率的に連携させることができる。
# 無効にするには "0"を設定する。
icp_port 0
# IPキャッシュの数
ipcache_size 5120
cache_mem 32 MB
# キャッシュは無効にしてあるので /dev/nullに設定
cache_dir null /dev/null
maximum_object_size 512 KB
maximum_object_size_in_memory 16 KB

## ログの設定
# ストレージ・マネージャーの活動を記録しない
cache_store_log none
# apache風ログで出力
emulate_httpd_log on
logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st %Ss:%Sh
access_log /var/squid/logs/access.log common
# クライアントごとの統計を無効
client_db off

設定のチェックと起動

最初に設定した記述が正しいかチェックします。エラーメッセージが出なければ問題なしです。

# /usr/local/sbin/squid -k parse
#

設定に問題無ければキャッシュディレクトリを作成します。今回はキャッシュ無しなのでやらなくても問題ないと思うのですが一応… ディレクトリを作成したら起動させます。

# /usr/local/sbin/squid -z
2011/12/16 00:36:03| Creating Swap Directories
# /etc/rc.d/squid start
squid(ok)
#

起動したら、ブラウザ側にproxyの設定を行い、接続および認証ができるか確認してみます。


blacklistの作成

blacklistは、頻繁に訪れるサイトの不要な画像やjavascript,iframe等のリンクを抽出して/etc/squid/blacklist.txtに正規表現で記述していきます。同様に不要なパスを/etc/squid/blackpath.txtに正規表現で記述します。

/etc/squid/whitelist.txtにはブロックしたくないコンテンツを記述していきます。特に

deny_info http://blackhole.example.com/index.php?url=%s blacklist
deny_info http://blackhole.example.com/index.php?url=%s blackpath

の設定では、"?url"にブラックリストのURLが入ってくるため、このプログラム自体がブラクックリストにマッチしてしまいフィルタリング処理がループしてしまいます。ですので上記で設定したドメインは必ずwhitelist.txtに指定します。

参考の為にブラックリストを晒しておきます。このリストは俺専用にカスタマズされているので、他の人が使用しても全く効果がないかもしれません。

フィルタリング適応前と適応後

フィルタリング適応前と適応後を比べてみます。比較するページがなんで「発言小町」なんだと言う突っ込みは無しの方向で(笑)

まずは適応前で、全体的に五月蠅い感じで、讀賣らしさが出ていますね。

適応前

そして適応後、素のHTML部分が残ってしまているのが悔しいですが、大分すっきりしました。「小町のiAppを入れろよ」と言ってくる、うざい広告のjavascriptもブロックしているのでイライラせずにブラウズする事が出来るようになりました。

適応後
投稿者 yanmoo 時刻: 23:50 ラベル: , 0 コメント

2011年12月14日水曜日

さくらVPSでOpenBSD (postfix imapの設定)

さくらVPSにメールの設定を行います。ポリシーとしては下記の項目を設定してみます。

  • MTAはpostfiを使用
  • imapはcourier-imapを使用
  • メール送信にはsmtp認証を行う
  • smtp認証 imap認証にはauthdaemondを使用
  • smtp(STARTTLS)
  • Submission(STARTTLS)
  • smtps(SSL)
  • imaps(SSL)

postfix courier-authlib courier-imapをインストール

portsを使ってさくっとインストール。

インストール

# cd /usr/ports/mail/postfix/stable
# env FLAVOR="sasl2" make install
# cd /usr/ports/mail/courier-authlib
# env FLAVOR="no_ldap no_mysql no_pgsql" make install
# pkg_add /usr/ports/packages/amd64/all/courier-authlib-userdb-0.63.0p3.tgz
# cd /usr/ports/mail/courier-imap
# env FLAVOR="no_trashquota" make install
#

