IKEv2ってなんぞ

CiscoとMicrosoftで規定した、IPsecの鍵交換方式らしい。ネットワークが移動してもトンネルを維持できるので、モバイル機器に向いている、らしい。また、Microsoftが規定しているということは、Windowsとも相性がいい、らしい。

設定

StrongSwanのインストール

package.useファイルに以下の設定を追記。

net-vpn/strongswan eap farp

で、パッケージをインストールします。

# emerge strongswan

StrongSwanの設定

サーバ証明書の設定

StrongSwanにはサーバ証明書が必要です。サーバ証明書には、

• サーバ認証局証明書
• サーバ公開鍵
• サーバ秘密鍵

これらは、ドメインを公開しているLet's encryptの証明書が使えるので、それをStorongSwanでも使えるように設定します。

# cd /etc/ipsec.d/cacerts
# ln -sfn /etc/letsencrypt/live/ドメイン名/chain.pem
# cd /etc/ipsec.d/certs
# ln -sfn /etc/letsencrypt/live/ドメイン名/cert.pem
# cd /etc/ipsec.d/private
# ln -sfn /etc/letsencrypt/live/ドメイン名/privkey.pem

また、ipsec.d以下はStrongSwanのユーザ/グループ名でしかアクセスできないように権限設定注意してくださいね。秘密鍵だだもれは恐ろしいので…

今回は、MSCHAPv2という、ユーザー/パスワードを入力する方式で行きます。

# vi /etc/ipsec.conf

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
       # strictcrlpolicy=yes
       # uniqueids = no

# Add connections here.

conn %default
     keyexchange=ikev2
     ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
     esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
     dpdaction=clear
     dpddelay=300s
     rekey=no

conn IPSec-IKEv2
     keyexchange=ikev2
     left=%any
     leftsubnet=0.0.0.0/0
     leftid=Let's encryptで届け出ているドメイン名
     leftcert=cert.pem
     leftsendcert=always
     right=%any
     rightid=%any
     rightdns=DNSサーバアドレス
     rightsourceip=端末に割り振るIPアドレス
     auto=add

conn IPSec-IKEv2-EAP
     also="IPSec-IKEv2"
     rightauth=eap-mschapv2
     eap_identity=%any
     auto=add

最後に、パスフレーズを設定します。

# vi /etc/ipsec.secrets

# ipsec.secrets - strongSwan IPsec secrets file

: RSA privkey.pem

ユーザ名 : EAP "パスワード"

このipsec.secretsもStrongSwanのユーザしかアクセスできないようにしておいてくださいね…

さて…サーバの設定は終了

IPフィルタの設定

iptables -t filter -A INPUT  -p udp -m udp --dport 500 -j ACCEPT
iptables -t filter -A INPUT  -p udp -m udp --dport 4500 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -m udp --sport 4500 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -m udp --sport 500 -j ACCEPT

IKE鍵交換プロトコルと、IPsecのESP*1を受信するためのポートをオープンします。

更に、NAPTなブロードバンドルータに、UDP 4500 とUDP 500をサーバにNAT変換するアドレス変換テーブルを設定します。

接続してみよう

サーバ群起動

# /etc/init.d/ipsec start

Android側設定

端末設定→その他→VPN→VPNの追加 選択

名前

適当につけて

タイプ

IKEv2/IPSec mschapv2

サーバアドレス

IPsecサーバのIPアドレス若しくはホスト名

ユーザ名

/etc/ipsec.secretsに設定したユーザ名

パスワード

/etc/ipsec.secretsに設定したパスワード

んで、保存。接続するときは

で接続をタップ。

Windows側設定

Windows10は『設定』→ネットワークとインターネット→VPN→VPN接続を追加する

VPNプロバイダ

Windowsビルドイン

名前

適当につけて

サーバアドレス

IPsecサーバのIPアドレス若しくはホスト名

サインイン情報の種類

ユーザ名とパスワード

ユーザ名(オプション)

/etc/ipsec.secretsに設定したユーザ名

パスワード(オプション)

/etc/ipsec.secretsに設定したパスワード

でVPN接続が作られます。タスクバーの通知アイコンのネットワークを開くと、VPN接続のアイコンができております。クリックして接続を押すと、設定がうまくできてれば、接続確立します!

SPAMとウィルスメール

はっきり言って迷惑この上ないこの2つ。なんとか撃退できないものかと皆さん考えますわな。で、うちでもサーバサイドで何とかならんものかと考えておりました。んで、PostfixとCyrus-imapdの設定を調べてあれこれやっていたところ、あるじゃないですか。便利なものが。

ウィルスチェックソフト

ウィルスチェックも結構個人利用に関しては便利なものがあります。

• H+BEDV
• Clam AntiVirus

ほかにもあるのですが、一応この2つに着目してみました。H+BEDVは、有償ソフトなのですが、個人利用に限り無料。1年間有効なキーが送られて参りまして、1年更新で使用できます。
Clam AntiVirusはGPLライセンスなフリーのウィルススキャンソフト。で、実はどっちも試してみたのですが、私はClam AvtiVirusを選択いたしました。というのも、H+BEDVがいつの間にか自由に更新ができづらくなってしまいましてね…

インストール

# emerge clamav

設定

# rc-update add clamd default

意外に簡単でした♪

SPAM対策

SPAM対策については、spamassassinという便利なツールがありました。これの便利なところは、

• SPAMパターンの登録ができること
• サーバに問い合わせ最新SPAMパターンと比較できること
• ベイズフィルタという学習フィルタを持っていて、後でSPAMとそうでないメールを比較させて賢くしていけること
• 様々なプラグインが用意されていること

いや、至れりつくせりですね。

また、最近は他の手段もあり、

greylisting

whitlist(信頼できるホストの一覧)、blacklist(信頼できないホストの一覧)というSPAMホストのリストの他に、greylistという、中間を用意する。具体的には、初めてメール転送を依頼してきたホストは、greylistに登録し、一定時間接続をRejectする。真に自分にメールを送ってくるホストは、リトライしてくるはず。SPAMなどツールで送信するホストは、一旦はじかれるとリトライしてこないので、SPAM対策になる

SPF(Sender Policy Framework)

DNSのTXTフィールドに、ある送信ドメインを信頼してもらう場合、どのDNSレコードを信頼してもらうかを記載しておく。メールを受信したMTAは、そのDNSフィールドを参照し、信頼できるホストからのメールかどうかを判定する

いろいろと対抗策が増えているんですね~。ちょっと設定に凝ってみようと思いまする。

postfixとの連動

Postfixは、いろいろと便利な機能を持っており、content_filterという外部フィルターを通してメールを配送する機能を持っております。これを利用します。そこで、このcontent_filterを使って以下のような方法があります。

• ウィルス対策
  • content_filterに直接AntiVirusソフトを導入してやる。
  • AMaViSというフロントエンドを導入してやる。
• SPAM対策
  • Procmail+spamassassin
  • Postfixと直接spamassasin

チョイスポイントが何かが重要です。

• ウィルス対策にAMaViSをフロントエンドで導入してあげると、ウィルスチェックソフトにPostfixが依存しなくなる事がいい点です。
• SPAM対策では、Procmail&spamassassinだと、各ユーザサイドにてSPAM選択ルールが作れます。Postfixに直接spamassassinだと、メール配信時にSPAMチェックが出来るので、ユーザ設定の手間がない。その代わりユーザによって、柔軟なカスタマイズが難しくなる。

といえます。

で、私は何を選んだか。AMaViSフロントエンド導入&Postfixと直接spamassassinです。だって、ユーザってみんながみんな賢いわけではないから、使いこなせなさそうだし、管理者がしっかりやれば、結構賢くチューニングできるはずですからね。図に示すとこんな感じ

