サーバー更新の記録

2024年1月22日、CentOS7.6で動作していた公開Webサーバーの後継として、RedHat-Cloneの Almalinux8.7をインストールしていた、内向けテスト用Webサーバーを、公開用Webサーバーに変更出来ましたので、記録しました。

新サーバーのOS

# cat /etc/os-release
NAME=”AlmaLinux”
VERSION=”8.7 (Stone Smilodon)”
ID=”almalinux”
ID_LIKE=”rhel centos fedora”
VERSION_ID=”8.7″
PLATFORM_ID=”platform:el8″
PRETTY_NAME=”AlmaLinux 8.7 (Stone Smilodon)”
ANSI_COLOR=”0;34″
LOGO=”fedora-logo-icon”
CPE_NAME=”cpe:/o:almalinux:almalinux:8::baseos”
HOME_URL=”https://almalinux.org/”
DOCUMENTATION_URL=”https://wiki.almalinux.org/”
BUG_REPORT_URL=”https://bugs.almalinux.org/”
ALMALINUX_MANTISBT_PROJECT=”AlmaLinux-8″
ALMALINUX_MANTISBT_PROJECT_VERSION=”8.7″
REDHAT_SUPPORT_PRODUCT=”AlmaLinux”
REDHAT_SUPPORT_PRODUCT_VERSION=”8.7″

更新用サーバーでの作業内容

更新用サーバーは、今までテストサーバーとして、WordPressのテーマの表示、Joomaのインストール、その他、諸々のテストをしてきましたが、公開するにあたって、作業した内容を整理します

１．公開サーバーは、ウェブルート下のサブフォルダ先にインストールされていましたが、そのフォルダーは移行先サーバーにも同名のフォルダがあり、別のテーマが入っていたので、別名のフォルダーに移動する必用があり、移動しました・・・比較的簡単です。但し使っているDBのテーブル名が公開サーバーと同じでしたので、テーブルも移行しました

２．公開サーバーから必用なファイルを、移行先のサーバーにコピーしました。ルートのファイル群、WordPressインストールフォルダのコピー、DBの移行を行いました

３．WebサーバーのFQDNを公開サーバーと同じに設定し、IPは、第４オクテッドだけ、公開サーバーと別のIPにし、おなじネットワークに収容しました。これに正常にアクセスするため、編集用PCのhostsファイルに、２行に渡って定義を記載し、いつもどちらかしか有効にしないように管理（インターネットからのアクセスはルーターの静的NATでIPを指定するので一台しか公開出来ない）する必用があります

４．セキュリティ関連で、WAF、DDos対策ソフトのインストールと動作確認。なお、WAFはmod_securityがAlmaLinuxのデフォルトのインストールで提供されていることを知りました。

５．Firewallで、外向けにはsshサービスを削除。またssh接続にrootでのログイン不可、ssh鍵認証の導入を行うよう設定を追加

６．SSL証明書は自己証明書でしたので、Le’s EncryptからのSSL証明書の取得を試みましたが、何度も失敗し後回しになっていましたが、移行先のサーバーの公開設定をルーターに設定したら、簡単にSSL証明書を取得出来ました。その後ssl.confへの反映とHttpdの再起動を行い、正常にSSL証明書の設定を完了しました。

以上の手順で、無事CentOS7.6から、AlmaLinuxへのサーバーのOS更新に成功しました

ー＞Le’ts EncryptのSSL証明書を発行してもらうポイントは、外部からそのサーバーにアクセス出来る事が条件でした・・・当たり前の事ですが、慌てていて気づかず！

SSL証明書の取得

下記は、最後に取得できたLe’ts Encryptのコマンドとその結果を表示しておきました

# certbot certonly –webroot -w /var/www/html/ -d east19-mikas.com

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for east19-mikas.com

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/east19-mikas.com/fullchain.pem
Key is saved at: /etc/letsencrypt/live/east19-mikas.com/privkey.pem
This certificate expires on 2024-04-21.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

If you like Certbot, please consider supporting our work by:

　・Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
　・Donating to EFF: https://eff.org/donate-leI