/etc/rc.conf.localの編集

/etc/rc.conf.localに下記の設定を追加

sendmail_flags=NO
syslogd_flags="-a /var/spool/postfix/dev/log"
postfix_flags=""
saslauthd_flags=NO
courier_authdaemond_flags=""
courier_imap_flags=NO
courier_imap_ssl_flags=""
pkg_scripts="postfix saslauthd courier_authdaemond courier_imap courier_imap_ssl"

postfixの一般的な設定

/etc/postfix/main.cfを編集して、メールの送受信テスト用に一般的な設定を行います。

/etc/postfix/main.cfの編集

myhostname  = foo.example.org
mydomain    = example.org
myorigin    = $mydomain

inet_interfaces = all
inet_protocols  = ipv4

mydestination    = $myhostname, localhost.$mydomain, $mydomain
mynetworks_style = host

alias_maps = hash:/etc/mail/aliases
alias_database = hash:/etc/mail/aliases

# postfixのversionは非表示
smtpd_banner = $myhostname ESMTP $mail_name
# 受信メールはMaildir形式で格納
home_mailbox = Maildir/

## for Blockking
##
# HELO または EHLO コマンドを要求
smtpd_helo_required = yes
# VRFYやEXPNコマンドを無効(お好みで有効に)
#disable_vrfy_command = yes
#RFC821違反のFROM:やRCPT TO:を拒否(お好みで有効に)
#strict_rfc821_envelopes = yes

# SMTPサーバがクライアントからSMTP接続の要求を受けた際に適用する制限
smtpd_client_restrictions =
	 permit_mynetworks,
	 # 逆引出来ないIPは拒否
	 reject_unknown_client,
	 # reject_listで定義されているものは拒否
	 check_client_access hash:/etc/postfix/reject_list, 
	 permit

# Fromによる制限
smtpd_sender_restrictions =
        # 送信者のアドレスのドメインにAレコードまたはMXレコードがないとき拒否
	 reject_unknown_sender_domain,
	 #アドレスがFQDNでなければ拒否
	 reject_non_fqdn_sender,
	 # sender_accessはで定義されているものは拒否
	 check_sender_access hash:/etc/postfix/sender_access
# アドレス検証状態の格納場所
address_verify_map = btree:/etc/postfix/verify

Maildirディレクトリを作成

自分のhomeディレクトリにMaildirを作成します。courier-imapがインストールされていれば、/usr/local/bin/にmaildirmakeコマンドがあると思いますのでこれを使います。

# su UserName -c '/usr/local/bin/maildirmake  /home/UserName/Maildir'
#

useraddコマンド実行時にMaildirが作成されるように/etc/skel/Maildirにも作成します。

# /usr/local/bin/maildirmake /etc/skel/Maildir
#

postfixを立ち上げます

# /etc/rc.d/postfix start
#

送受信と不正中継のチェック

送信と受信を行ってみて、正常に動作しているか確認します。受信の場合は正常に受信出来ていれば、/home/UserName/Maildir/newの下にファイルが出来ているはずです。

不正中継のチェックは第三者中継チェックなどを使えば良いでしょう。

authdaemondの設定


/usr/local/lib/sasl2にsmtpd.confを作成

smtpd.confはデフォルトでは存在しないので、新規作成して下記の設定をします。

pwcheck_method: authdaemond
authdaemond_path: /var/run/courier-auth/socket
mech_list: plain login

authdaemondにパスワードを登録

ユーザ情報を登録
# /usr/local/sbin/userdb UserName set home=/home/UserName mail=/home/UserName/Maildir uid=`id -u UserName` gid=`id -g UserName`
smtp認証時のパスワード
# /usr/local/sbin/userdbpw | userdb UserName set smtppw
Password: 
Reenter password:
imap認証時のパスワード(平文)
# /usr/local/sbin/userdbpw | userdb UserName set imappw
Password: 
Reenter password:

データベース作成
# /usr/local/sbin/makeuserdb

これで/etc/courier/以下に userdb userdb.dat userdbshadow.dat が作成されます。

/etc/courier/authdaemonrcを編集

メモリーがもったいないので立ち上がるプロセスを減らします。/etc/courier/authdaemonrcを開いて下記のように変更します。

# You may need to increase daemons if as your system load increases.  Symptoms
# include sporadic authentication failures.  If you start getting
# authentication failures, increase daemons.  However, the default of 5
# SHOULD be sufficient.  Bumping up daemon count is only a short-term
# solution.  The permanent solution is to add more resources: RAM, faster
# disks, faster CPUs...

