OS再インストールの準備

リモートコンソールの起動にJDK必須なので、作業するマシンにJDKが入ってなければいれとく。あとはTightVNCとか、必要ならどうぞ。あとバックアップ忘れずに。とりあえずwordpressだけ動いてる状態だったので

$ mysqldump -uroot -p wp -Q -c --opt > dumpfile
$ tar zcvf wordpress.tar.gz /var/www/wordpress
$ tar zcvf ssh.tar.gz ~/.ssh

みたいな感じでバックアップ取って作業マシンにscpなりlftpなりで持ってきておく。必要なら/etc/my.cnfとか/etc/php.iniとか、ホームのドットファイル類も。

OS再インストール

VPSコントロールパネルにログインして、OS再インストール→カスタムOSインストール→ubuntu 10.04 amd64を選択→カスタムOSインストールガイド ： Ubuntu 10.04の通り進める。10分くらいありゃ終わる。

SSHの設定

何はともあれrootのパスワードとSSHの設定をリモートコンソールからやる。scpなりで、バックアップファイルを転送しとくこと。

$ sudo passwd
$ tar zxf wordpress.tar.gz
$ tar zxf ssh.tar.gz
$ chmod 700 .ssh
$ chmod 600 .ssh/*
$ sudo vi /etc/ssh/sshd_config
- Port 22
+ Port 適当なポート

- PermitRootLogin yes
+ PermitRootLogin no

- #PasswordAuthentication yes
+ PasswordAuthentication no

ポートは変えなくてもいいけどお好みで。ポート変えたら/etc/servicesのSSHのとこを合わせて変更するのも忘れずに。

$ sudo sshd -t

でチェックして、エラーが出なければOKなので再起動

$ sudo service ssh restart

ここで、もう一個ターミナル開いて問題なく接続できることを必ず確認。以降は普通に端末からSSHでつないで作業

諸々設定

もうあとはお好みでどうぞなんだけど、最低やることだけ書いとく

$ sudo apt-get update
.
.
.
$ sudo apt-get upgrade
.
.
.
$ sudo ufw status
Status: inactive
$ sudo ufw default deny
Default incoming policy changed to 'deny'
(be sure to update your rules accordingly)
$ sudo ufw allow SSHのポート番号
Rules updated
$ sudo ufw allow 80
Rules updated
$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
$ sudo ufw status
Status: active
To                         Action      From
--                           ------      ----
SSHのポート番号   ALLOW       Anywhere
80                          ALLOW       Anywhere
$ sudo apt-get install denyhosts sysv-rc-conf build-essential zsh screen vim tmux curl wget git-core apache2 php5 libapache2-mod-php5 mysql-server php5-mysql #まぁこの辺は余計なのも入ってるのでお好きなように
$ sudo a2enmod rewrite # rewrite有効に
$ sudo vi /etc/apache2/sites-available/default #VirtualHostなりなんなり、お好きにどうぞ
$ sudo service apache2 restart
$ sudo sysv-rc-conf #自動起動したいやつを適当に選択
$ cp -a wordpress/* /var/www/wordpress #wordpressのバックアップ復元
$ mysql -uroot -p -e"create database wp" #とりあえずDBつくる
$ sudo cp my.cnf.backup /etc/my.cnf
$ sudo service mysql restart
$ mysql -uroot -p wp < dumpfile #dumpファイルからデータ復元

ここまでやればwordpressはもう普通に動いてるはず。あとはchshするなり、ドットファイル復元するなり、好きにすればいいかと。

PS3でもう少し便利に遊ぶため、mediatombでDLNAサーバをたてる。emerge mediatombして依存関係諸々入れる。とりあえずこれだけでもいいのだが、これだと最新の0.12.0が入ってくれないので、一端emerge -C mediatombしてソースから入れる。

svn co https://svn.mediatomb.cc/svnroot/mediatomb/trunk/mediatomb mediatomb0.12.0
cd mediatomb0.12.0
autoreconf -i
./configure && make && sudo make install
mysql -uroot -p
mysql> create database mediatomb;
mysql> grant select,insert,update,delete,create,drop on mediatomb.* to mediatomb@localhost identified by 'mediatomb';
mysql> flush privileges;
mysql> exit;

下準備はこれでおしまい。あとは設定ファイルを少し弄る。と言ってもアカウント周りと、コメントで for PS3云々と書いてあるのでその通り書き換えればいいだけ。細かいことはいい感じ: PS3+Macで超・超快適メディアプレイヤー：Youtube->Mediatomb on iMac ->PS3 ->BRAVIAを参照。

これで一通りの音楽と動画が、PS3経由でTVで観られるようになった。でもPCに動画撮り溜めたりしてるわけじゃないから、あんまり出番はないな。YouTubeも別にDLNA経由しないでも、PS3でそのままブラウザから観れるしな。PCでテレビを録画したりしてる人には大変ありがたい機能なんだろうな。あ、でも写真をスライドショーにしてテレビで観るとかはするかも。あとテレビにしっかりしたスピーカーがあるなら、音楽もPCで聴くよりテレビで聴きたいとかいう需要はあるか。テレビ用のスピーカー買うかなー…安くていいのないかな。

まずはデスクトップからごっそり外付けHDDにmp3をコピー。1万曲超、60GBくらいあった。これをGentooにぶっさして、とりあえず放置。Gentooで環境構築。

wget http://www.porchdogsoft.com/download/howl-1.0.0.tar.gz
tar zxf howl-1.0.0.tar.gz
cd howl-1.0.0
./configure && make && sudo make install && cd
sudo emerge libogg
sudo emerge libvorbis
sudo emerge mt-daapd
sudo cp /etc/mt-daapd.conf.example /etc/mt-daapd.conf

confは適当にmp3の入った外付けHDDのmount先を指定したりweb_rootのパスワード指定したりする程度。これであっさり行くと思ったら、まずこのままではmt-daapdが起動しない。なぜか知らないが/etc/init.d/mt-daapdで、depend()部分が間違ってるのが原因。mDNSResponderをmDNSResponderPosixに修正、mDNSResponderPosixを起動してから再度動かすと動いた。

これでとりあえず動いたものの、MacのiTunes上からは文字化けの嵐。WindowsのiTunesでは問題ない。つまり文字コードの問題だな。ここは先人の知恵を借り、ググってみるとwindows上で変換しるとよいことが判明。HDDを一旦デスクトップにつないで、iTunesで曲を全部選択して「ID3タグを変換」→「Unicodeを元に戻す」。何故かうまく行かないで化けちゃうのがあるので、個々に探して同様に変換したら直った。とりあえずこれでタグは問題なくUnicodeになったので、再度Gentooにつないでmountしてmt-daapdのキャッシュをクリアしたらok。ちなみにmountするときには、mount -o noauto,users,umask=000,iocharset=utf8とか言ってやらないと正しくGentoo上で日本語が読めない。

