I know who Iam.
楽天モバイル固定回線化への実証実験として、NTTPCのWebARENA VPS Indigoの契約をした。
いわゆるレンタルサーバーというやつだが、時間制になっていて、インスタンスを起動していなければ課金されず、月額上限が決まっていて、それ以上は課金されない。
1時間あたり、0.5円(税込0.55円)、メモリ1GB、1vCPU、20GBで月上限318円(税込349円)。安くなったなあ。
とりあえず、IPSec/L2TPとngircd を入れてみたが、携帯電話でちゃんとVPNに繋がるし、IRCもちゃんと接続できた。
あとは、apache入れて、certbot入れて Let’s Encryptで無料SSL取得する位かな。
ircbot はJAVAベースなので重いからちょっと考えよう。
それと、IPSec/L2TPの拠点間接続(家からレンタルサーバー)をやって、ちゃんと外から家のマシンにアクセスできるか試さないといけない。
楽天モバイル接続だと、動的IPアドレスになるので、レンタルサーバーから動的IPアドレスへのルーティングがうまくできるかが問題だな。
サーバーに OPPO Reno3 Aの USBテザリングを使用して接続。
二箇所スピードテストをしてみた。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
root@silverfox:~# speedtest --server 21569 Retrieving speedtest.net configuration... Testing from Rakuten Mobile Network (133.106.62.11)... Retrieving speedtest.net server list... Retrieving information for the selected server... Hosted by i3D.net (Tokyo) [0.91 km]: 252.318 ms Testing download speed................................................................................ Download: 29.96 Mbit/s Testing upload speed................................................................................................ Upload: 13.81 Mbit/s root@silverfox:~# speedtest --server 28910 Retrieving speedtest.net configuration... Testing from Rakuten Mobile Network (133.106.62.11)... Retrieving speedtest.net server list... Retrieving information for the selected server... Hosted by fdcservers.net (Tokyo) [0.91 km]: 107.847 ms Testing download speed............................................................................... .Download: 26.19 Mbit/s Testing upload speed................................................................................................ Upload: 14.95 Mbit/s |
下り 26.19Mbps〜29.96Mbps
上り 13.81Mbps〜14.95Mbps
という感じ。充分実用にはなりそう。
電波がよく入る場所にCPE(Customer Premises Equipment)を設置すれば、もっと速度を上げられるかもしれんけど、電界強度的に80Mbps位が最大なので、それに数万円のコスト掛けてまでやろうとは思わんな。
strongswan と xl2tpd で必死に設定してたのだが、web の設定例見てても、「これで繋がるわけねーだろ」ってのが結構あって、試行錯誤してたけどうまくいってなかった。
最近はもう1つの方法があって、
# wget https://git.io/vpnsetup
# vi vpnsetup
次の内容に自分用の設定を書き込み
※YOU_IPSEC_PSK は事前共有キーね。
YOUR_IPSEC_PSK=”
YOUR_USERNAME=”
YOUR_PASSWORD=”
# chmod +x vpnsetup
# ./vpnsetup
これで何かゴリゴリやって、終了したら使えるようになってた。簡単!
これで、PPTPのVPNを通さないフリーのWiFiでも大丈夫……かもしれない。
もちろん、以前 strongswan と xl2tpd の為にルーターの設定で、次のプロトコル番号とポートを raspberry pi のサーバーへ転送するように変えてある。
プロトコル番号 50番
TCP/UDP 4500番
TCP/UDP 500番
TCP/UDP 1701番
楽天モバイルだと、繋がらなかったが、どうやら ipv6 でホスト名を検索するそうなので、ホスト名指定をやめて、IPアドレスにしたら繋がった。
最近、パスワード破りがせっせとやってくるので、fail2ban も設定しとかないとな。
アップグレードは、エラーが出て最後まで終了しなかった。
「nvidia-340がインストールできません」と言うので調べてみると、kernel 4.15 にDKMSのnvidia-340のカーネルモジュールがインストールできないって言ってただけで、kernel 5.8.0には問題無く入ってた。
再起動して無事に Ubuntu 20.04.2 へ更新されたけど、以前設定してた壁紙とかがそのまま使われるので、余り大きく変わった所は無いねえ。
「アップグレード作業を見積もれません」とか言われて、アップグレードできなかったが、/var/log/dist-upgrade/main.log 見たら、libpython-stdlibを削除できないとか言ってたので、 apt remove libpython-stdlib やったら通った。
|
1 2 3 4 5 |