#daemons=5
daemons=2

/etc/rc.d/courier_authdaemondを編集

OpenBSDのpostfixはchrootして動作しているので、/var/spool/postfixより上のディレクトリのファイルはアクセスは出来ません。しかしauthdaemondで認証をするためには、/var/run/courier-auth/socketにアクセスしなければならず、このままだと認証が失敗します。

これを回避するために、/var/spool/postfix/var/run/courier-auth/socket に /var/run/courier-auth/socketをハードリンクを作成して(シンボリックリンクでは認証NGになってしまいました)、postfixからもcourier-authのsocketをアクセス可能にします。

このハードリンクを作成する処理を /etc/rc.d/courier_authdaemondに追加します

rc_start() {
        mkdir -p /var/run/courier{,-auth}/
        ${rcexec} "${daemon} start"
        if [ -x /var/run/courier-auth/socket ]; then
                ln /var/run/courier-auth/socket /var/spool/postfix/var/run/courier-auth/socket
        fi
}

rc_stop() {
        ${daemon} stop
        if [ -x /var/spool/postfix/var/run/courier-auth/socket ]; then
                rm /var/spool/postfix/var/run/courier-auth/socket
        fi
}

SSLサーバ証明書の作成


サーバー秘密鍵の作成 (server.key)

# cd /etc/ssl/private/
# openssl genrsa  -out server.key -aes256 2048
Generating RSA private key, 2048 bit long modulus
.......................+++
..................................................................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for server.key:   パスフレーズを入力します。
Verifying - Enter pass phrase for server.key:  パスフレーズを再度入力します。
#

パスフレーズを削除

# openssl rsa -in server.key -out server.key 
Enter pass phrase for server.key:  パスフレーズを入力します。
writing RSA key
#

証明書要求の作成(server.csr)

# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) []:Sakura
Organization Name (eg, company) []:Example Com
Organizational Unit Name (eg, section) []:foo
Common Name (eg, fully qualified host name) []:foo.example.com
Email Address []:postmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#

自己署名の証明書の作成(server.crt)

個人使用のサーバーなので、ca署名でなく自己署名の証明書を作成します。そして、imap用の証明書imapd.pemとpostfix用の証明書postfix.pemを作成します。

# openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650
Signature ok
subject=/C=JP/ST=Tokyo/L=Sakura/O=Example Com/OU=foo/CN=foo.example.com/emailAddress=postmaster@example.com
Getting Private key
# (cat server.crt ; cat server.key) > imapd.pem
# chmod 400 imapd.pem
# chown _courier imapd.pem
# (cat server.crt ; cat server.key) > postfix.pem
# chmod 400 postfix.pem
# chown _postfix postfix.pem
#
# ls -al
drwx------  2 root      wheel   512 Dec 10 16:11 .
drwxr-xr-x  4 root      wheel   512 Dec  3 17:10 ..
-rw-------  1 _courier  wheel  3021 Dec 10 15:51 imapd.pem
-rw-------  1 _postfix  wheel  3021 Dec 10 16:11 postfix.pem
-rw-------  1 root      wheel  1346 Dec 10 15:48 server.crt
-rw-------  1 root      wheel  1074 Dec 10 15:47 server.csr
-rw-------  1 root      wheel  1675 Dec 10 14:17 server.key
#

postfixの認証用の設定を追加

/etc/postfix/main.cfを編集して、postfixの認証用の設定を追加します。

/etc/postfix/main.cfの編集

## for Auth
##
# SASLによるSMTP認証を使用
smtpd_sasl_auth_enable = yes
# メールの配送や中継の制限を設定
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_local_domain = 
# noanonymous : 匿名での接続を拒否。
smtpd_sasl_security_options=noanonymous

