Apache

コピペで設定できるように、まとめます
詳細は、こちらを参照してください

RockyLinux9.３で自宅サーバーを再構築V04・LAMPの「A」、Apache編

LAMPの「A」のApacheの構築編です。 インストール、セキュリティ対策、ファイヤーウォール、https化、HTTP2通信設定を説明します。 さらに例では、CGIも動作できるような設定にしています。

www.kazuban.com

2024.01.06

Remi リポジトリのインストール

ApacheやPHPの最新バージョンにも対応したいので、Remi リポジトリのインストールします
Remiのインストールには、「crb」や「epel」のインストールが必要なようです

sudo dnf config-manager --set-enabled crb
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-next-release-latest-9.noarch.rpm

httpdインストール

続いて、httpd関連をインストールし、自動起動するように設定します

sudo dnf install httpd httpd-tools mod_ssl
sudo systemctl start httpd
sudo systemctl enable httpd
sudo systemctl is-enabled httpd
sudo systemctl status httpd

● httpd.service - The Apache HTTP Server
     Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; preset: disabled)
     Active: active (running) since Sat 2026-04-18 17:24:47 JST; 54min ago

active (running)とservice; enabledで確認できます。

Firewalld に許可

「http」と「https」を許可します

sudo firewall-cmd --add-service=http --zone=public --permanent
sudo firewall-cmd --add-service=https --zone=public --permanent
sudo firewall-cmd --reload
sudo firewall-cmd --list-all --zone=public

「services: 」で確認できます

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: wlp8s0
  sources:
  services: cockpit dhcpv6-client http https ssh

ブラウザのアドレスバーにIPアドレス「http://192.168.*.*」をに入力すれば、テストページが表示されれば動作しています

httpd.conf

サーバー上のディレクトリや、ホスト名など、自分の環境に合わせて設定ファイルを編集します
筆者の場合、「DocumentRoot」を「/home/www/html」に変更します
「ServerName」は、バックアップ用なので本サーバーとの識別のためドメイン名は
「www2」とし「www2.hogehoge.com」に設定します
CGIスクリプトを使用する場合では、AddHandlerでスクリプトの拡張子を指定し、ScriptAlias以外のディレクトリにスクリプトを置く場合には、その指定ディレクトリに「Options ExecCGI」を追加します
まずは、設定ファイル「httpd.conf」はバックアップを取ってから作業します

cd /etc/httpd/conf/
sudo cp -p httpd.conf httpd.conf.org
sudo vi ./httpd.conf

edhitor

#ServerAdmin root@localhost
ServerAdmin root@localhost

#ServerName www.example.com:80
ServerName www2.hogehoge.com:80

#DocumentRoot "/var/www/html"
DocumentRoot "/home/www/html"

#<Directory "/var/www">
<Directory "/home/www">

#<Directory "/var/www/html">
<Directory "/home/www/html">

#ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
ScriptAlias /cgi-bin/ "/home/www/cgi-bin/"

#<Directory "/var/www/cgi-bin">
<Directory "/home/www/cgi-bin">

#Options Indexes FollowSymLinks
Options FollowSymLinks

#AddHandler cgi-script .cgi
# --- 2026/04/19 add by kazuban
AddHandler cgi-script .cgi
<Directory /home/www/html/script>
  AllowOverride None
  Options ExecCGI FollowSymLinks
  Order allow,deny
  Allow from all
</Directory>

筆者の場合、デフォルトにディレクトリを変更したので、そのディレクトリを作成し、所有者をapacheに変更します

sudo mkdir /home/www
sudo mkdir /home/www/html
sudo mkdir /home/www/cgi-bin
sudo chown apache.apache /home/www/html/
sudo chown apache.apache /home/www/cgi-bin/
ls -la /home/www
httpd -t

「Syntax OK」が出れば、正常に変更されています

セキュリティ対策

・テストページや「icons」一覧を非表示にする
・Apacheバージョン情報とＴRACEメソッドOFF
・X-Frame-Optionsの有効を確認
・設定したドキュメントルートにindex.htmlを作成

cd /etc/httpd/conf.d
sudo cp -p welcome.conf welcome.conf.org
sudo cp -p  autoindex.conf  autoindex.conf.org
sudo vi ./welcome.conf

