試してみたことをメモ。考えたことをメモ。おっちょこちょいは治せない。
https://www.virtualmin.com/docs/os-support/
以前は、自動アップデートはできないまでも、「自分で何とかする範囲では利用可能だよ」の区分に、Mac OSX の記載があったのだけれども、とうとう記載が無くなった。Intel の Mac がなくなって、 LINUX もまだまだ amd64, x86_64 だからだろう。
全く別なアプリで1年くらい前だけれども、M1 Mac で操作しようとしたら、数値入力ができい箇所があった。完全な互換はできないと考えている。しかも、サーバーのように歴史的な機能をすべて対応しようとするといったいどれほどの作業が必要だろう。Mac OSX は server をやめてしまっている。
久しぶりにスマホの画像をサイトにアップロードしようとしたら、アップロードの容量が2メガまでになっていた。
Virtualmin で確認するとデフォルトの状態。以前はこのような設定画面ではなかったと思うけれども、何度か webmin もアップデートされてたからかな。
確か他にもいろいろ変わってる。。
いろいろ試してみたけど、openVPNの自動インストーラでゴールで来た。
SSL証明書に既存のものを利用するように手動設定にこだわったけれど、やりたいことは皆さん同じようだ。
参考にさせていただ来ました。ありがとうございました。
https://dawaan.com/setting-up-openvpn-in-5-mins/
利用状況
メモ
インストーラーを使えば、設定を確認しながら進められる。
1日つまづいてしまったのは、ルーターのポートを開放していなかったため。
回線の節約で、簡易DMZ設定のない、YAMAHAのルーターに切り替えていたのを忘れていた。(泣、
せっかくの YAMAHA RTX830 を活用するために、
などとしてみた。もともとは、下記のような使い方
http://www.rtpro.yamaha.co.jp/RT/manual/rtx830/Webgui.pdf
基本、YAMAHA RTX830 にブラウザでアクセスしてGUI設定。設定過程でいろいろあった。
YAMAHA RTX830 は IPv6 の PPPoE を使えるために選んだ機種だけれも、逆引きは設定できず使いこなせずにいた。
とにかく、YAMAHA RTX830 でサーバーを公開しつつ、VPN 接続も設定できた。docomo home 5G さえ持っていけばどこでも仕事できる状態にはできたけれども、docomo home 5G も使用する拠点を事前に設定しておかなければならない。いろいろ不自由だ。
現在の場所は 4G のみ。逆引きはできないけど、サーバーにIPv6は設定できそう。
Virtualmin では、DNSの入力をサポートしてくれる。
Virtualmin > ドメイン >Server Configuration > DNS Records >Create Record of Type: TXT
_dmarc.***.jp
v=DMARC1;p=none;rua=mailto:**@***.jp;ruf=mailto:**@***.jp;rf=afrf;pct=100
とした。
https://www.mail-tester.com/
上記のチェックサービスを利用させていただいた。
→ 
最初は、DMARC なしで、空メールを送ってしまって「3.9/10」の判定。ボートが遭難。
次に、DMARC を記述して、タイトル、本文をいつものやりとり程度で送信。「9.4/10」の判定。穏やかな浜辺にボートが着岸。
「-0.791 UPPERCASE_50_75 message body is 50-75% uppercase」英語ベースでスパムテストを受けているためマイナスをいただく。
adress.php は、ウェブサーバー上に過去にあったファイルで、Google Search Console でも削除依頼していたが、検索でヒットしてしまう。確認のためアクセスしてみると「File not found. 」が表示された。
.htaccess では、404 の時、「note.html」を表示する指定をしている。
.cgi や .html は .htaccess の指定通りに動作するが、.php だけ動作が違う。
調べてみると、こんな情報があった
https://stackoverflow.com/questions/63688959/php-configuration-setting-for-404-errors
Due to enabling the mod_proxy_fcgi and using PHP-FPM this might happen.The default error page in the proxy is File not Found. Try adding the following in your http.conf or apache.conf
確かに症状のでているウェブサイトは、PHP-FPM だ。
apache の .conf に「ProxyErrorOverride On」を指定するように助言されている。
ここでは、サイトルート以外でワードプレスを利用しており、サイトルートの.htaccess に、下記を指定することで、ワードプレスによる404表示とした。
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /ワードプレス/
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /ワードプレス/index.php [L]
</IfModule>ワードプレスによる404表示がされるのであれば、
ErrorDocument 403 /note.html
ErrorDocument 404 /note.html
ErrorDocument 500 /note.htmlといった、指定は削除することにした。
httpd -t -D DUMP_CONFIG 2>/dev/null | grep -v ‘#’
上記コマンドで apache の設定状況がわかるので、慣れないサーバではチェックすることになるのかな。
This is the mail system at host ***.jp.
