なかのにっき

最新版はこちら。 突っ込みは各日付の BBS エントリのほか、 メール (nakano@st.seikei.ac.jp) や フォーム からどうぞ。 なおスパム除けのため、BBS 機能には 緩い認証を入れて います。 検索エンジンから来た方は、エンジンの方のキャッシュを見るか、 下の簡易検索を試してみてください。


hns - 日記自動生成システム - Version 2.19.5

先月 2024年09月 来月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい
検索式:

2024年09月12日(木) [n年日記]

#1 学認・eduroam サービス

大学のもの。ビジター用アカウントも設定できたのか。6 月の研究会のときに調べておけばよかったな…

#2 成蹊での UPKI 証明書申請

UPKI については こちら 。学内に https 設定されていたサーバを見付けたので、管理者の O 先生にお尋ねしたら詳細な作業メモを送っていただけた。 たいへんありがとうございます。やってみたので自分もメモ。 「ひみつ」のところは(たいした秘密じゃないけど)秘密日記へ。

UPKI 謹製のマニュアルは ここ から辿るとよさげ。

秘密鍵つくり:

% dd if=/dev/urandom of=rand1.bin bs=200K count=1
% cat rand1.bin | base64 > rand1.txt
同様に rand2.txt, rand3.txt をつくる
% openssl genrsa -des3 -rand rand1.txt:rand2.txt:rand3.txt 2048 > server.key
(パスフレーズを要求されるので決めておく)
server.key ができたら chmod 600 する。rand?.* は消す。

証明書発行要求 (CSR) を作る:

以下の通り。プロンプトに対する '.' は何も入力しない、の意味。
% openssl req -new -key server.key -sha256 -out server.csr
Enter pass phrase for server.key: (パスフレーズいれる)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:ひみつ
Locality Name (eg, city) []:ひみつ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ひみつ
Organizational Unit Name (eg, section) []:ひみつ
Common Name (e.g. server FQDN or YOUR name) []:サーバのFQDN
Email Address []:.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.
鍵長の確認は、
% openssl rsa -in server.key -text -noout | lv
で。UPKI は 2048 が必要。

CSRファイルの中身をチェックするには
$ openssl req -in server.csr -text | lv
いまのところ鍵等々は ~/UKPI/ 以下に置いてある。

TSV 作成:

申請時に送付する TSV ファイルは NII の TSV ツール でつくる。

作成開始で開く画面に、
TSVファイル種別→新規発行申請用TSV
証明書種別→サーバ証明書
証明書プロファイル→3: サーバ証明書(sha256WithRSAEncryption)
として「この内容で作成を開始。

次の画面で「CSR ファイル読込」でファイルを指定、下のほうは
主体者DN→空欄
サーバFQDN→いれる
利用管理者E-mail→いれる
利用管理者氏名→管理者のフルネーム(ローマ字表記が無難)
利用管理者所属→Faculty of Science and Engineering
Webサーバソフトウェア名等→apache2.4
dNSName→IPアドレスが同じで別のFQDNを持つ場合、dNSName=[CNAME]
のように入れる。dNSName に「サーバFQDN」で入れた内容も重ね書きする必要はあるのかちょっと不明。不具合があったらなおそう。

これで「完了」すると TSV をダウンロードできるようになる。 その後の学内手続は秘密日記に。

証明書等が到着したあとの apache の設定はまた後日。もう certbot でできてるので、ファイルを置いて設定ファイルを書き換えるだけとは思うが。
コメント [全部読む/投稿する]

2024年09月15日() [n年日記]

#1 UPKI 証明書の取得と apache の対応

成蹊での UPKI 証明書申請 を送った事務担当の方から返信をいただいたので続き 取得したそれぞれのファイルを適当なディレクトリに配置。今回は作業ファイルを /etc/upki/work に、 apache から見るファイルは /etc/upki/keys/ 以下に置いた。いずれも mod 700。 *.cer は keys/ に置いて chmod 400。

server.key から PW を外す:

# mv server.key server.key_orig_withPW
# openssl rsa -in server.key_orig_withPW -out server.key
# chmod 400 server.key

apache の設定:

Debian bookworm なら /etc/apache/sites-available/default-ssl.conf の以下の 3 行を変更
SSLCertificateFile      /etc/upki/keys/surf.st.seikei.ac.jp.cer
SSLCertificateKeyFile   /etc/upki/keys/server.key
SSLCertificateChainFile /etc/upki/keys/nii-odca4g7rsa.cer
あとはだいたいツルシの設定に従ったり、http 用の 000-default.conf の内容を反映させたり。

そんで
a2enmod ssl
a2ensite default-ssl
して、
% apache2ctl configtest
% sudo systemctl reload apache2.service
% sudo systemctl status apache2.service
して変更反映と確認をしてオワリ。あとは 443 を開けてもらう申請をしないと。