AMaViS導入

AMaViSとは、ちょっと触れましたが、ウィルススキャンソフトとのフロントエンドをつかさどってくれるインタフェースです。Postfixなんかと結構相性がよいので、Postfixとウィルススキャンソフトの間にかませるととっても良いと言うことです。で、このAMaViSも種類がありまして、

AMaViS-perl

perlフロントエンド。コマンドライン実行される

AMaViS-new

perlフロントエンドだが、Daemon実行される。AntiVirusとspamassassinの双方のフロントエンドになれる

AMaViS-ng

AMaViS-perlの機能拡張版。

なんでこう亜流がいっぱいあるかなぁ。調べた情報がいい加減でかなり悩みました。で、私はAMaViS-newを選びました。それは、

• Portageにあった
• 上に書いた運用方針に一致した

というわけで。

AMaViS-newインストール

emerge -b amavis-new

一発。便利なことに、これをやるとspamassassinもインストールされますので、このままでよしにしました。

AMaViS-newの設定

/etc/amavisd.confを開きます。で、コメントを参考にせこせことやっていきます。が、ほとんどデフォルトで問題なし。変えたところだけピックアップすると

$mydomain = 'example.jp';      ←自分のドメインに変更
#検知されたメールの最終行き先
#     D_DISCARD:メールは送信されず、送信者に通知もしない
#     D_REJECT:メールは送信されず、送信者に送り返される
#     D_BOUNCE;メールは送信されず、送信者に通知を入れる
#     D_PASS:メールを通常に送信する
$final_virus_destiny      = D_DISCARD;  
$final_banned_destiny     = D_DISCARD;
$final_spam_destiny       = D_PASS;  
$final_bad_header_destiny = D_PASS;  
#ウィルススキャナーの設定。いろいろ書いてあるので、使うAntiVirに該当するものを
#コメントアウトすればいい
@av_scanners = (
# ### http://www.clamav.net/
['ClamAV-clamd',
  \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.sock"],
  qr/\bOK$/, qr/\bFOUND$/,
  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

と、こんなもん。で、AMaViSdを起動します。

/etc/init.d/amavisd start

Postfixとの連動設定

次はPostfixとの連動です。まず、main.cfに以下の行を追加。

# Setting for Virus filter
content_filter = smtp-amavis:[127.0.0.1]:10024

さらにmaster.cfに以下の行を追加

smtp-amavis unix -      -       n       -       2       smtp
   -o smtp_data_done_timeout=1200
   -o disable_dns_lookups=yes
127.0.0.1:10025 inet    n       -       n       -       -  smtpd
   -o content_filter=
   -o local_recipient_maps=
   -o relay_recipient_maps=
   -o smtpd_restriction_classes=
   -o smtpd_client_restrictions=
   -o smtpd_helo_restrictions=
   -o smtpd_sender_restrictions=
   -o smtpd_recipient_restrictions=permit_mynetworks,reject
   -o mynetworks=127.0.0.0/8
   -o strict_rfc821_envelopes=yes
   -o smtpd_error_sleep_time=0
   -o smtpd_soft_error_limit=1001
   -o smtpd_hard_error_limit=1000

で、Postfixを再起動します。

/etc/init.d/postfix reload

では、実験！

まず、テストSPAMメールを食わせてみます。送られてきたSPAMをサーバのメールに流し込んでみますと

Return-Path: <norply@hotmail.com>
                       .
                       .
                       .
X-Spam-Status: Yes, hits=15.6 tagged_above=3.0 required=6.3 
   tests=ACT_NOW_CAPS, DOMAIN_4U2, EARNINGS, FORGED_HOTMAIL_RCVD2,
    FORGED_MUA_OUTLOOK, FORGED_OUTLOOK_TAGS, HTML_70_80, HTML_FONTCOLOR_BLUE,
    HTML_FONTCOLOR_GREEN, HTML_FONTCOLOR_RED, HTML_FONTCOLOR_UNKNOWN,
    HTML_FONTCOLOR_UNSAFE, HTML_FONT_BIG, HTML_FONT_INVISIBLE, HTML_MESSAGE,
    HTML_MIME_NO_HTML_TAG, HTML_TAG_BALANCE_BODY, HTML_TAG_EXISTS_TBODY,
    MIME_HTML_ONLY, THIS_AINT_SPAM, X_MSMAIL_PRIORITY_HIGH, X_PRIORITY_HIGH
X-Spam-Level: ***************
X-Spam-Flag: YES

と、ヘッダにSpamチェックが入ります。これを振り分けルールに入れてやれば、SPAMが隔離できるという寸法です。いや便利。

SpamAssassinの設定

以下は、設定変更行ったら、amavisd_newを再起動するのを忘れないでね!

ベイズフィルタの学習

先ほど、SpamAssassinには自動学習機能があるといいました。ですので、収集されたメールから、Spam学習ルールを作る自動化シェルスクリプトを作りました。

さて、2021年に、ベイズフィルタのオプションに、berkdbが使用できなくなりました…ベイズ学習データを保存するための手段DBIも、GentooのメインストリームでMaskedになっちまいました。 なので、MySQL(MariaDB)に学習データを保存するように設定してみます。

DBを作る

MariaDBが起動していると仮定して、以下を設定します。

# cp /usr/share/doc/spamassassin-3.4.5/bayes_mysql.sql.bz2 ~
# cd ~
# bunzip2 bayes_mysql.sql.bz2
# mysql -u root -p
mysql> CREATE DATABASE sa_bayes;
mysql> USE sa_bayes;
mysql> SOURCE bayes_mysql.sql;
mysql> GRANT SELECT, INSERT, UPDATE, DELETE ON sa_bayes.* TO 'DBアクセスユーザー名' IDENTIFIED BY 'DBアクセスパスワード';
mysql> FLUSH PRIVILEGES;

SpamAssassin側の設定

/etc/mail/spamassassin/local.cfを、以下の設定を変更(または追加)します

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1

bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa_bayes:127.0.0.1:3306
bayes_sql_username 'DBアクセスユーザー名'
bayes_sql_password 'DBアクセスパスワード'

これで受信時の自動学習及びベイズフィルタの使用を定義。ア～ンドamavisが溜め込むベイズフィルタをデフォルトルールとする事にしたです。そりで、

HOME=/var/amavis
find /var/spool/imap -type d -name SPAM -exec /usr/bin/sa-learn -- username=amavis --spam {} \;

というわけで、imapフォルダ下にあるSPAMって名前のフォルダ下にあるSPAMメールを毎日自動学習するようにCRONシェルを設定して、おしまいでっす。

さらに、

sa-learn - username=amavis --ham <SPAMでないメールがあるディレクトリ>

と指定すると、SPAMでないメールも学習してくださいます。

sa-updateの設定

もともとspamassassinは、バージョンアップ毎に更新したルールをパッケージに付与していまいたが、これだとイタチごっこに対する対応が遅い、ということで、spamassassin 3以上になると、NWから定期的に更新したルールを取ってこれるようになりました。これにはsa-updateというツールを使用します。 まず、sa-updateを使用するのに、GPGのキーファイルを作成してやります。例えば/foo/var.keysという名前で、

26C900A46DD40CD5AD24F6D7DEE01987265FA05B
5244EC45

こんな中身のファイルを作ってやります。テキストでそのまんまね。で、以下のコマンドをcronなどで定期的に実行してやって。

/usr/bin/sa-update --gpgkeyfile /foo/var.keys

これで、/var/lib/spamassassin配下に、定期的にアップデートファイルが作られますのねで。

DCCの設定

手元にあるSPAMだけだと、パターン数が少なすぎて、すべてをマッチさせるのは難しいもの。このために、NWのサーバに貯められているSPAMパターンと照合するという手があります。そのいくつかに、DCC,Pyzor,Razor等があります。今回私はDCCを選択いたしました。どうもDCCが一番精度がいいらしい?という評判だったので。で、DCCを導入いたします。

