linux – ページ 7 – Yuji Noizumi's blog

皇紀2681年5月23日2021年10月8日

IPSec/l2tpセットアップ

strongswan と xl2tpd で必死に設定してたのだが、web の設定例見てても、「これで繋がるわけねーだろ」ってのが結構あって、試行錯誤してたけどうまくいってなかった。

最近はもう1つの方法があって、

# wget https://git.io/vpnsetup
# vi vpnsetup

次の内容に自分用の設定を書き込み
※YOU_IPSEC_PSK は事前共有キーね。

YOUR_IPSEC_PSK=”
YOUR_USERNAME=”
YOUR_PASSWORD=”

# chmod +x vpnsetup
# ./vpnsetup

これで何かゴリゴリやって、終了したら使えるようになってた。簡単！
これで、PPTPのVPNを通さないフリーのWiFiでも大丈夫……かもしれない。

もちろん、以前 strongswan と xl2tpd の為にルーターの設定で、次のプロトコル番号とポートを raspberry pi のサーバーへ転送するように変えてある。

プロトコル番号 50番
TCP/UDP 4500番
TCP/UDP 500番
TCP/UDP 1701番

楽天モバイルだと、繋がらなかったが、どうやら ipv6 でホスト名を検索するそうなので、ホスト名指定をやめて、IPアドレスにしたら繋がった。

最近、パスワード破りがせっせとやってくるので、fail2ban も設定しとかないとな。

皇紀2681年5月2日2021年5月2日

Ubuntu 20.04へアップグレード完了

アップグレードは、エラーが出て最後まで終了しなかった。

「nvidia-340がインストールできません」と言うので調べてみると、kernel 4.15 にDKMSのnvidia-340のカーネルモジュールがインストールできないって言ってただけで、kernel 5.8.0には問題無く入ってた。

再起動して無事に Ubuntu 20.04.2 へ更新されたけど、以前設定してた壁紙とかがそのまま使われるので、余り大きく変わった所は無いねえ。

皇紀2681年5月2日

Ubuntu 18.04LTS → 20.04LTSへアップグレード

「アップグレード作業を見積もれません」とか言われて、アップグレードできなかったが、/var/log/dist-upgrade/main.log 見たら、libpython-stdlibを削除できないとか言ってたので、 apt remove libpython-stdlib やったら通った。

2021-05-02 16:47:36,637 INFO removing libpython-stdlib because None is being installed
2021-05-02 16:47:36,637 DEBUG Removing 'libpython-stdlib' (None is being installed on the system)
2021-05-02 16:47:36,637 INFO failed to remove libpython-stdlib
2021-05-02 16:47:36,637 INFO checking for libpython-dbg (auto_inst=True)
2021-05-02 16:47:37,278 ERROR Dist-upgrade failed: 'E:エラー、pkgProblemResolver::Resolve は停止しました。おそらく変更禁止パッケージが原因です。'

2021-05-02 16:47:36,637 INFO removing libpython-stdlib because None is being installed

2021-05-02 16:47:36,637 DEBUG Removing 'libpython-stdlib' (None is being installed on the system)

2021-05-02 16:47:36,637 INFO failed to remove libpython-stdlib

2021-05-02 16:47:36,637 INFO checking for libpython-dbg (auto_inst=True)

2021-05-02 16:47:37,278 ERROR Dist-upgrade failed: 'E:エラー、pkgProblemResolver::Resolve は停止しました。おそらく変更禁止パッケージが原因です。'

マイクロソフトのクソOSと違って、動画見たり、ゲームやりながらの優雅なアップグレード

皇紀2681年4月19日

【Ubuntu 18.04】ダミー出力

音が出なくなった。
ぐぐれカスしてみると、

$ pacmd set-card-profile alsa_card.pci-0000_00_1b.0 output:analog-stereo+input:analog-stereo

