Linux: dbus の部分で起動に目茶苦茶時間がかかって、止まったかと思った件

私、sysvinit で Linux を運用していたのだけど、パッケージシステムでうっかり systemd が入ってしまい、再起動したところ dbus のところで起動しなくなった。(ように見えた)

目茶苦茶焦ったのだが、しばらく考え込んでいたところ、どうやらタイムアウトして起動してくれた。(ホッ)

ログを見てみたら、

dbus-daemon[xxxx]: [system] Failed to activate service 'org.freedesktop.systemd1': timed out (service_start_timeout=25000ms)

とのことで、/etc/nsswitch.conf の

passwd: compat systemd
group: compat systemd

passwd: compat
group: compat

に修正し、再起動で対応完了。

Let’s Encrypt でワイルドカード 証明書を得る (nsd4 利用)

Let’s Encrypt でワイルドカード証明書を得るためには DNS-01 で認証を得る必要があります。

nsd4 と dehydrated の組み合わせで一応出来たので、備忘録として記載します。なお、マスターサーバ上で実装、bind9 付属の named-checkzone を利用しているので注意して下さい。

・/etc/nsd/zones/example.com (ゾーンファイルの修正)

nsd4 では、動的にゾーンのレコードを追加したり削除したり出来ないので、実際のゾーンファイルを直接書き換えます。

関係ないところを書き換えないためにも、シリアル値を「;SERIAL_START」から「;SERIAL_END」の範囲で、DNS-01 で使う「_acme-challenge」については「;LE_DNS-01_START」から「;LE_DNS-01_END」の範囲でくくります。

$TTL 86400
example.com.		IN	SOA	ns.example.com. root.ns.example.com. (
;SERIAL_START
				2018051301	; Serial
;SERIAL_END
				86400		; Refresh 24 Hours
				7200		; Retry 2 Hours
				1209600		; Expire 2 Weeks
				7200		; Negative cache TTL 2 Hours
			)

					IN	NS	ns.example.com.

;LE_DNS-01_START
;_acme-challenge.example.com.	60	IN	TXT	"NOTHING"
;LE_DNS-01_END

NS					IN	A	192.168.1.1

・hook.sh

dehydrated 同梱の hook スクリプトを以下の様にします。

#!/usr/bin/env bash

deploy_challenge() {
    local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}"
    local REGEXDOMAINNAME=`echo ${DOMAIN} | sed -e 's/\./\\\./'`
    local NOWUMASK="`umask`"
    local serial1=`named-checkzone "${DOMAIN}" "/etc/nsd/zones/${DOMAIN}" | awk '/serial/ {print $5}'`
    local serial2=`expr $serial1 + 1`
    
    umask 022
    
    sed -i -e "/;SERIAL_START/,/;SERIAL_END/ s/$serial1/$serial2/" "/etc/nsd/zones/${DOMAIN}"
    sed -i -e "/;LE_DNS-01_START/,/;LE_DNS-01_END/ s/^;_acme-challenge\.${REGEXDOMAINNAME}\..*/_acme-challenge.${DOMAIN}.\t60\tIN\tTXT\t\"${TOKENVALUE}\"/" /etc/nsd/zones/${DOMAIN}
    nsd-control reload
    
    sleep 5
    
    umask ${NOWUMASK}
}

clean_challenge() {
    local DOMAIN="${1}" TOKEN_FILENAME="${2}" TOKEN_VALUE="${3}"
    local REGEXDOMAINNAME=`echo ${DOMAIN} | sed -e 's/\./\\\./'`
    local NOWUMASK="`umask`"
    local serial1=`named-checkzone "${DOMAIN}" "/etc/nsd/zones/${DOMAIN}" | awk '/serial/ {print $5}'`
    local serial2=`expr $serial1 + 1`
    
    umask 022
    
    sed -i -e "/;SERIAL_START/,/;SERIAL_END/ s/$serial1/$serial2/" "/etc/nsd/zones/${DOMAIN}"
    sed -i -e "/;LE_DNS-01_START/,/;LE_DNS-01_END/ s/^_acme-challenge\.${REGEXDOMAINNAME}\..*/;_acme-challenge.${DOMAIN}.\t60\tIN\tTXT\t\"NOTHING\"/" /etc/nsd/zones/${DOMAIN}
    nsd-control reload
    
    sleep 5
    
    umask ${NOWUMASK}
}

deploy_cert() {
}
deploy_ocsp() {
}
unchanged_cert() {
}
invalid_challenge() {
}
request_failure() {
}
generate_csr() {
}
startup_hook() {
}
exit_hook() {
}