DCCDのインストール

まず/etc/portage/package.keywordsに mail-filter/dcc を追加いたします。んで

# emerge dcc

/etc/dcc/dcc_confを編集いたします。以下に特に注意して。

DCCD_ENABLE=off
DCCIFD_ENABLE=on

さらに、/etc/init.d/dccにバグがあるので、以下を編集してやります。

if [[ "${DCCIFD}" != "on" ]]
               ↓
if [[ "${DCCIFD_ENABLE}" != "on" ]]

で、DCCを起動してやってください。

# rc-update add dcc default
# /etc/init.d/dcc start

次に、/etc/spamassassin/v310.preを編集します。

# loadplugin Mail::SpamAssassin::Plugin::DCC
                              ↓
loadplugin Mail::SpamAssassin::Plugin::DCC
     コメントを外してやる

そして、/etc/spamassassin/local.cfに、以下を追加してやってください。

# DCC Configuration
use_dcc 1
dcc_home /var/dcc
dcc_path /usr/bin/dccproc
add_header all  DCC _DCCB_: _DCCR_

以上でっす

SPFの設定

spamassassinにSPFを設定するのは楽ちんです。/etc/spamassassin/init.preを以下のように編集します。

# SPF - perform SPF verification.
#
#loadplugin Mail::SpamAssassin::Plugin::SPF
                  ↓
loadplugin Mail::SpamAssassin::Plugin::SPF
        コメントを外す

以上でっす。

Postfix側の設定

spamassassinだけでは、受信したメールをSPAMと分類するだけ。入り口であるPostfixにて怪しいものを拒否する手があります。先程述べたgreylistingですが、これをPosftix上で実現してくれるツールが、Postgreyです。

Postgrey

インストール

# emerge postgrey

設定

/etc/conf.d/postgreyに、設定を追加いたします。重要なのは以下ですかね

# 初受信のサーバを、何秒受信拒否するか。デフォルトは5分
POSTGREY_DELAY=300
# postgreyへのオプション指定。--max-ageは、受信許容したサーバのキャッシュを何日で消去するか。デフォルトは30日
POSTGREY_OPTS="--max-age=30"

そしてpostgreyを起動してやります。

# rc-update add postgrey default
# /etc/init.d/postgrey start

で、最後にpostfixの設定。/etc/postfix/main.cfに以下の設定を追記します。

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated, 
     reject_unauth_destination,check_policy_service inet:127.0.0.1:10030

後ろにある、check_policy_service inet:127.0.0.1:10030が重要です。smtpd_recipient_restrictionsは項目の順序も重要ですので、気をつけてね!で、最後に

# /etc/init.d/postfix reload

バックアップサーバ側の設定

今までは、メインサーバのpostfixがダウンしてしまった場合、上位のDDNS側で、エラーではじかれたメールをプロバイダに転送してくれるよう設定してました。でも、これがSPAM大量増産の大本!せっかくこちらのPostfixでエラーで弾かれても、全部プロバイダに転送されちゃう。そのため、このプロバイダへの転送を止めちゃえば、SPAMも減るってもの。 しかし、もしもメインサーバがダウンした場合、外部から送信されてきたメールが着信せず、消えてしまいかねないので、それも困る。このためバックアップサーバが受信して、キューイングしておいてくれるように設定しておきます。 メインサーバのpostfixとの設定の違いは

• 受信したら、自分のドメインに該当するメールアドレスのみ、メインサーバのpostfixへ転送する
• 上記の設定なので、amavisに転送する設定は行わない

その他の設定(SMTP-AUTH/postgrey)は有効としておきます。このため、メインサーバとの差分として、amavis設定を削除し、転送用設定を付け加えときます。/etc/postfix/main.cfに以下を追加します。

transport_maps = hash:/etc/postfix/transport

さらに、/etc/postfix/transportというファイルを作り、ドメインと転送先をそれぞれ指定。

example.net smtp:[XXX.XXX.XXX.XXX]
.example.net smtp:mail.server

example.netは、MXレコードを引かずに([]を付けるとMXレコードを参照しない)IPアドレスXXX.XXX.XXX.XXXに転送する。.example.net(XXX.example.net等)はmail.serverに転送する、という設定。で、

# postmap transport

を実行して、ハッシュマップを作ります。最後に

# /etc/init.d/postfix reload

で完成。

ちなみに、このバックアップサーバは、メールを受信したらキューイングしてとっておいてくれます。マスタサーバが生き返ったら、再送してくれるありがたいサーバとなります。マスタサーバが死んでる間は、こいつに貯めておいてもらえば、わざわざプロバイダに転送してもらわなくて済むという寸法。

結果

劇的にSPAMメールが減りました!それまでは1日に300～400通近いSPAMが、1/6以下に減りました。なぜSPAMが0近くにならないかというと、プロバイダのメールに着信するSPAMは、無条件で受信しちゃうから…しかし、そのメールはspamassassinにてSPAMに分類されます。bayesフィルタ、ルール、DCC、SPFを噛ますことで、SPAM認識率が相当向上しました。これでしばらくは安心でしょう♪

Flightrador24とは

Flightrador24は、ADS-Bの情報など、飛行機が発信するトランスポンダーの情報を元に、機体識別、位置情報などを把握し、一覧化してくれているサービスです。飛行機好きには非常に便利なサービスで、フリーでも使用できるのですが、広告を外したり、機能追加をしようとすると、有償でお金がかかります。

Feedってなんじゃ？

そもそもどうやってその飛行機が発信するトランスポンダーの情報を得ているのかというと、世界各国にあるレーダーやアンテナから、受信した情報を送ってもらい、整合をとってから一覧化しているのです。さて、このレーダー、オフィシャルに航空管制のシステムで作られたものだけでは、管轄できる空域に穴があいたり、そもそも使わせてくれるのか?という疑問があります。

そこで、有志で受信可能な環境を持っているユーザーから、受信したADS-B情報を送ってもらい、情報を補完しているというわけ。で、この情報提供者には、お礼で有償サービスを使わせてくれているというのが、Feedする意義です。

そもそもどうやって受信するの？

今飛行機が情報をやり取りしているADS-Bは、1090MHzの周波数帯でやりとりされております。この周波数の電波を受信するには、「R820T2」というRealtekのチップを使ったチューナーを用いて受信いたします。Amazonさんで「R820T2」のキーワードで検索するといっぱい出てきます。わたしはこれを購入いたしました。で、これをPCのUSBポートに刺し、アンテナを窓際に設置すれば、受信準備完了です。USBドングルを刺して、電源ONのLEDが点灯すれば、デバイスを認識した証拠です。dmesgとかで見てみましょう。

usb 1-4.3: new high-speed USB device number 9 using xhci_hcd
usb 1-4.3: New USB device found, idVendor=0bda, idProduct=2838, bcdDevice= 1.00
usb 1-4.3: New USB device strings: Mfr=1, Product=2, SerialNumber=3
usb 1-4.3: Product: RTL2838UHIDIR
usb 1-4.3: Manufacturer: Realtek
usb 1-4.3: SerialNumber: 00000001

こんなのでたら、認識している証拠です。

ソフトのインストール

ツール類をインストールする

まず、/etc/portage/package.licenseに、以下の記述を追加します。

>=app-misc/fr24feed-1.0.25_p3 Flightradar24

続いて、以下のコマンドを叩く。

# emerge fr24feed

rtl-sdr,dump1090,fr24feedの各パッケージがインストールされます。

dump1090の設定

dump1090は、先程のUSBドングルから1090MHz帯の受信情報を落としてくるツールです。emergeのパッケージも中途半端で、バイナリのコンパイルしかしてくれないので、こんなファイルを準備する。