これで直った。
規定のプロファイルがOFFになっていたせいで音が出ないのだとか。

しかし、何でこれが OFFになったのかは分からないが、充電の為に、Bluetooth のレシーバーをUSBで接続したせいかもしれん。

何か最近の支那製のBluetooth レシーバーはあやしい動きをするねえ。

皇紀2680年10月7日

【One Mix 3】Ubuntu 20.04 で電池バカ喰い

Windows 10 だと、持って帰ってきて充電せずにスリープ状態でまた持っていっても充分使えるだけの電池は残っていた。

しかし、Ubuntu 20.04でスリープ状態にしたら、出掛けて電車で起動しようとしたら動かず、電源長押しで落として、再び電源ONにしたらほぼ電池ゼロだった。

うーん……、やっぱりスリープでの節電がうまくできてないようで、これはちょっと使い方を考える必要があるなあ。

皇紀2680年10月4日2020年10月4日

【One Mix 3】Ubuntu 20.04 ssd用設定

Windows 10 だとそれなりにSSDに配慮した設定になっているとは思うが、LinuxはSSDに配慮されていないので、ちゃんと防護策を講じておく必要がある。

ネタ的には拙ブログ次の記事の応用

raspberry pi3 ログをramdisk化

監視カメラとして24時間稼働で、SDカードで運用していた raspberry pi3 は 2年位でSDカードが壊れた。/var/log/syslog とか頻繁に書き込むから、1年365日動かしていれば、2年位で万単位の書き込みになるだろう。

OneMix3 はサーバー運用しないから、そんなに神経質になる必要も無いのだろうが、やるだけはやっておこうという事で、その時に使ったramdisklog というスクリプトを入れる。

だが、困った事に Ubuntu 20.04 では、SysVInit から systemd への移行が進んでいるのか、既に insserv が存在しない。

systemd の作法に基づいて、サービス化してみたのだが、起動途中で止まる。
[/etc/systemd/system/ramdisklog.service] ×ダメな例

[Unit]
Use ramdisk log tmp 
After=local-fs.target

[Service]
ExecStart=/opt/bin/ramdisklog start
ExecStop=/opt/bin/ramdisklog stop
RemainAfterExit=yes
Type=oneshot
Restart=no
KillMode=none

[Install]
WantedBy=multi-user.target

[Unit]

Use ramdisk log tmp

After=local-fs.target

[Service]

ExecStart=/opt/bin/ramdisklog start

ExecStop=/opt/bin/ramdisklog stop

RemainAfterExit=yes

Type=oneshot

Restart=no

KillMode=none

[Install]

WantedBy=multi-user.target

プログラムの性質上、ramdisk OK → /var/log /var/tmp /tmpをramdisk化→rsyslogd 起動の様になっているので、エラーがログに記録されておらず、何で躓いているのかさっぱり分からん。

grub の設定で起動時の quiet を止めたら見えるかもしれないが、(‘A`)ﾏﾝﾄﾞｸｾ
そもそも、わしは「さあ、Ubuntuを無事起動することができるのか！？」ってゲームやってんじゃなくて、ramdisk化したいだけなんだよ！

/etc/init.d/ramdisklog と配置して、
# update-rc.d ramdisklog defaults

再起動して df -h してみると、

/dev/shm        3.9G  3.9M  3.9G   1% /tmp
/dev/shm        3.9G     0  3.9G   0% /var/tmp
/dev/shm        3.9G  290M  3.6G   8% /var/log

/dev/shm 3.9G 3.9M 3.9G 1% /tmp

/dev/shm 3.9G 0 3.9G 0% /var/tmp

/dev/shm 3.9G 290M 3.6G 8% /var/log

無事イケましたな 🙂

他には、ファイルシステムに noatime 追加

[/etc/fstab]

UUID=45a0be02-ab80-4034-90ac-16292f6afc2d /               ext4    noatime,errors=remount-ro 0       1

1	UUID=45a0be02-ab80-4034-90ac-16292f6afc2d / ext4 noatime,errors=remount-ro 0 1

SSDは、trim がどーたらという話を聞いた事があるが、

root@onemix3:~# hdparm -I /dev/nvme0

/dev/nvme0:
 HDIO_DRIVE_CMD(identify) failed: Inappropriate ioctl for device

root@onemix3:~# hdparm -I /dev/nvme0

/dev/nvme0:

HDIO_DRIVE_CMD(identify) failed: Inappropriate ioctl for device

こんな有様なので、そしーてぼくは途方に暮れる〜♪

“hdparm -I /dev/nvme0” で検索したら、
「 NVMe ストレージの揮発性内部キャッシュ – 誰かの役に立てばいいブログ」を発見。

NVMe というのは PCIe バスに直接つないでデータを保存できるストレージの共通規格で、nvmexpress.org で仕様が公開されています。最新の仕様は rev. 1.3です。

HDD や SSD のようなものではあるんですが、hdparm コマンドで設定することはできず、ベンダが提供するツールか、NVMe 仕様に基づいてコントロールする OSS の github.com/linux-nvme/nvme-cli を使って設定します。この記事では OSS の nvme-cli を使っています。

なるほど PCIe接続だから、hdparmでは情報が取れんのか。
“nvme-cli” というキーワードを得たので、

root@onemix3:~# apt-cache search nvme
nvme-cli - userspace tooling to control NVMe drives