2021-05-02 16:47:36,637 INFO removing libpython-stdlib because None is being installed 2021-05-02 16:47:36,637 DEBUG Removing 'libpython-stdlib' (None is being installed on the system) 2021-05-02 16:47:36,637 INFO failed to remove libpython-stdlib 2021-05-02 16:47:36,637 INFO checking for libpython-dbg (auto_inst=True) 2021-05-02 16:47:37,278 ERROR Dist-upgrade failed: 'E:エラー、pkgProblemResolver::Resolve は停止しました。おそらく変更禁止パッケージが原因です。' |
マイクロソフトのクソOSと違って、動画見たり、ゲームやりながらの優雅なアップグレード
音が出なくなった。
ぐぐれカスしてみると、
$ pacmd set-card-profile alsa_card.pci-0000_00_1b.0 output:analog-stereo+input:analog-stereo
これで直った。
規定のプロファイルがOFFになっていたせいで音が出ないのだとか。
しかし、何でこれが OFFになったのかは分からないが、充電の為に、Bluetooth のレシーバーをUSBで接続したせいかもしれん。
何か最近の支那製のBluetooth レシーバーはあやしい動きをするねえ。
Windows 10 だと、持って帰ってきて充電せずにスリープ状態でまた持っていっても充分使えるだけの電池は残っていた。
しかし、Ubuntu 20.04でスリープ状態にしたら、出掛けて電車で起動しようとしたら動かず、電源長押しで落として、再び電源ONにしたらほぼ電池ゼロだった。
うーん……、やっぱりスリープでの節電がうまくできてないようで、これはちょっと使い方を考える必要があるなあ。
Windows 10 だとそれなりにSSDに配慮した設定になっているとは思うが、LinuxはSSDに配慮されていないので、ちゃんと防護策を講じておく必要がある。
ネタ的には拙ブログ次の記事の応用
監視カメラとして24時間稼働で、SDカードで運用していた raspberry pi3 は 2年位でSDカードが壊れた。/var/log/syslog とか頻繁に書き込むから、1年365日動かしていれば、2年位で万単位の書き込みになるだろう。
OneMix3 はサーバー運用しないから、そんなに神経質になる必要も無いのだろうが、やるだけはやっておこうという事で、その時に使ったramdisklog というスクリプトを入れる。
だが、困った事に Ubuntu 20.04 では、SysVInit から systemd への移行が進んでいるのか、既に insserv が存在しない。
systemd の作法に基づいて、サービス化してみたのだが、起動途中で止まる。
[/etc/systemd/system/ramdisklog.service] ×ダメな例
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
[Unit] Use ramdisk log tmp After=local-fs.target [Service] ExecStart=/opt/bin/ramdisklog start ExecStop=/opt/bin/ramdisklog stop RemainAfterExit=yes Type=oneshot Restart=no KillMode=none [Install] WantedBy=multi-user.target |
プログラムの性質上、ramdisk OK → /var/log /var/tmp /tmpをramdisk化→rsyslogd 起動 の様になっているので、エラーがログに記録されておらず、何で躓いているのかさっぱり分からん。
grub の設定で起動時の quiet を止めたら見えるかもしれないが、(‘A`)マンドクセ
そもそも、わしは「さあ、Ubuntuを無事起動することができるのか!?」ってゲームやってんじゃなくて、ramdisk化したいだけなんだよ!
/etc/init.d/ramdisklog と配置して、
# update-rc.d ramdisklog defaults
再起動して df -h してみると、
|
1 2 3 |
/dev/shm 3.9G 3.9M 3.9G 1% /tmp /dev/shm 3.9G 0 3.9G 0% /var/tmp /dev/shm 3.9G 290M 3.6G 8% /var/log |
無事イケましたな 🙂
他には、ファイルシステムに noatime 追加
[/etc/fstab]
|
1 |
UUID=45a0be02-ab80-4034-90ac-16292f6afc2d / ext4 noatime,errors=remount-ro 0 1 |
SSDは、trim がどーたらという話を聞いた事があるが、
|
1 2 3 4 |
root@onemix3:~# hdparm -I /dev/nvme0 /dev/nvme0: HDIO_DRIVE_CMD(identify) failed: Inappropriate ioctl for device |
こんな有様なので、そしーてぼくは途方に暮れる〜♪
“hdparm -I /dev/nvme0” で検索したら、
「 NVMe ストレージの揮発性内部キャッシュ – 誰かの役に立てばいいブログ」を発見。
NVMe というのは PCIe バスに直接つないでデータを保存できるストレージの共通規格で、nvmexpress.org で仕様が公開されています。最新の仕様は rev. 1.3です。
HDD や SSD のようなものではあるんですが、hdparm コマンドで設定することはできず、ベンダが提供するツールか、NVMe 仕様に基づいてコントロールする OSS の github.com/linux-nvme/nvme-cli を使って設定します。この記事では OSS の nvme-cli を使っています。
なるほど PCIe接続だから、hdparmでは情報が取れんのか。
“nvme-cli” というキーワードを得たので、
|
1 2 |
root@onemix3:~# apt-cache search nvme nvme-cli - userspace tooling to control NVMe drives |
ありましたな 🙂
しかし、インストールしてもコマンドが存在せぬ???