表示させたくないので、削除や名前変更もできますが、自動的に復活するらしいので、<Directory>設定は、全てコメントにしました。
autoindex.confも同様です

sudo vi autoindex.conf

httpdを再起動すると、「http://192.168.*.*」は表示されなくなっていれば正常です

sudo systemctl restart httpd

さらに、Apacheバージョン情報とＴRACEメソッドもOFFにします
/etc/httpd/conf/httpd.confを編集

sudo vi /etc/httpd/conf/httpd.conf

最終行に、設定コードを追加

##--- kazuban added. 2026/04/19
ServerTokens ProductOnly
ServerSignature off
TraceEnable off

構文チェックしOKであれば、再起動します

httpd -t
sudo systemctl restart httpd

X-Frame-Optionsは、Webサイトを不正な埋め込み（クリックジャッキング攻撃）から守るために非常に重要だと言うことなので、こちらも有効になっているか確認します
「/etc/httpd/conf.modules.d/00-base.conf」に、mod_headers.soの記載があればモジュールは入っています

cat /etc/httpd/conf.modules.d/00-base.conf | grep mod_headers.so

次に、「/etc/httpd/conf/httpd.conf」の最後に、
「 Header append X-FRAME-OPTIONS “SAMEORIGIN” 」
を追加して、apacheを再起動します

sudo vi /etc/httpd/conf/httpd.conf

・
・
##--- kazuban added. 2026/04/19
ServerTokens ProductOnly
ServerSignature off
TraceEnable off

Header append X-FRAME-OPTIONS "SAMEORIGIN"

sudo systemctl restart httpd
sudo systemctl status httpd

ドキュメントルートのトップページの表示

上記セキュリティ対策でトップページが表示されなくなったので、「index.html」を作成し、簡単な表示が出るようにしておきます。

cd /home/www/html/
cat <<EOF | sudo tee index.html
<html>
  <body>
    <h1>This website is currently under maintenance.</h1>
  </body>
</html>
EOF
sudo chown apache:apache ./index.html
httpd -t
sudo systemctl restart httpd

これで、「http://192.168.*.*」でトップページが表示されるようになりました

Let’s Encrypt証明書でhttps化

https化を行う場合には、ファイヤーウォールでの許可が必要ですが、上記ですでに許可してますから、ここでは確認だけ行います

sudo firewall-cmd --list-all --zone=public

「services: 」に「https」があれば、許可済みです

sslモジュール

「mod_ssl」も、上記でインストールされています、確認してみます

dnf list installed | grep mod_ssl
httpd -M | grep ssl

Certbot クライアントのインストール

Let’s Encryptで証明書の取得には、「Certbot」と言うソフトを利用します
パッケージの状態を確認します

dnf list --all | grep certbot

複数でてきますが、「certbot.noarch」「python3-certbot-apache.noarch」をインストールします

sudo dnf install certbot
sudo dnf install python3-certbot-apache
dnf list installed | grep certbot

証明書発行

すでにhttpdが動作している場合には、「webroot プラグイン」を使います
動作していない場合には、「Standaloneプラグイン」を使います
ただし、両方とも外部から対象のPCの80番ポートへ通信は必要です
したがって、外部（インターネット側）から、対象のドメインのが名前解決が必要です
私は、無料のサービスhttps://www.mydns.jp/　を利用させてもらっています
80番ポートは「Standalone」の場合は、certbot が占有します
「webroot」は、apacheが使います
したがって、「webroot」はwebサーバーが動作している必要がありますが、「Standalone」では停止しておく必要があります

まず、外部からの80番へのリクエストが、対象のPCアドレスへ転送されるように設定します
自宅であれば、ルーターの「ポートマッピング」などの項目で設定できると思います
次に、httpdの起動状態を確認

sudo systemctl status httpd

80番と、httpdの起動が確認できたら、certbot を起動しましょう
確認はしていませんが、権限が必要なファイルに書き込むので、「su」での起動がいいと思います

su
certbot certonly --webroot -w /home/www/html/ -d www2.hogehoge.com -d hogehoge.com

対話での設定になります

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): 　　　　　<------自分のEメールアドレスを入力

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
 https://letsencrypt.org/documents/LE-SA-v1.3-September-21-2022.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y　<----- 利用規約を読んでください