HANDLER="$1"; shift
if [[ "${HANDLER}" =~ ^(deploy_challenge|clean_challenge|deploy_cert|deploy_ocsp|unchanged_cert|invalid_challenge|request_failure|generate_csr|startup_hook|exit_hook)$ ]]; then
  "$HANDLER" "$@"
fi

dehydrated の config ファイルの修正

DNS-01 と hook.sh を使う様に指定します。その他は適切に設定して下さい。

CHALLENGETYPE="dns-01"
HOOK=./hook.sh

dehydrated の domains.txt ファイルの修正

以下の様な書式で記載します。

*.example.com > wildcard.exaple.com

証明書発行

後は、いつもどおり証明書を要求すると、DNS-01 で認証され、発行されます。

その他

domains.txt で「example.com *.example.com」の様にすると、example.com に 2 回 DNS-01 認証が発生し、上手くいきませんでした。

cups から AirMac Extreme で共有されているプリンタに印刷および再度共有する設定メモ

表題の通り、cups が動作している Linux マシンから、AirMac Extreme に接続されているプリンタに印刷する設定である。

なお、例によって、Debian GNU/Linux 9 での設定例である。サーバは、192.168.1.1 、共有プリンタが接続されている AirMac Extreme は 192.168.1.2 とする。

・事前準備

iptables などでフィルタリングしている場合、あらかじめサーバから TCP 192.168.1.2:9100 宛への通信を許可する。

・cups のインストール

# apt-get install cups

・管理ユーザの設定

# adduser username lpadmin

cups の Web インタフェースへ管理画面接続可能な様に、任意の管理者ユーザ (この例では username) を lpadmin グループに所属させる。

・リモートのブラウザから設定

$ ssh -L 8080:127.0.0.1:631 username@192.168.1.1

リモートから、サーバ (この例では 192.168.1.1) の 631 ポートへポートフォワードし、ssh 接続する。

・ブラウザで、http://127.0.0.1:8080/ を開き cups の設定を行う

「管理」メニューより、以下の通り進める。なお、BASIC 認証画面が出たら、「管理ユーザの設定」の項目で設定したユーザ名とパスワードで認証する。

  1. 「このシステムに接続されているプリンターを共有」にチェックを入れる。
  2. プリンターの追加を選択。
  3. その他のネットワークプリンター内「AppSocket/HP JetDirect」にチェックし、「続ける」をクリックする。
  4. 接続に「socket://192.168.1.2:9100」の様に入力し、「続ける」をクリックする。
  5. 名前は適当にプリンタ名、説明も適当にメーカ名 + プリンタ名、場所もやっぱり適当に入力し、このプリンターを共有するにチェックを入れ、「続ける」をクリックする。
  6. AirMac Extreme に接続されているプリンタのメーカ名を選択し「続ける」をクリックする。
  7. AirMac Extreme に接続されているプリンタのモデルを選択し「プリンターの追加」をクリックする。
  8. 該当プリンタのデフォルトの設定画面が表示されるので、必要に応じて変更し「デフォルトオプションの設定」をクリックする。

・テスト印刷

「プリンター」メニューより、先ほど追加したプリンタを選択し「メンテナンス」内「テストページの印刷」を選択して、正しくプリントアウトされることを確認する。

・共有について

該当 Linux マシンには avahi をインストール済みのため、ローカルネットワークからサーバ TCP 631 宛の通信を許可するだけで、macOS から IPP 経由で印刷できるようになったりする。

