読者です 読者をやめる 読者になる 読者になる

mazeltov7のweb断片

備忘録的なテキトーなことを書きます。間違ってたり、ツッコミあればお願いします。

Apache動いてるCentosにnode入れてnodeも動かす

VPS apache node
環境
node入れる

nodeのサイトを見ると6.xバージョンが現在安定版ぽいので、そちらを入れる。

$ sudo su
$ curl --silent --location https://rpm.nodesource.com/setup_6.x | bash -
$ yum -y install nodejs
$ yum install gcc-c++ make
$ node -v  // 確認
$ npm -v // 確認

参考: パッケージマネージャを利用した Node.js のインストール | Node.js

node動かしてみる
$ mkdir nodeApp
$ cd nodeApp
$ npm init
$ npm install express --save // express入れて動かす
$ vim app.js // expressのhello worldのコード書いとく
$ ln -s ~/nodeApp /var/www/node // /var/www側にリンク貼る
$ node /var/www/node/app.js // 動かす
apacheからnodeへproxyする

/etc/httpd/conf.d/node.confに書くのもあるっぽいけど、今回は /etc/httpd/conf/httpd.conf

<IfModule mod_proxy.c>
    ProxyPass /nodeApp http://127.0.0.1:3000
    ProxyPassReverse /nodeApp http://127.0.0.1:3000
</IfModule>

書いとく。この中にdeny, allow制限してもいいけど、今回はそのまま。
*注:上の設定のポート3000の後ろに/を付けてると、ルートはうまく表示されるけど、ルート以下の他のパスがうまく表示されなくなるので注意。 設定を反映、

$ service httpd restart

で、アクセスで確認!が、503エラー、、、、error_logには

[Mon Jan 23 17:43:43 2017] [error] (13)Permission denied: proxy: HTTP: attempt to connect to 127.0.0.1:3000 (localhost) failed
[Mon Jan 23 17:43:43 2017] [error] ap_proxy_connect_backend disabling worker for (localhost)

で、selinuxあたりで限定されてるらしい。 参考:
Linux:CentOS6でmod_proxyが動かない - HiiHahWIKI - making some notes for... -
Apache Mod_proxy '[Error] (13)Permission Denied' Error on RHEL - SysAdmin's Journey

$ sestatus -b | grep httpd // 設定を確認

たしかにhttpd_can_network_connectoffになっている。これをonにする。

$ /usr/sbin/setsebool -P httpd_can_network_connect 1
$ service httpd restart
$ sestatus -b | grep httpd // onになってるの確認

これでアクセスすると、ちゃんとアクセスできた。OK

おまけ

node動かすのに、forever使って常駐させる。
www.npmjs.com

$ npm install forever -g
$ forever start app.js

xcode8のデバッグエリアのノイズを消してすっきりさせる

swift xcode

xcode8でAPI叩くとか通信系の対応してるとデバッグエリアになんか色々ノイズが入ってくる。
f:id:mazeltov7:20170118192346p:plain

特に重要そうでもない?ので、できれば消したい。

解決

Xcodeで、Product>Scheme>Edit Schemeを選択、RUNEnvironment VariablesOS_ACTIVITY_MODE: disableに設定する。
で、再度確認すると綺麗に消えてる!

NSCodingでIntをdecodeする際にdecodeObjectじゃなくてdecodeIntegerを使う

swift
    // MARK: Properties
    var hoge: String
    var piyo: Int
    
    // MARK: Types
    struct PropertyKey {
        static let hogeKey = "hoge"
        static let piyoKey = "piyo"
    }
    
    // MARK: Initialization
    init?(hoge: String, piyo: Int) {
        self.hoge = hoge
        self.piyo = piyo
        
        super.init()
        
        if hoge.isEmpty || piyo < 0 {
            return nil
        }
    }
    
    // MARK: NSCoding
    func encode(with aCoder: NSCoder) {
        aCoder.encode(hoge, forKey: PropertyKey.hogeKey)
        aCoder.encode(piyo, forKey: PropertyKey.piyoKey)
    }
    
    required convenience init?(coder aDecoder: NSCoder) {
        let hoge = aDecoder.decodeObject(forKey: PropertyKey.hogeKey) as! String
        let piyo = aDecoder.decodeObject(forKey: PropertyKey.piyoKey) as! Int
        
        self.init(hoge: hoge, piyo: piyo)
    }

とか書いてたら、Intのdecodeのところでthread 1 exc_bad_instruction(code=exc_i386_invop subcode=0x0)が出て落ちた。なにやらnilが返ってきてたぽくて、上記エラーになったみたい?
as! Intas? Int ?? 0とかすると0が返ってきてしまう。入れるところまでは値あるので、なんでかなと思っていじってたら、decodeObjectdecodeIntegerに変えたら正しい値が返ってきた。Intの扱いで普通にdecodeObjectでもできた部分もあったのでなんでだろ。備忘録。

elasticsearchで、marvel, shield, licenseをremoveする

elasticsearch

入れていたmarvel, shieldなどの有料プラグインを外す。(有料プラン1node辺りめちゃ高かったw)

