「VPS」の記事 - Crieit

VPSを引っ越したらHTTP(80)は繋がるがHTTPS(443)は繋がらなくなった原因

2020-04-25T02:52:35+09:00

原因

sslhの設定のIPアドレスが古いVPNのもののままだったせいでした。
新しいVPSのIPアドレスに修正したら直りました。

現象

VPSを引っ越したらHTTP(80)は繋がるがHTTPS(443)は繋がらなくなりました。
IPアドレスを指定しても、HTTPは繋がるのにHTTPSはconnection refusedになってしまいました。
Webサーバーにsshでログインして、curl https://localhostを実行してもconnection refusedになるので、ufwなどを疑い無効にしてみたりしましたが、現象は変わらずHTTPSだけが問題で、他は問題なしでした。
結局、grep -nr 443 /etcで設定をさらったら、/etc/default/sslhが引っかかって、sslhのインストールしたことを思い出したのでした。

sslhとは？

sslポート(443)などに、sshなどのプロトコルでも接続できるようにしてくれる、プロトコル多重化サーバーです。
sslh – A ssl/ssh multiplexer

AnsibleでVPSをセットアップする【その2】

2019-06-30T21:16:15+09:00

VPSをAnsibleを使ってセットアップするの後日譚的なものです。

docker/docker-composeのインストール

- name: Add Docker GPG key
    apt_key: url=https://download.docker.com/linux/ubuntu/gpg

apt-get updateでロックがかかってしまう問題

pathで指定したファイルを削除

state "absent"に変える。absent(欠席の意＝つまりない状態)
対義語はpresent

- name: remove lock file
   file:
     path: /var/lib/apt/lists/lock
     state: absent

エラー「E: Could not get lock /var/lib/apt/lists/lock - open (11: Resource temporarily unavailable)」

NodeJS/npmのインストール

後でgit pullしてnpm installするのですが、インストールされてないことに気づいたのでここでインストールしてしまいます。

  - name: Install basic list of packages
    apt:
      name: ['apt-transport-https','ca-certificates','curl','gnupg2','software-properties-common','npm','nodejs']
      state: present
      update_cache: yes

  - name: Add Docker APT repository
    apt_repository:
      repo: deb [arch=amd64] https://download.docker.com/linux/{{ansible_distribution|lower}} {{ansible_distribution_release}} stable

  - name: Install Docker packages
    apt:
      name: ['docker-ce','docker-ce-cli','containerd.io']
      state: present

  - name: Install Docker-compose 
    shell: curl -L "https://github.com/docker/compose/releases/download/1.24.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
  - name:
    command: chmod +x /usr/local/bin/docker-compose

プライベートリポジトリをgit clone

まだメインのスクリプトと統合してない状態です。
githubからpersonal tokenを発行して使います。

- hosts: all
  user: "{{ user_name }}"
  #become: yes
  tasks:
  - name: git pull
    git:
      repo: "https://{{account_name}}:{{ personal_token }}@github.com/{{account_name}}/{{ repo_name }}.git"
      dest: "~/{{ target_dir }}"
      accept_hostkey: yes

課題点

docker-composeがパーミッションエラーで起動できない

ユーザをsudoできる権限を持ったグループに追加しないといけないみたいです。

ERROR: Couldn't connect to Docker daemon at http+docker://localunixsocket - is it running?

VPSをAnsibleを使ってセットアップする

2019-06-01T23:26:13+09:00

一念発起してVPSを借りたのですが、サーバの初期設定の操作で色々詰まってサーバ削除・新規作成を繰り返していたので、手順を残すこともできるAnsibleを使い始めました。

Ansibleって？

RedHatが提供している、サーバの設定自動構成ツール。
クライアントからサーバへSSHで接続してリモートでコマンドを実行できます。

動作条件

クライアント: ansibleがインストールされていること
サーバ: SSHで接続できること。python(2系でも3系でも可)がインストールされていること。

まずクライアント(mac)にansibleをインストール

$ brew install ansible

playbookを作る

playbookと呼ばれる、実行したいスクリプトをyamlで記述します。
以下がplaybookの設定例です。

サーバにログインする

hostsファイルで設定したallというグループに属するサーバにアクセスします。
サーバ作成直後でroot以外のユーザがいない状況を想定しているのでrootでログインします。

- hosts: all
  user: root

一般ユーザを新規作成する

ubuntuはsudo権限を持ったグループ名がsudo

    - name : add user
      user: 
        name: "{{ user_name }}"
        state: present
        password: "{{ password }}"
        groups: sudo

.sshディレクトリを作成する

パーミッションは700ではなく0700

- name: mkdir .ssh
      file: 
        path: "~{{ user_name }}/.ssh"
        state: directory
        owner: "{{ user_name }}"
        group: "{{ user_name }}"
        mode: 0700

公開鍵を一般ユーザのホームディレクトリに配置する

パーミッションは600ではなく0600

- name: private key for slave server
      copy: 
        dest: "~{{ user_name }}/.ssh/authorized_keys"
        content: "{{ lookup('file', '~/.ssh/public_openSSH') }}"
        mode: 0600
        owner: "{{ user_name }}"
        group: "{{ user_name }}"

セキュリティ設定変更

ポート番号変更

 - name: "待受ポートを {{ sshd_port }} に変更"
       lineinfile:
         dest: /etc/ssh/sshd_config
         regexp: "^Port"
         insertafter: "^#Port"
         line: "Port {{ sshd_port }}"

iptablesで変更後のSSHポートを許可

    - name: Allow new incoming SYN packets.
      iptables:
        chain: INPUT
        protocol: tcp
        destination_port: "{{ sshd_port }}"
        ctstate: NEW
        syn: match
        jump: ACCEPT
        comment: Accept new SSH connections.

ufw(ubuntuのファイアウォール)で変更後のSSHポートを許可

パスワードログイン禁止

- name: パスワード認証の無効化
      lineinfile:
        dest: /etc/ssh/sshd_config
        regexp: "^PasswordAuthentication"
        insertafter: "^#PasswordAuthentication"
        line: "PasswordAuthentication no"

rootログイン禁止

Ansible でSSHのセキュリティ設定

rootユーザからログアウト

これ以降は作成した一般ユーザでスクリプトを実行した方がよいのでユーザ切り替えのためにログアウト。

- name: logout
      meta: reset_connection

playbookを実行する

server_setup.ymlというplaybookを、hostsというファイルで設定したサーバに対して実行します。公開鍵認証をする場合はprivate-keyオプションでopenSSH形式の秘密鍵を指定します。

$ ansible-playbook server_setup.yml -i hosts --private-key ~/.ssh/private_openSSH.ppk