これでokかと思いきや、やっぱり文字化けは解消せず。色々調べてみたら、パッチを当てれば解決することが判明。

sudo emerge -C mt-daapd
wget http://nchc.dl.sourceforge.net/sourceforge/mt-daapd/mt-daapd-0.2.4.2.tar.gz
tar zxf mt-daapd-0.2.4.2.tar.gz
cd mt-daapd-0.2.4.2
wget http://www.kzsoft.to/~kazu/mt-daapd/patch/mt-daapd-0.2.4-cp932.patch
patch < mt-daapd-0.2.4.2.tar.gz

parser.cのパッチでこけるので、手動でパッチした。とりあえずdiffを残しておく。

--- src/parser.c.orig   2008-04-20 04:44:54.000000000 +0900
+++ src/parser.c        2008-09-23 17:16:15.000000000 +0900
@@ -132,8 +132,18 @@
 #define AGO 287
 #define INTERVAL 288

+#define USE_CP932

-
+#ifdef USE_CP932
+  #define UNKNOWN_STR    "UNKNOWN"
+  #ifndef FILESYSTEM_CES
+    #define FILESYSTEM_CES "CP932"
+  /*
+    #define FILESYSTEM_CES "UTF-8"
+    #define FILESYSTEM_CES "EUC-JP"
+  */
+  #endif
+#endif

 /* Copy the first part of user declarations.  */
 #line 1 "parser.y"
@@ -167,6 +177,11 @@
 #include <string.h>
 #include "playlist.h"

+#ifdef USE_CP932
+ #include <iconv.h>
+ #include <errno.h>
+#endif
+
 #define YYERROR_VERBOSE 1

 extern int yyerror(char *msg);
@@ -1828,6 +1843,43 @@

 #line 174 "parser.y"
+#ifdef USE_CP932
+#define MAX_ICONV_BUF 1024
+
+typedef enum {
+  ICONV_OK,
+  ICONV_TRYNEXT,
+  ICONV_FATAL
+} iconv_result;
+
+static iconv_result do_convert(const char* to_ces, const char* from_ces,
+                              char *inbuf,  size_t inbytesleft,
+                              char *outbuf_orig, size_t outbytesleft_orig) {
+  size_t rc;
+  iconv_result ret = ICONV_OK;
+
+  size_t outbytesleft = outbytesleft_orig - 1;
+  char* outbuf = outbuf_orig;
+
+  iconv_t cd  = iconv_open(to_ces, from_ces);
+  if (cd == (iconv_t)-1) {
+    return ICONV_FATAL;
+  }
+  rc = iconv(cd, &inbuf, &inbytesleft, &outbuf, &outbytesleft);
+  if (rc == (size_t)-1) {
+    if (errno == E2BIG) {
+      ret = ICONV_FATAL;
+    } else {
+      ret = ICONV_TRYNEXT;
+      memset(outbuf_orig, '\0', outbytesleft_orig);
+    }
+  }
+  iconv_close(cd);
+
+  return ret;
+}
+#endif
+

 PL_NODE *pl_newintpredicate(int tag, int op, int value) {
     PL_NODE *pnew;
@@ -1867,7 +1919,25 @@
     pnew->op=op;
     pnew->type=T_STR;
     pnew->arg1.ival=tag;
+#ifdef USE_CP932
+    if (!strcasecmp(FILESYSTEM_CES, "UTF-8")) {
     pnew->arg2.cval=value;
+      } else {
+       char* iconv_buf = (char*)calloc(MAX_ICONV_BUF, sizeof(char));
+       if (iconv_buf) {
+         iconv_result rc = do_convert("UTF-8", FILESYSTEM_CES, value, strlen(value),
+                                      iconv_buf, MAX_ICONV_BUF);
+         if(rc == ICONV_OK) {
+           pnew->arg2.cval = iconv_buf;
+         } else {
+           pnew->arg2.cval = strdup(UNKNOWN_STR);
+           free(iconv_buf);
+         }
+       }
+      } // if utf-8
+#else
+    pnew->arg2.cval=value;
+#endif
     return pnew;
 }

こけるのは#ifdef USE_CP932から#endifまでなので、まぁ手動で当てても特別問題はないだろう。あとは普通にconfigureしてmake && make installなんだが。このままだと/etc/init.d/mt-daapdが使えないので、適当に以下のように編集する。

PIDFILE="/var/run/mt-daapd.pid"
CONFFILE="/etc/mt-daapd.conf"

depend() {
    need net
    need mDNSResponderPosix
}

start() {
    ebegin "Starting mt-daapd DAAP server"
    /usr/sbin/mt-daapd -c ${CONFFILE} &
    eend $?
}

stop() {
    ebegin "Stopping mt-daapd DAAP server"
    kill `cat ${PIDFILE}`
    eend $?

    rm -f ${PIDFILE}
}

とりあえず今あるものを共有する、という意味ではこれで万事よいのだが、俺の環境ではまだ問題があった。実は外付けHDDは元々Windowsで使っていたものなので、当然フォーマットはNTFS。でもmountしてるのはGentooなわけなので、普通にmountしたのではどうがんばってもリードオンリーになってしまう。これでは新しく曲を追加したり出来ない訳で、これは困る。メインはMacBookなので、samba経由で書き込めないと困ってしまう訳だ。色々試行錯誤したんだけど、ntfs-3gとかいうのを使ったらすげーあっさりと書き込みできるようになった。

sudo emerge ntfs3g
sudo update-modules
sudo su -
echo "/dev/sdb5   /mnt/usbhdd ntfs-3g    noauto,users,umask=000,iocharset=utf8 0 0" >> /etc/fstab
logout
sudo mount  /dev/sdb5 /mnt/usbhdd

あとは/etc/mt-daapd.confで、rescan_intervalを適当な値に設定しておいてやればok。

ln -sf /etc/init.d/net.lo /etc/init.d/net.eth1
sed -i 's/eth0/eth1/g' /etc/conf.d/net
/etc/init.d/net.eth1 start

これだけでした。あとはルータ側でポート開けたり、スタティックルーティングしたりして、EM-ONE使って外から繋がることを確認。が、今度はメールが送れなくてしばし嵌った。プロバイダが変わったから、単純に/etc/postfix/main.cfのrelayhostを書き換えて、smtp_sasl_password_mapsで指定したファイルにSMTPホスト名とユーザ名とパスワード書いて、そいつをpostmapして/etc/init.d/postfix restartで終了だと思っていたのだが。

色々見直してmain.cfのrelayhostと、postmapするファイルの書き方を example.com:587 やら、[example.com]:587 やら試すもダメ。master.cf見直したりしても結局わからず。しかたないのでmain.cfの smtp* を全部虱潰しに調べるも特に以上は見あたらず。半ば諦めつつWebを検索してたらVine3.2のPostfixでSMTP認証ってエントリで