/etc/conf.d/dump1090

# /etc/conf.d/dump1090 - configuration file for /etc/init.d/dump1090

RECEIVER_OPTIONS="--device-index 0 --gain -10 --ppm 0 --quiet"
DECODER_OPTIONS="-max-range 360 --fix"
NET_OPTIONS="--net --net-heartbeat 60 --net-ro-size 1300 --net-ro-interval 0.2 --net-ri-port 0 --net-ro-port 30002 --net-sbs-port 30003 --net-bi-port 30004,30104 --net-bo-port 30005"
JSON_OPTIONS="--json-location-accuracy 1"

/etc/init.d/dump1090

#!/sbin/openrc-run
# Copyright 1999-2019 Gentoo Authors
# Distributed under the terms of the GNU General Public License v2

depend() {
       use net
}

start() {
       ebegin "Starting dump1090"
       start-stop-daemon --start --quiet --pidfile /run/dump1090.pid \
               --background --make-pidfile --exec /usr/bin/dump1090 \
   -1 /var/log/dump1090.log -2 /var/log/dump1090.log \
               -- ${RECEIVER_OPTIONS} ${DECODER_OPTIONS} ${NET_OPTIONS} ${JSON_OPTIONS}
       eend ${?}
}

stop() {
       ebegin "Stopping dump1090"
       start-stop-daemon --stop --quiet --pidfile /run/dump1090.pid
       eend ${?}
}

さて、これで起動するシェルができました。で、dump1090を起動しておきます。

# /etc/init.d/dump1090 start

fr24feedの設定

まずはFlightrador24のページで、アカウント登録を行います。ここで使用したメアドが、以下の設定で使われるので覚えておいてくださいね♪ さて、コマンド入力しましょう

# fr24feed --signup

main][i]FR24 Feeder/Decoder
[main][i]Version: 1.0.18-9/generic
[main][i]Built on Apr 20 2017 09:25:30 (T201704200925/Linux/static_arm)
[main][i]Copyright 2012-2017 Flightradar24 AB
[main][i]http://flightradar24.com
[main][i]DNS mode: PING

Welcome to the FR24 Decoder/Feeder sign up wizard!

Before you continue please make sure that:

1 - Your ADS-B receiver is connected to this computer or is accessible over network
2 - You know your antenna's latitude/longitude up to 4 decimal points and the altitude in feet
3 - You have a working email address that will be used to contact you
4 - fr24feed service is stopped. If not, please run: sudo service fr24feed stop

To terminate - press Ctrl+C at any point

Step 1.1 - Enter your email address (username@domain.tld)
$:<FR24に登録したメールアドレス>

Step 1.2 - If you used to feed FR24 with ADS-B data before enter your sharing key.
If you don't remember your sharing key, pelase use the retrival form:
http://feed.flightradar24.com/forgotten_key.php

Otherwise leave this field empty and continue.
$:<リターンで勝手に設定される>

Step 1.3 - Would you like to participate in MLAT calculations? (yes/no)$:yes

IMPORTANT: For MLAT calculations the antenna's location should be entered very precise!

前提ですが、アンテナを設置する場所の緯度、軽度、高度は、国土地理院のホームページの地理院地図で調べられます。緯度、軽度は10進方式で入力。地形の海抜高度がわかりますから、さらにそこからアンテナ設置位置を想定で足し合わせて、さらにフィートに変換して以下に入力します。

Step 3.A - Enter antenna's latitude (DD.DDDD)
$:<アンテナ設置位置の緯度を入力>

Step 3.B - Enter antenna's longitude (DDD.DDDD)
$:<アンテナ設置位置の経度を入力>

Step 3.C - Enter antenna's altitude above the sea level (in feet)
$:アンテナ設置位置高さ

Using latitude: DD.DDDD, longitude: DDD.DDDD, altitude: FFft above sea level

Validating email/location information...OK

The closest airport found is ICAO:RJTT IATA:HND near Tokyo.

Latitude: DD.DDDD
Longitude: DDD.DDDD
Country: Japan

Flightradar24 may, if needed, use your email address to contact you regarding your data feed.

Would you like to continue using these settings?

Enter your choice (yes/no)$:yes

We have detected that you already have a dump1090 instance running. We can therefore automatically configure the FR24 feeder to use existing receiver configuration, or you can manually configure all the parameters.

Would you like to use autoconfig (*yes*/no)$:yes

Step 6A - Please select desired logfile mode:
0 - Disabled
1 - 48 hour, 24h rotation
2 - 72 hour, 24h rotation
Select logfile mode (0-2)$:0

Step 6B - Please enter desired logfile path (/var/log):
$:/var/log

Submitting form data...OK

Congratulations! You are now registered and ready to share ADS-B data with Flightradar24.
+ Your sharing key (xxxxxxxxxxxxxxx) has been configured and emailed to you for backup purposes.
+ Your radar id is T-RJTTXXX, please include it in all email communication with us.
+ Please make sure to start sharing data within the next 3 days as otherwise your ID/KEY will be deleted.

Thank you for supporting Flightradar24! We hope that you will enjoy our Premium services that will be available to you when you become an active feeder.

To start sending data now please execute:
sudo service fr24feed start

Saving settings to /etc/fr24feed.ini...OK
Installation and configuration completed!

これで以下を実行すると動き出します。

# /etc/init.d/fr24feed start

fr24feedが起動している状態で、http://<fr24feedが起動しているIPアドレス>:8754 にアクセスすると、フィーダーの状態がブラウザで表示されます。設定変更とかもできますので、ご確認あれ～♪

とりあえずうまくADS-Bが捕捉できれば、feedがされてBusinessアカウントが与えられます。お試しあれ～♪

最後に再起動時の自動起動設定

# rc-update add dump1090 default
# rc-update add fr24feed default

完了でっす。

HDDも大容量化

最近HDDも大容量になりました。6TB,8TB,12TBとか普通に売られるようになってきました。んで、最近HDDを8TB×4でRAIDを組み、LVMで25TBの領域を作ってみようと、lvextend,resize2fsをやってみたら、エラーになってしまいましたので、やり方をまとめておこうと思います。

なぜ16TBの領域に壁があるか

もともと、Ext4はinodeの最大数が32bitでした。なので、32bit×4096byte(1inodeのサイズ)で16TiBが最大サイズということでした。なので、古い時期のe2fsprogsで作られたExt4ファイルシステムは上記32bitのinodeテーブルなんですよ…いやー今どきそりゃないでしょ。じゃあどうすればいいのでしょうか。今どきCPUが64bitなんだから、inode数も64bitになればいいんでねえの?いや、まさしくそのとおりですよ。もしinode桁数が64bitならば、理論上65536EiBまで使えることになります。まぁ、実態は1EiBなんですけどね。ただしこの64bit inodeテーブルは、Linuxカーネル3.7以上、e2fsprogsが1.42.6以上である必要があります。 2020年、今やLinuxカーネルは4.19、e2fsprogsも1.45です。余裕で要件をクリアしているので、上記拡張に対応してみたいと思います。

inodeテーブルを64bitに拡張する

以下の手順で行ってみます。

まず、拡張するパーティションをアンマウントします。そのパーティションをfsckを行います。

# e2fsck -Df /dev/path/to/disk

pass1～pass6までチェックを実行します。ボリュームが大きいとそれなりに時間がかかります。

んで、fsckしたパーティションを64bitテーブルに変換します。

# resize2fs -b /dev/path/to/disk

で、さらにパーティションサイズを拡張します。

# resize2fs /dev/path/to/disk

ちなみに、上記処理にて、10TBの領域を25TBに拡張するのに、1時間ぐらいかかります。で、終了したあとできれば一旦リブートしてあげたほうが安全です。

今日び、記憶領域も大容量化甚だしいので、必要な処理になるかと思います!お試しあれ…

UEFIとGRUB2と大容量ディスク

そもそもEFIが開発された動機は、1990年代中盤のインテルとヒューレットパッカードによる初代Itanium機の開発初期にまでさかのぼる。IBM PC由来のSystem BIOS等の制限等（16ビットプロセッサモード、1MBのアドレス空間、PC/ATハードウェアへの依存、等）によって、従来の各種スキームはItaniumのターゲットである巨大なサーバプラットフォームには採用できない。その課題に対しての最初の成果が、当初1998年に Intel Boot Initiativeと呼ばれ、後にEFIと名前を変えた。

