LoginSignup
0
2

More than 1 year has passed since last update.

@P_man2976

Raspberry Piをリフレッシュする(環境再構築)

Last updated at Posted at 2021-09-14

ネットワーク関連で弄り回してるラズパイ(Raspberry Pi 3B+)の設定とかパッケージ管理とかがぐちゃぐちゃになってしまって把握できなくなったので、しっかり計画性を持って永続的に稼働させられ続けるよう一旦オールリセットして再稼働しようと思いました。この記事はそのときの手順書兼備忘録です。

システム情報

Raspberry Pi 3B+(移行前)

    OS

    Raspberry Pi OS (Raspbian)

Raspberry Pi 3B+(移行後)

    OS

    Raspberry Pi OS (Raspbian)

条件

    - モニターは繋がない(ヘッドレス)
    - 管理はSSH,xRDPのどちらかを使う
    - sudo権限有り

移行前の準備

移行しようと思ってすぐ作業に入ってもまたよくわからんことになるので、しっかり移行前に計画を立てます。

移行するファイル、設定等の洗い出し

まず、移行すべきファイルや設定などをまとめ、書き出すことにしました。

移行前の環境で稼働させていたサービス

  • SoftEther VPN Server
    — LAN内へのVPN接続に使用
  • Node.js
    — Webアプリのホスティングに使用
  • PM2
    — Node.jsアプリの常時稼働用に使用
  • Nginx HTTP Server
    — Node.jsサーバーのリバースプロキシ、HTTPプロキシサーバーのホスティングに使用
  • ISC-DHCP-Server
    — LAN内でのDHCPサーバーとして使用
  • BIND9
    — LAN内でのDNSサーバーとして使用
  • Cockpit
    — ラズパイのリソース使用量監視に使用
  • xrdp
    — 他マシンからのリモートデスクトップ接続のために使用
  • ufw
    — 外部からの不要・悪意あるネットワークトラフィックを遮断するために使用

移行後の環境に引き継ぐもの

  • SoftEther VPN Server
    • 仮想HUBやサーバーの設定
  • Node.js
    • インストールしたモジュール
  • PM2
  • Nginx HTTP Server
    • サーバーの設定ファイル
  • ISC-DHCP-Server
    • サーバーの設定ファイル
  • BIND9
    • DNSのデータベース、設定ファイル
  • Cockpit
    • SSL/TLSの証明書
  • xrdp

  • ufw

    • 許可・拒否リスト

  • Crontabのコマンド

移行の手順を整理

どのような手順でデータをバックアップし、移行して復元するかをGoogleドキュメントへ書き出しました。

移行作業

本番の移行作業です。手順を整理したGoogleドキュメントに従いながら、進めていきます。

リセット前の作業

BIND9の設定ファイルのコピー

BIND9の各種設定ファイルは(aptでインストールしていれば)/etc/bind/内にあります。

  • named.conf(下記設定ファイル読み込み用)
  • named.conf.options(設定の受付)
    (これより下のファイルは人によって名称が異なります)
  • named.conf.internal-zones(正引き・逆引き要求の参照先の指定)
  • [domain-name].db(正引き用データベース)
  • 1.168.192.db(逆引き用データベース)

をコピーして別PCなどに保存します。

Nginxの設定ファイル・コンパイル用ファイルのコピー

Nginxの各種設定ファイルは(aptでインストールしていれば)/etc/nginx/内にあります。
(私は諸事情で(フォワードプロキシを運用する関係上)ソースからコンパイルしていたので、/usr/local/nginx/内でした。)

  • nginx.conf(下記サーバー設定ファイル類の読み込み)
  • conf.d/*.conf(稼働させているサーバーの設定ファイル類)
    *には任意の名前が入ります)

をコピーします。

SoftEther VPN Server Configrationファイルのコピー

SoftEtherは人によって保存する場所が違ってくるのですが、私は/usr/local/vpnserver内に保存していました。

  • vpn_server.config(サーバー設定全般)

をコピーします。

ISC-DHCP-Serverの設定ファイルのコピー

ISC-DHCP-Serverの各種設定ファイルは(aptでインストールしていれば)/etc/dhcp/内にあります。

  • dhcpd.conf(サーバー設定全般)