→main.cf へ smtp_sasl の設定を追加。 smtpd_sasl じゃないので、要注意。

……もしやと思って見てみたら、smtpd_sasl_auth_enable = yes という記述はあったけども、 smtp_sasl_auth_enable = yes がなかったのが原因でしたとさ…。疲れたわ。

              +---------------+
              | Load Balancer |
              +---------------+
                      |
             +--------+--------+
             |                 |
         +------+          +------+
         |apache|          |apache|
         +------+          +------+
             |     mod_jk      |
             +-----------------+
                     |
   +-------- +-------+--------+---------+
   |         |       |        |         |
+------+ +------+ +------+ +------+ +------+
|tomcat| |tomcat| |tomcat| |tomcat| |tomcat|
+------+ +------+ +------+ +------+ +------+
   |         |   hibernate    |         |
   |         |       |        |         |
   +-------- +-------+--------+---------+
                     |
+------------------------------------------+
|                                          |
|                 +-----+                  |
|                 |mysql|                  |
|                 +-----+                  |
|                    |                     |
|               replication                |
|                    |                     |
|            +-------+-------+             |
|            |       |       |             |
|         +-----+ +-----+ +-----+          |
|         |mysql| |mysql| |mysql|          |
|         +-----+ +-----+ +-----+          |
|                                          |
+------------------------------------------+

実際はもっとサーバの台数も多いのだが、まぁ主要なサーバはこんな感じだ。なんのことはない、割と一般的なJavaのウェブアプリといえる。とりあえずトラブルシューティングとしてやったことを列挙。ちなみにサーバはRHEL4、apacheは2.0、tomcatは5.0、mysqlは4.1、javaは1.5。

ps -ef|grep httpd|wc -l
/usr/local/apache2/bin/apachectl graceful
/etc/init.d/tomcat restart && apache: /usr/local/apache2/bin/apachectl graceful
mysql: mysql -uroot -p -e'show processlist'|grep Locked

ここまでやって、とりあえずDBで詰まってるわけではないことが判明。単純なプロセス再起動で復旧しないことから、アクセスの異常増加かハードウェア異常じゃないかと疑ってみる。httpdのプロセス数はMaxClients 512に設定してあるが、2台ともFULL。全サーバでtop/sarを確認するも特に異常なし。そこで思い立って hdparm -t /dev/sda してみる。通常は50MB/sec?80MB/secくらい出るのだが、webの1台だけ1.5MB/secとかいうふざけた野郎がいるのを発見。とりあえず shutdown -r now したらIOの速度は復旧。デバイスドライバのbugっぽげ。

ここまでやって、自宅からVPNで接続できる担当者と連絡が付いたので、後輩はお役後免にする（なにをやらかすかわからない子なのでｗ）。リブートまでしたものの、状況は先ほどと変わらず。訳がわからないので、とりあえずもう1台のwebもリブートしてみよう、ということになり実施する。が、担当者がshutdownのオプションを間違えて（多分solarisと間違ってる…）リブートじゃなくてまともに電源断。サーバの置いてある現地とは連絡が付かないため状況はさらに悪化…

webが片肺になってしまったので、httpd.confでMaxClientsとServerLimitを倍に設定。だがプロセス数300前後で反応がなくなる。問題はapacheではなさそうなので、次に散々泣かされているmod_jkを疑ってみる。netstat -a|grep ESTABLISHED とかすると、tomcatサーバの1台がコネクションを捕まえっぱなしになっていることが判明。ブラウザからjkstatusの管理画面を見ると、1台はrecovering、1台okで残りはerrorになっている。原因究明は後で良いので復旧第一ということで、tomcatを全部再起動してその後apacheも再起動。そうするとあら不思議、今までの重さがウソのように完全に復旧しましたとさ。とりあえず10分ほど動作確認して、問題なさそうなので解散。電源は朝入れれば良いと言うことで…

実際はもう少し色々試行錯誤があったのだけど、ダイジェストにするとおおよそこんな感じ。22時だからまだ良かったよ…寝てても容赦なく電話くるから。しかし根本原因がよくわからない。IO性能が異常に劣化してたのはbugだとしても、1回目のtomcat全部再起動で復旧しなかったのが謎。なんかtomcatって、stop/startを素早くやりすぎるときちんと再起動しないことがあるような気がするのだが、それなのかなー。てか、もうmod_jkは止めたい。でもapache2.2はまだちょっと怖いし、sticky session使ってるし…代替案でいいのがない。

このnobu666.comは、そんなに負荷が高いのは思えないのだが、やたらに503が出るのはなぜなんだ。PVだって200PV/dayとかいうショボイ感じだし、cronで回してるのも朝方にawstats動かしてるくらいだし。謎。そしてウンコ。

スクリプトの文法がちょっと違っていたりするが、wikipediaの説明やLWNの記事に詳細が書かれているのでそっち参照。エラーメッセージが異常に親切なので、あんまり迷うことはない気がする。

ちょっと使ってみてるけど、fishdっていうdaemonが立ち上がるんだなコレ…面白い。もう今更zshから乗り換えるのは微妙だけど、しばらく併用してみようかと思う。

基本的にはGentoo distcc ドキュメント・DistCC クロスコンパイルガイド、この2つのドキュメントの通り行う。気をつけなきゃいけないのは、「資源を借りる側」と「資源を貸す側」で若干設定が異なる点。ここでは借りる側はi686(192.168.0.4)、貸す側はamd64(192.168.0.3)とする。

貸す側と借りる側で、gccのバージョンは同じであること。3.3.x同時はOKだが、3.3.xと3.2.xは混ぜないこと。

また、資源を借りる側は一方的に借りるだけで、相互に助け合わない設定とした。これは、貸す側はサーバなので24時間稼働しているが、借りる側はノートなのでそうした。

資源を貸す側の設定

emerge distcc crossdev
vi /etc/make.conf
 MAKEOPTS="-j8" #(CPUの数+1)*2 ここは全体じゃなくてサーバ単体で計算すべきなのかも。詳細不明…もしかしたら-j6が当たりなのかも?
 FEATURES="distcc"
 DISTCC_DIR="/var/tmp/.distcc"
 PORTDIR_OVERLAY="/usr/local/portage"
distcc-config --set-hosts "localhost 192.168.0.4"
vi /etc/conf.d/distccd
 DISTCCD_OPTS="${DISTCCD_OPTS} --allow localhost --allow 192.168.0.4" #--allow 192.168.0.0/24でも可
/etc/init.d/distcc start
rc-update add distcc default
crossdev -t i686