## for SMPT over SSL
##
# STARTTLSサポートを案内するが、クライアントがTLS暗号化を使うことを強制はしない
mtpd_tls_security_level = may
# tlsのログレベル
smtpd_tls_loglevel = 1 
# 証明書の場所
smtpd_tls_cert_file = /etc/ssl/private/postfix.pem
smtpd_tls_key_file =  /etc/ssl/private/postfix.pem
tls_random_source = dev:/dev/urandom

/etc/postfix/master.cfを編集

/etc/postfix/master.cfを編集して、submission(port 587)とsmtpsを有効にします。smtpsがあるのでsubmissionは不要な気もするが一応設定しておきます。

設定前
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

設定後
submission inet n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=may
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

設定前
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

smtps     inet  n       -       -       -       -       smtpd
    #smtpd_tls_wrappermode=yes を有効にしないとthunderbirdのsmtpsが動かなくてはまった
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

接続・認証テスト


authdaemond imaps postfixの起動

テストの前にauthdaemond imapsを起動します。postfixは設定が変わったので再起動させます。

# /etc/rc.d/courier_authdaemond start
courier_authdaemond(ok)
# /etc/rc.d/courier_imap_ssl start
courier_imap_ssl(ok)
# /etc/rc.d/postfix restart
postfix(ok)
postfix(ok)
#

認証用データの作成

認証データはperlを使って簡単に作成できます。

perl -MMIME::Base64 -e 'print encode_base64("username\@domain\0username\@domain\0password");'

例えば、ユーザー名が"FOOBAR"でパスワードが"HOGEHOGE"の場合は、次のようにして作成します。

# perl -MMIME::Base64 -e 'print encode_base64("FOOBAR\0FOOBAR\0HOGEHOGE");'
Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
#

作成したデータを確認したい場合は次のようにします。

# echo "Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==" | nkf -mB | perl -pe 's/\0/\n/g'
FOOBAR
FOOBAR
HOGEHOGE
#

smtp(port 25)への接続

最初は暗号化されていない(非STARTTLS)接続で通信してみます。

# telnet localhost smtp
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 foo.example.org ESMTP Postfix
EHLO localhost
250-mail.example.org
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
Connection closed by foreign host.
#

次は暗号化された(STARTTLS)接続で通信してみます。

# openssl s_client -crlf -starttls smtp -connect localhost:smtp
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com
verify error:num=18:self signed certificate
verify return:1

---- 色々出力されるので略 ----

250 DSN
EHLO localhost
250-foo.example.org
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
closed
#

submission(port 587)への接続

smtpの時と同じように、非STARTTLSとSTARTTLSで接続してみます。

# telnet localhost submission
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 foo.example.org ESMTP Postfix

---- 色々出力されるので略 ----

250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
Connection closed by foreign host.
#

# openssl s_client -crlf -starttls smtp -connect localhost:submission
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com

---- 色々出力されるので略 ----

250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
closed
#

smtps(port 465)への接続

smtpsの場合は最初からSSL通信するので、コマンドオプションが少し違います。

# openssl s_client -connect localhost:smtps
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com

---- 色々出力されるので略 ----

250-8BITMIME
250 DSN
auth plain Rk9PQkFSAEZPT0JBUgBIT0dFSE9HRQ==
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
closed
#

imaps(port 465)への接続

smtpsの場合は最初からSSL通信するので、コマンドオプションが少し違います。

# openssl s_client -connect localhost:imaps
CONNECTED(00000003)
depth=0 C = JP, ST = Tokyo, L = Sakura, O = Example Com, OU = foo, CN = foo.example.com, emailAddress = postmaster@example.com

---- 色々出力されるので略 ----

* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc.  See COPYING for distribution information.
0000 CAPABILITY
* CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION
0000 OK CAPABILITY completed
0001 LOGIN "FOOBAR" "HOGEHOGE"
0001 OK LOGIN Ok.
0002 logout
* BYE Courier-IMAP server shutting down
0002 OK LOGOUT completed
closed
#