I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<***@gmail.com>: host gmail-smtp-in.l.google.com[2404:6800:4008:c02::1a]
said: 550-5.7.1 [2400:***:***:***:***:***:***:***] The IP you’re using to
send mail 550-5.7.1 is not authorized to send email directly to our
servers. Please use 550-5.7.1 the SMTP relay at your service provider
instead. Learn more at 550 5.7.1
https://support.google.com/mail/?p=NotAuthorizedError
h2-20020a170902f54200b001c7347e993esi10950948plf.17 – gsmtp (in reply to
end of DATA command)
参考になりました。ありがとうございました。
postfix で IPv4 のみを利用するように設定。
/etc/postfix/main.cf
inet_protocols = all とあるが、main.cf の最後に下記を追記
inet_protocols = ipv4
Policy Blocklist (PBL)は、サービスプロバイダーからのブラックリスト削除要請しかうけないらしいので、VPSのサポートへ連絡した。
結果次第で、main.cf を元に戻すこととする。
This is the mail system at host ***.jp.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<***@gmail.com>: host
gmail-smtp-in.l.google.com[2404:6800:4008:c19:***:***] said: 550-5.7.1
[2400:8500:1302:3134:157:7:***:***] The IP you're using to send mail
550-5.7.1 is not authorized to send email directly to our servers. Please
use 550-5.7.1 the SMTP relay at your service provider instead. Learn more
at 550 5.7.1 https://support.google.com/mail/?p=NotAuthorizedError
u6-20020a17090a410600b0026b0c3f1506si1032633pjf.155 - gsmtp (in reply to
end of DATA command)
Gmail へ送信するとこのように受信してもらえなかったというメールが返ってきた。
Google アカウントへログインして下記のリンクを開き
https://support.google.com/mail/?p=NotAuthorizedError
「Postmaster Tools」から、承認を依頼すると、DNS へ TXT レコードを追加するように指示されます。
Virtualmin > ドメイン > Server Configuration > DNS Records > Create Record of Type: TXT にて追加
TXT レコードを追加して、承認されると、エラーなくメールを送信、手元の Gmail でも受信が確認できました。
2023.10.03 追記======================
IPv6がブラックリストに入っていた。
Gmail へ送信できたのは、たまたまIPv4だったから。
Gmail へ送信できない。Please use 550-5.7.1 the SMTP relay at your service provider instead.
Format for usernames that include domain
When a username has the domain name appended, this option selects the format. Not all options are available on all OS platforms, as some characters are not allowed in usernames. Whether the domain name is the full username, i.e. “virtualmin.com”, or just the first part, i.e. “virtualmin”, is dictated by theDomain name style in usernamesoption on the Module Config page.The username@domain option is not recommended unless you are migrating users from another system that already uses it. The Postfix mail server has problems with SMTP authentication by users with an @ in the username, and requires that an extra Unix user be created for each mailbox for mail delivery to work.