資源を借りる側の設定

emerge distcc
vi /etc/make.conf
 MAKEOPTS="-j8" #(CPUの数+1)*2
 FEATURES="distcc"
 DISTCC_DIR="/var/tmp/.distcc"
vi /etc/conf.d/distccd
 DISTCCD_OPTS="${DISTCCD_OPTS} --allow localhost" #相互に助け合いたい場合は--allow 192.168.0.3を足すか--allow 192.168.0.0/24にする
cd /usr/lib/distcc/bin
rm c++ g++ gcc cc
echo '#!/bin/bash' > i686-pc-linux-gnu-wrapper
echo 'exec /usr/lib/distcc/bin/sparc-unknown-linux-gnu-${0##*/} "$@"' >> i686-pc-linux-gnu-wrapper
chmod a+x i686-pc-linux-gnu-wrapper
ln -s i686-pc-linux-gnu-wrapper cc
ln -s i686-pc-linux-gnu-wrapper gcc
ln -s i686-pc-linux-gnu-wrapper g++
ln -s i686-pc-linux-gnu-wrapper c++
/etc/init.d/distcc start
rc-update add distcc default
export CC="i686-pc-linux-gnu-gcc"

実際に試す

借りる側から何か(それなりに時間のかかりそうなものを)emergeし、貸す側でtopコマンドで見てみる。distccというUSERでdistccやcc1というプロセスが見えれば成功している。当たり前だがコンパイルは速くなるが、configureやアーカイブのunpackは速くならないのであしからず。また、貸す側ではデフォルトでnice -15で実行されている。これは /etc/conf.d/distccdのDISTCCD_NICEで設定されているので、貸す側が暇なマシンなら変更してもいい。

必要なものをインストールする

以下のものが必要。

• net-snmp
• apache
• php
• mysql
• rrdtool
• cacti

さくっとemergeするわけだが、USEフラグに注意。cactiにはapache2/snmp、phpにはapache2/snmp/sockets/mysqlあたりが必要(gdとかxmlも必須なのか?よくわらかんがこの辺は/etc/make.confでデフォルトで付けている)。

初期設定

cacti用のデータベースとユーザを作成し、付属のスクリプトでテーブルを作成する。

mysqladmin -u root create cacti -p
mysql cacti -u root -p > /var/www/localhost/htdocs/cacti/cacti.sql
mysql -u root mysql -p -e"GRANT ALL ON cacti.* TO cactiuser@localhost IDENTIFIED BY 'p4ssw0rd'"
mysql -u root mysql -p -e"flush privileges"

次にphpのconfigファイルを、今設定したものに合わせて書き換える。

vi /var/www/localhost/htdocs/cacti/include/config.php
 $database_username = "cactiuser";
 $database_password = "p4ssw0rd";

cron実行用のシステムアカウント作成とパーミッション変更

useradd -g apache -d /dev/null -s /bin/false -c cacti cacti

ホームディレクトリを/dev/null、ログインシェルを/bin/falseにすることで、cactiというユーザでログインできないようにする。この辺は適当に手を抜いてrootでやったりすると怖いので忘れずに。次にcactiユーザでデータの読み書きするためにパーミションを変える。

chown -R cacti:apache /var/www/localhost/htdocs/cacti

全部変えちゃったけどrraとlogディレクトリだけでいいかも。未検証。

cronの設定

適当なタイミングでスクリプトをブン回す。とりあえず5分間隔に設定。

vi /etc/crontab
 */5 * * * * cacti   /usr/bin/php /var/www/localhost/htdocs/cacti/cmd.php > /dev/null 2>&1

cactiの設定

ブラウザから http://hostname/cacti/ にアクセス。デフォルトのユーザとパスワードはadmin/admin。ウィザードが始まるがNext押していけばいい。adminのパスワードは適当なものに変更する。

色々設定するところがあるが、一番下にある参考URLらへんを参照。

ここでrrdtoolからACCESS DENIEDと言われてグラフが上手く表示されなかった。よくわからんがcactiでadminじゃなくてcactiというユーザを作り、User Management→cacti→Graph PermissionsでDenyをAllowにお変更してSave。Graph Managementからなんかグラフを選んで、右上の*Turn On Graph Debug Mode.をクリックするとログが見えるようになるので押してみる。今度は’rra/localhost_load_1min_5.rrd’: No such file or directoryとか怒られる。

見てみると確かにrraの下が空っぽなのでダメらしい。/var/www/localhost/htdocs/cacti/cmd.phpを実行してもエラーらしきものは出ておらず。しばらくココで嵌ったが、/var/www/localhost/htdocs/cacti/poller.phpを実行すればOKだった。1回目は前のデータがないので怒られるが、もう1度やると問題なく実行された。そのあとcactiからはちゃんと見えるようになった。

参考URL

• Net-SNMPの設定方法
• net-snmp
• About Rrdtool
• RRDtoolのすすめ
• cacti
• グラフツールcactiとは?
• 【連載 】SNMPによるネットワークシステムの監視
• RRDTool+Cactiによるサーバ監視(Linux編)

準備

別段何もない。

perl -MCPAN -e shell

基本全部デフォルトのままENTER押してりゃよし。Gentooの場合、cpanでガンガン入れる前にまず

emerge expat

これをやっておく。次にCPANのConfigを弄る。

vi /usr/lib/perl5/5.8.8/CPAN/Config.pm
 $CPAN::Config = {
  'build_cache' => q[100],
  'build_dir' => q[/root/.cpan/build],
  'bzip2' => q[/bin/bzip2],
  'cache_metadata' => q[1],
  'check_sigs' => q[0],
  'colorize_output' => q[0],
  'commandnumber_in_prompt' => q[1],
  'cpan_home' => q[/root/.cpan],
  'curl' => q[/usr/bin/curl],
  'ftp' => q[/usr/bin/ftp],
  'ftp_passive' => q[1],
  'ftp_proxy' => q[],
  'getcwd' => q[cwd],
  'gpg' => q[],
  'gzip' => q[/bin/gzip],
  'histfile' => q[/root/.cpan/histfile],
  'histsize' => q[100],
  'http_proxy' => q[],
  'inactivity_timeout' => q[0],
  'index_expire' => q[1],
  'inhibit_startup_message' => q[0],
  'keep_source_where' => q[/root/.cpan/sources],
  'lynx' => q[],
  'make' => q[/usr/bin/make],
  'make_arg' => q[],
  'make_install_arg' => q[],
  'make_install_make_command' => q[/usr/bin/make],
  'makepl_arg' => q[],
  'mbuild_arg' => q[],
  'mbuild_install_arg' => q[],
  'mbuild_install_build_command' => q[./Build],
  'mbuildpl_arg' => q[],
  'ncftp' => q[],
  'ncftpget' => q[],
  'no_proxy' => q[],
  'pager' => q[lv -Ou8 -c],
  'prefer_installer' => q[EUMM],
  'prerequisites_policy' => q[ask],
  'scan_cache' => q[atstart],
  'shell' => q[/bin/zsh],
  'show_upload_date' => q[1],
  'tar' => q[/usr/bin/tar],
  'term_is_latin' => q[1],
  'term_ornaments' => q[1],
  'test_report' => q[0],
  'unzip' => q[/usr/bin/unzip],
  'urllist' => [q[ftp://ftp.kddilabs.jp/CPAN/]],
  'wget' => q[/usr/bin/wget],
 };
 1;
 __END__

cpan -i Bundle::CPAN

CPANモジュールのインストール

Bundle::CPANとPlaggerに依存するモジュール（メモ）に従って進める。書いてあるとおり、TemplateとEncode::Detectはまともには入らないっぽいので諦めてforce installで。別段不都合はないので。