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y  <--------- 電子フロンティア財団からEメールが届いてもいいか？
Account registered.
Requesting a certificate for www2.hogehoge.com and hogehoge.com

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/www2.hogehoge.com/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/www2.hogehoge.com/privkey.pem
This certificate expires on 2026-07-18.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

「Successfully」になれば、証明書ファイルは保管されています

証明書の設定

証明書を「/etc/httpd/conf.d/ssl.conf」で反映させます
まずは、バックアップをとってから、編集します

cd /etc/httpd/conf.d
sudo cp -p ssl.conf ssl.conf.org
sudo vi ./ssl.conf

/etc/httpd/conf.d/ssl.conf

・
#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/letsencrypt/live/www2.hogehoge.com/fullchain.pem       
・
・
#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/letsencrypt/live/www2.hogehoge.com/privkey.pem
・

保存後、確認でOKなら、httpd再起動

sudo httpd -t
sudo systemctl restart httpd
sudo systemctl status httpd

https:// でのアクセス確認

証明書発行では80番ポーとを通しましたが、httpsでは443ポートを通してておきます
ただし、筆者の環境のように、同じLAN上にWebサーバーとアクセスPCがある場合には外部DNSを使用しないので、アクセスできない場合があります
その場合、アクセス側PCの「hosts」ファイルで設定しておくと可能になります

C:\Windows\System32\drivers\etc\hosts　(windows)
/etc/hosts (Linux)

#Server 
192.168.1.100 hogehoge.com
192.168.1.100 www.hogehoge.com

#TestServer
192.168.1.101 www2.hogehoge.com

この設定後、「https://www2.hogehoge.com」で正常に「index.html」画面が表示されれば証明書は正常です

HTTP/2を利用する

詳細は、こちらを確認してください
まず、eventMPMモジュールとhttp2モジュールが必要ですが、Rocky9では、デフォルトで有効になっているようです。
確認してみます

sudo httpd -M | grep mpm
sudo httpd -M | grep http2

次に、「httpd.conf」で有効設定する予定ですが、設定前にhttp2の有効状態を確認してみました
確認は、Chromeで「https://www2.hogehoge.com」を表示後、F12キーで表示される開発ページの「Network」「Protocol」で確認できますが、筆者の環境ではすでに「h2」になっていて、http2が有効になっていました。
AIに聞いてみると、Apacheのバージョンによっては、有効になっている場合もあるが、明示的に設定をいれる事を推奨するの事なので、設定はしておこうと思います

設定は、「/etc/httpd/conf/httpd.conf」で行います

sudo vi /etc/httpd/conf/httpd.conf

最終行に追加して、httpdを再起動

・
<IfModule http2_module>
    Protocols h2 http/1.1
    ProtocolsHonorOrder on
</IfModule>
・

sudo systemctl restart httpd

HTTP/2有効確認

Chromeで「https://www2.hogehoge.com」を表示後、F12キーで表示される開発ページの「Network」「Protocol」で確認できますが、「Protocol」が表示されていない場合があります
・開発ページが表示された後、CTRL+R でページを更新
・もし、翻訳のダイアログが出た場合には、「日本語」にしてみます

・開発ページが更新されても、デフォルトでは「Protocol」が非表示になっている場合があります
・「Network」タブの、「Name」セル上でマウス右ボタンで、表示項目の選択ができるので「Protocol」をチェックする事で、表示されます

・表示された「Protocol」が、「h2」や「h3」になっていれば、HTTP/2で応答しています

WordPress環境構築まとめ

Ubuntu24.04LTSでWorrPressを動作させる。インストール・SSH・ファイヤーウォール

「Ubuntu24.04LTS」に、「RHEL系、RockyLinux9」と同様の設定で、「WordPress」を動作させます。 特に、「apache」の設定方法が違っているので戸惑いました。 「RHEL」から移行の方には参考になると思います。

www.kazuban.com

2024.06.29

会社でもローカル環境にwordpressでのコミュニティサイトを検討しているので、wordpress環境構築作業に戸惑わないよう、コピペできるよう、まとめました。
せっかくなので、RockyLinux10で試してみましたが、筆者の１０数年前のノートPCではインストーラさえ起動しませんでした
RockyLinux9.7であれば起動したので、クリーンインストールして再構築しました