#2 dovecot の UPKI 鍵対応

dovecot の /etc/dovecot/conf.d/10-ssl.conf の
ssl_cert = </etc/...
で指定する証明書はサーバ鍵と中間証明書を cat で結合させたものにしないと駄目なのであった。 なるほど letsencrypt の fullchain.cer はこれなのね。

~/.fetchmailrc に
set syslog
を書いておくと追跡しやすい。ChatGPT o1-preview すごい。
コメント [全部読む/投稿する]

2024年09月16日(月) [n年日記]

#1 logcheck と system locale

先週の土曜あたりから eeserv の logcheck の alert メールが急に来るようになったんだが、 良くみると日付が
 9月 15 20:02:01 eeserv CRON[413635]:...
いう感じで日本語 locale になっている模様。どうやら systemd の journal がこうなっちゃっているらしい。

ということで ChatGPT さんに聞いてみたら、 /etc/systemd/system.conf.d/locale.conf というファイルを作り、
[Manager]
Environment=LANG=C
と設定すればいい、とのこと。

しかし他のサーバでなんで出ないんだろ、と思ったら、結局システム locale が en だったかららしい。 localectl status してみると、問題のあるサーバは
eeserv(nakano) ~ [54] localectl status
System Locale: LANG=ja_JP.UTF-8
    VC Keymap: (unset)
   X11 Layout: jp
    X11 Model: pc105
出ないサーバは
acserv(nakano) ~ [54] localectl status
System Locale: LANG=en_US.UTF-8
               LANGUAGE=en_US:en
    VC Keymap: (unset)
   X11 Layout: jp
    X11 Model: pc105
という具合。

ということで
sudo localectl set-locale LANG=en_US.UTF-8
sudo localectl set-locale LANGUAGE=en_US:en
として reboot したらなおったっぽい。

#2 起動時キーマップ

localectl したら VC Keymap や X11 Layout や X11 Model がおかしくなっていたのがあったので、ChatGPT さんに聞いたり StackExchange を見たりしてなおした。しかしこれ、かなり前から open しっぱなしのバグなのね。
  1. まず console-data パッケージを apt install
  2. kbd projectダウンロードフォルダ から kbd-x.y.z.tar.gz の最新版(現時点では 2.6.4) を取得
  3. tar 玉を解いて kbd-x.y.z/data/keymaps/ に移動
  4. 以下は kbd-x.y.z/data/keymaps/ を /var/tmp/keymaps/ に移したあとの実行。
    vacuum(nakano) /var/tmp/keymaps [80] localectl status
    System Locale: LANG=en_US.UTF-8                                                                                                             LANGUAGE=en_US:en
        VC Keymap: (unset)
       X11 Layout: jp
        X11 Model: pc105
    vacuum(nakano) /var/tmp/keymaps [81] localectl list-keymaps|grep jp
    jp106
    vacuum(nakano) /var/tmp/keymaps [82] sudo localectl set-keymap jp106
    vacuum(nakano) /var/tmp/keymaps [83] localectl status
    System Locale: LANG=en_US.UTF-8
                   LANGUAGE=en_US:en
        VC Keymap: jp106
       X11 Layout: jp
        X11 Model: jp106
      X11 Options: terminate:ctrl_alt_bksp
    
という感じで。
コメント [全部読む/投稿する]

2024年09月18日(水) [n年日記]

#1 https 化

surf は設定できた ので、専攻のサーバ用にも証明書を取得し、ぜんぶ apache の設定ができたところで、 ネットワーク委員会→高教センターに依頼して各サーバの学外 443 を開けていただいた。 まあ http→https のリダイレクトまではしなくていいかな。
コメント [全部読む/投稿する]

2024年09月24日(火) [n年日記]

#1 Creating hidden screen sessions which are not visible via "screen -ls" command

$SCREENDIR を変えて実行すればよろしいと。 ssh のトンネルを張るときとか、
env SCREENDIR=$PWD/.sshscreen screen -S ssh -c ~/etc/shscreenrc
とかで、detach/resume のとき候補にでなくなる。ちなみに ~/etc/shscreenrc はこんな。^T は生文字。
escape ^Ta
unsetenv DISPLAY
defencoding UTF-8
hardstatus off
sessionname term
caption always "%{= dm} %-w%{=bu dc}%n %t%{-}%+w %= %{=b dy}%y/%m/%d %{=b dy}%c"
screen -t tunnel /home/nakano/bin/sshtunnel.pl
detach
コメント [全部読む/投稿する]

以上、5 日分です。
タイトル一覧
カテゴリ分類
book
dept
issp
labo
paper
snap
stock
vsj
Powered by hns-2.19.5, HyperNikkiSystem Project

中野武雄 (NAKANO, Takeo) <nakano@st.seikei.ac.jp> Since 1999-10-07
RSS feed, 更新時刻, LIRS エントリ, アクセス制御 (解説)

中野のホームページへ