をコピーします。

Let’s Encrypt 証明書フォルダのコピー

Certbotを使用して証明書を取得した場合、/etc/letsencrypt/内にさまざまな証明書関係のファイルが保存されます。

  • letsencryptフォルダー

フォルダごとそのままコピーします。

リセット作業

コピー作業が終わったら、ラズパイをリセットします。
コピーし忘れたファイルはありませんか?よく確認してください。

今回はラズパイはリモートでしか管理できないので、microSDカードにイメージを書込み直すという方法でリセットします。
ラズパイにディスプレイとキーボードがつなげられる場合、起動時にShiftキーを押すことでも初期化できるそうです。

ラズパイのシャットダウン

sudo shutdownでOSをシャットダウンした後、緑色のLEDが点滅しなくなったことを確認してから電源コードを抜き、microSDカードを取り出します。

microSDカードのイメージ書き直し

今回は公式がリリースしている「Raspberry Pi Imager」を使います。

  1. Eraseを選択し一旦フォーマット
  2. Raspberry Pi OS (32bit)を選択しインストール

SSHの事前有効化

そのまま起動してしまうとSSHが無効化されていてリモート接続できないので、microSDカード内にファイルを追加します。
microSDカードのBootパーティションのルートディレクトリにssh(中身空)を作成します。
ラズパイを無線LANに繋げてリモート接続する場合は、別途設定するとヘッドレスでWi-Fiにつなげられるそうです。

ラズパイ起動

書き込み直したmicroSDカードをラズパイに差し込み、起動します。
別のデバイスからssh pi@raspberrypi.localでログインします。
ログインできたらまず

$ sudo apt update
$ sudo apt full-upgrade
$ sudo apt dist-upgrade

を実行し、OSを最新版へアップデートしておきます。

初期設定・セキュリティ対策

ラズパイの初期設定と不正ログインなどの対策を行います。以下の記事を参考にしました。

Raspberry Piのセキュリティを真剣に考える

買ったらまず実施!RaspberryPiのセキュリティ対策

Crontabの復元

前環境のCrontabに登録されていた定期タスクを新Crontabに書き込みます。
(前環境では証明書の更新・DDNSの更新をCrontabで行っていました。)

  • DDNSの更新

次のCertbotでの証明書更新の際にドメイン名を使うので、このタイミングでDDNSのIPアドレスを更新しておきます。
私はDDNSサービスにDDNS Nowを使用しているので、公式のヘルプに従って設定しました。

更新方法の解説 - DDNS Now

$ sudo crontab -e
# Crontabの書き込み用ファイルが開いたら、末尾に下のコマンドを追加

# IPv4用
0-59 * * * * wget -O DDNSNow_update.log "https://f5.si/update.php?domain=ユーザ名&password=パスワード"
# IPv6用
0-59 * * * * wget -O DDNSNow_update.log "https://v6.f5.si/update.php?domain=ユーザ名&password=パスワード"
  • 証明書の更新

次に行うCertbotでの証明書の自動更新タスクを先にCrontabに書き込んでおきます。
下の記事を参考に設定しました。

Let’s EncryptのSSL証明書を更新する(手動とcronによる自動更新)

$ sudo crontab -e
# Crontabの書き込み用ファイルが開いたら、末尾に下のコマンドを追加

# 毎月1日と15日、0時0分に証明書更新を要求し、更新後はNginxを再起動させる
0 0 1,15 * * sudo certbot renew --post-hook "systemctl restart nginx"

Certbotのインストール・Let's Encrypt証明書ディレクトリの復元

今後の復元作業において証明書ファイルが必要になる場面が多々あるので、先に証明書が使える環境を作っておきます。

$ sudo apt install certbot
# コピーしておいた “letsencrypt” フォルダーを /etc/ に配置
$ sudo cp -r [コピー元] /etc/

# お試し環境 (dry-run) で証明書が正常に更新されるのを確認する
$ sudo certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/[domain-name].conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator standalone, Installer None

Renewing an existing certificate
Performing the following challenges:
http-01 challenge for [domain-name]
Waiting for verification...
Cleaning up challenges

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/[domain-name]/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

Congratulations, all renewals succeeded. The following certs have been renewed:
  /etc/letsencrypt/live/[domain-name]/fullchain.pem (success)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Congratulations, ...と表示されれば成功しているので、次に進みます。

必要パッケージのインストール・再設定

前環境に入っていたパッケージなどをインストールし直し、復元していきます。
参考にしたWeb上の記事を貼っておきます。

ufw

iptablesが難しいためufwでWEBサーバーのファイアウォール設定

ufwでIPv6のポートだけを開くには?