なんかRDF::Coreが上手く入らなくて困った記憶がある。emerge expatしてないせいだった、という記憶もあるが…ちょっと覚えてない。でもコマンドの履歴に以下のものが残っていた。

wget http://ftp.yz.yamagata-u.ac.jp/pub/lang/cpan/modules/by-module/RDF/DPOKORNY/RDF-Core-0.50.tar.gz
tar -zxvf RDF-Core-0.50.tar.gz
cd RDF-Core-0.50
perl Makefile.PL
make

手動で入れたっぽい。若年アルツで覚えてない。まぁとりあえず頑張って入れて、cpanシェルでtest Plaggerが通るまで頑張る。通ったらinstall Plagger。

リポジトリから最新取得

subversionを使ってリポジトリから最新版を持ってきてmakeする。

svn co http://svn.bulknews.net/repos/plagger/trunk/plagger
cd plagger
perl Makefile.PL
make

ここまで行ったら出来たも同然。Plagger3大罠の1つである、assetsのコピーを忘れないうちにやっておく。svnで最新版を入れたディレクトリのassets以下に、　.cpan/build/Plagger-x.x.xx/assets/plugins/Publish-Gmail/gmail_notify.tt をコピっておく。yamlのglobalでassets_pathを指定するのも忘れずに。ちなみにyamlのサンプルは .cpan/build/Plagger-x.x.xx/examples 以下に入っているので、適当な場所にコピって編集すべし。

まぁ何が言いたいかって言うとレン鯖だと非常に苦労したインストールも、自宅鯖なら超簡単だぜってことです。gmailのメール送信量制限も、自宅鯖なら無関係。cacheもレン鯖だと、HDDが1Gくらいしかないので気にしなきゃいけないけど自宅鯖にはほぼ無関係。足りなくなったら増やせばイイだけだし。Plagger自体それなりに負荷があるので、レン鯖の場合は30分単位くらいで回さないと怒られそうなのだが、それを気にしなくていいのが一番でかい。もう5分とかで回してる。

インストール

とりあえずダウンロードして、/var/www/localhost/rep2とかに置く。apacheは当然SSL有効でコンパイルしておくこと。phpはやたらに使用可能なフラグが多いのでメモっておく。

emerge -pv php

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild   R   ] dev-lang/php-5.1.6-r6  USE="apache2 bzip2 cjk cli crypt curl curlwrappers gd iconv mysql ncurses nls pcre readline sasl session spell ssl threads unicode xml xmlrpc zlib (-adabas) -apache -bcmath -berkdb (-birdstep) -calendar -cdb -cgi -concurrentmodphp -ctype -db2 -dbase (-dbmaker) -debug -discard-path -doc (-empress) (-empress-bcs) (-esoob) -exif -fastbuild (-fdftk) (-filepro) (-firebird) -flatfile -force-cgi-redirect (-frontbase) -ftp -gd-external -gdbm -gmp -hardenedphp -hash -hyperwave-api -imap (-informix) -inifile -interbase -iodbc -ipv6 -java-external -kerberos -ldap -libedit -mcve -memlimit -mhash -ming -msql -mssql -mysqli -oci8 (-oci8-instant-client) -odbc -pcntl -pdo -pdo-external -pic -posix -postgres -qdbm -recode -reflection -sapdb -sharedext -sharedmem -simplexml -snmp -soap -sockets (-solid) -spl -sqlite (-sybase) (-sybase-ct) -sysvipc -tidy -tokenizer -truetype -vm-goto -vm-switch -wddx -xmlreader -xmlwriter -xpm -xsl -yaz -zip" 0 kB

rep2はPEARモジュールのいくつかが必須なので、PEARもと必須モジュールを入れる。eixで見つからなかったものはpearコマンドで入れ、見つかったものはemergeで入れた。

emerge PEAR-PEAR
pear install Net_UserAgent_Mobile-beta
pear install PHP_Compat
emerge PEAR-HTTP_Request
emerge PEAR-Pager
emerge PEAR-File

phpの設定

/etc/php/apache2-php5/php.iniの次のコメントアウトを外す。

[mbstring]
mbstring.internal_encoding = EUC-JP
mbstring.http_input = auto
mbstring.http_output = EUC-JP
mbstring.detect_order = auto
mbstring.substitute_character = none;

apacheの設定

SSLを使うため、認証局と証明書が必要。[修正版][memo] postfix + dovecotでSMTP AUTH & IMAPなメールサーバを立ち上げるで作成したものがあるのでそれを流用する。

cp -p /etc/ssl/postfix/server.crt /etc/apache2/ssl/
cp -p /etc/ssl/postfix/server.key /etc/apache2/ssl/

次にBasic認証に使う.htaccessをフォルダで上書きできるようにしておくため、/etc/apache2/modules.d/41_mod_ssl.default-vhost.confと/etc/apache2/vhosts.d/00_default_vhost.confの<directory “/var/www/localhost/htdocs”>部分を以下のように設定する。

<directory "/var/www/localhost/htdocs">
    Options FollowSymLinks
    AllowOverride AuthConfig
</directory>

.htaccessの設定

/var/www/localhost/htdocs/rep2に.htaccessを作成(サイト全体に認証をかけたいならhtdocsの下でも可)。

vi /var/www/localhost/htdocs/rep2/.htaccess
 AuthName "User Authentication Required"
 AuthType Basic
 Require valid-user
 AuthUserFile /etc/apache2/.htpasswd
htpasswd2 -c /etc/apache2/.htpasswd ユーザ名

apacheの起動パラメータ

gentooのapacheは、有効にしたいモジュールを明示しないといけないので、/etc/conf.d/apache2を修正。

vi /etc/conf.d/apache2
 APACHE2_OPTS="-D SSL -D PHP5 -D DEFAULT_VHOST -D SSL_DEFAULT_VHOST"
/etc/init.d/apache2 restart