ということで、複雑、高機能化するPCの機能を活かすために、従来のBIOSに変わるものとして作られたのがUEFIです。で、このUEFIで、直接我々が受けられる恩恵は何かと言うと、最近多くなってきた、大容量のHDDをブートデバイスとして使用できると言うことです。今回、サーバ側のHDDが容量不足となってまいりまして、6TBのHDDを購入し、これにLinuxを導入することといたしました。ブートさせるまでに苦労したので、今後のためにまとめておきます～。

必要なことをまとめておく

• LinuxカーネルをUEFI,大容量ディスク対応にコンフィギュレーションしておく
• 大容量HDDはGPTパーティションでパーティションを切る
• ブートパーティションは、EFIブートパーティション属性で、FATでフォーマットしておく
• ブートローダーの設定をしておく
• UEFIでブートできるよう設定するためには、予めUEFIでブートできるデバイスでブートしてから設定する

さて、それでは順番にやってみましょう～

LinuxカーネルをUEFI、大容量ディスク対応にコンフィギュレーションしておく

キーワードは、EFI,GPTです。

ONFIG_EFI_PARTITION=y
CONFIG_EFI=y
CONFIG_EFI_STUB=y
CONFIG_FB_EFI=y
CONFIG_DMI_SCAN_MACHINE_NON_EFI_FALLBACK=y
CONFIG_EFI_VARS=y
CONFIG_EFI_ESRT=y
CONFIG_EFI_FAKE_MEMMAP=y
CONFIG_EFI_MAX_FAKE_MEM=8
CONFIG_EFI_RUNTIME_WRAPPERS=y
CONFIG_EFI_BOOTLOADER_CONTROL=y
CONFIG_EFI_CAPSULE_LOADER=y
CONFIG_EFI_TEST=y
CONFIG_EFIVAR_FS=m

この辺はONにしておきましょう。

HDDのパーティションを切る

かつてパーティションを切るための定番コマンドはfdiskでした。が、古いバージョンは2TBの領域で、かつMBR(マスターブートレコード)に対応したブートディスクしか作成できませんでした。

ので、gdiskを使用します。ここでは、/dev/sdaにパーティションを切りましょう

# gdisk /dev/sda

Command (? for help): o                          ←GPTパーティションデーブルを作る
Command (? for help): n                          ←パーティションを新規作成する
Partition number (1-128, default 1):1
First sector :
Last sector :+128M                               ←カーネルやGRUB2のファームを格納できるよう128MB取っておく(/bootにマウントする予定)
Hex code or GUID (L to show codes, Enter = 8300): EF00  ←EFI用の領域とマークする

ここだけ気をつけてくださいね。その他のパーティションは普通にLinuxを作るときと一緒です。/rootに20GB程度?あとはお好みに応じて。その他はfdiskを使ったことある人は同じ操作でできるでしょう。

＊UEFIブートできるデバイスでブートする Gentooでは、UEFIブートできるのはLiveDVDだけです。Minimal install CDだとUEFIブートしてくれないので、このあとの設定ができません…最新のLiveDVDだと、Advanced BOOT Optionで、CommandLine Modeが指定できますので、このモードを指定してブートすると、コマンドラインだけで起動してくれます。ここまでくれば簡単です。

ディスクをフォーマットする。

さて、ここで、/dev/sda1が先程作ったEFIブートパーティション、/dev/sda2がrootで、EXT4でフォーマットすると仮定しましょうか。以下で実施しましょう

# mkfs.vfat /dev/sda1
# mkfs.ext4 /dev/sda2

Gentooのインストール手順に従って…

あとはおなじみ、Gentooのインストール手順です

# mount /dev/sda2 /mnt/gentoo
# mkdir -p /mnt/gentoo/boot
# mkdir -p /mnt/gentoo/sys
# mkdir -p /mnt/gentoo/dev

Stage Tar Ball 展開

# mount /dev/sda1 /mnt/gentoo/boot
# mount -t proc proc /mnt/gentoo/proc
# mount --rbind /sys /mnt/gentoo/sys
# mount --rbind /dev /mnt/gentoo/dev
# chroot /mnt/gentoo
# env-update 
....

ちなみに、私はディスクの交換だったので、すでに作られていた、前システムのrootイメージをrsyncでコピーしておしまいです。

ブートマネージャをインストールする。

efibootmgrとGRUB2をインストールします。まず、make.confに以下を追加。

GRUB_PLATFORMS="efi-32 efi-64

で、

# emerge grub:2 efibootmgr

HDDにGRUBを設定する

先程からのとおり、/dev/sdaがブートディスク、/bootがEFIのブートパーティションとしますね。

# grub2-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=gentoo_grub /dev/sda
# grub2-mkconfig -o /boot/grub/grub.cfg

/boot内にある、Linuxカーネルを勝手に探索して、GRUBのメニューを作ってくれます。もしカーネルをアップデートするときも、

# grub2-mkconfig -o /boot/grub/grub.cfg

を実行して修正することをおすすめします。

GRUBの設定は、/etc/default/grubにありますので、これをいじることで、いろいろと変更できまーす。

おまけ BIOS側の設定

マザーボードのBIOS側の設定を注意しておきましょう。

• Secure BootはOFFでいい CSM16 bootメニューは、できればEFI/レガシー共用としておくと良い。

UEFIブートだからと、Secure Boot設定はしないほうが無難です。

同期エラーが発生。PCからも、Webインタフェースからもファイルが削除できなくなってしまった!

1. NextCloudをメンテナンスモードにします。config.phpに、「maintenance=true,」の行を追加します。
2. phpmyadminで、NextCloudのDB畳のテーブル oc_filecache,oc_file_locks を空にする
3. メンテナンスモードを解除。config.phpの、「maintenance=false,」にします。

以上で削除可能になります。

Windows Explorerに、同期アイコンが表示されなくなってしまった!

レジストリにNextCloudアイコンを登録

案その1:管理者権限でコマンドシェルを起動

# regsvr32.exe “C:\Program Files (x86)\Nextcloud\shellext\OCOverlays_x64.dll”

案その2:レジストリの編集

• regedit.exeを起動
• HIKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

   OC *キーの名前の前に3つのスペースを追加します。

Nextcloudのアップデートを行いたい

画面上でやると、大概失敗します。occコマンドを実行するのが便利

まずoccコマンドがあるところまで移動します。

# cd /var/www/localhost/htdocs/nextcloud

Webサーバの管理者でoccコマンドを実行します

# su -u apache php occ upgrade

これでほぼ成功します。

最近ブラウザの認証が強化されるらしい

どうもこれから、ChromeやFirefoxでSSL/TLS暗号化されていないページは、デフォルト危険と判定されるそうで。ただ、うちもSSL/TLS暗号化はしているものの、証明書が「オレオレ証明書」で、「ほんとに認証していいのか?」と聞かれるのが非常に心苦しかった。できれば、正式な証明書を頂きたいものだと思っていた所、Let's Encryptという所で、無料の証明書を発行してくれると言うことで、早速試してみました。さて、やってみましょう。

Let's Encryptとは

2016年4月より、正式サービスが開始された、TLSやHTTPSを普及させることを目的としているプロジェクトだそうで、非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ（Cisco Systems）、Akamai、電子フロンティア財団（Electronic Frontier Foundation）、モジラ財団（Mozilla Foundation）などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しているとのこと。なかなか安心できそうなので使ってみることにします。

制限事項

• ドメイン認証（DV）SSL/TLS証明書しか取得できない。「企業認証（OV）証明書」や「EV証明書」は無理
• 証明書の期限は3ヶ月。周期的に更新の必要がある