# ufwをインストール
$ sudo apt install ufw

# ufwの状態を確認
$ sudo ufw status
Status: inactive # 現在は無効化されている

# いったんすべての通信を拒否する設定にする(ufw自体は無効なのでSSHは切断されない)
$ sudo ufw default DENY
Default incoming policy changed to 'deny'
(be sure to update your rules accordingly)

# 192.168.1.0/24 (LAN内) からのSSH接続を許可する
$ sudo ufw allow from 192.168.1.0/24 to any port ssh
Rules updated

# この段階でufwを有効化させる
$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

$ sudo ufw status
Status: active # 有効化されている

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       192.168.1.0/24

# 以降、必要なポートの開放作業を行う

# 指定したポート番号へのIPv4/IPv6 TCP/UDP接続を許可
$ sudo ufw allow [ポート番号]

# 指定したポート番号へのIPv4/IPv6 UDP接続を許可
$ sudo ufw allow [ポート番号]/udp

# 指定したポート番号へのIPv6 TCP/UDP接続を許可
$ sudo ufw allow to ::/0 port [ポート番号]

# 指定したネットワークアドレスからのIPv4 TCP/UDP接続を許可
$ sudo ufw allow from [ネットワークアドレス/サブネット長] to any port [ポート番号]

xRDP

Raspberry Piにリモートデスクトップ接続する(xrdpのインストール)

$ sudo apt install xrdp

# このままだとリモートデスクトップしても操作できないので、
# 設定をいじって操作できるようにする
$ sudo raspi-config

[2 Display Options] -> [D4 Screen Blanking] -> [Yes]

# ufwも忘れずに

Cockpit

Raspberry Piに管理ツール"Cockpit"を入れてみる

# 上記記事のdirmngrインストールやパッケージリスト追加は不要
$ sudo apt install cockpit

# curlでアクセスして応答があればOK
$ curl localhost:9090

# ufwも忘れずに
  • Let’s Encrypt証明書の使用方法

Use Let’s Encrypt certificates with Cockpit(英語)

Cockpit with LetsEncrypt(英語)

# Cockpitの証明書は /etc/cockpit/ws-certs.d/ に置く
# /etc/letsencrypt/live/[domain-name]/ から証明書をとってきて
# fullchain.pemとprivkey.pemを1-my-cert.certに統合するスクリプトを書く
$ nano cockpit-cert.sh
cockpit-cert.sh
cat /etc/letsencrypt/live/$DOMAIN/fullchain.pem > /etc/cockpit/ws-certs.d/1-my-cert.cert
cat /etc/letsencrypt/live/$DOMAIN/privkey.pem >> /etc/cockpit/ws-certs.d/1-my-cert.cert
systemctl daemon-reload && systemctl restart cockpit.socket

# Crontabにスクリプトを登録する
$ sudo crontab -e
# Crontabの書き込み用ファイルが開いたら、末尾に下のコマンドを追加

# 毎月1日と15日、0時30分にスクリプトを実行
30 0 1,15 * * sudo [cockpit-cert.shへのパス]

SoftEther VPN Server

Raspberry Pi 上にSoftetherをつかってVPNを構築する

ラズベリーパイでのVPNサーバー構築

SpftEtheVPNサーバーの別サーバー機への移行方法を教えてください
誤字がすごい

ISC-DHCP-Server

ラズパイ(RaspberryPi3)をDHCPサーバーにしてみた

$ sudo apt install isc-dhcp-server

BIND9

raspberry piでローカルDNSサーバを作る

【Raspberry Pi Zero】宅内専用 DNSサーバー(BIND9)構築

$ sudo apt install bind9

# ufwも忘れずに

Node.js

ラズパイにNodejs を入れてWebサーバにする

# 普通のaptで取得するNode.jsのバージョンは若干古いので、新しいバージョンのNode.jsの取得先を設定する
$ curl -sL https://deb.nodesource.com/setup_14.x | sudo -E bash -

