この画面は、簡易表示です
httpsを使わないとChromeの機嫌が悪い。
でも、そのままhttpsにしておくと、「怪しい電子証明書」として扱われるので、
ブログのためにLet’s Encryptで取得した電子証明書を流用してみる。
Let’s Encryptでの電子証明書は、/etc/letsencrypt/live/の{コモンネーム}のフォルダの中の fullchain.pem(証明書)とprivkey.pem(秘密鍵)を使用する。
cockitでは電子証明書を、/etc/cockpit/ws-certs.d/ フォルダの中に格納することになっているので、先の証明書と秘密鍵のファイルを、{コモンネーム}.crtと{コモンネーム}.keyとしてシンボリックリンクを貼り、cockpitを再起動。
しかし、ブログのkvmホストは非公開だからChromeが安心する様な電子証明書は作りにくいので、ブログサーバのcockpitのホストリストにkvmホストを登録してソコから接続することにした。
ま、この方法だとブログのサーバを止める時に困るけどね。普段は使えるからヨシとしよう。
KVMサーバーのCockpitのページから直接ブログサーバのCockpitに繋いでみた。
まずはSSH接続用の公開鍵を作る。
# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
/root/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase): [passphraseを入力] ※passphraseはログイン時に使用
Enter same passphrase again: [passphraseを入力]
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:Fyfc0Do9Wux/6uZgjLvM9nCq4mYVaOphgip9bx8I1eE root@xxxxxxxx.xxxxxxxx.local
The key's randomart image is:
+---[RSA 3072]----+
| . .. |
| o o o. |
| ..E ++o |
| .o . o+= |
| . .o S..= . |
|. . +. ....o. |
|.. + .... o =. |
|o . o = +.* .o .|
|. . *oooo*o.++o |
+----[SHA256]-----+次にブログサーバのSSHの設定内容を取得
# ssh-keyscan -H 192.168.xxx.xxx >> ~/.ssh/known_hosts
# 192.168.xxx.xxx:22 SSH-2.0-OpenSSH_8.0
# 192.168.xxx.xxx:22 SSH-2.0-OpenSSH_8.0
# 192.168.xxx.xxx:22 SSH-2.0-OpenSSH_8.0最後にブログサーバに公開鍵を送信
# ssh-copy-id root@192.168.xxx.xxx
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.xxx.xxx's password: [passwordを入力]
Number of key(s) added: 1
Cockpitの画面を開き、左上のサーバー名の右の▲をクリックして▼に変え、【新規ホストの追加】ボタンを押す。
ダイアログからIPアドレス、ユーザ名、パスフェーズを入力。
認証でSSHキーを選択、キーパスワードは先のパスフェーズを入力。
自動ログインは、/root/.ssh/id_rsa のパスワードを変更しますのチェックし、新しいパスワードを設定する。
# systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2023-10-11 17:03:59 JST; 1 day 12h ago
Docs: man:firewalld(1)
Main PID: 793 (firewalld)
Tasks: 2 (limit: 23014)
Memory: 33.7M
CGroup: /system.slice/firewalld.service
mq793 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopid
10月 11 17:03:55 *******.*******.********** systemd[1]: Starting firewalld - dynamic firewall daemon...
10月 11 17:03:59 *******.*******.********** systemd[1]: Started firewalld - dynamic firewall daemon.
10月 11 17:03:59 *******.*******.********** firewalld[793]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will...firewalldでエラっていた。
だそうで、設定ファイルを修正。
# AllowZoneDrifting=yes
AllowZoneDrifting=no結果
# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2023-10-13 06:03:36 JST; 3s ago
Docs: man:firewalld(1)
Main PID: 29104 (firewalld)
Tasks: 2 (limit: 23014)
Memory: 23.9M
CGroup: /system.slice/firewalld.service
mq29104 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopid
10月 13 06:03:35 *******.*******.********** systemd[1]: firewalld.service: Succeeded.
10月 13 06:03:35 *******.*******.********** systemd[1]: Stopped firewalld - dynamic firewall daemon.
10月 13 06:03:35 *******.*******.********** systemd[1]: Starting firewalld - dynamic firewall daemon...
10月 13 06:03:36 *******.*******.********** systemd[1]: Started firewalld - dynamic firewall daemon.データベースエラーが出ていた。
原因はブログ用のゲストOSがヘタれ、コマンドプロンプトでコマンドを打つと10秒くらい応答が無かったので、タイムアウトチェックに引っかかるものは全てエラってるっぽい。
rebootやpoweroffコマンドは通るもののシャットダウンする気配が無い。
ホスト側は特に異常は見当たらない。
virt-topでゲストOSの負荷を見ても、CPU:0.5%しかない。
仕方なくホスト側を再起動。
apacheの設定を見直してみると前のDDNSのドメインのままになっている箇所を発見。
コレのせいかな?
てか何で普通に観れてたんだろう???
とりあえず、バックアップを取っておこう。圧縮しても4GB越え。
WinSCPでコピると6分以上かかる。
とても古い圧縮方式arcfourの優先度を最上位にしてもほとんど差が無かった。
サーバ側が古すぎなのは未サポートになってた様な気もする。
当然、同時接続数をq2から9に上げても変わらず。
やっぱりCPUか。J1900だもんなぁ。