Nextcloud で監査ログが出ないとき

Nextcloud 16 で、監査ログ (audit.log) が 0 バイトなのに気付いた。これを修正したときのメモ。

  1. あらかじめ、管理者権限で、「Auditing / Logging」アプリが有効になっているか確認する。

  2. config.php ファイルにおいて、log_type を file 、loglevel を 1 とする。例えば以下のようにする。

    'log_type' => 'file',
    'logdateformat' => 'Y-m-d H:i:s',
    'logfile' => '/path/to/nextcloud.log',
    'loglevel' => '1',
    'logtimezone' => 'Asia/Tokyo',
  3. 念のため、以下のコマンドで、監査ログの出力場所とファイル名を指定する。

    ./occ config:app:set admin_audit logfile --value=/path/to/audit.log

日本語のファイル名を含むような場合、audit.log は、以下のようにして読むと幸せになれそう。

cat audit.log | sed 's/\\\u\(....\)/\&#x\1;/g' | nkf --numchar-input -w | less

参考

Debian 9 の Apache2.4 で TLSv1.3 を利用する

TLSv1, TLSv1.1 が 2020 年にもメジャーなブラウザで無効化されると言う話題が出ていました。

Deiban 9 の Apache 2.4 は、TLSv1.2 に対応しているので特に影響はありませんが、どうせという事で TLSv1.3 に対応をしてみました。

続きを読む

Linux: dbus の部分で起動に目茶苦茶時間がかかって、止まったかと思った件

私、sysvinit で Linux を運用していたのだけど、パッケージシステムでうっかり systemd が入ってしまい、再起動したところ dbus のところで起動しなくなった。(ように見えた)

目茶苦茶焦ったのだが、しばらく考え込んでいたところ、どうやらタイムアウトして起動してくれた。(ホッ)

ログを見てみたら、

dbus-daemon[xxxx]: [system] Failed to activate service 'org.freedesktop.systemd1': timed out (service_start_timeout=25000ms)

とのことで、/etc/nsswitch.conf の

passwd: compat systemd
group: compat systemd

passwd: compat
group: compat

に修正し、再起動で対応完了。

Let’s Encrypt でワイルドカード 証明書を得る (nsd4 利用)

Let’s Encrypt でワイルドカード証明書を得るためには DNS-01 で認証を得る必要があります。

nsd4 と dehydrated の組み合わせで一応出来たので、備忘録として記載します。なお、マスターサーバ上で実装、bind9 付属の named-checkzone を利用しているので注意して下さい。

・/etc/nsd/zones/example.com (ゾーンファイルの修正)

nsd4 では、動的にゾーンのレコードを追加したり削除したり出来ないので、実際のゾーンファイルを直接書き換えます。

関係ないところを書き換えないためにも、シリアル値を「;SERIAL_START」から「;SERIAL_END」の範囲で、DNS-01 で使う「_acme-challenge」については「;LE_DNS-01_START」から「;LE_DNS-01_END」の範囲でくくります。

$TTL 86400
example.com.		IN	SOA	ns.example.com. root.ns.example.com. (
;SERIAL_START
				2018051301	; Serial
;SERIAL_END
				86400		; Refresh 24 Hours
				7200		; Retry 2 Hours
				1209600		; Expire 2 Weeks
				7200		; Negative cache TTL 2 Hours
			)

					IN	NS	ns.example.com.

;LE_DNS-01_START
;_acme-challenge.example.com.	60	IN	TXT	"NOTHING"
;LE_DNS-01_END

NS					IN	A	192.168.1.1

・hook.sh

dehydrated 同梱の hook スクリプトを以下の様にします。

#!/usr/bin/env bash

deploy_challenge() {
    local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}"
    local REGEXDOMAINNAME=`echo ${DOMAIN} | sed -e 's/\./\\\./'`
    local NOWUMASK="`umask`"
    local serial1=`named-checkzone "${DOMAIN}" "/etc/nsd/zones/${DOMAIN}" | awk '/serial/ {print $5}'`
    local serial2=`expr $serial1 + 1`
    
    umask 022
    
    sed -i -e "/;SERIAL_START/,/;SERIAL_END/ s/$serial1/$serial2/" "/etc/nsd/zones/${DOMAIN}"
    sed -i -e "/;LE_DNS-01_START/,/;LE_DNS-01_END/ s/^;_acme-challenge\.${REGEXDOMAINNAME}\..*/_acme-challenge.${DOMAIN}.\t60\tIN\tTXT\t\"${TOKENVALUE}\"/" /etc/nsd/zones/${DOMAIN}
    nsd-control reload
    
    sleep 5
    
    umask ${NOWUMASK}
}

clean_challenge() {
    local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}"
    local REGEXDOMAINNAME=`echo ${DOMAIN} | sed -e 's/\./\\\./'`
    local NOWUMASK="`umask`"
    local serial1=`named-checkzone "${DOMAIN}" "/etc/nsd/zones/${DOMAIN}" | awk '/serial/ {print $5}'`
    local serial2=`expr $serial1 + 1`
    
    umask 022
    
    sed -i -e "/;SERIAL_START/,/;SERIAL_END/ s/$serial1/$serial2/" "/etc/nsd/zones/${DOMAIN}"
    sed -i -e "/;LE_DNS-01_START/,/;LE_DNS-01_END/ s/^_acme-challenge\.${REGEXDOMAINNAME}\..*/;_acme-challenge.${DOMAIN}.\t60\tIN\tTXT\t\"NOTHING\"/" /etc/nsd/zones/${DOMAIN}
    nsd-control reload
    
    sleep 5
    
    umask ${NOWUMASK}
}

deploy_cert() {
}
deploy_ocsp() {
}
unchanged_cert() {
}
invalid_challenge() {
}
request_failure() {
}
generate_csr() {
}
startup_hook() {
}
exit_hook() {
}