# 新しいバージョンのNode.jsとnpm(パッケージ管理ツール、aptのようなもの)をインストールする
# Node.jsをインストールするとnpmも自動でインストールされる
$ sudo apt install nodejs

# aptで取得するnpmもバージョンが古いので、npm自身でnpmを更新する
$ sudo npm install npm -g

PM2

インスタンスが起動したら自動的にNode.jsアプリが起動するようにする

$ sudo npm install pm2 -g

# PM2のデーモン化
$ pm2 startup
[PM2] Init System found: systemd
[PM2] To setup the Startup Script, copy/paste the following command:
sudo env PATH=$PATH:/usr/local/bin /usr/local/lib/node_modules/pm2/bin/pm2 startup systemd -u [ユーザー名] --hp /home/[ユーザー名]

# 表示されたコマンドを実行する
$ sudo env PATH=$PATH:/usr/local/bin /usr/local/lib/node_modules/pm2/bin/pm2 startup systemd -u [ユーザー名] --hp /home/[ユーザー名]

Nginx

  • ソースからのコンパイル方法・フォワードプロキシ構築

HTTPS通信をNginxでフォワードプロキシ

NginxでHTTPS対応のフォワードプロキシを構築

Nginxをソースからビルドしてインストールする方法

# この後必要になるパッケージをインストールしておく
$ sudo apt install libpcre3-dev libxml2 libxslt-dev libgd-dev google-perftools libgoogle-perftools-dev

# いきなりNginxをビルドするとOpenSSL関係で怒られるので、OpenSSLもソースからビルドする
$ mkdir openssl-build
$ cd openssl-build
# ダウンロードするのは一番上ではなく、バージョン番号の一番後ろにアルファベットがついたもの
$ wget https://www.openssl.org/source/openssl-x.x.x.tar.gz
$ tar zxvf openssl-x.x.x.tar.gz
$ cd openssl-x.x.x
# sudo make installした時のインストール先などを設定
$ ./config --prefix=/usr/local --openssldir=/usr/local/ssl shared
# makeにはそこそこ時間がかかるので待つ
$ make
$ sudo make install

# Nginxのビルドをする
$ mkdir Nginx-build
$ cd Nginx-build
# フォワードプロキシ用のモジュールをダウンロードする
$ git clone https://github.com/chobits/ngx_http_proxy_connect_module.git -b v0.0.1
# Stableの欄にあるVerをダウンロードする
$ wget https://nginx.org/download/nginx-x.x.x.tar.gz
$ tar zxvf nginx-x.x.x.tar.gz
$ cd nginx-x.x.x
# ビルドする目的であるフォワードプロキシ用のパッチを適用する
$ patch -p1 < ../ngx_http_proxy_connect_module/patch/proxy_connect_rewrite_101504.patch
$ ./configure --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_xslt_module --with-http_image_filter_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_auth_request_module --with-http_random_index_module --with-http_secure_link_module --with-http_degradation_module --with-http_slice_module --with-http_stub_status_module --with-mail --with-mail_ssl_module --with-stream --with-stream_ssl_module --with-stream_realip_module --with-stream_ssl_preread_module --with-google_perftools_module --with-cpp_test_module --add-module=../ngx_http_proxy_connect_module
$ make
$ sudo make install
  • リバースプロキシ構築・HTTPS対応・リダイレクト

SSLに対応したNGINXリバースプロキシを構築する手順

NginxでSSLを設定する方法を基本から学ぶ

nginx で http でのアクセスを https にリダイレクト

以上で移行は終了です。

おまけ(後日追加)

Samba

Raspberry PIにSambaをインストール

$ sudo apt install samba

# Sambaの設定ファイルを編集
$ sudo nano /etc/samba/smb.conf

# Sambaのユーザーの作成・パスワード設定
$ sudo smbpasswd -a [ユーザー名]

# Sambaを再起動
$ sudo systemctl restart smbd

おわりに

ufwは忘れずに。時間が溶けます。

0
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
2