これで　https://ホスト名:443/rep2/　に行けばユーザ名とパスワードが聞かれるはず。念のため携帯からもアクセスして問題なく認証できれば万事OK。ただ携帯でパスワードを入力するのは面倒なので、どうにか携帯の固有IDでパスできないか調べ中。auだとHTTP_X_UP_SUBNOで取れるみたいなんだが…

Amazonで\7,000ちょっとという値段だったので、購入したのが届いた。流石に24時間稼働だとUPSがないと怖い。今年の雷で瞬断も多くあったので。付属のPowerCuteはWindowsとMacOS Xと商用Linuxにしか対応していないので自力でどうにかする方法をメモ。

準備と接続、認識確認

emerge apcupsd

なにはなくともコレがないと始まらない。とりあえずインストールしたら一旦シャットダウンしてコンセントをUPSにつなぎ変え、付属のUSB通信ケーブルでUPSとサーバを接続して再起動。再起動したらdmesgを見てサーバがES500を認識しているか確認。

usbcore: registered new driver hiddev
hiddev0: USB HID v1.10 Device [APC APC ES 500 FW:803.p6.A USB FW:p6] on usb-0000:00:10.2-2

上記のようなメッセージがあれば問題ない。が、

es500 hid device not claimed

とか出てたら認識していない。俺の場合は思い切り認識していなかった。要するにまたカーネル再構築。だがもう手慣れたモンなのでサクサクと再構築する。こういうときはマシンパワーがあると非常に楽だ。お約束の以下の呪文を唱える。

cd /usr/src/linux
make menuconfig

そして今の設定をLOADして、以下のところにチェックを付けて保存。

Device Drivers --->
    USB Support --->
        /dev/hiddev raw HID device support

またお約束の呪文。

make && make modules_install
cp arch/x86_64/boot/bzImage /boot/なんか適当な名前

そしたら/boot/grub/grub.confを編集して再起動すればいい。今度はちゃんと認識されているはず。念のためapcaccess statusとやってエラーが出ないことを確認する。

設定と動作確認

次はapcupsdの設定を行う。

cat /etc/apcupsd/apcupsd.conf
UPSCABLE usb
UPSTYPE usb
DEVICE
LOCKFILE /var/lock
ONBATTERYDELAY 6
BATTERYLEVEL 5
MINUTES 3
TIMEOUT 10
ANNOY 300
ANNOYDELAY 60
NOLOGON disable
KILLDELAY 0
NETSERVER on
NISIP 0.0.0.0
NISPORT 3551
EVENTSFILE /var/log/apcupsd.events
EVENTSFILEMAX 10
UPSCLASS standalone
UPSMODE disable
STATTIME 0
STATFILE /var/log/apcupsd.status
LOGSTATS off
DATATIME 0

殆どデフォルト。TIMEOUTに関しては動作確認のため10にした。これは10だと電源断から10秒でシャットダウンするということ。実際にapcupsdを動かして試してみる。

/etc/init.d/apcupsd start
rc-update add apcupsd default

思い切ってUPSのコンセントをぶっこ抜いてみる。ピーピーピーと警告音が鳴り、10秒後にシャットダウン処理が走れば成功。忘れないようにTIMEOUTは0にしておくこと。ここを0にしておくとUPS側のバッテリーで頑張ってくれるようになる。どのくらい頑張るかはBATTERYLEVELとMINUTESで決まる。BATTERYLEVELはバッテリ残量が残り何%になったらシャットダウンするかで、MINUTESは残り時間何分でシャットダウンするか。どちらかの条件を満たすとシャットダウンされる。お好みで変える。

ssmtpの削除

Gentooではいきなりpostfixを入れようとしても、デフォルトでssmtpが入っていてblockされるのでssmtpを消すのが先決。

emerge -C ssmtp

postfixとdovecotのインストール

Gentooの基本だけど、emergeするときはemerge -pvでどんなフラグが有効になるか必ず確認。必要ないならpackage.useで外す。あとsaslが必要なのでこれは付けておく。あとなんでかわからないけどpostfixにsaslを付けるとついてくるcyrus-saslで、gdbmやcryptをUSEするとコンパイルに失敗したので外した。

emerge -pv postfix dovecot
echo "mmail-mta/postfix -mysql sasl" >> /etc/portage/package.use
echo "dev-libs/cyrus-sasl -mysql -java -gdbm -crypt" >> /etc/portage/package.use
emerge postfix dovecot

オレオレ認証局の作成

Gentooでの方法なので他のディストリではパスが違うようなので注意。

mkdir /etc/certs
chmod 700 /etc/certs
cd /etc/certs
cp /etc/ssl/misc/CA.pl .
perl ./CA.pl -newca
CA certificate filename (or enter to create)
(ENTER)
Making CA certificate ...
Generating a 1024 bit RSA private key
..................................++++++
.......................++++++
writing new private key to './demoCA/private/cakey.pem'
Enter PEM pass phrase:(パスフレーズを入力)
Verifying - Enter PEM pass phrase:(同じパスフレーズをもう一度入力)
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Kanagawa
Locality Name (eg, city) []:Yokohama
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Private
Organizational Unit Name (eg, section) []:Private
Common Name (eg, YOUR name) []:nobu666.fam.cx
Email Address []:root@nobu666.fam.cx

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(ENTER)
An optional company name []:(ENTER)
Using configuration from /etc/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
 (略)
Certificate is to be certified until Oct 28 06:15:58 2009 GMT (1095 days)

Write out database with 1 new entries
Data Base Updated

クライアント用CA証明書とサーバ用CA証明書を作成

cd /etc/certs/demoCA
openssl x509 -inform pem -in cacert.pem -outform der -out cacert.der
openssl x509 -in ./cacert.pem -out ./cacert.crt

デジタル証明書のリクエストファイルを作成

cd /etc/certs
perl ./CA.pl -newreq-nodes
Generating a 1024 bit RSA private key
...++++++
...............................................................................................................++++++
writing new private key to 'newkey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Kanagawa
Locality Name (eg, city) []:Yokohama
Organization Name (eg, company) [Internet Widgits Pty Ltd]:nobu666.fam.cx
Organizational Unit Name (eg, section) []:Admin
Common Name (eg, YOUR name) []:nobu666.fam.cx
Email Address []:root@nobu666.fam.cx

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(ENTER)
An optional company name []:(ENTER)
Request is in newreq.pem, private key is in newkey.pem

リクエストファイルからX.509サーバ証明書の作成と署名

perl ./CA.pl -sign
Using configuration from /etc/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            ce:db:05:2a:6a:dc:75:17
        Validity
            Not Before: Oct 29 06:51:11 2006 GMT
            Not After : Oct 29 06:51:11 2007 GMT
        Subject:
            countryName               = JP
            stateOrProvinceName       = Kanagawa
            localityName              = Yokohama
            organizationName          = nobu666.fam.cx
            organizationalUnitName    = Admin
            commonName                = nobu666.fam.cx
            emailAddress              = root@nobu666.fam.cx
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                7B:0E:46:62:02:FB:B6:A6:05:DC:DE:75:2E:2D:5A:29:5D:31:79:F8
            X509v3 Authority Key Identifier:
                keyid:A7:51:EC:0A:BD:B6:70:68:A5:01:ED:8E:76:1F:FE:0C:4D:B2:A0:19