1 2	root@onemix3:~# apt-cache search nvme nvme-cli - userspace tooling to control NVMe drives

ありましたな 🙂

しかし、インストールしてもコマンドが存在せぬ？？？
dpkg -L nvme-cli でファイル見たら、マニュアルとかサービスとかのファイルだけで、コマンドが無い。

うーん…。大元の github に色々書いてあるので、読んでみるか。

皇紀2680年10月3日2020年10月4日

【One Mix 3】Ubuntu 20.4 LTSをインストール

200%拡大が入ってるので、見た目の解像度が低そうに見えるが、2560×1600で、わしが今使ってるデスクトップよりも広い。

Data D: 50GBとリカバリーの領域を解放してUbuntu 20.4LTSをインストール。

一番最初に買った時は、DataのD: は100GBだったような気がするが、今のonenetbookのサイトに置いてあるインストールメディアだと、180GBと50GBに切られるんだな。

画面が上下逆になってしまうので苦労したが、SSDなので、30分位でサクッと入った。

yoga の laptop にはこの画面逆転現象がよくあるようだが、自動起動するプログラムで、xrandr と xinput により、画面とタッチパネルを回転させてやれば、普通のノートPCとして使える。

[~/bin/scc.sh]

#!/bin/sh
sleep 3
xrandr -o left
xinput set-prop “GXTP7386:00 27C6:0113” ‘Coordinate Transformation Matrix’ 0 -1 1 1 0 0 0 0 1

折りたたんでタブレットにはしてないけど、多分、センサーで画面が回転してダメだろうな。

皇紀2680年6月27日2021年10月31日

Let’s encryptでおウチサーバーの証明書取得

家のサーバーは X server のDNS設定をいじるスクリプトを組んで、サブドメインである irc.noizumi.orgが家のIPアドレスを向くようにDDNSモドキになっている。

HTTPは、監視カメラの zoneminder を外から見れるように元々、ルーターでポート10080番→80番としていて、加えてAUTH DIGESTを掛けているから、外から見放題にはなってなかった。

さて、果たしてポート80番が解放されている必要のある Let’s encrypt で、DIGEST認証が掛かっている httpd の証明書が作れるのか?
まあ、作れるのでこの記事を書いている訳だが 🙂

Let’s encryptは外部からアクセス可能かの判定に、/.well-known ってディレクトリを掘って、そこのファイルを外部から読み出し可能かどうかで、証明書作成者がドメインを使用可能で、有効かを判定している。

ちなみに、もう一つの懸念事項として、Let’s encrypt の certbot が動いているマシンから irc.noizumi.org にアクセスする場合、ルーターが IP masquerade を使用していて、繋げられないというのがある。

確か、iptables になって、POSTROUTING を使用すれば、LANからルーターが接続したPPPoEのグローバルIPアドレスに接続しても、いい感じにプライベートアドレスに変換してアクセス可能にできたはずなのだが、安物ルーターだと仕方がないか。

話はそれたが、DIGEST認証に穴を作って、/.well-known/* のアクセスがあったら、認証しないという設定にしてやる。

[/etc/apache2/conf-available/auth_digest.conf]

<Location />
    AuthType Digest
    AuthName "irc.noizumi.org"
    AuthUserFile /etc/apache2/.htdigest
    SetEnvIf Request_URI "^/.well-known/*" valid-url
    &lt;RequireAny&gt;
      Require valid-user
      Require ip 192.168.
      Require env valid-url
    </RequireAny>
</Location>

AuthType Digest

AuthName "irc.noizumi.org"

AuthUserFile /etc/apache2/.htdigest

SetEnvIf Request_URI "^/.well-known/*" valid-url

Require valid-user

Require ip 192.168.

Require env valid-url

</RequireAny>

</Location>

他にも .htdigest ファイルを作ってるけど、それは割愛。

# a2enconf auth_digest で有効化
わしの場合は元々有効になっているので、auth_digest.conf を弄るだけ。

そして、サーバーへ Let’s encrypt をインストール
# apt install certbot python-certbot-apache

# certbot –apache

参考：Certbot を使い3分で無料の SSL 証明書を取得する

nginx を apache に読み替えて設定。幸い、certbot から直接 irc.noizumi.org へのアクセスは無いようで、問題なく設定できた。

証明書の確認や、自動更新、テストなどは次のサイトが参考になる。

参考：Let’sEncryptの取得&自動更新設定してみた

さすがプロだけあって、論理的で分かりやすい。

ついでに、irc もSSLを稼働。ngircd の設定にちょっと躓いたりもしたが、

[Global]
Ports = 6667

[SSL]
CertFile = /etc/ngircd/cert/fullchain.pem
KeyFile = /etc/ngircd/cert/privkey.pem
Ports = 6697, 9999