RockyLinux9.7 ダウンロード・インストール

ダウンロード・インストールの詳細はこちらを確認してください

RockyLinux9.3で自宅サーバーを再構築V01・インストール。記事最後のリンクをすべて実行すれば、WordPressサイトが作れます

2023年、このサイトは、centOS7 で構築していますが、サポート終了が近づいてきました。 centOS8のサポートも既に終了しています。 今回、RockyLinux9.3で再構築した記録のインストール編です。 記事最後のリンクをすべて実行すれば、WordPressサイトが作れます

www.kazuban.com

2024.01.05

インストール直後の設定

ホームディレクトリの日本語表記を英語表記に変更

linux

LANG=C xdg-user-dirs-gtk-update

特定のユーザーにsudo を可能にする

linux

su
visudo

visudo で、コメント行になっている、下記の「#」を外し有効にします
%wheel ALL=(ALL) NOPASSWD: ALL

linux

・
・
## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

・
## Same thing without a password
%wheel  ALL=(ALL)       NOPASSWD: ALL

その後、特定ユーザーを、「wheel」グループに追加すればそのユーザーはパスワードなしで「sudo」実行が可能になります

linux

usermod -aG wheel hogehoge

SSH利用状況の確認

RockyLinux9では、ほとんどの選択でsshは自動起動している状態になっています。
動作は、「ssh」コマンドで確認できます

linux

ssh

usage: ssh [・・・・」のような
コマンドの使い方を示すヘルプメッセージが表示されれば動作しています
また、sshサービスはファイヤーウォールでの制限対象ですが、こちらも標準では許可されていますが、確認しておきます
詳細は、下記記事を参照してください

RockyLinux9.３で自宅サーバーを再構築V03・firewalldでアクセス制御

firewalldを少し詳しく調べていました。 一例として、sshサービスを、LAN内（指定アドレス）からのみ接続可能な設定にしました。

www.kazuban.com

2024.01.06

ここでは、sshの許可状態だけ確認します

firewalldでのsshの確認

まず、「firewalld」の起動状態を確認してみます

linux

systemctl status firewalld

これで、active (running)になっていれば、起動しています

ファイヤーウォールのアクセスルール対象となるのはアクティブゾーンになります
まずは、アクティブゾーンを確認します

linux

 sudo firewall-cmd --get-active-zones

public
  interfaces: wlp8s0

アクティブゾーンは「public」のみと言うのがわかりました
今回は「ssh」の許可状態は「public」の設定で確認すればわかります

linux

sudo firewall-cmd --list-all --zone=public

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: wlp8s0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 

「services」に、「ssh」があるので、許可されています

SSHでリモート操作

上で確かめたように、RockyLinux9では、デフォルトでsshサービスもファイヤーウォールでの許可も利用可能な状態になっています。
「ssh」コマンドでアクセスしてみましょう。
windowslinux

ssh hogehoge@192.168.*.* -p 22

ssh 「Linux側のユーザー@IPアドレス」 でパスワード入力で接続できます
「-p 22」は、ポート番号指定です。sshはデフォルトでは２２番ポートです。
デフォルトであれば、省略できます。
「-p 22」はオプションですが、違うポート番号の場合は、その番号を指定します。
また以前ポート番号などを変更していたなどで接続できない事もあります
その場合には、標準ポート番号「22」を指定する事で接続できるようになります
windowsターミナルでも同じコマンドです
接続ができれば、windowsから、Linuxマシンを殆どリモートで設定できます　
ローカル内だけでの運用であれば、この設定でもいいかもしれませんが、後ほどポート番号変更と鍵認証方式に変更しようと思います

インストール後の設定２（SSHでも可）

まずは、パッケージのアップデート

sshアクセスができれば、windowsターミナルからでも操作できまます
インストール初期のアップデートで、依存関係の競合とかでエラーが表示される事があります
エラーメッセージでは、「--skip-broken」の付加のアドバイスが出ますが、ついでに「–allowerasing」オプションも追加したほうがいいようです

linux

sudo dnf update --skip-broken --allowerasing
sudo reboot

SELinuxに強制させない設定

SELinuxはセキュリティをより強固にする機能で、RockyLinuxなどRedHat系では標準で有効になっていますが、思うように動作しないトラブルも多いようです。
ポリシーを読み込まず、無効的な状態にする方法もありますが、警告のみでポリシーを強制しない「Permissiveモード」に設定にしようと思います

