letsencrypt の更新で躓いた

投稿日: 2022-08-18 作成者: フジマル

WEBサーバーはapacheを使い、複数のWEBを運用している。そして先日DRBDを導入し、運用している。ここで問題、apacheはDRBDから起動しているので、systemctl status httpd ではFailed になる(当たり前)なのでletsencrypt のstandalone モードでは不可能だ(Error while running apachectl graceful.になる。当たり前、systemctl から起動はしていないので)尚かつ万が一apache をストップしても、DRBDがセカンダリーをプライマリーにして、サーバーは落ちない。

なので、standalone では無くwebroot でやるしかないが、私は standalone で作成したので webroot に変更する方法を探したら、https://blog.apitore.com/2016/08/06/lets-encrypt-standalone-webroot/ にヒントが在った。
でもこれはWEBが一つの場合で複数の場合では無い。因みに一つだけで設定をすると
Failed to renew certificate aarah.info-0001 with error: Missing command line flag or config entry for this setting:
Input the webroot for aarah.info:
というエラーが出た。複数のWEBはどうするのか、再度調べる。
https://community.letsencrypt.org/t/lets-encrypt-renewal-simulation-problem/43784/4 にその答えが在った。つまり複数のWEBの場所を [[webroot_map]] に記入すればよい。webroot-path は代表の一つでいいみたい。最終的に私の /etc/letsencrypt/renewal/aarah.info.conf は

# renew_before_expiry = 30 days
version = 1.11.0
archive_dir = /etc/letsencrypt/archive/aarah.info
cert = /etc/letsencrypt/live/aarah.info/cert.pem
privkey = /etc/letsencrypt/live/aarah.info/privkey.pem
chain = /etc/letsencrypt/live/aarah.info/chain.pem
fullchain = /etc/letsencrypt/live/aarah.info/fullchain.pem

# Options used in the renewal process
[renewalparams]
   # authenticator = apache
   #installer = apache
   account = b9af5964365d5f0641d47c2fb75dbbb3
   manual_public_ip_logging_ok = None
   server = https://acme-v02.api.letsencrypt.org/directory
   authenticator = webroot
webroot-path = /XXX/public/aarah,
[[webroot_map]]
      aarah.info = /XXX/public/aarah
      inpac.jp = /XXX/public/inpac
      inpactours.jp = /XXX/public/inpactours
      kinryo.net = /XXX/public/kinryo
      opengarden.info = /XXX/public/opengarden
      www.aarah.info = /XXX/public/aarah
      www.inpac.jp = /XXX/public/inpac
      www.inpactours.jp = /XXX/public/inpactours
      www.kinryo.net = /XXX/public/kinryo
      www.opengarden.info = /XXX/public/opengarden
一部伏せ字
その後
# certbot renew –dry-run
ドライランを付けテスト。この時どういう分けかkinryo.netでエラーがでる
Failed to renew certificate kinryo.net with error: Missing command line flag or config entry for this setting:
Input the webroot for kinryo.net:
だが、ドライランを付けずに
# certbot renew
で本ちゃんでやるとエラーは出ずに
Congratulations, all renewals succeeded:
   /etc/letsencrypt/live/aarah.info-0001/fullchain.pem (success)
   /etc/letsencrypt/live/kinryo.net/fullchain.pem (success)
   /etc/letsencrypt/live/kinryokai.net-0001/fullchain.pem (success)
   /etc/letsencrypt/live/kinryokai.net/fullchain.pem (success)
とエラーなく終了した。この原因は不明

だがこれではDRBDでプライマリーとセカンダリーが入れ替わた時、現在のletsencrypt の設定が入っていないのでエラーになる。なのでrsync で同期をして置く。
コピー先の/etc/rsyncd.conf に
[letsencrypt]
path = /etc/letsencrypt
authusers = root
secrets file = /etc/rsyncd.secrets
read only =no
を追記し、rsyncdをリスタートしておく。
そして、コピー元でドライランをする(nがドライラン)
# rsync -avn /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
パスワードを聞かれるが、これはコピー先の/etc/rsyncd.secrets に設定してあるrootのパスワードを入力の事、のログインパスワードでは無い
エラーが無いことを確かめて、本ちゃんの同期
# rsync -av /etc/letsencrypt/ rsync://root@192.168.xx.xx/letsencrypt
これで同期が出来る。

