テスト兼仮復旧報告
結局PC入れ替えまでに至ったサーバですが、最初の障害からまる2週間で、どうにかブログが見られるようにはなりました。
書き込めるかどうか、本記事でテスト。
2週間も経っているのに(入れ替えてからは4日ですが)まだFTPでログインできなかったり、smtp/pop3の暗号化鍵対応が完了してなかったり、まだまだ従前と同じレベルには戻っていませんが、引き続き対応していきます。
個人的なお気に入りの場所・ツボにはまった場所を紹介
結局PC入れ替えまでに至ったサーバですが、最初の障害からまる2週間で、どうにかブログが見られるようにはなりました。
書き込めるかどうか、本記事でテスト。
2週間も経っているのに(入れ替えてからは4日ですが)まだFTPでログインできなかったり、smtp/pop3の暗号化鍵対応が完了してなかったり、まだまだ従前と同じレベルには戻っていませんが、引き続き対応していきます。
SMTPsとPOP3sともども、ヘタにファイル名やらディレクトリ構造やら整理しようとしてサービス起動せず、ハマる。
vsftpd.confのrsa_cert_fileが要求しているのは、秘密鍵と証明書がセットになったファイルであり、/etc/pki/tls/certs/Makefileに拡張子pemのファイル名をパラメータに与えてmakeしたら作ってくれるものである。
というか、こんなことがあって初めて、Makefileの機能の全貌がつかめた。Makefileをcatしただけじゃけど(笑)。
開けてみると、make usageで下記の説明は全部出ることがわかった。先にcatしないとわからんかったか!?
このMakefileは、引数の拡張子によって生成物が変わってくる。keyだと秘密鍵のみ、csrでサーバ証明申請用証明書(でいいのかな?)、crtで証明書(「テスト証明書」だって)のみ、pemで秘密鍵と証明書を合体させたもの。
いささか重箱の隅だが、pemって本来は暗号化鍵をMIME64でエンコードしたものという意味なので、↑できるファイルは言ってみれば全部pemなんだけど、それはともかく、vsftpdで必要なのは、ここで拡張子pemでmakeしたものなのだ。
そんなわけで、正体がわかったので、smtpsやらpop3sやらと同様に、証明書の内容を365日ごとに対話的に入力するよりは、configファイル書いて-configスイッチで読ませる(でもってできた証明書と秘密鍵をひっつける)方法でいく。
というか、以前の鍵ファイルを素直にコピーしてきたら起動した(笑)。
…しかし、なぜかログインできない(というかできなくなった)。ポート#22で頑張りながら、引き続き調査中。
今までのntp.confをコピーしたらntpd.serviceは起動したが、ntpq -pがタイムアウトする。
IPv6の項目も有効にしたら動き出す。やれやれ。
chrootを、/homenobak/namedに変更。ここで設定する。
持ってきたzoneファイルのパーミッションを忘れずにnamed.namedにすること。
DHCPとのリンクで生成したjnlファイルは削除 自動更新されたlzone、lrevファイルも削除してorgからリストア。
サーバ入替にあたり気色悪いことのひとつは、/varの中に、消さなければならないファイルと、残しておきたいファイルが混在していることである。
ログは、バックアップさえ取っておけば戻す必要はないのでいいとして、デフォルトで/var/libの中にあるMySQLデータベースなどは、残しておきたいどころか冗長化して常時保護しておくべきで、そのため/varはRAID1で作った論理ボリュームをマウントしている。
しかし一方、pidファイルなどは、前システムの生成ファイルを残していると、最初からまともに動かない(ランレベル1で地道にオーナーを合わせていけばいけるかも)ので、/varについては、MySQLデータベースとBINDのchrootだけバックアップを取ってからフォーマットして、サービス開始前に元に戻す、という手順を踏んでいる。この場合、起動しなくなってmysqldumpできなかったり、バックアップすること自体忘れてフォーマットしてしまうと、ちょっとピンチになる。
そんなわけで、再セットアップのついでに、MySQLは日次バックアップをかけているRAID1に、BINDは自動バックアップのないRAID1に置く。これで/varは、いざとなったらいつでも丸ごと消せるRAID1になった。
