AWSのEC2にAmazon Linux 2のインスタンスを作成し、スタンダードかつセキュリティに配慮したインターネットサーバを構築する手順をまとめました。記事はQiitaに投稿しました。

概要

EC2でAmazon Linux 2のインスタンスを作成し、以下のようなサーバを構築する手順をまとめました。

記事一覧

各記事はQiitaに投稿しました。

https://qiita.com/ryu-blacknd/items/23b86d9ad768d58ff161

https://qiita.com/ryu-blacknd/items/36ccfcf96da7b0c981cf

https://qiita.com/ryu-blacknd/items/77eebe43a18a69e7c1e5

https://qiita.com/ryu-blacknd/items/4049f04e445eb1d60e4d

https://qiita.com/ryu-blacknd/items/03030d11eeef65e3cf67

https://qiita.com/ryu-blacknd/items/8e0c28065af3f9b8a06d

https://qiita.com/ryu-blacknd/items/20e5540195501e16e90e

ポイント

ただ単にインストールして初期設定を行うだけでなく、チューにニグやセキュリティ対策にも注力しました。

脆弱性診断「A+」

2020年前半、SSL/TSL絡みで大きな動きがありました。
ChromeやFirefox等、主要ブラウザがSSL 1～3、TLSv1.0～1.1を無効化したのです。
このためサーバ側で設定を変更しTLSv1.2を有効にする必要がありますが、同時にセキュリティリスクのある上記対象バージョンを無効にするという作業も行わないと、脆弱性診断で危険と診断されるようになりました。

りゅう

多くの顧客を抱える制作業者はプラン変更やサーバ移転に追われました。レンタルサーバでは基本的に機器構成やサーバの設定は変更してもらえないためです。

今回の記事ではこの問題にも対処し、かつせっかくなら脆弱性診断で最高の「A+」を取得することを目標に掲げました。

この記事を書きながら構築したサーバは、SSL Labsの診断で「A+」と診断されました。

常時SSL化対応

無料のSSL証明書を取得できるLet's Encryptを利用し、ApacheやNginxの設定で常時SSL化を行います。
Let's Encryptの証明書は更新期限が3ヶ月と短いため、期限切れになる前に自動で更新するようにも設定します。

ApacheのEvent MPM

MPMとはマルチプロセッシングモジュールの略です。
Apacheは、デォルトではシングルスレッドプロセスであるPrefork MPMで動作します。
記事ではイベント駆動であるEvent MPMを採用します。これにはPHPも関係します。
また環境に合わせてチューニングも行います。

PHP-FPMの採用

Apacheのデフォルトでは、モジュール版のPHPを使用するようになっています。
記事ではEvent MPMとFast CGI方式のPHP-FPMと組み合わせて高速化を図っています。
こちらもチューニングを行います。

MySQLの採用

現在、多くのディストリビューションで標準のデータベースサーバはmariaDBとなっています。
MySQLと互換性があり、PHP等からはMySQLとして操作することができます。
しかし記事では本来のMySQLを使用するようにしています。

通信路の暗号化とパスワード認証の排除

ウェブサーバだけでなく、メールサーバもSSL/TLS経由でアクセスするようにしています。
SSH接続はパスワード認証を使わず、公開鍵認証のみとしています。

なお記事ではFTPサーバを導入していません。これはCircleCIのようなCI/CDツールからSSHとGitを用いてデプロイすることを前提としているためで、この場合FTPサーバは不要です。
平文テキストでパスワードをやり取りするFTPサーバは、起動しているだけでセキュリティリスクにもなります。どうしてもFTPクライアントで操作したい場合はSFTP（SSHを用いたFTP）を採用することをお勧めします。

セキュリティと不正アクセス対策

EC2のセキュリティグループとfirewalldにより、不要なポートを外部に公開しないよう設定します。
例えばimaps/pop3sは公開しても、imap/pop3は公開しないようにしています。

他に、Fail2banによる不正アクセス対策（自動Ban / Unban）や、Logwatchの不具合修正も行います。

まとめ

本記事の目玉はSSL/TLS周りです。脆弱性診断で「A+」、少なくとも「A」を狙えるようにしています。
今はTLSv1.1までが無効になっていますが、いずれはTLSv1.2も無効になることが考えられます。
その際に同じようにレンタルサーバで対応に苦慮するようであれば、今のうちにクラウドへの移行を進めておいたほうが良いと思います。
AWSはIaaSとしては圧倒的シェアを誇るサービスで情報も豊富なため、幅広い層にお勧めできます。
担当者がわけわからんという場合はもちろん保守を含め委託が良いでしょうが、ある程度VPS等でサーバ構築に触れたことのある方であれば、この記事を参考にして構築してみていただければと思います。