これでサーバーの設定は終了しました。

投稿者 yanmoo 時刻: 19:13 ラベル: , 0 コメント

2011年12月6日火曜日

さくらVPSでOpenBSD (pfの設定)

さくらVPSにOpenBSDをインストールした訳だが、最初にフィルターリングの設定を行います。/etc/pf.confを下記のように設定しました。

########## Macro define
#ネットワークインターフェースの定義
ext_if="em0"

# 中継しないIPのテーブル
table <unroutable> const {127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32}
# マルチキャストIPのテーブル
table <multicast>  const {224.0.0.1/32, 224.0.0.2/32}

# 許可するサービスの定義
services_udp="{ domain }"
services_tcp="{ ssh, smtp, domain, www, auth, imap, submission, smtps, imaps }"
icmp_types = "echoreq"

######## option
# ブロック時のポリシーは
# ブロックしたTCP パケットにTCP RST を返す
# ブロックしたUDP パケットに ICMP UNREACHABLEを返す
set block-policy return

########## normalize all packets
# パケットの正規化
match in all scrub (no-df)

########## Filtering rules
# 全てのパケットをブロック
block in log all
block out all 

# ループバックインタフェースはフィルター対象外
set  skip  on lo0

# 詐称されたパケットはブロック
antispoof quick for { lo0, $ext_if }

# URPFチェックに失敗するパケットはブロック
block in quick from urpf-failed

# 中継しないIPはブロック
block drop in  log quick on $ext_if from { <unroutable> <multicast> } to any
block drop out log quick on $ext_if from any to { <unroutable> <multicast> }

# 外向けパケット
pass out on $ext_if inet proto icmp all icmp-type 8 code 0 keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto udp all keep state

# 内向きパケット
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $ext_if inet proto tcp from any to ($ext_if) port $services_tcp flags S/SA keep state
pass in on $ext_if inet proto udp from any to ($ext_if) port $services_udp keep state

pass in quick on $ext_if inet proto tcp from any to ($ext_if) port ssh flags S/SA synproxy state
pass in quick on $ext_if inet proto tcp from any to ($ext_if) port smtp flags S/SA synproxy state
pass in quick on $ext_if inet proto tcp from any to ($ext_if) port www flags S/SA synproxy state

設定したら、記述が正しいかチェックして、OKならばロードして終わり。

# pfctl -nf /etc/pf.conf   設定チェック
# pfctl -f  /etc/pf.conf   設定をロード

さくらVPSはコンソールからログイン出来るので、フィルタリングの設定に失敗してログイン出来なくなっても、コンソールから修正が出来るので安心ですね。

ついでに、SSHのブルートフォース攻撃が五月蠅いので/etc/hosts.denyと/etc/hosts.allowも設定しておく。

/etc/hosts.deny

sshd: ALL

/etc/hosts.allow

sshd : 127.0.0.1
sshd : .jp

取りあえず、jpドメイン以外からの攻撃は防御出来る。

投稿者 yanmoo 時刻: 23:22 ラベル: , 0 コメント

2011年12月5日月曜日

さくらのVPSを契約したのでOpenBSDを入れてみた

現在使用しているサーバは自由度が低いので、もっと自由に弄くれる外部サーバーが欲しくなり、さくらのVPSを契約してみました。

OSはBSDがいいな。FreeBSDは再インストールメニューに出ているので簡単に変更出来そう。でも、FreeBSD3.x以降は使っていないのでちょっと不安。現在自宅で使っているのはNetBSDだけど、さくらのVPSではNetBSDは動かないぽい。

OpenBSDはどうよ?と検索してみると さくらのVPSにOpenBSDをインストールしてみた と言うサイトが見つかった。インストール手順を見た限りでは、結構簡単にインストールできそうだし、OpenBSDは4.3ぐらいまでは使っていたので、OpenBSDしかない!(キリッ と言うことでインストールしてみました。