HANDLER="$1"; shift
if [[ "${HANDLER}" =~ ^(deploy_challenge|clean_challenge|deploy_cert|deploy_ocsp|unchanged_cert|invalid_challenge|request_failure|generate_csr|startup_hook|exit_hook)$ ]]; then
  "$HANDLER" "$@"
fi

dehydrated の config ファイルの修正

DNS-01 と hook.sh を使う様に指定します。その他は適切に設定して下さい。

CHALLENGETYPE="dns-01"
HOOK=./hook.sh

dehydrated の domains.txt ファイルの修正

以下の様な書式で記載します。

*.example.com > wildcard.exaple.com

証明書発行

後は、いつもどおり証明書を要求すると、DNS-01 で認証され、発行されます。

その他

domains.txt で「example.com *.example.com」の様にすると、example.com に 2 回 DNS-01 認証が発生し、上手くいきませんでした。

古いディストリビューションでカーネルだけ上げる場合

注意: こう言う場合は、素直に、ディストリビューションをアップグレードすべきです。カーネル以外の収録ソフトウェアにぜい弱性があっても放置されるので。

興味があって、古い Debian GNU/Linux squeeze (i386) のカーネルだけ上げて見た自分用備忘録です。ただし、仮想マシン上で起動のみ確認しただけなので、本情報は無保証です。

続きを読む

cups から AirMac Extreme で共有されているプリンタに印刷および再度共有する設定メモ

表題の通り、cups が動作している Linux マシンから、AirMac Extreme に接続されているプリンタに印刷する設定である。

なお、例によって、Debian GNU/Linux 9 での設定例である。サーバは、192.168.1.1 、共有プリンタが接続されている AirMac Extreme は 192.168.1.2 とする。

・事前準備

iptables などでフィルタリングしている場合、あらかじめサーバから TCP 192.168.1.2:9100 宛への通信を許可する。

・cups のインストール

# apt-get install cups

・管理ユーザの設定

# adduser username lpadmin

cups の Web インタフェースへ管理画面接続可能な様に、任意の管理者ユーザ (この例では username) を lpadmin グループに所属させる。

・リモートのブラウザから設定

$ ssh -L 8080:127.0.0.1:631 username@192.168.1.1

リモートから、サーバ (この例では 192.168.1.1) の 631 ポートへポートフォワードし、ssh 接続する。

・ブラウザで、http://127.0.0.1:8080/ を開き cups の設定を行う

「管理」メニューより、以下の通り進める。なお、BASIC 認証画面が出たら、「管理ユーザの設定」の項目で設定したユーザ名とパスワードで認証する。

  1. 「このシステムに接続されているプリンターを共有」にチェックを入れる。
  2. プリンターの追加を選択。
  3. その他のネットワークプリンター内「AppSocket/HP JetDirect」にチェックし、「続ける」をクリックする。
  4. 接続に「socket://192.168.1.2:9100」の様に入力し、「続ける」をクリックする。
  5. 名前は適当にプリンタ名、説明も適当にメーカ名 + プリンタ名、場所もやっぱり適当に入力し、このプリンターを共有するにチェックを入れ、「続ける」をクリックする。
  6. AirMac Extreme に接続されているプリンタのメーカ名を選択し「続ける」をクリックする。
  7. AirMac Extreme に接続されているプリンタのモデルを選択し「プリンターの追加」をクリックする。
  8. 該当プリンタのデフォルトの設定画面が表示されるので、必要に応じて変更し「デフォルトオプションの設定」をクリックする。

・テスト印刷

「プリンター」メニューより、先ほど追加したプリンタを選択し「メンテナンス」内「テストページの印刷」を選択して、正しくプリントアウトされることを確認する。

・共有について

該当 Linux マシンには avahi をインストール済みのため、ローカルネットワークからサーバ TCP 631 宛の通信を許可するだけで、macOS から IPP 経由で印刷できるようになったりする。

ちなみに上記の設定だけで、iOS デバイスから AirPrint 可能なデバイスとして認識される。が、正常に印刷が出来たのは iOS 6 の端末のみで、iOS 11 からは正しく印刷できなかった。

2018/02/10 追記
iOS 11 においても、iOS アプリの「Printer Pro by Readdle」を使用すると、印刷することが出来た。
(追記おわり)

・参考にさせていただいたサイト

PHP 実行環境を fcgid + php-cgi から PHP-FPM に変更

以前に公開したエントリ、「mod_fcgid 設定」で紹介した様に、本サイトの php 実行環境は fcgid + php-cgi で行っていました。
が、今回興味があって、PHP-FPM で実行する様に変更したので、その備忘録です。

ちなみに変更前の環境は Debian GNU/Linux 9 + Apache 2.4 + fcgid + php-cgi (PHP 7.0) で動作する設定で、今回はこれを fcgid + php-cgi 部分について fgcid + PHP-FPM (PHP7.0) で実行する様変更したものです。

なお、設定内容はあくまで例です。また間違いがあればコメント欄でいただけると嬉しいです。

続きを読む

Z-Push を使って iPhone に独自ドメインメールを push 通知する

Z-Puzh」というオープンソースの ActiveSync 互換ソフトウェアを利用して、iPhone に自分が所有しているドメインのメールサーバについて、push 通知に成功したので、備忘録としておいておきます。

続きを読む