設定

Let's Encryptクライアントのインストール

Gentooにはパッケージが用意されているので、Portageからインストールできます。私はApacheを使用しているので、以下でインストールします。

# emerge -av app-crypt/certbot
# emerge -av app-crypt/certbot-apache

nginxを使用している方用に、certbot-nginxもあるようなので、nginxの方はそちらをご利用の事。

証明書の取得

インストールしたcertbotコマンドを実行します

# certbot

ドメイン名や、連絡先のメールアドレスを入力します。すると、/etc/letsencrypt配下に、Let's Encryptにて認証された証明書が取得されます。

Apacheに対する証明書の設定

多分、/etc/apache2/vhost.d/00_default_vhost-le-ssl.confというファイルが出来上がっていると思います。Apacheを再起動すると、この設定ファイルが読み込まれ、新たな証明書が有効になります。古い証明書を使用する設定ファイルがある場合は、そちらは削除してやってくださいね～

証明書自動更新の設定

先程のLet's Encryptのクライアントには、証明書更新機能があります。

# certbot renew

すると、証明書の期限が1ヶ月を切っている場合、証明書を更新してくれます。なお、更新のためのアクセスには回数制限がありますから、週に1回程度、CRONで呼び出せば大丈夫でしょう。また、このコマンドには、--pre-hook/--post-hookというオプションがあります。このコマンドにて、鍵更新前に実行するコマンド、鍵更新後に実行するコマンドを指定できます。

一例だと、鍵更新前にApacheを停止、鍵更新後にApacheを起動する、などができますので、是非ご活用下さい。

ちなみに、私は、postfixとApacheに証明書を使用しております。バックアップサーバにも使用してますので、このへんのコマンドをpre-hook/post-hookに使用しておりまーす。

Windowsとの共有

いまやWindowsとの共存共栄は避けては通れません。なぜかってーと、実は私もデスクトップはWindowsだから。最近Gentooとマルチメディアの2面攻撃を仕掛けていますが、Linuxの進化には目を見張ります。すばらしい事だと思います。ほんとーに。WindowsとLinuxを比べたら、お金に対して出来ることはLinuxの方が間違いなく多い。サーバからクライアントまで。しかもリソースの活用に対しても、無駄だらけなWindowsと比べてLinuxの方が優れていますね。でも、でもなんです。Linuxは手間っくいですね。ほんとに。まぢで。あえてオリジナルでモノを作りたいからやってますけど、単なるクライアントパソコンを作るだけならWindowsの方が早い。しかもゲームやマルチメディアな用途だと、圧倒的にWindowsの方が強いですね。
だからLinuxとWindowsは上手な住み分けが重要だと思っている訳です。Microsoftは好きじゃー無いけど、誰にでも使いやすいモノを作るコツは十分心得ている無視できない存在ではあるでしょうね。
で、目標の、TVでも、PCでも何時でも何処でもなユビキタスな環境作りにはマルチメディアなクライアントOSとの共存はプリミティブとして用意しておかなきゃいけまへん。ネットワーク上のファイルサーバですね♪

さてインストール

emerge -b samba

終了ー、とはいかせませんでした。まず、そのままでインストールされるバージョンは2.2.8aです。これだと日本語系が入っていません。3.0になると日本語を標準で扱えるようになります。ですがこれはまだMaskがかかっていますので、強引に開発版をインストールする必要があります。また、make.confでLDAPを無効にしている人以外は、LDAP用パッケージがインストールされてしまいます。これをとりあえず無効にしてやろうと。LDAPもチャレンジしようと思ってるのですが、実はまだ解っていないので。で、以下のようにします。

ACCEPT_KEYWORDS="~x86" USE="-ldap" emerge -b samba

ACCEPT_KEYWORDSで~x86を指定すると、開発版Maskの指定を無視して、チャレンジャー環境をインストールしようとします。茨の道をたどる覚悟の人はmake.confに入れておくと良いでしょう。ですがこのPCはサーバ用途で、不安定にはしたくないのでsambaの1パッケージのみを対象にしたいと思います。

さて、ここでsamba3.0、実はすっげぇsmb.confの内容がかわっちゃってたりします。はぁ…日本語ファイルを見られるようにするための設定も含めてこんなかんじで。

[global]
       dos charset = CP932　　　　←日本語の設定
       unix charset = EUCJP-MS　　←日本語の設定
       display charset = EUCJP-MS　←日本語の設定
       workgroup = FOO　　　　　　←ワークグループ
       netbios name = VAR　　　　　←サーバ名
       server string = サーバ君　　　←コメント
       obey pam restrictions = Yes
       pam password change = Yes
       log file = /var/log/samba/log.%m
       max log size = 50
       socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
       printcap name = lpstat
       dns proxy = No
       ldap ssl = no
       invalid users = root
       hosts allow = XXX.XXX.XXX.0/255.255.255.0
       printing = cups

[homes]
       comment = Home Directories
       read only = No
       browseable = No

[video]
       comment = 共有場所
       path = 適当なパス
       force group = users
       read only = No
       create mask = 0774

日本語の設定だけ悩みましたが、あとは今までどおりでうまくいきました。あとはsmbpasswdを使ってアクセスしてくるユーザを登録するだけです。

# smbpasswd XXXX
New SMB password: ←Windowsで共有時に打つパスワード
Retype new SMB password:　←もう一度

これでsmbを起動すればOKですね。

/etc/init.d/samba start
rc-update add samba default

これで終了です。アクセスできましたか?アクセスできないとすると共有場所のパーミッションが合ってない場合があります。良くありがちなのが、共有予定のディレクトリでls -alって打って、こうなってませんか？

drwxr-xr-x    9 root     root         208  4月 27 02:41 . ←コレ
drwxr-xr-x   17 root     root          408  4月 27 21:30 ..

一番左端がパーミッション。あとディレクトリの持ち主がrootになっていると、この例でははじかれてしまいます。usersグループの人ならアクセスできるようにするならば

# chown root.users .
# chmod 775 .
# ls -al
drwxrxr-x    9 root     users         208  4月 27 02:41 .
drwxr-xr-x   17 root     root          408  4月 27 21:30 ..

となれば多分アクセスできるでしょう。

Sambaパフォーマンス・チューニング

なんか、Windows共有ディスクの速度がおそーいなー、と思ったので、今回(2018/2/27)、パフォーマンス・チューニングを施してみました。

参考にしたのは、このページとかこのページとか。

Sambaサーバ側

まず、Sambaサーバの現在動作パラメータをみてみます。

# testparm -v

で、結果から以下をみてみる。

log level
syslog
socket options

ログの出力レベルや、ソケットオプションでかなり速度が変わるらしい。ポイントは、

• 安定しているのであれば、ログを減らす
• ソケットオプションは、TCP_NODELAYだけにして、デフォルトに任せれば十分

てことらしい。ので、

log level = 1
syslog = 0
socket options = TCP_NODELAY

これを、smb.confにカキカキします。もう一つは、プロトコルバージョンをより上位バージョンにあげてやる。上位バージョンの方が、速度的に有利だそうです。Windows8.1以降だと、smb2が使用可能。うちはWindows10のみなので、割り切ってこうしちゃいます。

min protocol = smb2
max protocol = smb3
security = user

クライアント側

Windows側で、レジストリエディタ Regeditを起動して、以下を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TcpipParameters\Interfaces

その中でDhcpIPAddressに値が入っているもの（0.0.0.0以外）を探しだして

編集 -> 新規 -> DWORD を選択

キー名を「TcpAckFrequency」にして値を1にします。

結果

すご～い。うちでは、それまで500Mbps位が上限だったのですが、800～900Mbpsの、Gigabitの上限ぐらいまで速度がでるようになりました。一番効いたのはログレベルかな。是非お試しあれ～。

