サーバー死活監視アプリを入れてみた

UptimeRobot

  • 設定は簡単。警報はなるが、メールが届かない。
  • 外部から監視してくれる。
  • アプリを止めても検査している。

意図的にサーバを止めている間、警報音が鳴らないように、アプリを終了、もしくはスマホの電源を切っても、アプリを起動した瞬間、スマホから警報が流れる。
深夜にためしたので焦った。

Server Monitor

  • 設定は簡単、通知方法はいまだによくわからない。警報はなる。
  • スマホから直接アクセスして調べているようだ。
  • アプリを停止すれば検査もしない。

インストール直後、やたらと警報がなるので、おかしいと思ったら、サーバーのIPv6の設定に間違いがあったためだった。WiFiからスマホの回線に切り替わるタイミングで警報がなった。
NTTのIPv6のアドレスが変化するためと思って、変わりにくい接続に変えたら安定している。

サーバーの機材で、ネットラジオの音楽番組をかけっぱなしにするという、ぬるい監視方法をしていた。

DKIM成功 DNSの書き方でチェックが変わるかと思ったらMacがIPv6ではなかった

==========================================================
Summary of Results
==========================================================
SPF check: pass
“iprev” check: pass
DKIM check: pass

Mac(M1)から送信すると、上記のような結果になるが、
DNSを確認しようとして、コマンドからnslookupをかけても応答がない。
IPv6が優先されていないのが原因だけれども、時々、IPv6になる。
残念。

新サーバで逆引き成功

GMOの固定IP
逆引きをお願いするフォームがある。
以前はネームサーバ1個でも良かった?必須なネームサーバは1つだけど、2つ埋めないと進めない。
BIND マスターにネームサーバを2つ追加。ほかにもごにょごにょして試す。

バリュードメインのネームサーバを追加した2つのネームサーバに変更。

切り替えはうまくいったようだが、nslookup では追加したネームサーバにたどり着けない。アドレスに対応するレコードがないから。

既存サーバのエイリアスに2つのネームサーバのレコード名を追加。

GMOへ逆引きを依頼してから、2週間ほどで設定ができた旨の連絡が入る。
ネームサーバがうまく設定できていなかったせいかな。
ごにょごにょ設定したのが邪魔して、BINDが起動できなくなったので、怪しい設定を削除。

ネームサーバ → ホスト → GMO側の設定ができるとCNAME が出るようになる。
それを使って、ゾーン名を追加。(メールでの案内とは少し違う。一応メールのとおりのゾーン名も追加)

この中に普通の逆引きの設定をする。

逆引きできた。

・・・・・・・

SPFの設定をチェックするための空メールを送って返信してもらうサービスでは、逆引きできないようだ。CNAMEどまり。

・・・・・・・

ネームサーバを変えたために、letsencrypt のワイルドカード証明書も設定し直し。

さくらインターネットで roundcube

KDDIのホスティングプランからの引っ越し

メールアカウントの中身を、webメールから転送すればいい、くらいに考えていたが、過去のメールを今来たように受け取るのは、業務中に数十人が困惑してしまう。

KDDIのホスティングには、エクスポート、インポートの機能がある。
さくらインターネットのweメールではそれらしいものが見つけられない。
普段使っている roundcubeにはインポート機能がある。

先日、別件で roundcubeのインストールをしようとして、データベースが一つしかないサーバだったのでやめたばかりだった。

Pearをレンタルサーバーにインストールする

https://zenlogic.jp/support/knowledge/roundcube/install_01.html

https://qiita.com/kazukichi/items/2781ff1b0d2b0e23b37b

を参考にさせていただき、インストールできた。

  • roundcubemail-1.2.9 (1.3.10はインストールできたがログインしても操作できなかった。)
  • アップロード可能なのは、.eml で 20こ
  • ssh は mac のターミナル
  • データベースの初期化は、接頭語の範囲内?データベースが1個だけでもなんとかなりそう?

あとは、エクスポート、インポートの力業

ワイルドカードのSSL証明書を Dovecot と postfix で使ってみた。

1台のサーバで複数の独自ドメインのサイトをホストしていると、メールアカウントを使うときに「この証明書は信頼されていません」とか出る。最近やっと中古のスマホが手に入ったので、設定してみたら、メールを送信できない状況になってしまっていた。

独自ドメインのサイトに、ワイルドカードのSSL証明書を使えるサブドメインをエイリアスとして追加。サブドメインの証明書、カギを、Dovecot, postfix にもわりあてることで、スマホでも警告なくつかえるようになった。

ワイルドカード証明書を使うウェブサーバでは、証明書 ssl.cert、鍵 ssl.key、CA ssl.ca の三つ。

Dovecot は、letsencrypt のfullchain.pem と ssl.key
(単独の証明書は android でダメだった。鍵は、ウェブサイトのディレクトリにあるものを使う必要があった、と思う)
Postfix はウェブサーバの三つの設定をひもづけ。

追記(2019.08.19)
現在使っているシステムでは、ワイルドカードのエイリアスと、サブドメインでのサーバの組み合わせでは、うまくいかない。
サブドメインなしの***.comと*.###.jp(ワイルドカード)のエイリアスの組み合わせが必要。

301リダイレクト中のSSL証明有効期限切れ

ドメインを変えて新しくしたサイト。

301リダイレクト中は、
Let’s Encrypt の確認場所にアクセスできなくなるため、
/.well-known/acme-challenge/****
証明書の発行や更新ができなくなる。

そのままだと、リダイレクトの前に、「安全ではない接続」警告画面がブラウザに出てしまうと思い、
自己証明書にしてみたら、やはり「安全ではない接続」警告画面。

301リダイレクトの意味がなくなってしまうので、一時的に301リダイレクトを停止。
証明書更新、あらためて、301リダイレクト設定。

ここで、ワードプレスでサイトが構成されていて、なおかつサイトルートではないディレクトリにワードプレスを設置している場合は、
サイトルートの.htaccess に301リダイレクトを仕掛けても、ワードプレスのコンテンツが表示できてしまう場合がある。そのため、ワードプレスのディレクトリにも301リダイレクトを設定することになる。

そして、この件の場合、ワードプレスのディレクトリに301リダイレクトを設定するだけでコンテンツの301リダイレクトの結果は達成され、サイトルートに301リダイレクトが設定されていなければ、Let’s Encrypt の自動更新も影響を受けない。

サイトルートにワードプレスをインストールしないことの利点の一つになると思う。

慌てていたので、正確に検証できていないが、理屈はあっていると思う。
ただし、サイトルートにほかのコンテンツがある場合は、それらが見えてしまうことになる。

Error establishing a database connection

MySQL のログを見る。

Your password has expired. To log in you must change it using a client that supports expired passwords.
あなたのパスワードは期限切れです。 ログインするには、期限切れのパスワードをサポートするクライアントを使用してログインする必要があります。

あれれ。

phpMyAdmin からパスワードを変更。

その他、変数 で確認すると「360」に戻っている?先回ちゃんと編集できていなかった模様。

default password lifetime = 0

どこかで、この方法では設定できないって読んだことがあるような。。。