$ /usr/share/elasticsearch/bin/plugin remove shiled
$ /usr/share/elasticsearch/bin/plugin remove marvel
$ /usr/share/elasticsearch/bin/plugin remove license

shield関連で入れていた設定を解除する。

// ssl周りの設定を解除
$ vim /opt/kibana/config/kibana.yml

まぁ、httpsだけに制限しててもいいっちゃあいいかも。

$ service elasticesearch restart
$ service kibana restart

アクセスをオフィスのwifiに限定して、外からはVPNでアクセスできるようにする

オフィスのwifiに接続した状態で、

// 今接続してるグローバルIPを確認
$ curl httpbin.org/ip

サーバーのiptablesの設定を変更して、オフィスwifiのアクセスだけアクセスを許可する。適当にIP=123.456.789.12とする。

// iptablesの設定を編集する
$ vim /etc/sysconfig/iptables
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34:3064]
-A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset
COMMIT

$ service iptables restart

な感じでINPUT ACCEPTしつつ、制限したポートのところを-s 123.456.789.12IP指定してACCEPTする。iptablesの設定は上から見られて、一度読まれると同じ意味のものはそれでFixされてしまうので、後ろに書いても上書きはされない感じ。
Anyways, これで、オフィス以外からはアクセスできなくなる。

VPNアカウントはもう作ってる状況とする。
Macで、VPN使って入れるようにする。以下参考にすればOK。(余談だけど、Macツールバーの上のところにいつでもVPNに接続できるようにアイコンおけるの便利)
- Mac OS X からの接続方法 - SoftEther VPN プロジェクト
- 特定の接続のみ VPN 経由させる方法。「すべてのトラフィックを VPN 経由で接続」にチェックは不要。 | 雑記 BOOOKs

Elasticsearch、KibanaにShieldプラグインを入れる

elasticsearch

ES、Kibanaを本番で使うために、認証を入れられるようにShieldプラグインを入れる。
Shield: Enterprise Security for Elasticsearch | Elastic

環境

  • CentOS 6.8
  • Elasticsearch 2.4.1
  • Kibana 4.6.1
  • Shield 2.4

ESとKibanaは入ってるものとする。

Shield入れる

基本この辺そのまま。
Getting Started with Shield | Shield [2.4] | Elastic

// ライセンスインストール(30日無料で、それ以上は有料プラン入らなあかん)
$ /usr/share/elasticsearch/bin/plugin install license
// ESのshieldプラグイン入れる
$ /usr/share/elasticsearch/bin/plugin install shield
// Kibanaのshieldプラグイン入れる
$ /opt/kibana/bin/kibana plugin --install kibana/shield/latest

設定

kibanaからESにアクセスできるように、kibana4-server-manというユーザーを作成する。shield/roles.ymlkibana4_serverというこの役割をするroleがデフォルトで書かれてるので、このroleをこのユーザーに付与する。

$ /usr/share/elasticsearch/bin/shield/esusers useradd kibana4-server-man -r kibana4_server
// role書かれてるの確認
$ less /etc/elasticsearch/shield/roles.yml

ログインユーザーを設定する。name: hoge, password: hogehogeで作る。roleはadminにしとく。

$ /usr/share/elasticsearch/bin/esusers useradd hoge -r admin
// ユーザー確認
$ /usr/share/elasticsearch/bin/esusers list

SSLの設定

KibanaでShield使う場合はssl化必要。
ここでは使用ドメインに対してSSL化対応は完了してるとする。(まだならここ見る サイトをSSL化する(VPS, CentOS6 + Apache) - mazeltov7のweb断片
kibana.ymlにSSL情報書く

$ vim /opt/kibana/config/kibana.yml
server.ssl.cert: /path/to/cert/hoge.crt
server.ssl.key: /path/to/key/hoge.key
(略)
shield.encryptionKey: "something_secret"

// 再起動
$ service kibana restart

で、アクセスして、ログインできたら、OK。
あ、firewall使ってたら、kibanaでアクセスする、5601を開けておく。

参考:

【新機能】ShieldがKibanaに対応しました | Developers.IO

centosにjava入れる

java

環境

入れる

参考: JDK 8 and JRE 8 Installation Start Here

確認

// 何も出ない
$ java -version
$ echo $JAVA_HOME

// yumパッケージ確認
$ yum list installed | grep java
$ yum list | grep java
$ yum list | grep jdk // この辺でjava-1.8.0-openjdkのパッケージが出るので、これを入れる

// 入れる
$ yum install java-1.8.0

// 確認
$ java -version