自分への覚書
* certbotの証明書の表示
# certbot certificates

* certbotでメールサーバーの証明書の更新
# certbot certonly –dry-run -d mail.kinryo.net →ドライランでテスト
その後下記のように聞かれるので
1: Apache Web Server plugin (apache)
2: Spin up a temporary webserver (standalone)
3: Place files in webroot directory (webroot)
Select the appropriate number [1-3] then [enter] (press ‘c’ to cancel): 3 と入力
場所を聞かれるので、kinryo.netのWEBの場所を入力(メールを保存している場所では無い)
Input the webroot for mail.kinryo.net: (Enter ‘c’ to cancel): /XXXXX/public/kinryo
これで成功するので、ドライランを外して、本ちゃんの更新をする。
その後、secondary側の/etc/rsyncd.conf も同じ様に変更して置くこと。

カテゴリー: Linux運用時のメモ | コメントする

WP Photo Album Plusを有効化するとエラー

投稿日: 2022-08-06 作成者: フジマル

画面上部に [WPPA+ dbg msg: Photo 0 does not exist in call to wppa_get_picture_html(). Type = From : wppa-picture.php line: 44 in function wppa_get_picture_html – wppa_initialize_javascript – apply_filters – do_action]
とエラーが出る。この長いエラーでgoogleさんに尋ねるとものすごく沢山ヒットするが、ほぼ全部同じエラーを出しているサイトで、参考にならない!!
WP Photo Album Plusのバージョンは 8.2.04.009でした。

ワードプレスをインストールしたディレクトリの直下にあるwp-config.phpにはdefine( ‘WP_DEBUG’,false ); となっているので、php関連のエラーは出ないはずだが、どういう訳か上記の様にエラーが出る。
なので、取り合えずプラグインのインストール済みのプラグインから、WP Photo Album Plus を無効化しエラーを消した。

カテゴリー: WordPress関連メモ | コメントする

又もAMAZONが狙われた。気を付けて

投稿日: 2022-07-22 作成者: フジマル


これは危険なメールなので絶対に”所有権の証明”の所をクリックしてはダメ。
危険なメールの見分け方。
①を見て欲しい。これは送信者の表示だが、dsnux@service.drbtgu.cn となっている。ここで大事なのは最後の二つの部分 drbtgu.cn の特に最後 .cn これは中国である。日本のアマゾンが中国から送るわけは無い!!ただ気を付けて欲しいのはこの部分は偽造できるので信頼してはダメ。今回は偽造されていないが
次は②の部分この表示は所有権の証明にマウスを持って来ると表示が出てくる(スマホの場合は長押し)https://morning-credit-5c……..workers.dev/ となっていて。送り主のドメイン( drbtgu.cn)にはなっていない。ちなみにクリックすると https://game.bkhnnepym.cn/ に飛んだ。またしてもドメインが違う。これは悪さをする奴がする手口。ドメインをあちこち飛び回る。勿論AMAZONでもない
絶対にクリックしない事

カテゴリー: 危険メールや手紙、IP | コメントする

block drbd0: Unrelated data, aborting! とエラーが出た

投稿日: 2022-07-10 作成者: フジマル

今日、primary 側が StandAlone になっていたので、Secondary 側で
# drbdadm – –  – -discard-my-data connect r0
で primary 側で
# drbdadm connect r0
としても、両方共 StandAlone のままだ!なのでログを見る(抜粋 /var/log/message)と
kernel: block drbd0: uuid_compare()=-1000 by rule 100
kernel: block drbd0: Unrelated data, aborting!
となっている!。どうも又メタデーターがおかしいみたい。
なので、Secondary 側で(参考:https://support.sciencelogic.com/s/article/3518)DRBDを止め、作業をする。
# systemctl stop drbd
# drbdadm down r0
# drbdadm wipe-md r0
Do you really want to wipe out the DRBD meta data?
[need to type ‘yes’ to confirm] yes
Wiping meta data…
DRBD meta data block successfully wiped out.
Do you really want to wipe out the DRBD meta data?
[need to type ‘yes’ to confirm] yes
Wiping meta data…
DRBD meta data block successfully wiped out.
# drbdadm create-md r0
md_offset 53687087104
al_offset 53687054336
bm_offset 53685415936

Found xfs filesystem
52427164 kB data area apparently used
52427164 kB left usable by current configuration

Even though it looks like this would place the new meta data into
unused space, you still need to confirm, as this is only a guess.

Do you want to proceed?
[need to type ‘yes’ to confirm] yes

initializing activity log
initializing bitmap (1600 KB) to all zero
Writing meta data…
New drbd meta data block successfully created.
success
md_offset 53687087104
al_offset 53687054336
bm_offset 53685415936

Found xfs filesystem
52427164 kB data area apparently used
52427164 kB left usable by current configuration

Even though it looks like this would place the new meta data into
unused space, you still need to confirm, as this is only a guess.