linux

su
vi /etc/selinux/config

editor

・
・
#SELINUX=enforcing
SELINUX=permissive
・
・

linux

reboot

再起動後、確認

linux

sudo getenforce

「Permissive」が返ってくれば、設定されています

設定中に本体のGUIがクラッシュした

外部PCからsshで操作していて、たまに戻ると、画面がクラッシュしている場合があります
これはGUIのディスプレイマネージャー（gdm）がロックやスリープ状態になっているか、セッションがクラッシュしている場合に起こるようです

復旧方法：キーボードショートカットで復旧

私の状況は、マウスカーソルだけが動く状態だったので、その画面で：

• Ctrl + Alt + F2（または F3〜F6）を押す → テキストコンソールに切り替え
• ログイン後、以下を実行：

linux

systemctl restart gdm

Ctrl + Alt + F1（または F7）でGUI画面に戻る

恒久対策として：スリープ・省電力設定を無効化する

linux

# GNOMEのスクリーンセーバー・自動サスペンドを無効化
sudo -u ユーザー名 gsettings set org.gnome.desktop.screensaver lock-enabled false
sudo -u ユーザー名 gsettings set org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type 'nothing'

このコマンドは、私の環境でSSH経由では、X11のDISPLAY環境変数がないとのエラーになりました
ssh経由の場合には、DISPLAY変数を指定して実行します

ssh

sudo -u ユーザー名 DISPLAY=:0 DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/$(id -u ユーザー名)/bus gsettings set org.gnome.desktop.screensaver lock-enabled false
sudo -u ユーザー名 DISPLAY=:0 DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/$(id -u ユーザー名)/bus gsettings set org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type 'nothing'

確認方法

linux

sudo -u ユーザー名 DISPLAY=:0 DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/$(id -u ユーザー名)/bus gsettings get org.gnome.desktop.screensaver lock-enabled
sudo -u ユーザー名 DISPLAY=:0 DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/$(id -u ユーザー名)/bus gsettings get org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type

下記の結果がでれば、正常に反映されている

false
'nothing'

CUIモードをデフォルトにする

SSH経由でのリモートがほとんどになれば、CUIモードのほうがトラブルは少なそうなので、CUIモードに設定します

linux

sudo systemctl set-default multi-user.target

これで、再起動後はGUIなしで起動します。
もし、GUIが必要になったら、

linux

sudo systemctl start gdm

SSHのセキュリティ向上対策

SSHを鍵認証方式で運用

「鍵認証方式」は、「秘密鍵」と「公開鍵」のペアの鍵を作成し、アクセスする側は「秘密鍵」が必要になり、アクセスされる（サーバー）側には、「公開鍵」を登録します
一般的には、アクセス側で鍵を生成し、「公開鍵」の登録をサーバーへお願いします
鍵生成は、windowsでもLinuxでも、「ssh-keygen」コマンドで生成できます
今回は、windowsターミナルで生成します

windowslinux

ssh-keygen -t ed25519

Generating public/private ed25519 key pair.
Enter file in which to save the key (C:\Users\hogehoge/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again
Your identification has been saved in C:\Users\hogehoge/.ssh/id_ed25519
Your public key has been saved in C:\Users\hogehoge/.ssh/id_ed25519.pub
The key fingerprint is:
SHA256:o2ojnUu7UflR12VZq2yOcTY/Ky-VzibafGh/PJbPe6C hogehoge@hoge-Pc
The key's randomart image is:
+--[ED25519 256]--+
|             .+.o|
|               Oo|
|     o + o .   . |
|    . Z   . . o..|
|    . o     . *AC|
+----[SHA256]-----+

秘密鍵のアクセス権限を厳しく設定

下記のアクセス権の設定は、windowsターミナルでの操作コマンドです。
Linuxでの操作は、こららを参考にしてください

継承の無効化と権限のクリア

windows

icacls "$HOME\.ssh\id_ed25519" /inheritance:r

ユーザーにのみ読み取り権限を付与

windows

icacls "$HOME\.ssh\id_ed25519" /grant:r "$($env:USERNAME):R"