CentOS 7にLAMP環境を構築。GitBucketとJenkinsを動かし、自動ビルドや自動デプロイまでやってみます。

なぜGitBucketか

GitBucketはGitHubクローンで、似たものに有名なGitLabがあります。 GitLabも最近はrpmコマンド一発でインストールできるほど簡単になっていますが、今回はより簡単 (.warファイルを置くだけ) で、見た目や使い勝手もGtiHubに近いGitBucketを選びました。

概要

• ソースからのビルドは行わず、yumパッケージや.warファイルを使用
• Apacheのmod_proxy_ajpを使い、Tomcatへはポート8080ではなく80でアクセス
• GitBucketでリポジトリにpushがあったらJenkinsで自動ビルド
• Jenkinsのビルドでは、rsyscでApacheの公開ディレクトリに自動デプロイ
• 自動デプロイ時のユーザーはtomcatではなくapacheで行う

動作環境

CentOS 7のミラーサイト一覧で、日本のミラーから最新版をダウンロードしてください。 Vagrantで起ち上げた仮想マシンやDockerのコンテナでも構いませんが、一部読み替えたり、ポートマッピング等の追加設定が必要になります。

リポジトリの準備

デフォルトではパッケージが少なかったり古かったりするので、EPELとremiのリポジトリを追加します。

EPELリポジトリの追加

yum install -y epel-release

remiリポジトリの追加

rpm -ivh http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

パッケージのインストールと起動設定

とりあえずは最新の状態にしておきます。

yum -y update

必須パッケージに加え、普段よく使うパッケージも入れておきます。

yum --enablerepo=epel,remi install -y sudo vim-enhanced syslog httpd httpd-devel php php-devel php-pear php-mysql php-gd php-mbstring php-pecl-imagick mariadb-server phpmyadmin wget git java-1.7.0-openjdk-devel tomcat

各種サービスを起動し、さらに再起動時にもサービスが有効になるように設定します。

CentOS 6まではservice(または/etc/rc.d/init.d/のスクリプト)とchkconfigコマンドを使用しましたが、CentOS 7ではsystemctlに変更されています。

systemctl enable --now httpd
systemctl enable --now tomcat
systemctl enable --now mariadb

