2024年1月22日、CentOS7.6で動作していた公開Webサーバーの後継として、RedHat-Cloneの Almalinux8.7をインストールしていた、内向けテスト用Webサーバーを、公開用Webサーバーに変更出来ましたので、記録しました。
新サーバーのOS
# cat /etc/os-release
NAME=”AlmaLinux”
VERSION=”8.7 (Stone Smilodon)”
ID=”almalinux”
ID_LIKE=”rhel centos fedora”
VERSION_ID=”8.7″
PLATFORM_ID=”platform:el8″
PRETTY_NAME=”AlmaLinux 8.7 (Stone Smilodon)”
ANSI_COLOR=”0;34″
LOGO=”fedora-logo-icon”
CPE_NAME=”cpe:/o:almalinux:almalinux:8::baseos”
HOME_URL=”https://almalinux.org/”
DOCUMENTATION_URL=”https://wiki.almalinux.org/”
BUG_REPORT_URL=”https://bugs.almalinux.org/”
ALMALINUX_MANTISBT_PROJECT=”AlmaLinux-8″
ALMALINUX_MANTISBT_PROJECT_VERSION=”8.7″
REDHAT_SUPPORT_PRODUCT=”AlmaLinux”
REDHAT_SUPPORT_PRODUCT_VERSION=”8.7″
更新用サーバーでの作業内容
更新用サーバーは、今までテストサーバーとして、WordPressのテーマの表示、Joomaのインストール、その他、諸々のテストをしてきましたが、公開するにあたって、作業した内容を整理します
1.公開サーバーは、ウェブルート下のサブフォルダ先にインストールされていましたが、そのフォルダーは移行先サーバーにも同名のフォルダがあり、別のテーマが入っていたので、別名のフォルダーに移動する必用があり、移動しました・・・比較的簡単です。但し使っているDBのテーブル名が公開サーバーと同じでしたので、テーブルも移行しました
2.公開サーバーから必用なファイルを、移行先のサーバーにコピーしました。ルートのファイル群、WordPressインストールフォルダのコピー、DBの移行を行いました
3.WebサーバーのFQDNを公開サーバーと同じに設定し、IPは、第4オクテッドだけ、公開サーバーと別のIPにし、おなじネットワークに収容しました。これに正常にアクセスするため、編集用PCのhostsファイルに、2行に渡って定義を記載し、いつもどちらかしか有効にしないように管理(インターネットからのアクセスはルーターの静的NATでIPを指定するので一台しか公開出来ない)する必用があります
4.セキュリティ関連で、WAF、DDos対策ソフトのインストールと動作確認。なお、WAFはmod_securityがAlmaLinuxのデフォルトのインストールで提供されていることを知りました。
5.Firewallで、外向けにはsshサービスを削除。またssh接続にrootでのログイン不可、ssh鍵認証の導入を行うよう設定を追加
6.SSL証明書は自己証明書でしたので、Le’s EncryptからのSSL証明書の取得を試みましたが、何度も失敗し後回しになっていましたが、移行先のサーバーの公開設定をルーターに設定したら、簡単にSSL証明書を取得出来ました。その後ssl.confへの反映とHttpdの再起動を行い、正常にSSL証明書の設定を完了しました。
以上の手順で、無事CentOS7.6から、AlmaLinuxへのサーバーのOS更新に成功しました
ー>Le’ts EncryptのSSL証明書を発行してもらうポイントは、外部からそのサーバーにアクセス出来る事が条件でした・・・当たり前の事ですが、慌てていて気づかず!
SSL証明書の取得
下記は、最後に取得できたLe’ts Encryptのコマンドとその結果を表示しておきました
# certbot certonly –webroot -w /var/www/html/ -d east19-mikas.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for east19-mikas.com
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/east19-mikas.com/fullchain.pem
Key is saved at: /etc/letsencrypt/live/east19-mikas.com/privkey.pem
This certificate expires on 2024-04-21.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.
If you like Certbot, please consider supporting our work by:
・Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
・Donating to EFF: https://eff.org/donate-leI