ドメインを含むユーザー名の形式
ユーザー名にドメイン名が追加されている場合、このオプションは形式を選択します。 一部の文字はユーザー名に使用できないため、すべての OS プラットフォームですべてのオプションを使用できるわけではありません。 ドメイン名が完全なユーザー名 (例: 「virtualmin.com」) であるか、最初の部分だけ (例: 「virtualmin」) であるかは、モジュール構成ページのユーザー名オプションのドメイン名スタイルによって決まります。username@domain オプションは、すでに使用している別のシステムからユーザーを移行する場合を除き、推奨されません。 Postfix メール サーバーには、ユーザー名に @ を含むユーザーによる SMTP 認証に問題があり、メール配信を機能させるにはメールボックスごとに追加の Unix ユーザーを作成する必要があります。
Virtualamin > System Settings > Server Templates > Default Settings > Edit Server Template > Format for usernames that include domain
Postfix のアカウント追加の際に、メールアドレスと同じアカウントの文字列は推奨されなくなるようだ。
確かに、メールサーバへアクセスを試みたり、SMTPで送信を試みることは「メールアドレス」がわかっていれば試しやすい。IPアドレスを豊富に持っていれば、攻撃もしやすい状況にある。「メール配信を機能させるにはメールボックスごとに追加の Unix ユーザーを作成する必要があります。」については、よくわかっていないが、流れ的にはこんな感じ。
ログイン時に初回、必ずはじかれる。(こういったセキュリティ設定は他でもあったが、どこで設定できるか確かめていない。)
そのままでは、受信はできるが送信はエラーとなる。
ログインできたら、設定 > 識別情報 >「電子メール」を確認すると、**@localhost となっている。これを該当のメールアドレスに設定することで、Roundcube での送受信が可能になる。
面倒なことではあるが、送信側のハードルを上げることで、攻撃は難しくなる。アカウント名のパターンが現在8種類用意されているようだ。
既存のドメインでメールサーバを別サーバで運用していて、Virtualmin のサーバーへ引っ越してくる場合。
Gmail の迷惑メールフォルダーに入れられてしまわないためには、独自のメールサーバを用意することになる。
問い合わせページにアクセスが増えているのに、メールフォームの利用がない。
SMTP にすることで、迷惑メール判定を軽減できるかと思い試してみた。
https://www.synck.com/downloads/cgi-perl/mailformpro/feature_1477934393.html
それぞれ試したが、gmail では、3つとも迷惑メールフォルダに入ってしまう。
ホスト名が、「v2002.coreserver.jp」でドメイン名と合わない。「アカウント.v2002.coreserver.jp」のメールアドレスにしてみたが、「Received-SPF: none 」となって、やはり迷惑メールフォルダに。
sendmail、smtp のヘッダーを見比べても大きな差はないので、ホスト名とドメインが同じサーバで、sendmail のcgiから送信したら、問題なく受信できた。SMTP神話よりホスト名の一致が必須。
以前、SSLが自由に使えない時にデフォルトのホスト名をよく使っていたのを思い出す。
メールフォームをちゃんとしたいときには、VPSで独自のサーバを構築する方法になる。
一般的に万能なのは、Google WorkSpace で独自ドメインを利用することだろうけれども、DNSの記述が汚く見えるので、私がまだ知らない世界では使えないかもしれない。
アップデートに失敗して、ほかの更新も邪魔してしまうので解決策をさがした。
丁寧なやり取りと、早い解決策の提示。ありがとう。
Last metadata expiration check: 2:30:22 ago on Thu Aug 3 06:26:03 2023.