Certificate is to be certified until Oct 29 06:51:11 2007 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Signed certificate is in newcert.pem

openssl x509 -in newcert.pem -out server.crt

postfix用にシンボリックリンクを張る

ln -sf /etc/certs/server.crt /etc/ssl/postfix/server.crt
ln -sf /etc/certs/newkey.pem /etc/ssl/postfix/server.key

postfixの設定

vi /etc/postfix/main.cf

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
myhostname = nobu666.fam.cx
mydomain = nobu666.fam.cx
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain, localhost
unknown_local_recipient_reject_code = 550
mynetworks_style = subnet
mynetworks = 192.168.0.0/24, 127.0.0.0/8
relay_domains = $mydestination
alias_maps = hash:/etc/mail/aliases
alias_database = hash:/etc/mail/aliases
home_mailbox = .Maildir/

header_checks = regexp:/etc/postfix/header_checks
smtpd_banner = $myhostname ESMTP $mail_name ($mail_version)
mydestination = $myhostname, localhost.$mydomain, $myhostname.$mydomain, mail.$mydomain, localhost
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
mailq_path = /usr/bin/mailq
setgid_group = postdrop
html_directory = /usr/share/doc/postfix-2.2.10/html
manpage_directory = /usr/share/man
sample_directory = /etc/postfix
readme_directory = /usr/share/doc/postfix-2.2.10/readme
smtpd_use_tls = yes
smtpd_tls_loglevel = 1
smtpd_tls_cert_file = /etc/ssl/postfix/server.crt
smtpd_tls_key_file = /etc/ssl/postfix/server.key
smtpd_tls_session_cache_database = btree:/etc/postfix/smtpd_scache
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtp_sasl_security_options = noanonymous
allow_mail_to_commands = alias,forward,include
message_size_limit = 1024000
smtpd_client_restrictions =
            permit_mynetworks,
            permit_sasl_authenticated,
            permit_auth_destination,
            reject

vi /etc/postfix/master.cf

submission inet n      -       n       -       -       smtpd
        -o smtpd_etrn_restrictions=reject
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject

saslの設定

vi /etc/sasl2/smtpd.conf

pwcheck_method: saslauthd

mkdir /var/state/saslauthd
chmod 700 /var/state/saslauthd
chown postfix /var/state/saslauthd

dovecotの設定

vi /etc/dovecot.conf

protocols = pop3 imap
ssl_disable = no
ssl_cert_file = /etc/ssl/postfix/server.crt
ssl_key_file = /etc/ssl/postfix/server.key
default_mail_env = maildir:%h/.Maildir

chmod 755 /var/run/dovecot
chmod 750 /var/run/dovecot/login

あとはデフォルトのまま。

クライアントの設定

まずはオレオレ認証局の証明書をクライアントに入れる必要がある（やらなくてもいいが警告が出るので…）。別にどうやってクライアントに渡してもOK。FTPとかSCPとかで適当に。メーラによって操作が違うがThunderbirdの場合は、ツール→オプション→プライバシー→セキュリティ→証明書を表示→認証局証明書→インポートと進んで、cacert.derを選択すればOK。あとはIMAPでアカウントを作って、受信は143番ポートでTLSを使うようにし、送信は587番ポートで同じくTLSを使うように設定する。送信テストするとユーザ名とパスワードが聞かれるので「パスワード無しで送信できないこと」「間違ったパスワードを入れて送信できないこと」「正しいパスワードを入れて送信できること」の3つを確認して終了。

別に今回はkernelのバージョンを上げたいわけではなく、単純にカーネルのオプションを変えたいだけなので、emerge gentoo-sourcesはやらない。以下、rootになって作業を行う。あとmenuconfigはscreenの中でやると表示が乱れて酷いことになるので、screenをデタッチするなり抜けるなりしてからやったほうがいい。

cd /usr/src/linux
make menuconfig

Confgurationが立ち上がったら、まずLoad an Alternate Configuration Fileを選ぶ。”.config”が入力されているはずなので、そのままOKすると現在の設定が読み込まれる。そしたら

Networking  --->
  Networking options  --->
    Network packet filtering (replaces ipchains)  --->
      Core Netfilter Configuration  --->
         Netfilter Xtables support (required for ip_tables)

を選択。その下に色々あるが、よくわからないならMにしといてあとでModuleとして読めるようにしておくと吉。必要なのに何もチェックしないでおくと、再度カーネル再構築が必要になって面倒なので。チェックしたら1つ戻ってIP: Netfilter Configurationの中に入る。とりあえず必須なのはIP tables support (required for filtering/masq/NAT)と、IP range match support、Packet filtering、REJECT target support、address type match support、Full NAT、MASQUERADE target supportとかそのへん。終わったらTOPまで戻って、念のため設定ファイルをなんか名前付けて保存しておいたほうがいい。

あとはその辺のサイトに書いてあるとおり、お約束でOK。

make && make modules_install
cp arch/x86_64/boot/bzImage /boot/なんか適当な名前
vi /boot/grub/grub.conf

grub.confの設定では、元々書いてあるものを絶対に消さないこと。消しちゃうと万が一再構築したカーネルで起動できなかったときに面倒。

[sourecode lang="text"]
title=Gentoo Linux 2.6.17-r8
root (hd0,0)
kernel /さっきbootの下にcpしたファイル名 root=/dev/sda3 vga=ask
[/sourcecode]

とかで問題なし。vga=askの部分はまぁお好みで。/usr/src/linux/Documentation/fb/vesafb.txtとかを参考に。基本的にはこれでrebootして、上のtitleでつけた名前を選択して起動してやればとりあえずOKなはずだ。失敗したら残しておいた方で起動して修正すべし。消してしまったお馬鹿さんはinstall cdから起動して/dev/sda1とかをmountして編集すれば戻せる。あとvgaとかvideoのオプションは、間違うと画面に何も表示されなくなるので注意。まぁリモート操作がメインならそれでもいいのかも知れないけど、何かあったときにアレなんで…心配ならaskにしておいて選択するのが間違いない。

そこまで出来たらDebian GNU/Linux 3.1(sarge)運用ノートのSSH Brute force attacksの通りに設定してから

/etc/init.d/iptables save
/etc/init.d/iptables start
rc-update add iptables default

以上で終了。エラーが出てiptablesが動かない場合は必要なモジュールが選択漏れでコンパイルされていないとか、Mを選択したのにmodprobeなりinsmodしてない。てか俺もこの手順にたどり着くまで5回くらい再構築してこんな時間に…もう寝る!