サービスの状況は以下のコマンドで確認できます。

systemctl list-unit-files

GitBucketをインストール

先述の通り、.warファイルを置くだけの簡単インストールです。

https://github.com/gitbucket/gitbucket

releaseから最新版のgitbucket.warをダウンロードして、実行用のディレクトリにコピーします。

cp gitbucket.war /var/lib/tomcat/webapps/

Jenkinsをインストール

こちらも.warファイルを置くだけです。

りゅう

簡単でいいですね！

https://jenkins.io/

最新版のJava Web Archive (.war)をダウンロードして、以下のディレクトリにコピーします。

cp jenkins.war /var/lib/tomcat/webapps/

ここでTomcatを再起動しておきます。

systemctl restart tomcat

ファイアウォールの設定

CentOS 6まではiptablesを使用しましたが、CentOS 7ではfirewalldに変更されています。

firewall-cmd --add-port=80/tcp --permanent

Apacheのプロキシ設定

AJPというプロトコルによって、ApacheとTomcatの相互通信を行い、外部への配信はApacheが担当するようにします。

TomcatのAJP通信は、ポート8080ではなく8009を用います。

以下のファイルを作成します。

/etc/httpd/conf.d/gitbucket.conf

<Location /gitbucket>
    ProxyPass ajp://localhost:8009/gitbucket
</Location>

/etc/httpd/conf.d/jenkins.conf

<Location /jenkins>
    ProxyPass ajp://localhost:8009/jenkins
</Location>

ファイルを作成したら、Apacheを再起動しておきます。

systemctl restart httpd

アクセスしてみる

まずはGitBucketにアクセスしてみます。

http://[hostname]/gitbucket

• ユーザー名：root
• パスワード：root

ログイン後はrootのパスワードを変更し、新規ユーザーを作成しておきます。

次にJenkinsにアクセスしてみます。

http://[hostname]/jenkins

正常に起動し、アクセスできました。

Jenkinsにプラグインをインストールする

「Jenkinsの管理」→「プラグインの管理」→「利用可能」へと進みます。

フィルタに「git」と入力して、以下のプラグインを選択して「再起動後にインストール」します。

• Git Plugin
• GitBucket Plugin

必要なプラグインがインストールされますので、「インストール完了後、ジョブがなければJenkinsを再起動する」にチェックを入れて待ちましょう。

長時間インストールが終わらない場合、実は既に終っているのに表示に変化がないだけということもあります。

GitBucketとJenkinsの連携設定

GitBucketのリポジトリを作成し、pushがあった際にJenkinsで自動デプロイを行うよう設定します。

GitBucket の設定

画面右上のレンチ型アイコンから設定画面へ進み、「System Settings」を選択します。

GitBucketでリポジトリを作成する

「new repository」からリポジトリ名を入力、「Initialize this repository with a README」にチェックを入れて新規リポジトリを作成します。

これで、リポジトリのトップページに表示されるREADME.mdのみがInitial commitされた状態になります。

次にリポジトリの「Settings」→「Service Hooks」と進み、「WebHook URLs」を入力します。

http://[hostname]/jenkins/gitbucket-webhook/

GitBucket側での設定は、このWebHookのみです。

apacheユーザーでデプロイするための設定

普通にデプロイの設定をすると、ファイル群はtomcatユーザーのままデプロイされます。
これだとApache的に都合が悪い場合もあるため、デプロイをapacheユーザーで行うようにします。

そのためには、Jenkinsを動かしているtomcatユーザーが、sudo -u apacheできるようにしなければなりません。

visudo

▼ 変更前

Defaults    requiretty

▼ 変更後（コメントアウトする）

$ Defaults    requiretty

さらにtomcatユーザーがパスワード無しでsudoできるよう設定します。

以下の行を追加

tomcat  ALL=(ALL)       NOPASSWD: ALL

そして、デフォルトでは/var/www/htmlの所有者がrootになっており、このために自動デプロイが失敗するので、権限を変更しておきます。

chown -R apache. /var/www/html

Jenkinsの自動デプロイ用ジョブを作成

新規ジョブ作成から、ジョブ名を入力 (例：project01)、「フリースタイル・プロジェクトのビルド」を選択してOKをクリックします。

りゅう

GitBucketのリポジトリページからコピペできる項目が多いです。

最後に「ビルド手順の追加」から「シェルの実行」を選択し、下記シェルスクリプトを記入します。割とここが目玉です。

sudo -u apache rsync -vr --delete --exclude ".git/" /usr/share/tomcat/.jenkins/jobs/project01/workspace/ /var/www/html/project01/

動作確認

gitコマンド、またはお使いのGitクライアントから、ファイルに適当な修正を加えてコミット → プッシュしてみてください。

※尋ねられるアカウントは、GitBucketのユーザーアカウントです。

GitBucketでは、GitHub同様にコミット履歴が加わっていれば成功です。こちらはまず大丈夫でしょう。

Jenkinsでは、リポジトリに対応するジョブが実行されて、/var/www/html以下に自動デプロイが行われたことを確認できればOKです。

CentOS 6で構築する場合

CentOS 6でも同様に、まずyumのリポジトリとしてEPELとremiをインストールします。

Tomcat 7もインストールできるため、一部CentOS 7独特の部分 (systemctlやファイアウォール等) 以外はそのまま進められます。

しかしJenkinsのGit Pluginがエラーを吐きます。

りゅう

これはCentOS 6にyumでインストールしたGitのバージョンが、1.7.1等の古いバージョンだからです。

解決するためには、最新のソースからGitをインストールすることです。

古いGitを削除

yum remove -y git

必要になるパッケージをあらかじめインストール

yum install -y curl-devel expat-devel gettext-devel openssl-devel zlib-devel

新しいGitのソースファイルをダウンロード

wget https://git-core.googlecode.com/files/git-1.9.0.tar.gz

解凍してインストール

tar zxf git-1.9.0.tar.gz
cd git-1.9.0
./configure --prefix=/usr/local/
make
make install

もし/usr/local/binにPATHが通っていなければ、下記のように.bash_profileに追加しておいてください。

.bash_profile

PATH=$PATH:/usr/local/bin

export PATH

そして上記変更を適用します。

source ~/.bash_profile

一応Gitのバージョンを確認しておきましょう。

git --version

これでJenkinsもエラーを吐くこと無く動作するはずです。

CentOS 7で採用されたApache 2.4の設定は従来とかなり変わっており、そのせいで戸惑うこともあるかと思いますので、馴染めない方は、少々面倒ですが上記の方法でCentOS 6上で構築してみるのも良いかと思います。