Error:
Problem: problem with installed package awscli-1.23.10-2.el9.noarch
– package awscli-1.23.10-2.el9.noarch requires (python3.9dist(rsa) < 4.9 with python3.9dist(rsa) >= 3.1.2), but none of the providers can be installed
– cannot install both python3-rsa-4.9-2.el9.noarch and python3-rsa-4.8-1.el9.noarch
– cannot install the best update candidate for package python3-rsa-4.8-1.el9.noarch
(try to add ‘–allowerasing’ to command line to replace conflicting packages or ‘–skip-broken’ to skip uninstallable packages or ‘–nobest’ to use not only best candidate packages)
最後のメタデータ有効期限チェック: 2023 年 8 月 3 日木曜日 06:26:03 の 2:30:22 前。
エラー:
問題: インストールされているパッケージ awscli-1.23.10-2.el9.noarch に問題があります
– パッケージ awscli-1.23.10-2.el9.noarch には (python3.9dist(rsa) < 4.9 with python3.9dist(rsa) >= 3.1.2) が必要ですが、どのプロバイダーもインストールできません
– python3-rsa-4.9-2.el9.noarch と python3-rsa-4.8-1.el9.noarch の両方をインストールすることはできません
– パッケージ python3-rsa-4.8-1.el9.noarch の最適な更新候補をインストールできません
(競合するパッケージを置き換える場合はコマンドラインに「–allowerasing」を追加するか、アンインストール可能なパッケージをスキップする場合は「–skip-broken」を、最適な候補パッケージだけを使用しない場合は「–nobest」を追加してみてください)
参照ページ
https://forum.virtualmin.com/t/package-update-failes-python3-rsa/121815
解決策・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
Fixed with command dnf update –best –allowerasing I did remove awscli-1.23.10-2.el9.noarch. I don’t use AWS so it should be ok. Steve
コマンド dnf update –best –allowerasing で修正し、awscli-1.23.10-2.el9.noarch を削除しました。 AWSは使っていないので大丈夫だと思います。 スティーブ
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
[root@マシン ~]# dnf update –best –allowerasing
メタデータの期限切れの最終確認: 0:13:35 前の 2023年08月03日 10時03分42秒 に実施しました。
依存関係が解決しました。
==================================================================================================================================================================================
パッケージ アーキテクチャー バージョン リポジトリー サイズ
==================================================================================================================================================================================
アップグレード:
python3-rsa noarch 4.9-2.el9 epel 59 k
依存関係パッケージの削除:
awscli noarch 1.23.10-2.el9 @epel 8.5 M
トランザクションの概要
==================================================================================================================================================================================
アップグレード 1 パッケージ
削除 1 パッケージ
ダウンロードサイズの合計: 59 k
これでよろしいですか? [y/N]: y
パッケージのダウンロード:
python3-rsa-4.9-2.el9.noarch.rpm 184 kB/s | 59 kB 00:00
———————————————————————————————————————————————————————————-
合計 53 kB/s | 59 kB 00:01
トランザクションの確認を実行中
トランザクションの確認に成功しました。
トランザクションのテストを実行中
トランザクションのテストに成功しました。
トランザクションを実行中
準備 : 1/1
アップグレード中 : python3-rsa-4.9-2.el9.noarch 1/3
削除 : awscli-1.23.10-2.el9.noarch 2/3
整理 : python3-rsa-4.8-1.el9.noarch 3/3
scriptletの実行中: python3-rsa-4.8-1.el9.noarch 3/3
検証 : python3-rsa-4.9-2.el9.noarch 1/3
検証 : python3-rsa-4.8-1.el9.noarch 2/3
検証 : awscli-1.23.10-2.el9.noarch 3/3
アップグレード済み:
python3-rsa-4.9-2.el9.noarch
削除しました:
awscli-1.23.10-2.el9.noarch
完了しました!
[root@マシン ~]#
https://www.virtualmin.com/documentation/web/multiplephp/
複数の PHP バージョンがインストールされている場合、Virtualmin を使用すると、特定のドメインで使用する実行モードと PHP バージョンを選択できます。 利用可能な実行モードは、FPM (推奨) と CGI/FCGId です。 後者のモードでは、ディレクトリごとに異なる PHP バージョンを設定できます。
サイトやサブドメインはもちろん、ディレクトリごとに php のバージョンを変えられる自由度があります。
Virtualmin で設定されたサイトの場合、デフォルトで用意されるアカウント「postmaster@example.com」は、ユーザーネーム username が「postmaster@example.com」ではないため、メールアプリの設定違いでブロックされてしまうことがある。
デフォルトの設定候補がこんなかんじ、
サーバ:mail.example.com(mail.は証明書エラーが出ていたのをワイルドカードの証明書にして解決)
ユーザ:postmaster または、postmaster@example.com
あるいは、ユーザーがパスワードを手入力などで何度も間違えた場合にも起こる。
Webmin > Networking > Fail2Ban Intrusion Detector> Jails Status And Actions
画面にはブロックされているIPアドレスが表示されている。
IPアドレスをクリックするとリストから消える。間違ったアクセスを繰り返していると再び表示される。
ユーザーと連絡が取れれば、接続しているIPアドレスを聞いて、IPアドレスを確認したうえで、ブロックの解除。
「Unblock All IPs for Selected Jails」というボタンも使えるかもしれない。
2022年09日25日の夜には、エラーでアップデートできなかったけど、26日の午後にアップデートできるようになっていた。
25日の夜のエラーの内容
GPG key at file:///etc/pki/rpm-gpg/RPM-GPG-KEY-virtualmin-7 (0xB9A0B8B7) is already installed
The GPG keys listed for the “Virtualmin 7 GPL – noarch” repository are already installed but they are not correct for this package.