を追加する事でいけた。
ルーターのポートフォワードは、非SSLが6667、SSLが6697で、9999はフォワードしてないので、外部からは繋げられない。

Let’s encryptが作成した証明書ファイルは、所有者が root:root で、privkey.pem は root 権限のみ読めるファイルなので、ircの権限で動作するngircdには読む事ができない。

そこで、/etc/ngircd/cert にコピーして、irc:irc の所有者にした。

証明書の自動更新の設定もしたが、ngircd の証明書もコピーするようにしてある。cp の上書きなので、所有者の再設定をしなくてもいいはず。

皇紀2680年6月20日2020年6月20日

gpsdの長年の疑問解決

gpsdというgpsのデータを流してくれるプログラムがあるのだが、起動オプションに-G を付ければ、あらゆるネットワークインターフェースで受け付けしてくれるはずだった。

しかし、Debian 7あたりから外部から接続できなくなった。
どうやら systemd が余計な事をしてくれていて、ローカルホスト以外を受け付けないように邪魔しているようなのだが、新しく導入されたシステムなので解決方法が分からなかった。

今日、検索してやっと解決方法を見つけた。

But we aren’t there yet. gpsd may be listening on all interfaces, but systemd’s hold on the socket means gpsd can’t hear anything on interfaces other than the loopback. We have to tell systemd to allow gpsd to hear other interfaces. We run systemctl edit --full gpsd.socket. Then we can edit it. After editing, the [Socket] stanza looks like so:

[Socket] ListenStream=@RUNDIR/gpsd.sock ListenStream=[::1]:2947 # ListenStream=127.0.0.1:2947 ListenStream=0.0.0.0:2947 SocketMode=0600

1
2
3
4
5
6

[Socket]
ListenStream=@RUNDIR/gpsd.sock
ListenStream=[::1]:2947
# ListenStream=127.0.0.1:2947
ListenStream=0.0.0.0:2947
SocketMode=0600

When you are done editing, systemctl does what it needs to do internally to preserve your changes from being over-written during upgrades. It also does the equivalent of a systemctl daemon-reload for you.

We now restart both gpsd units like so:

<a href="https://www.freedesktop.org/software/systemd/man/systemctl.html#restart%20PATTERN%E2%80%A6">systemctl restart</a> gpsd.socket gpsd.service

1

<a href="https://www.freedesktop.org/software/systemd/man/systemctl.html#restart%20PATTERN%E2%80%A6">systemctl restart</a> gpsd.socket gpsd.service

こんなもんわかるかボケ！

これでやっとデスクトップマシンの地図表示プログラムで、サーバーからデータを取得してGPSの現在位置を表示できる。

自宅固定だからほぼ動かないけど、測定誤差でふらふら動くから結構おもしろい。

皇紀2680年6月20日2020年6月20日

※取り敢えず、やった事のメモなのであまり参考にならないと思う。
日本語入力
$ sudo apt install fcitx-mozc

zoneminder
$ sudo apt install apache2 mariadb-server
$ sudo mysql_secure_installation
$ sudo apt install php libapache2-mod-php php-mysql
$ sudo apt install zoneminder vlc-plugin-base

VNC
GUIの「Raspberry PIの設定」ではグレーアウトしていて変更できないので、端末からコマンドで設定。

$ sudo raspi-config
→5 Intafacing Options→P3 VNC→「はい」
/var/log/syslog で libbcm_host.so が無いと怒られる。/opt/vc/lib に存在するけど、/etc/ld.so.conf にpath追加して、ldconfig するも変わらず。

How to Install VNC on Raspberry Pi OS (64 bit)
https://www.tomshardware.com/how-to/install-vnc-raspberry-pi-os

標準の設定が使えないから、tightvncserver を入れて回避するしかないようだ

IRC
$ sudo apt install ngircd

ircbotの為にJREインストールだけど、JDK入れちゃう。
GUIはOFFにする予定なのでheadless
# apt install default-jdk-headless

以下のパッケージが新たにインストールされます:
ca-certificates-java default-jdk-headless default-jre-headless java-common
openjdk-11-jdk-headless openjdk-11-jre-headless

その他
# apt install php-xml
# apt install samba
# smbpasswd -a noizumi
# apt install ntp
# apt install gpsd gpsd-clients
# apt install bind9
# apt install exim4
# apt install cron-apt

# apt install dovecot-imapd

Mixed mbox and Maildirの設定はドキュメントの通りでOKでだった。
これでサブフォルダー掘り放題や 🙂

カテゴリー: linux