「自分自身」以外のユーザー権限を削除

windows

icacls "$HOME\.ssh\id_ed25519" /remove "SYSTEM"
icacls "$HOME\.ssh\id_ed25519" /remove "Administrators"
icacls "$HOME\.ssh\id_ed25519"

エクスプローラの「プロパティ」⇒「セキュリティ」でも確認できます

公開鍵をサーバー側へコピー

作成した、「id_ed25519.pub」をサーバー側ユーザーの「.ssh」ディレクトリへコピー
・windowsの自分自身のホームの「.ssh」に移動
・scp コマンドへ、サーバー側ユーザーの「.ssh」へコピー

windows

cd $HOME\.ssh
scp .\id_ed25519.pub hogehoge@192.168.*.*:.ssh

サーバー側へsshでログインし操作

windows側から、sshログインし、「.ssh」ディレクトリへ移動し確認

windows

ssh hogehoge@192.168.*.*

ログイン後、コピーされているか、確認

sshlinux

cd ./.ssh
ls -la

公開鍵を保存ファイル（authorized_keys）へ登録

コピーされた公開鍵を、保存用のファイルへ登録し、そのファイルのアクセス権は厳しくします
持ってきて、公開鍵は削除しておきます

sshlinux

cd ~/.ssh 
cat id_ed25519.pub >> authorized_keys 
chmod 600 authorized_keys
rm id_ed25519.pub
exit

再度、鍵を使って、SSHログイン

ssh に「i」オプションで鍵指定

windows

ssh -i .ssh/id_ed25519 hogehoge@192.168.*.*

ログイン時、鍵生成時登録したパスフレーズを入力し、ログイン

鍵認証以外ではログイン拒否

鍵を使ってのログインが確認できたら、鍵以外でのログインは拒否する設定をしておきます
設定は、「/etc/ssh/sshd_config」ファイルの”PasswordAuthentication”を”no”に設定します
まずは、ファイルをバックアップして、編集します

ssh linux

sudo cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.org
sudo vi /etc/ssh/sshd_config

editor

・
・
#PasswordAuthentication yes
PasswordAuthentication no
・
・

ついでにリモートからのROOTログインも拒否設定します

「/etc/ssh/sshd_config」ファイルの”PermitRootLogin”も”no”に設定

editor

・
・
#PermitRootLogin prohibit-password
PermitRootLogin no
・
・

さらに、ポート番号を変更

「ssh」のポートは「22番」が標準なので、自動スキャンなどのアタックが増えるので、違う番号に変更しておきます。
ポート番号も「/etc/ssh/sshd_config」ファイルの”Port”で設定します
ポート番号は登録済み番号などもあるので、49152–65535の範囲に設定します

editor

・
・
#Port 22
Port 55522
・
・

「22番」は「ssh」サービスのデフォルトなので、firewalldの設定でsshは「22番」になります
firewalld設定は、ポート番号を直接設定する事もできますが、やはりsshのポート番号を変更する方法がfirewalldは再起動だけで、設定は不要なのでスマートだと思います
デフォルト設定は、「 /usr/lib/firewalld/services/ ssh.xml 」に保存されているので、
そのファイルを「 /etc/firewalld/services /」にコピーして編集します。

ssh linux

sudo cp -p /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
sudo cd /etc/firewalld/services/
sudo ls /etc/firewalld/services/
sudo vi /etc/firewalld/services/ssh.xml

editor

・
・
<port protocol="tcp" port="22"/>
↓
<port protocol="tcp" port="55522"/>
・
・

sshとfirewall　サービスを再起動して、アクセスにはポート番号を明示します

ssh linux

sudo systemctl reload sshd.service
sudo firewall-cmd --reload
ssh  -p 55522 hogehoge@192.168.*.*

ここまでで、RockyLinux9.7のインストールと、やっておきたい初期設定を解説しました
「ssh」の設定も完了しているので、windowsターミナルからでも実行できます