Check that the correct key URLs are configured for this repository.. Failing package is: usermin-1.860-1.noarch
GPG Keys are configured as: file:///etc/pki/rpm-gpg/RPM-GPG-KEY-virtualmin-7
Public key for webmin-2.001-1.noarch.rpm is not installed. Failing package is: webmin-2.001-1.noarch
GPG Keys are configured as: file:///etc/pki/rpm-gpg/RPM-GPG-KEY-virtualmin-7
The downloaded packages were saved in cache until the next successful transaction.
You can remove cached packages by executing ‘dnf clean packages’.
Error: GPG check FAILED
フォーラムのアカウントを取得した。
https://forum.virtualmin.com/
Webmin が大きく変化したということではなく、今までのアップデートで「1.999」という状態が続いていたので、連続的な更新の結果と思っている。応援できるようになりたいけど、付き合いが狭いので、使っている人に出会ったことがない。
これまでは、サーバー監視ツールとして、webmin のサードパーティで webminsatats をインストールして Historic System Statistics で確認していた。
・トラブルの履歴などを照会できる
で、LockyLinux 9.0 は perl のバージョンが、5.32で webminsatats が動かない。LockyLinux 8.6 も試してみたが、やはり動かない。これは、フォームメールとして、愛用させてきていただいた KENT様 の postmail.cgi も同様。
フォームメールは、phpの代用を見つけてある。サーバー監視は、以前、munin などを使っていたがすっかり忘れてしまった。
探してみると、なんと RockyLinux には、インストール済みの cockpit があるとのこと
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/8/html-single/managing_systems_using_the_rhel_8_web_console/index
上記を参考に稼働
ただし、public でアクセスできてしまったので、webmin から削除して、ローカルからアクセスするようにした。
RockyLinux と同様にインストールできた。
1点、RockyLinux ではインストールするパッケージを細かく指定できたけど、AlmaLinux は、DVD iso からインストールすると、GUIがインストールされた。
サイトやディレクトリで任意のphpが設定できる マルチ設定な php Virtualamin で php8.1をインストールしたくて、ブックマークしていたページにアクセス
https://www.virtualmin.com/documentation/web/multiplephp/
以前は、CentOS7のインストール方法が案内されていたが、、CentOS Stream になっている。
候補は「Alma」「Rocky Linux」
https://serverland.info/article/detail/rockylinux-install-vmware
上記を参考に、DVD iso を使って GUIできるようにインストール。
webmin の 機能拡張が Virtualamin 構成に見えるけれども、Virtualamin なしでは運用は難しい。
そして、インストールも、webmin をインストールしてから、Virtualamin という流れでなく、Virtualamin をインストールすると、webmin もインストールされるという状況になっている。
https://www.virtualmin.com/os-support/
たった、3行
wget https://raw.githubusercontent.com/virtualmin/virtualmin-install/最新のアドレス/virtualmin-install.sh
chmod a+x virtualmin-install.sh
sudo ./virtualmin-install.sh
https://www.virtualmin.com/documentation/web/multiplephp/
dnf install php*-php-{cli,fpm,pdo,gd,mbstring,mysqlnd,opcache,xml,zip}
https://www.virtualmin.com/documentation/email/dkim/
IPアドレスの逆引きは、プロバイダーによるもの。IPv6の逆引きには対応していないので、下記のような結果を得るために、IPv4のみとしている。
==========================================================
Summary of Results
==========================================================
SPF check: pass
“iprev” check: pass
DKIM check: pass
インターネット回線、プロバイダー、サーバー機材、いろいろ含めれば、レンタルサーバのほうがお得であることは間違いない。
けれども、サーバーの裏側がわかるので、なんとなく、継続してしまっている。
(2022.08.24)