コンピュータ業界に激震が走る。

2018年初っ端、コンピュータ業界に大激震が走りました。PentiumⅡ以降から運用されているCPUに、ハード的な脆弱性があると発表されました。それがMeltdownとSpectre。そらもう世間は蜂の巣つついた大騒ぎでした。うちのサーバも世間にさらしている以上、分かっているセキュリティ対策はなんとかしておきたい。このため、各所より発表されている対策を施しましたので、同様の皆様のためにも、まとめておこうかと思います。

対策のポイントは以下です。

• Meltdown＆Spectreの対策パッチが当たっているカーネルを導入
• Linuxカーネルのビルドオプション
• Spectre対策パッチが施されているコンパイラ

それでは行ってみましょう

Linuxカーネル側

対策版Linuxカーネルソースのインストール

2018年2月25日時点で、Meltdown&Spectre対策のパッチは、Longterm,Stableの最新版には当たっております。現在Longtermリリースの最新版は4.14.21、Stableリリース最新版は4.15.6です。とりあえず、うちは安定性で4.14を採用しております。但し、Gentooのパッケージでは、Unstableになっておりますので、ロック解除しなければなりません。設定しておきます。

/etc/portage/package.keywordsに以下を追記します。

<sys-kernel/gentoo-sources-4.15

で、Linuxカーネル4.14の最新版をemergeします。

カーネルオプションの設定

以下のカーネルオプションを必須で設定しましょう

Processor type and features
[*] Avoid speculative indirect branches in kernel RETPOLINE Patch(Spectre)
[*] Build a relocatable kernel
[*] Randomize the address of the kernel image (KASLR) (Meltdown)

Security Options
[*] Remove the kernel mapping in user mode Kernel Page Table Isolation (Meltdown)

GCC 7.3のインストール

RETPOLINE対策がされているコンパイラである、GCC7.3をインストールしましょう。但し、Gentoo Stableでは無いので、これまた設定を追加します。

/etc/portage/package.keywords

=sys-devel/gcc-7.3.0
=dev-libs/boehm-gc-7.6.4

/etc/portage/package.use

dev-libs/boehm-gc abi_x86_32
dev-libs/libatomic_ops abi_x86_32

で、emergeします。さらに、以下のコマンドでgccのアップグレード

# gcc-config x86_64-genelic-linux-gnu-7.3.0
# emerge -1v libtool

カーネルのリビルド

Linuxカーネルを通常手順でリビルド致します。

 # cd /usr/src/linux
 # make
 # make modules_install

あとは、ビルドカーネルをブート可能な状態にして、サーバをリブート致します。

成果

本対策で、Spectre&Meltdownにおける、Variant2とVariant3に対応出来ました。Variant1は、アプリ側の対応らしいので、出来ることはここまでかな。とりあえずホッと一安心。

WebMailがよい！

メールを利用するにあたり、リモートでメールが扱えるのがいいと思っておりました。そのためにSMTP-AUTH+TLSしかり、IMAP+TLSしかりと設定してきたのですが、結局外部にポートを開くことになり、ちょっといやな気分になるものです。HTTPであれば、Webページ公開ついでに使用できますから、公開ポートを限定できます。ついでに外から自分のメールサーバを利用できるという恩恵もありますし。

ソフト選定

これまたいろいろあるんですよ。

squirrelmail

どうも一番メジャー臭い

SqWebMail

これまたメジャーな様

IMP

PHPベースなグラフィカルなメーラ。結構魅力っぽい

てなわけで、どれがよいかと悩んだのですが、

• portageにある
• 日本語対応が容易
• Cyrus-imapd対応

ということで、squirrelmailかIMPのどちらかにしようと思い、sieveへの対応からsquirrelmail、見栄えの良さからIMPを双方インストールしてみました。以下、説明してまいりますよー。

昨今セキュリティが厳しい…

最近、セキュリティについてうるさく言われるようになって来ました。んで、仕事用のPC等では、ソフトも許可されたものでないと自由にインストールできなくなってきてしまったんですよね。

おいちゃんは、スケジュール管理にCaldavを用いてます。でCaldavクライアントに、Mozilla Thunderbird+Lightningの組み合わせを使用しています。メーラとスケジュール管理が一括で出来る便利さに加えて、スケジュール/Todoエディット機能が強力なんですよね。また、マルチプラットフォームでOSを選びませんから、どれでも動いて便利と来てる。が…このThunderbirdが、どうもインストール許可されているソフトウェアから外れている模様で…

で、考えた結果、PCにソフトをインストールしなければいいんだ、ということに行き着きまして。で、WebアプリのCaldavクライアントがあれば解決だね~。ということになりました。Webアプリのメリットは、サーバにアクセスすれば、クライアント側にソフトをインスコしなくても使用出来るところですね。その代わり、機能が限られているところが難点なのですが…。

今回は、CaldavZapで行ってみよう

CaldavZapは、JQuery+Javascriptで記述されているCaldavクライントです。メリットとしては、Javascriptはブラウザ側で動作するため、サーバサイドに負荷をかけないことです。また、ネット上でも紹介ページがあり、

• Googleカレンダーに近いインタフェースで高機能である
• Davicalサーバで動作確認されている

と、いうことで、ちょっと良さそうかなー。今回チャレンジしてみたいと思います。

インストール

CaldavZapのホームサイトに行き、パッケージをダウンロードしてきます。ZIPファイルですので、このファイルを解凍し、WebサーバのDocumentRoot上に配置します。以上♪

設定

パッケージページ内のreadme.txtにインストール方法が書いてあります。が、英語です。地道に読めばいいのですが、後々もう一度やることもあるかもしれませんので、日本語化しておきます。この中に、Normal Setup/Devel Setup/Special Setupと3つ書かれているのですが、Davical側の認証を利用して各ユーザごとのCaldavスケジュールを選択したいので、Special Setupで行ってみます。幸いPHPも5.3にアップデートしてるので、大丈夫でしょう~。

config.jsの設定

パッケージを展開したディレクトリの直下にある、config.jsをいじります。

• var globalNetworkCheckSettingsのパラメータの行。Davical用設定例がありますので、この行を参考にして、hrefのパラメータを、DavicalのURLに変更します。
• var globalUseJqueryAuthをtrueにすることで、Jquery認証をON
• var globalInterfaceLanguageja_JPに。デフォルトを日本語にします。
• var globalTimeZoneAsia/Tokyoに。

表示をカスタマイズしたい場合は、その後の行に幾つかパラメータがあります。Google翻訳先生の力等を借りて、後でお好みに変更してください。大体true/falseのスイッチになってます。

結果

うまく設定が済めば、こんなふうに表示されるはず。CaldavZapのデモサイトです。複数の共有カレンダーや、色分け表示も出来るので、非常に便利ですね♪

Caldavクライアントが使用できない時の、緊急時のインタフェースとして、是非どうぞ~。

ふとしたキッカケ

Apache httpサーバが2.2系から2.4系にアップデートされた事がキッカケでした。せっかくなので、USEフラグを攻めてみようと。そしたらば…MPMという指定がOFFになっていたのです。ヽ(~～~　)ノ ハテ?MPMってなんだろう?

