STMTOK

カテゴリー: Server

  • ProxmoxのVMに既存のリソースを割り当てる

    ProxmoxのVMに既存のリソースを割り当てる

    Proxmoxのqm setコマンドは,仮想マシン(VM)の設定を変更するために使用されます.このコマンドを使うことで,VMの構成(CPU,メモリ,ディスク,ネットワークなど)を簡単に調整できます.

    # qm set <VMID> <option>

    HDDをパススルーする場合

    # qm set <VMID> -scsi<n> /dev/sdX
    • <VMDI> : ディスクを追加したいVMのID
    • -scsi<n>: ディスクの接続形式 (例:-scsi0, -scsi1)
    • /dev/sdX: 追加するディスク (例:/dev/sdb)

    -scsi<n>の代わりに-virtio<n>や-sata<n>も利用可能.

    既存イメージを追加する場合

    # qm set <VMID> -scsi<n> </path/to/image.qcow2>

  • ProxmoxでUEFIによるOSの起動ができない時の対処

    ProxmoxでUEFIによるOSの起動ができない時の対処

    proxmoxを利用してvmを作る場合,BIOSの既定はSeaBIOSであるが,OVMF(UEFI)を選択することができる.この時,OVMF(UEFI)を選択肢,EFIディスクを追加する時にPre-Enroll keysのチェックを入れたまま初期起動すると,メディアがAccess Deniedになる場合がある.その場合の解決方法.

    1. Ctrl + Alt + Deleteで再起動
    2. F2で設定画面に入る
    3. Device Managerに入る
    4. Secure Boot Configurationに入る
    5. Reset Secure Boot Keys

    以上で起動するようになる.

  • Raspberry Pi でオーディオサーバを作る

    Raspberry Pi でオーディオサーバを作る

    Raspberry Pi model B と Sound Blaster X-Fi Go! Pro が転がっていたので,これらを利用してオーディオサーバを構築します.

    今回はShairport-Syncとmpd (Music Player Daemon)を構築します.

    インストールと設定

    # apt install shairport-sync mpd

    Sound Blasterのハードウェア番号を確認します.

    $ aplay -l
**** List of PLAYBACK Hardware Devices ****
card 0: Headphones [bcm2835 Headphones], device 0: bcm2835 Headphones [bcm2835 Headphones]
  Subdevices: 8/8
  Subdevice #0: subdevice #0
  Subdevice #1: subdevice #1
  Subdevice #2: subdevice #2
  Subdevice #3: subdevice #3
  Subdevice #4: subdevice #4
  Subdevice #5: subdevice #5
  Subdevice #6: subdevice #6
  Subdevice #7: subdevice #7
card 1: vc4hdmi [vc4-hdmi], device 0: MAI PCM i2s-hifi-0 [MAI PCM i2s-hifi-0]
  Subdevices: 1/1
  Subdevice #0: subdevice #0
card 2: Pro [Sound Blaster X-Fi Go! Pro], device 0: USB Audio [USB Audio]
  Subdevices: 0/1
  Subdevice #0: subdevice #0

    Sound Blaster X-Fi Go! Pro が hw:2,0と分かったので,shairport-syncの設定ファイル(/etc/shairport-sync.conf)を編集します

    # 抜粋
general = 
{
    interpolation = "soxr";
    output_backend = "alsa";
};

alsa =
{
    output_devce = "hw:2.0";
    mixer_control_name = "PCM";
    mixer_device = "PCM";
};

    Shairport-syncを起動します.

    # systemctl enable --now shairport-sync

    次にmpdの設定ファイル(/etc/mpd.conf)を編集します.ただし,NASのmpd用のディレクトリを/mnt/mpdにマウントしている前提です.

    # 抜粋
music_directory    "/mnt/mpd/music"
playlist_directory "/mnt/mpd/playlists"
bind_to_address    "0.0.0.0"
port               "6600"

audio_output {
    type           "alsa"
    name           "Alsa Device"
    device         "hw:2,0"
    mixer_type     "software"
}

    mpdを起動します.

    # systemctl enable --now mpd

  • SSHの設定を再確認

    Ubuntu 22.04でsshサーバの設定 /etc/ssh/sshd_config を行っていたところ,PasswordAuthentication no を設定していたにもかかわらず,パスワード認証が無効になっていなかった.

    原因としては/etc/ssh/sshd_config.d/50-cloud-init.confPasswordAuthentication yesの記述があったため,こちらの設定が優先されていた.

    加えて,ChallengeResponseAuthentication または
    KbdInteractiveAuthenticationyes かつ UsePAMyes の場合,pam設定がデフォルトの場合もパスワードによる認証のみでログインできてしまう.これはpamによる2段階認証などを提供する仕組みである.

    これを機にSSHの設定の見直しを行った.

    sshd_config の先頭に
    Include /etc/ssh/sshd_config.d/*.conf があり,sshd_config.d内の.confをファイル名順に参照し,先勝ちでパラメータが設定されているようである.(システムによっては上書きになるものもあるのでややこしい)

    公開鍵認証

    /etc/ssh/sshd_config.d/00-publkey-auth.conf を作成

    PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no

    50-cloud-init.confは必要ないのであれば削除しても良いだろう.

    2段階認証

    パスワード認証 + Google Authenticatorによる認証を行う.公開鍵認証とは別に動作することに注意.

    パッケージのインストール

    # apt install libpam-google-authenticator libqrencode4

    /etc/pam.d/sshdを編集します.

    auth required pam_google_authenticator.so

    /etc/ssh/sshd_config.d/100-google-authenticator.confを作成します.

    KbdInteractiveAuthentication yes
UsePAM yes

    sshdを再起動します.

    # systemctl restart ssh

    ユーザーの設定 google-authenticatorコマンドを実行

    $ google-authenticator
Do you want authentication tokens to be time-based (y/n) y
Your new secret key is: **************************
Enter code from app (-1 to skip):

    QRコードを読み取るか,Secret keyを設定してコードを取得します.

    ワンタイムコードを入力するか-1を入力すると以下のように設定項目に関する質問があります.デフォルトで問題ないので全てyを選択します.

    Your emergency scratch codes are:
  ********
  ********
  ********
  ********
  ********

Do you want me to update your "/home/user/.google_authenticator" file? (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) y

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

    sftp

    ファイルサーバなどでsftpやscpのみに制限する.

    /etc/ssh/sshd_config.d/50-sftp.conf を作成する

    AllowTcpForwarding no
x11Forwarding no
ForceCommand internal-sftp

    ForceCommand internal-sftpを指定することにより,sshすると
    This service allows sftp connections only. とメッセージが表示されconnectionがcloseされる.