この準備が活きてくる時が、なるべく遅くやって来ますように。
昨日ハマったのは、networkサービスに競合するNetworkManagerなるサービスの仕業であった。Fedora8からいきなり飛んできたらこれは分からん(汗)。
セットアップでサービス名だの認証方式だの、PPPoEの設定項目をやたら増やしてきたのもコレの仕業らしい。
サービス名は空白でよくて、認証方式は、チェックをいくつか外して試してみるのがよいらしいが、GUIに関する一切をインストールせずランレベル3で動かしている者としては、もはやどうしようもない。
それにしても、/etc/rc.d/rc3.d/の中身も寂しくなってしまった。sshdとかhttpdとか、主だったサービスは管理の方法がガラッと変わったらしい。
というわけで、どうにか自身と、IP固定した端末からの通信がやっと回復。まだまだこれからだ。
休み返上してサーバのセットアップ。
PCの動作確認まではあっさり終わったが、さて今度のサーバは仮想化したものか、昼前まで悩む。
仮想化すれば、計算機が壊れてもOSの再セットアップなしにすぐゲストOSイメージが引っ越せるが、仮想NICでPPPoEできるのかどうか、できても速度面で未知数だったのと、万が一ゲストOSのイメージがRAID1で防ぎようのない要因で(平たく言えばOS含めたソフトのバグで)壊れた場合に備えて、データも含めてゲストOSのイメージを丸ごとバックアップせざるを得ないことを考えると、二の足を踏んでしまう。
結局、コールドスタンバイのバックアップサーバを別途用意する条件で、今回はリアルPCで動かすことに決定。サーバ交換なんて年1回あるかどうかなので、そのぐらいの手間は惜しむべきではないだろう。
ところが、どうせ大半をyum installするからということで、NetInst版のインストーラしか用意しなかったが、それに不可欠なPPPoEの設定でハマる。ログイン名とパスワードはわかるけど、その間にあるサービス名ってなに!??? 空白ではダメなん!? 認証方式ってなに!?
というわけで、DVD完全版を持っていて一番新しいFedora11を仮インストール。どうせサーバ自体は何年も使うので、あわよくばコイツで正式運用させられんかと一瞬思ったが、USB3.0(に繋げる予定の新データドライブ)が見えないのと、オンボードのNICが認識しないためさらに1枚NICをつけなければならず往生する。
とりあえずルータ機能限定でメインPCの通信を復活させて、Fedora16のDVDをダウンロード。DVDを焼いた時点で速やかに放棄。
で、やっとFedora16が入ったと思ったら、UIDが1000から始まるようになって、一手間増えてしまった。
yum installで必要なモジュールはひととおり入ったが、今度はメインPC含むクライアントからのforwardができない。iptablesをいろいろいじっているうちに、サーバから外部も見えなくなってしまう(汗)。
iptablesを一時的に無条件で通すようにするとか、原因を絞り込むべきところだが、本日はこれで時間切れ。Fedora16って、SELinuxとかフォワーディング許可のオマジナイ以外に何かやらんといかんことができたのかな? こういう時にネットに繋がらんのは厳しい。
よく考えたら、本日の作業は、ネットが繋がっていれば、DVDのイメージはすぐに落とせたし、PPPoEやらでハマることもなかったし、本来無用の作業ばっかりなのであった。仮想にせよ何にせよ、予備サーバは現役のサーバが無事なうちに作っておくべきである。それ以前に、昔使っていた有線ルータが所在不明でさえなかったら(^^;
ところで、メインモニタがREGZAになったことで、万一の際にアナログVGAを確保するため、でもって平時はフライトシム用の計器専用モニタとして使うために購入したSVGAのLCD-8000Vは、Fedora16のセットアップがXGA以上を要求しているらしく使えなかった(セットアップ後のランレベル3なら作業可能)。新しいマザーがオンボードでHDMIを出していたため事なきを得たが、そんなわけでうちの計算機は全部HDMIが使えることになってしまった。でもって、フライトシムの計器専用モニタには、後継とおぼしきWXGAのLCD-10000Vを採用しそうな気がするので、保険のはずのLCD-8000Vは掛け捨てで終わりそう(^^;