やってみないとわからんので、cpufreq_ondemandを試してみる。

modprobe cpufreq_ondemand
echo ondemand > /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor
cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor

cd /sys/devices/system/cpu/cpu0/cpufreq/ondemand/
ls
ignore_nice_load  sampling_down_factor  sampling_rate  sampling_rate_max  sampling_rate_min  up_threshold

cat ignore_nice_load
0

cat sampling_down_factor
1

cat sampling_rate
1040000

cat sampling_rate_max
520000000

cat sampling_rate_min
520000

cat up_threshold
80

詳細はKernel メモ ondemand参照。とりあえずignore_nice_loadは1に設定しておいた。急がないけど負荷になりそうな作業なんかはniceすること。

実際にemerge –syncとかして/proc/cpuinfoを見てたら、普段1GHzで動作しているのが2GHz→1.8GHzとなって1GHzに戻った。上手く動いているっぽい。試しにnice revdep-rebuildとかすると1GHzから変わらないことも確認。とりあえずこのまま運用してみる。

クライアント側は、Poderosaで作った鍵(例えばファイル名をid_rsaとする)しかない場合はPuTTY用の鍵を作る。puttygenを起動して、秘密鍵を読み込んでパスフレーズを入力すれば変換される。変換された秘密鍵をid_rsa.ppkとして保存。とりあえずPuTTYを起動して接続-データで自動ログインのユーザ名と、接続-SSH-認証で認証のためのプライベートキーファイルでさっきの.ppkファイルを設定。接続してみてパスフレーズ入力してログイン出来ればOK。

次にputty.exeと同じフォルダにあるpageant.exeを起動する。タスクトレイに常駐するので右クリックして鍵の追加を選んで、.ppkを選択する。パスフレーズを入力すれば作業終わり。以降、PuTTYでもTortoiseSVNでもパスフレーズは入力しないでもいい。ただ、これはWindowsにログインしなおすと消えてしまうので、ログイン毎に鍵の追加→パスフレーズの入力を行う必要がある。ランチャーに登録するかスタートアップに入れておく。

後はTortoiseSVNの設定で、ネットワークにあるSSHクライアントにTortoisePlink.exeを設定。これでTortoiseSVNからリボジトリブラウザを開いて、URL欄に svn+ssh://ユーザ名@ホスト名/var/svn/hoge と入力してエラーが出なければ終了。

sudo emerge eix
sudo eix-sync

euseはgentoolkitに入っている。eixはemerge –searchと似たようなモンだがこっちのほうが速いし使いやすい。んで、本題のeuseだが、使い方自体は–helpすりゃわかるんだが。フラグの説明見たり、どれが使われてるか見れたり、フラグを有効にしたり無効にしたりできる。つーか詳細はman euseで（ｗ euse使うとmake.confのUSEフラグの部分が整形されて見やすくなるのも嬉しい。まぁ説明見るだけなら /usr/portage/profiles/use.desc
見ればいいんだが。

同じくgentoolkitに含まれているequeryも激しく便利。こいつで

equery depends mysql

とかやってやればmysqlフラグに依存しているパッケージを調べることが出来るし、dependsをdepgraphに変えてやると依存関係をツリーで見れる。超便利。

• affected_cpus : 影響する他のCPU。俺の場合はデュアルコアなので当然0と1
• cpuinfo_cur_freq : 現在の動作周波数
• cpuinfo_max_freq : 最大周波数。AMD64X2 3800+の場合は2000000
• cpuinfo_min_freq : 最低周波数。AMD64X2 3800+の場合は1000000
• scaling_available_freqyencies : 設定可能な周波数。AMD64X2 3800+の場合は2000000/1800000/1000000しかない。intelだともっと多いらしい
• scaling_available_governors : 設定可能な動作モード。Gentooのデフォルトではperformanceのみ
• scaling_cur_freq : 現在の動作周波数
• scaling_driver : 周波数コントロールのための仕組みの名前
• scaling_governor : 動作モード。scaling_available_governorsのどれか
• scaling_max_freq : cpuinfo_max_freqと何が違うのかわからん
• scaling_min_freq : cpuinfo_min_freqと何が違うのかわからん

普段は高周波数で動いてくれなくていいというか、その方が電気代が安くなって地球に優しいためいい感じ。そんなわけで以下の手順を踏んで周波数を下げてみた。

(今の周波数を確認)

cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

(どんなdriverがあるか探す)

find /lib/modules/2.6.17-gentoo-r7/ -name '*.ko'|grep cpu

(明らかにそれっぽい奴を見つけたので読み込む)

sudo modprobe cpufreq_powersave

(動作モードが増えたことを確認)

cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_available_governors

(動作モードを上で確認したやつに変更)

su - ; echo "powersave" > /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor
exit

(周波数が下がったことを確認)

cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

これだと確かに周波数は下がるが下がりっぱなしだ。Gentooだと最新を追っかけたい人はコンパイルをしょっちゅうするので、そういうときにいちいち戻すのが面倒だ。そこでcpufreq_ondeamndというdriverを使うと、なんかいい感じに自動化できそうな予感がする。が、もうちょっと調べて、しっかり設定しないと下がりっぱなしとか上がりっぱなしになりそうな予感がするのでとりあえずスルー。

pingして外に繋がることを確認したら

emerge --sync

してから、必要なものをガンガン入れるんだが、その前に

/etc/init.d/hdparm start

してDMAを有効にしておく。んでいい加減sshで繋いで作業したいので

nano -w /etc/ssh/sshd_config

で適切にsshを設定。

PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no

とかそんな感じに。

クライアントで鍵セットを作って、USBメモリでサーバに公開鍵を置く。マウントするのは

mkdir /mnt/usbmemory
mount -t vfat /dev/sdb1 /mnt/usbmemory

で、/mnt/usbmemoryが見えるようになる。後は公開鍵を置いてパーミッション変えればOK。

mkdir ~/.ssh
cat /mnt/usbmemory/id_rsa >> ~/.ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

クライアントからsshで繋いでrootになって、ひたすらemerge -av パッケージ名。入れたパッケージは以下の通り。

• 管理系:gentoolkit/htop/traceroute/tcpdump
• デーモン系:apache2/proftpd/mysql/subversion/trac/samba
• ユーティリティ系:sudo/screen/ftp/zsh/w3m/svk/lv/nkf
• 言語:python/ruby/jdk/groovy

keywordでmaskされてるとか怒られるやつは

ACCEPT_KEYWORDS="~amd64" emerge -av パッケージ名

で入る。色々入れたり消したりしてるうちに依存関係がおかしくなったりしたときは、revdep-rebuildする。特定のライブラリに依存するもの、とかの指定もできる。

あとはapacheやらsambaやらの設定だな。