ちなみに上記の設定だけで、iOS デバイスから AirPrint 可能なデバイスとして認識される。が、正常に印刷が出来たのは iOS 6 の端末のみで、iOS 11 からは正しく印刷できなかった。

2018/02/10 追記
iOS 11 においても、iOS アプリの「Printer Pro by Readdle」を使用すると、印刷することが出来た。
(追記おわり)

・参考にさせていただいたサイト

PHP 実行環境を fcgid + php-cgi から PHP-FPM に変更

以前に公開したエントリ、「mod_fcgid 設定」で紹介した様に、本サイトの php 実行環境は fcgid + php-cgi で行っていました。
が、今回興味があって、PHP-FPM で実行する様に変更したので、その備忘録です。

ちなみに変更前の環境は Debian GNU/Linux 9 + Apache 2.4 + fcgid + php-cgi (PHP 7.0) で動作する設定で、今回はこれを fcgid + php-cgi 部分について fgcid + PHP-FPM (PHP7.0) で実行する様変更したものです。

なお、設定内容はあくまで例です。また間違いがあればコメント欄でいただけると嬉しいです。

続きを読む

Z-Push を使って iPhone に独自ドメインメールを push 通知する

Z-Puzh」というオープンソースの ActiveSync 互換ソフトウェアを利用して、iPhone に自分が所有しているドメインのメールサーバについて、push 通知に成功したので、備忘録としておいておきます。

続きを読む

OpenVPN で VPN トンネル内に IPv6 を通す

とりあえず、Debian GNU/Linux 9 において、OpenVPN の VPN トンネル中で IPv6 を通すメモです。

基本的に「OpenVPN 設定メモ (Debian 7 Wheezy)」の項目が設定できていて (Debian 9 でもおおよそ同じです) 、サーバ側にはグローバル IPv6 が当たっていて、適切なフィルタリングが出来ているものと想定します。

■前提

  • VPN の内側で使用するネットワークは、ユニークローカルアドレス、「fd00:abcd:abcd:abcd::/64」、サーバの VPN 側 IPv6 は「fd00:abcd:abcd:abcd::1」を使うことにする。
  • 上記のメモの内容が Debian GNU/Linux 9 の OpenVPN パッケージで構築済みである。
  • 設定するサーバには IPv6 の接続性がある。

■設定

/etc/openvpn/server.conf に以下を追記します。

server-ipv6 fd00:abcd:abcd:abcd::1/64
push "route-ipv6 fd00:abcd:abcd:abcd::/64"
push "route-ipv6 2000::/3"
push "dhcp-option DNS DNSサーバのIPv6アドレス" # オプション

ip6tables で以下の様なルールを設定します。(設定内容はこのままコピペじゃなくて、実際の環境に合わせて下さい。)

ip6tables -A INPUT -i tun0 -s fd00:abcd:abcd:abcd::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -o tun0 -d fd00:abcd:abcd:abcd::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -i tun0 -o ens3 -s fd00:abcd:abcd:abcd::/64 -d ::/0 -j ACCEPT
ip6tables -A FORWARD -i ens3 -o tun0 -s ::/0 -d fd00:abcd:abcd:abcd::/64 -j ACCEPT -m state --state ESTABLISHED,RELATED
ip6tables -t nat -A POSTROUTING -o ens3 -s fd00:abcd:abcd:abcd::/64 -d ::/0 -j MASQUERADE
ip6tables -A FORWARD -j DROP

上記を設定後、openvpn サーバを再起動させて、iPhone などのクライアントから OpenVPN で接続すると、VPN 側で IPv4 アドレスの他、IPv6 アドレスも付与されます。

■課題

当然ながら、IPv6 アドレスオンリーのサイトにも繋がるはずですが、なぜか一部画像が表示されなかったりという現象を確認しています。mtu の問題なのかなぁ、と思っているのですが、「OpenVPN Connect iOS FAQ」によれば、iOS の OpenVPN クライアントでは fragment パラメータを設定しているサーバには接続できないらしく、どうしたものかと考え中です。