WordPress環境構築まとめ

ubuntu24.04 インストール

こちらから、Ubuntu Desktop 24.04 LTS　のディスクイメージを入手します。
インストールメディアはUSBメモリで作成しました。

自動パーティションで立ち上がらない

インストール領域は、自動パーティションを選択し、問題なくインストールは完了しましたが、
再起動後、立ち上がりません。
ブートローダが起動しない感じです。
ハードウェアの不良も疑い、試しに手持ちのRHEL系「Rocky-8.x86_minimal.iso」を上書きインストールしてみましたが、問題なく起動しました。
ハードの不良ではなさそう！なので、自動パーティショニングがうまくいってない感じです。
再度、「Ubuntu24.04」をインストールを試みます。
正常に起動した「Rocky9」では、/dev/sda1の1G領域に「/boot」、/dev/sda2に残り領域と設定されていたので、再インストールでも、自動を使わず手動パーティショニングで/dev/sda1を「/boot」に、/dev/sda2を「/」のマウントポイントの設定で再インストールしたところ無事に起動できました。
ブートローダが書き込まれる「/boot」のファイルシステムがなにか悪さしていたような気がしますが、よくわかりません。
「RHEL」を自動パーティションさせた状態に、「ubuntu」を自動パーティションでインストールするとうまくいかない感じですが、とりあえず、起動したので、良しとしましょう！

Ubuntuと、CentOS 、かなりの違います

もとは同じ「linux」ですが、ＲedHat系とDebian系では、いろいろ違うみたいですね。
かなり戸惑ってしまいました。

rootパスワード

「ubuntu」では、インストール時に、「root」パスワードを設定する項目がありません。
基本的に「su」で「root」になって作業しない！がコンセプトなのでしょうか？
だた、「su」になったほうが楽な場合もあるので、「rootパスワード」を設定しておきます。

$ sudo passwd root
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

特定のユーザーにsudo 権限を設定

ユーザーの実行制限を記述してあるudoersファイルを編集し「sudo」でパスワードなしで実行できるように設定しておきます。
このファイルを編集するには、安全に編集するコマンド「visudo」で行います。
コマンド名は、「CentOS」と同じですが、若干の違いがありました。
「visudo」は「centos」では、純粋な「viエディタ」と同じ操作でしたが、「ubuntu」では、一般的なエディタに近い操作感だったので、戸惑いました。

$ sudo visudo
・
・
# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
・
## Same thing without a password
%sudo  ALL=(ALL)       NOPASSWD: ALL
・
・

この設定で、「特定グループ」に属するユーザーに、全てのコマンド実行の許可が、パスワードなしで与えられます。
「ubuntu」では「sudoグループ」が「特定グループ」になりますので、ユーザーを「sudol」グループに追加します。

$ sodo usermod -aG sudo $USER
$ newgrp docker

ssh

「ubuntu24.04 LTS」は標準で「ssh」はインストールされているみたいですが、他のPCからは接続できません。
とりあえず、インストール状態を調べてみます。
「centos」 では、パッケージ管理ソフトは「dnf」なので「dnf list –installed | grep openssh」で調べられます。
ubuntu のパッケージ管理ソフトは「apt」ですが、オプションはほぼ同じようなので、
「apt list –installed | grep openssh」で調べられそうですが「WARNING:・・・」が出力されました。
調べてみると、下記サイトが参考になります。
https://qiita.com/taro-hida/items/666c1b1cdc851b038215
現状では、「WARNING」がでるだけで、検索結果は表示してくれますが、インストール済みパッケージを調べるには「dpkg -l」でも調べられ、こちらであれば、パイプ処理でも「WARNING」はでません。
いずれかで調べると「openssh-client」はインストールされていましたが、「openssh-server」がインストールされていませんでしたので、インストールし、再起動時にも「ON」にする設定します。
ただ、「ubuntu」は、インストールすると自動的に起動と再起動時の設定も完了しているようです。

sudo apt install openssh-server
sudo systemctl enable ssh
systemctl is-enabled ssh

さらに、「鍵認証方式で運用」「リモートからのRootログイン拒否」「sshのポート番号変更」の設定をします。
このサイトでも、RockyLinuxで設定方法を紹介していますので、参考にしてみてください。
https://www.kazuban.com/blog/rockylinux9-3-ssh/#toc6
https://www.kazuban.com/blog/rockylinux9-3-ssh/#toc9
https://www.kazuban.com/blog/rockylinux9-3-ssh/#toc11

設定が終了したら、sshを再ロードしますが、サービス名が「centos」とは違うみたいで注意が必要です。
「sshd.service」ではなく「ssh.service」のようです。