Do you want to proceed?
[need to type ‘yes’ to confirm] yes

initializing activity log
initializing bitmap (1600 KB) to all zero
Writing meta data…
New drbd meta data block successfully created.
success
# drbdadm up r0
# drbdadm disconnect r0
# drbdadm connect r0
# cat /proc/drbd
version: 8.4.11-1 (api:1/proto:86-101)
GIT-hash: 66145a308421e9c124ec391a7848ac20203bb03c build by mockbuild@, 2020-04-05 02:58:18
0: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate C r—–
ns:0 nr:7700 dw:23928 dr:0 al:8 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:52407248
[>………………..] sync’ed: 0.1% (51176/51184)M
finish: 14:09:11 speed: 996 (996) want: 1,480 K/sec
1: cs:SyncTarget ro:Secondary/Primary ds:Inconsistent/UpToDate C r—–
ns:0 nr:16384 dw:49500 dr:0 al:8 bm:0 lo:1 pe:1 ua:0 ap:0 ep:1 wo:f oos:52378012
[>………………..] sync’ed: 0.1% (51148/51164)M
finish: 6:12:36 speed: 2,340 (2,340) want: 3,880 K/sec
とシンクロが始まった。

カテゴリー: DRBDに挑戦(CentOS7) | コメントする

cs:Unconfigured のエラーが出た!!

投稿日: 2022-07-10 作成者: フジマル

ある時
# cat /proc/drbd とやると
version: 8.4.11-1 (api:1/proto:86-101)
GIT-hash: 66145a308421e9c124ec391a7848ac20203bb03c build by mockbuild@, 2020-04-05 02:58:18
0: cs:Unconfigured
1: cs:StandAlone ro:Secondary/Unknown ds:UpToDate/DUnknown r-----
ns:0 nr:0 dw:0 dr:0 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:f oos:0
と表示された。どうもDRBDディスクがおかしいみたい。試しにマウントしてみると、出来てしまう。本来なら unknown filesystem type ‘drbd’ となって、マウント出来ない筈
ディスクの大きさを見ると元のサイズがあるので、メタデータを作ってみる
# drbdadm create-md r0
前略
You need to either
   * use external meta data (recommended)
   * shrink that filesystem first
  * zero out the device (destroy the filesystem)
Operation refused.
と表示されてエラーになっている。のでDRBDディスクを初期化する事にした。(マウントした時に全く違うデーターが入っていたので、初期化してもプライマリー側のディスクにデーターが残っているから初期化してもいい)
# mkfs.xfs /dev/vdd     # vddはdrbdディスク
でもってメタデーター作成
# dd if=/dev/zero of=/dev/vdd bs=1M count=128
# drbdadm create-md r0
エラーになっていたのでクリーナップ
# pcs resource cleanup
状況を調べると
# cat /proc/drbd
無事、プライマリーからセカンダリーにコピーが始まった(ディスクサイズが大きいので、31GB使用)が、3時間くらいかかったと思う。

やれやれ

カテゴリー: DRBDに挑戦(CentOS7) | コメントする

巧妙な細工のある危険メール(AMAZON)

投稿日: 2022-07-04 作成者: フジマル


赤線が二つあるが、上の方は送信人である。ドメイン(@マーク以降)は@5tex.ru になっている。.ru はロシアである。この時点でこれがアマゾンからではないことがわかるので、所有権の証明は絶対にクリックしてはならない。
これが何故巧妙かというとしたの赤線を見て欲しい。ここは 所有権の証明の所にマウスを持って来た時に表示される、ここをクリックすると飛ぶ先のURL(WEBの住所)でhttps://transrate.google.com/…… となっていて、これは文字通りだと本物のgoogleに飛ぶ筈だか。試しにクリックするとと表示された。いかにもAMAZONみたいだが、ここはアマゾンでは無いぞーー!!
WEBの住所に当たる赤線部分を見て欲しい。nakano.dctzgs.cn/…….となっている。最後のcn は中国だ!。全くAMAZONでは無いぞ!!
つまり、いつも言っているリンクの上にマウスを持って来ると(所有権の証明)飛び先が表示され、そこはhttps://transrate.google.com/……となっていて、いかにもgoogleの翻訳を使っているように見せているが、これはここに表示される文字と実際に飛ぶURLは違う。つまりここは偽造されている。
ここが偽造されているメールはこれが初めて!!
ともかく、リンクをクリックする時はその飛んだ先が、本当に本来の住所(URL)かどうか必ずチェックする事!!(この場合は赤線のある部分)