dpkg -L nvme-cli でファイル見たら、マニュアルとかサービスとかのファイルだけで、コマンドが無い。
うーん…。大元の github に色々書いてあるので、読んでみるか。
200%拡大が入ってるので、見た目の解像度が低そうに見えるが、2560×1600で、わしが今使ってるデスクトップよりも広い。
Data D: 50GBとリカバリーの領域を解放してUbuntu 20.4LTSをインストール。
一番最初に買った時は、DataのD: は100GBだったような気がするが、今のonenetbookのサイトに置いてあるインストールメディアだと、180GBと50GBに切られるんだな。
画面が上下逆になってしまうので苦労したが、SSDなので、30分位でサクッと入った。
yoga の laptop にはこの画面逆転現象がよくあるようだが、自動起動するプログラムで、xrandr と xinput により、画面とタッチパネルを回転させてやれば、普通のノートPCとして使える。
[~/bin/scc.sh]
#!/bin/sh
sleep 3
xrandr -o left
xinput set-prop “GXTP7386:00 27C6:0113” ‘Coordinate Transformation Matrix’ 0 -1 1 1 0 0 0 0 1
折りたたんでタブレットにはしてないけど、多分、センサーで画面が回転してダメだろうな。
家のサーバーは X server のDNS設定をいじるスクリプトを組んで、サブドメインである irc.noizumi.orgが家のIPアドレスを向くようにDDNSモドキになっている。
HTTPは、監視カメラの zoneminder を外から見れるように元々、ルーターでポート10080番→80番としていて、加えてAUTH DIGESTを掛けているから、外から見放題にはなってなかった。
さて、果たしてポート80番が解放されている必要のある Let’s encrypt で、DIGEST認証が掛かっている httpd の証明書が作れるのか?
まあ、作れるのでこの記事を書いている訳だが 🙂
Let’s encryptは外部からアクセス可能かの判定に、/.well-known ってディレクトリを掘って、そこのファイルを外部から読み出し可能かどうかで、証明書作成者がドメインを使用可能で、有効かを判定している。
ちなみに、もう一つの懸念事項として、Let’s encrypt の certbot が動いているマシンから irc.noizumi.org にアクセスする場合、ルーターが IP masquerade を使用していて、繋げられないというのがある。
確か、iptables になって、POSTROUTING を使用すれば、LANからルーターが接続したPPPoEのグローバルIPアドレスに接続しても、いい感じにプライベートアドレスに変換してアクセス可能にできたはずなのだが、安物ルーターだと仕方がないか。
話はそれたが、DIGEST認証に穴を作って、/.well-known/* のアクセスがあったら、認証しないという設定にしてやる。
[/etc/apache2/conf-available/auth_digest.conf]
|
1 2 3 4 5 6 7 8 9 10 11 |
<Location /> AuthType Digest AuthName "irc.noizumi.org" AuthUserFile /etc/apache2/.htdigest SetEnvIf Request_URI "^/.well-known/*" valid-url <RequireAny> Require valid-user Require ip 192.168. Require env valid-url </RequireAny> </Location> |
他にも .htdigest ファイルを作ってるけど、それは割愛。
# a2enconf auth_digest で有効化
わしの場合は元々有効になっているので、auth_digest.conf を弄るだけ。
そして、サーバーへ Let’s encrypt をインストール
# apt install certbot python-certbot-apache
# certbot –apache
参考:Certbot を使い3分で無料の SSL 証明書を取得する
nginx を apache に読み替えて設定。幸い、certbot から直接 irc.noizumi.org へのアクセスは無いようで、問題なく設定できた。
証明書の確認や、自動更新、テストなどは次のサイトが参考になる。
さすがプロだけあって、論理的で分かりやすい。
ついでに、irc もSSLを稼働。ngircd の設定にちょっと躓いたりもしたが、
[Global]
Ports = 6667
[SSL]
CertFile = /etc/ngircd/cert/fullchain.pem
KeyFile = /etc/ngircd/cert/privkey.pem
Ports = 6697, 9999
を追加する事でいけた。
ルーターのポートフォワードは、非SSLが6667、SSLが6697で、9999はフォワードしてないので、外部からは繋げられない。
Let’s encryptが作成した証明書ファイルは、所有者が root:root で、privkey.pem は root 権限のみ読めるファイルなので、ircの権限で動作するngircdには読む事ができない。
そこで、/etc/ngircd/cert にコピーして、irc:irc の所有者にした。
証明書の自動更新の設定もしたが、ngircd の証明書もコピーするようにしてある。cp の上書きなので、所有者の再設定をしなくてもいいはず。