リンク先に書いてある手順に従えば問題無くインストール出来るので書くことは殆どないのですが、違いといえばバージョンがOpenBSD5.0とパーティションが違う事ぐらいです。

パーティション構成は下記のように、"/usr/src" "/usr/port" "/usr/X11R6" を /usr パーティションにまとめ、大きめに領域をとりました。HDDの容量が20GBしかないので結構悩んだ。

# disklabel -E /dev/rwd0c
Label editor (enter '?' for help at any prompt)
> p m
OpenBSD area: 64-41942880; size: 20479.9M; free: 0.0M
#                size           offset  fstype [fsize bsize  cpg]
  a:           500.0M               64  4.2BSD   2048 16384    1 # /
  b:           800.3M          1024128    swap                   # none
  c:         20480.0M                0  unused                   
  d:          1024.2M          2663136  4.2BSD   2048 16384    1 # /tmp
  e:          4096.0M          4760768  4.2BSD   2048 16384    1 # /var
  f:          4607.9M         13149344  4.2BSD   2048 16384    1 # /usr
  g:          5119.7M         22586240  4.2BSD   2048 16384    1 # /home
  h:          4331.8M         33071456  4.2BSD   2048 16384    1 # /usr/local
>

インストールが終了したら、src.tar.gz syssrc.tar.gz ports.tar.gzします。展開し終わったら、portsは最新版に更新します。

# cd /usr/ports
# cvs -d anoncvs@anoncvs.jp.openbsd.org:/cvs update -Pd
#

portsを最新版にしたら、依存関係のチェックがうまく働くなりコンパイルエラーになってしまったので、/usr/src/share/mkとpkg_addを最新版にしてみる。

# cd /usr/src/share/mk
# cvs -d anoncvs@anoncvs.jp.openbsd.org:/cvs update -Pd
# make install
# cd /usr/src/usr.sbin/pkg_add/
# cvs -d anoncvs@anoncvs.jp.openbsd.org:/cvs update -Pd
# make ; make install
#

再度コンパイルしてみると、正常にコンパイルできました。mercurial postgrsql mysql postfixなど、幾つかインストールした後のディスクの状態は下記の通りです。

# df -k
Filesystem  1K-blocks      Used     Avail Capacity  Mounted on
/dev/wd0a      501854     43384    433378     9%    /
/dev/wd0g     5157310     47372   4852074     1%    /home
/dev/wd0d     1029118        12    977652     0%    /tmp
/dev/wd0f     4642990   2003500   2407342    45%    /usr
/dev/wd0h     4363534    252150   3893208     6%    /usr/local
/dev/wd0e     4125390     64112   3855010     2%    /var

/dev/wd0fにportディレクトリがあるので、コンパイル途中にディスクが溢れるないか心配でしたが、こまめに "make clean=depends;make clean=dist"すれば問題なさげ。

ちょっとはまった所

その1。/etc/rc.conf.localに下記のように書いたのだけれども、指定したデーモンがが立ち上がらなくて悩んだ

sendmail_flags=NO
syslogd_flags="-a /var/spool/postfix/dev/log"
postfix_flags=NO
mysqld_flags=""

正解は、次のように書かないと駄目みたい(5.0からか?)

sendmail_flags=NO
syslogd_flags="-a /var/spool/postfix/dev/log"
postfix_flags=NO
mysqld_flags=""

pkg_scripts="postfix mysqld"

その2。topを表示させたらcpuが1つしか表示されていなかった、よく考えてみるとカーネルがシングルプロセッサ用だったので、マルチプロセッサ用のカーネルを取ってきてリブートで認識された。

# cd /
# wget ftp://ftp.jaist.ac.jp/pub/OpenBSD/5.0/amd64/bsd.mp
# mv bsd bsd.sp
# mv bsd.mp bsd
# sync;sync;sync;
# reboot
#
投稿者 yanmoo 時刻: 17:43 ラベル: , 0 コメント
登録: 投稿 (Atom)