カテゴリー: 危険メールや手紙、IP | コメントする

悪い奴が多いな(AU-PAYを騙っている)

投稿日: 2022-05-22 作成者: フジマル

一番大事なことはリンクがある所にマウスを持って来ると(スマホは長押し)左下に(サンダーバードの場合)表示されるURLが実際にクリックした時に飛ぶ所又、ここで最初の方は無視する事、ここは誰でも何でも可能だ(この場合はconnect-au-login いかにもそれっぽくなっているがこれは無視)肝心なのは最後の2つ(たまに3つもあるxxxxxx.co.jp など)この場合は updatez.top これがドメイン。つまりAU-PAYでは無い!!!
調べてみると、今年5月14日にアメリカで登録されたもの。つまり悪さをする為にこのドメインを作ったという事。
さらに、 NameSilo,LLC という会社が登録を受け、.topの値段を調べると$1.88だって。
このレジストラーはうさん臭いな?どうも悪者の手助けをしている感じ?

後、差出人(上の赤線の所)見て欲しい。auto@connect.auone.jp となっているが,これは偽造されているので信用しない事!!実際にはこのメールの発信元は mail.co82.top (unknown [152.32.185.198]) からで(ヘッダーと呼ばれる所を全部表示するとわかる)、ブラウザで co82.top にアクセスすると

googleがワーニングを出してくれている。

カテゴリー: 危険メールや手紙、IP | コメントする

作った覚えのない #mysql50#.Trash-0 ができている!

投稿日: 2022-05-16 作成者: フジマル

ある時 mariadb(10.7.3)で
MariaDB [(none)]> show databases;とすると#mysql50#.Trash-0 というデーターベースができている! こんなの作ってないし、google先生に聞いても事例が出てこない。うーん? そうだファイルを見てみよう。
私は /etc/my.cnf でデフォルトからは変更し
[mysqld]
datadir=/Mysql
socket=/var/lib/mysql/mysql.sock
と指定している。そして独立した領域を/Mysqlに割り当てているので、見てみると以前に消したファイルが、
.Trash-0 として残っている。
わかった、このファイルは /Mysql にあるので、サーバーがデーターベースだと勘違いして表示していると判断。この .Trash-0 も削除したら無事表示されなくなった。

カテゴリー: Linux運用時のメモ | コメントする

今度はAU PAY !!!

投稿日: 2022-04-27 作成者: フジマル


先ずは上の赤線の差出人を見おると auto@connect.auone.jp になっている。auone.jp はAU PAY のドメインだが、これは偽造されている。メールのヘッダーと呼ばれる所を全部表示すると(thunderbirdは表示→ヘッダー→すべて) mail.utaraprint.com(IP152.32.210.98)という所から送信されていて、IPを調べるとオーストラリアから送信されている!! 中ほど紫色のリンクの上にカーソルを持って来ると表示される(アンドロイドはここを長押しすると表示される)所が下の赤線の部分で、これがクリックすると実際に表示されるページで、これが一番大事。 https://connect-au-service.gh19.top になっている。いつも言っているがドメインと呼ばれる部分は最後の2つか3つの部分。この場合は gh19.top でここはAU PAYでは無い!!
ちなみにgh19.comにアクセスすると中国語でエラー表示が出たので、中国の誰かが悪さをしていて、connect-au-service.gh19.topのページしか作っていなさそう。つまり悪さをするとための情報収集ページだけを作っているようだ。
くれぐれもクリックしない事。

カテゴリー: 危険メールや手紙、IP | コメントする

今度はJCBー気を付けて

投稿日: 2022-04-14 作成者: フジマル


まず差出人だが表示は info@jcb.co.jp になっているがこれは偽造されている。ヘッダーと呼ばれている部分を、全部表示にすると最初に送ったのは
Sevice.lovetrail.cn で IPアドレス(インターネットの住所にあたる)は
107.172.188.117 でつまり中国からだ。この所危ないメールは全部中国からだなー
ちなみに3つあるリンクはどれも同じで https://etc.xfong.cn に飛ぶようになったいる。

いつも言っているが、
1:差出人を必ずチェックの事、今回は表示は偽造されているのでわかりにくいが、多くはここが xxxx.yyyy.cn 等と偽造されていないことも多い。
2:リンクにマウスを持って行き(スマホでアンドロイドの場合は、リンク部分を長押しで、飛ぶ所が表示される。多分 i-phone でも同じだと思うが持っていないのでわからない)左下に表示された所(サンダーバードの場合)をチェクする事。これが一番大事

カテゴリー: 危険メールや手紙、IP | コメントする