Multi Processing Moduleという名称からも分かるように、mpmとはapacheの並列処理を行うmoduleです。

ほほう、なるほど…並列処理用のモジュールの指定、ということだったのね。せっかくアップデートするのであれば、ピカピカの状態で使用したい、と言うことで、Apache+PHPの実行環境を攻めて行くこととします。

設計指針

• 入力が捌けなくて落ちない様に、奥(PHPやMySQL)は広く、入り口(Apache)を狭く設定しておく
• プロセス/スレッド/キャッシュ数は、なるべく理にかなった方法で

Apache MPMの設定

MPMの種類

ApacheのMPMにはいくつか種類があり、必ず実行プロセスについて1つだけを指定します。同時利用はNGです。さて、どんな種類があるか?

prefork

HTTPリクエストに1つのプロセスを割り当てる。つまり、たくさんのリクエストを同時に捌きたい場合には、たくさんプロセスをたちあげておく

worker

HTTPリクエストに1つのスレッドを割り当てる。起動しておくプロセス数、プロセス内のスレッド数は設定によって変更する

itk

preforkと一緒だが、スクリプトを実行するユーザ権限を分けることができる。例えばApacheさんとか、rootさんとか、各ユーザさんとか

perchild

workerと同じ考え方だが、バーチャルホスト毎にプロセス数/実行ユーザを割り当てる

event

workerと同じく、プロセス/スレッドの組み合わせだが、非同期I/O型*1となっており、設定如何では最も高速

一般的に使用されるのはprefork/worker。eventは2.2系ではExperimental(実験的)サポート、2.4系では標準推奨のMPMです。ちなみに、preforkよりもworkerの方が動作効率は良いです。何故ならば…プロセスの起動/停止/切り替えはOSにとって重い処理、スレッドの起動/停止/切り替えは軽い処理だからです。よし！それじゃあworkerかeventで決まり!と言いたいところですが、そうはなかなか行きません。スレッドは、メモリ空間を共有するため、きちんと排他処理されていないと誤動作する可能性が高いのです。きちんと処理されている処理系のことを、スレッドセーフな実装と言います。スレッドセーフじゃない処理系を使用する場合は使用するべきではありません。

MPMを選択してコンパイルする

/etc/portage/make.confに、以下の記載を追加します。ちなみに、今回は攻めるので、event MPMで高速なWebサーバを目指します。

APACHE2_MPMS=event

# emerge apache2

MPMのチューニング

/etc/apache2/modules.d/00_mpm.confにMPMの動作パラメータが記載されています。これをいろいろいじってやればOK。

StartServers

最初に起動する子プロセスの数

MinSpareThreads

最小の待機スレッド数

MaxSpareThreads

最大の待機スレッド数

ThreadsPerChild

子プロセスの中のスレッド数

MaxRequestWorkers

最大同時接続ワーカー数

MaxConnectionsPerChild

子プロセスの最大数

だ、そうです。さて、うちではどうして言うかというと-。

StartServers 4
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestWorkers 150
MaxConnectionsPerChild 10000

起動時、StartServers、MinSpareThreadsで待機していますが、同時接続数が増えていくと、ThreadsPerChild数を超えると、MaxRequestWorkersに到達するまで子プロセスを増やします。が、子プロセスのゾンビ化やメモリリークを防ぐために、MaxConnectionsPerChildで上限を決めているのですね。

ポイントは、MaxRequestWorkersで、同時接続の最大数。同時アクセスの最大数はココでサチるということですね。

PHPの並列動作について

PHPをマルチスレッドで動作させるのは非推奨だと、PHPホームページに記載されています。やるならFastCGIを使えとのこと。なわけで、FastCGIの設定をしてみます。

FastCGIをやってみる

さて、FastCGIの設定は、このページのApache＆PHP7.1の部分だけ設定すると、うまくいきますよ～

チューニング

pm = dynamic                     #下記パラメータに従って動作する
pm.max_children = 100       #最大同時接続数
pm.start_servers = 4           #最初に起動しておくプロセス数
pm.min_spare_servers = 1  #待機させておくサーバの最小数
pm.max_spare_servers = 4 #待機させておくサーバの最大数

さて。pm.max.childrenまで子プロセスを増やします。このプロセス数が、接続数の上限です。先程、Apacheの同時接続数を150にしておきましたので、うちでは2バージョンのPHPを起動しておきますので、2つで最大200まで。Apacheの奥にいるPHPに、余裕を作っておきます。

さらに、start_servers数だけ、最初に起動しておきます。全部埋まらないように、min_spare_serversで、最低限1つ、空きプロセスとして、次のリクエストに備えます。max_spare_serverで、待機しているPHPは4つまでにしておくので、使い終わったらプロセスを終了させます。

というわけで、忙しいときには増え、使い終わるとプロセスを減らすという、賢い動きをしてくれるわけですね♪

PHPのキャッシュ(opcacheとPECL-APCu)を設定する

opcache

PHP5.5移行、PHPに組み込まれています。opcacheはコードキャッシュで、PHPのプログラムを中間コード化してメモリにキャッシュしておきます。そのため、一度実行されたコードを再度コンパイルしないため、応答速度が改善されます。

/etc/php/XXX-phpX.X/php.iniの以下の項を設定します。

opcache.enable=1
opcache.enable_cli=1
opcache.memory_consumption=128
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.revalidate_freq=1
opcache.save_comments=1

PECL-APCu

PECL-APCuは、データキャッシュで、データの読み込みを高速化してくれます。

コンパイル

# emerge dev-php/pecl-apcu

さて、インストールされたAPCuを設定いたします。/etc/php/XXX-phpX.X/extの下にある、apcu.iniに、以下の項を追加。

apc.shm_size=128M
apc.ttl=86400
apc.gc_ttl=86400

これで、php-fpmを再起動してあげます。どうですかね？かなり体感早くなったんじゃありませんか～??

MySQLのチューニング

さて、DBのチューニングってのも、課題になりますよね。そこで、こんな便利ツールがあるそうで。

mysqltuner

# emerge mysqltuner

さて、mysqltunerをインストールしましたら、実行してみます。DBの管理ユーザ＆パスワード聞かれますので、答えます。うちでは、こんな表示が出てきましたよ。

General recommendations:
   Run OPTIMIZE TABLE to defragment tables for better performance
   Reduce or eliminate persistent connections to reduce connection usage
   Upgrade MySQL to version 4+ to utilize query caching
   Adjust your join queries to always utilize indexes
   Set thread_cache_size to 4 as a starting value
   Increase table_cache gradually to avoid file descriptor limits
Variables to adjust:
   max_connections (> 151)
   wait_timeout (< 28800)
   interactive_timeout (< 28800)
   join_buffer_size (> 64.0M, or always use indexes with joins)
   thread_cache_size (start at 4)
   table_cache (> ) 

さて、このmysqltuner、サーバの運用実績から、改善事項を提示してきますので、mysqlを起動してから、24時間以上経ってから出したほうが良いみたいです。運用しながら、何回か実施してみて下さい。

OPTIMIZE TABLE

テーブルがフラグメントされてるから、最適化しろ、だそうです。こんなコマンドでできます。

# mysqlcheck -u <管理者ユーザ> -p<パスワード> --all-databases --optimize

ちなみに、InnoDBの場合は、最適化ができないので、ALTER TABLEで代用してくれるそうです。ありがたいことだ♪

my.cnfの調整

指示に従って、/etc/mysql/my.cnfを変更してあげます。何回かmysqltunerを実行した結果、あれ直せ、これ直せと指示が出ましたので、以下を調整しました。

join_buffer_size                      =1M
table_open_cache                      = 8192
max_connections                       = 150
wait_timeout                  = 20000
interactive_timeout           = 20000
thread_cache_size             = 4
query_cache_type                = 1
query_cache_limit               = 16M
query_cache_size              = 512M
skip-name-resolve             = 1
innodb_buffer_pool_instances = 7

調整が済んだら、mysqlを再起動しましょう。

# /etc/init.d/mysql restart

join_buffer_sizeを大きくしろ、と散々言われます。が、そもそも、インデックス作る方が高速化につながるそうなので、join_bufferをいくら増やしても、アプリ側を変更しないと追いつかない、ということで、増やさなくてもOKというネット記事がありましたので、うちではココまでにしております。

結果

正直、爆速になりました。以前は、正直Wehページが描画される様が目で見て解るぐらいちんたらしていて、まぁ、Webアプリだからこんなもんかな、と半ば諦めていたのですが、2回め以降のページ表示が人間の体感で一瞬で終わります。人の目で見てあきらかに違うので、かなり効果があったと言えるでしょう。超快適♪