$ sudo systemctl reload sshd.service
Failed to reload sshd.service: Unit sshd.service not found.
・
・not found でエラーになりました
・
$ sudo systemctl reload ssh.service
・・・ssh.service なら、エラーになりませんでした

ところが、ポート番号などの変更が反映されていません。
ネット探索しましたが、わかりませんでしたが、再起動「reboot」したところ反映されました。
また、後ほど気が付きましたが、いつの間にか、「sshd.service」名も「ssh.service」のシンボリックリンクとして作成されていて、「sshd.service」でも動作可能になっていました。

時計同期

centosでは、「chronydサービス」が動作していましたが、「ubuntu」では動いていません。
「ubuntu24.04 LTS」では、「systemd-timesyncd」を使うようです。

# sudo systemctl status chronyd
Unit chronyd.service could not be found.
・
・
sudo systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
     Loaded: loaded (/usr/lib/systemd/system/systemd-timesyncd.service; enabled; preset: enabled)
     Active: active (running) since Sat 2024-05-01 10:38:06 JST; 12s ago
       Docs: man:systemd-timesyncd.service(8)
   Main PID: 35255 (systemd-timesyn)
     Status: "Contacted time server [2001:df0:232:eea0::fff4]:123 (ntp.nict.jp)."
      Tasks: 2 (limit: 9342)
     Memory: 1.4M (peak: 1.9M)
        CPU: 59ms
     CGroup: /system.slice/systemd-timesyncd.service
             └─35255 /usr/lib/systemd/systemd-timesyncd

またNTPサーバーは、デフォルトで「ntp.ubuntu.com」が設定されているようです。
このままでも、問題ないと思いますが、国内の「ntp.nict.jp」に設定します。
「sudo vi /etc/systemd/timesyncd.conf」の最終行に
「NTP=ntp.nict.jp」
を追加しました。

$ sudo vi /etc/systemd/timesyncd.conf
・
・
[Time]
#NTP=
#FallbackNTP=ntp.ubuntu.com
#RootDistanceMaxSec=5
#PollIntervalMinSec=32
#PollIntervalMaxSec=2048
#ConnectionRetrySec=30
#SaveIntervalSec=60
NTP=ntp.nict.jp
・
・
$ systemctl status systemd-timesyncd

ファイヤーウォール

RockyLinux9では、firewalld が一般的ですが、ubuntuでは、「ufw」ツールがデフォルトでインストールされていて、すでに、自動起動していました。

$ systemctl status ufw.service
● ufw.service - Uncomplicated firewall
     Loaded: loaded (/usr/lib/systemd/system/ufw.service; enabled; preset: enabled)
     Active: active (exited) since Wed 2024-05-01 20:04:54 JST; 1 day 19h ago
       Docs: man:ufw(8)
   Main PID: 800 (code=exited, status=0/SUCCESS)
        CPU: 7ms

筆者は、centosサーバーで「firewalld」を利用していので、「ubuntu」にもパッケージがあれば
そちらを利用しようと思います。

$ apt list firewalld
一覧表示... 完了
firewalld/noble,now 2.1.1-1 all

パッケージがありましたので、「ufw」は停止して、「firewalld」をインストールします。

$ sudo systemctl stop ufw
$ sudo systemctl disable ufw
$ sudo systemctl status ufw
○ ufw.service - Uncomplicated firewall
     Loaded: loaded (/usr/lib/systemd/system/ufw.service; disabled; preset: enabled)
     Active: inactive (dead)
       Docs: man:ufw(8)

$ systemctl is-enabled ufw
disabled

$ sudo apt install firewalld

「firewalld」は、インストールできました。
設定は、以前記事にした、centosでの設定と同様に設定しました。
詳細は、下記を参照しいてください。

RockyLinux9.３で自宅サーバーを再構築V03・firewalldでアクセス制御

firewalldを少し詳しく調べていました。 一例として、sshサービスを、LAN内（指定アドレス）からのみ接続可能な設定にしました。

www.kazuban.com

2024.01.06

Ubuntu24.04LTSでWordPressを構築する記事一覧

インストール・SSH・ファイヤーウォール

Apache2のインストールと設定

SSL、PHP、MariaDB、Let’s Encrypt証明書でhttps化

WordPress インストール、バックアップと復元