概略

404 Not Found

i2p.rocks

このページがPleromaのインストールの手順としてはいいらしいのだけど、他のページもいくつか参考にしてある程度独自にやって見た。

必須パッケージのインストール

基本ツールパッケージのインストール

まずは、git、nginx、postgresqlなど必要なものをインストール

$ sudo update && sudo apt dist-upgrade && sudo apt autoremove && sudo apt autoclean
$ sudo apt-get install build-essential git postgresql nginx letsencrypt

build-essentialは最新になっていてインストールされなかったので外してもいいかも。
certbotはなんかよく分からないけど認証取ってもらえなかったので、最終的にletsencryptを利用する方向にしたのでここでインストールしておく。

後、この時点でDDNS取ってるので、万が一に備えて/var/www/html/index.htmlを作成しておく。

$ sudo nano /var/www/html/index.html

nginxを使っていることを隠すのが目的なので、内容はなんでもいいのですが、

<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="utf-8">
<title>test</title>
</head>
<body>
<h1>test</h1>
</body>
</html>

こんな感じのものにしています。

elixirのインストール

elixirのインストールに関しては、ほとんどのサイトでDebianかUbuntu用の手順なので、下記ページのRaspbian手順通りにインストール準備を進める。

Installing Elixir

Website for Elixir

elixir-lang.org

$ echo "deb https://packages.erlang-solutions.com/debian stretch contrib" | sudo tee /etc/apt/sources.list.d/erlang-solutions.list
$ wget https://packages.erlang-solutions.com/debian/erlang_solutions.asc
$ sudo apt-key add erlang_solutions.asc
$ sudo apt update

これで準備ができたので、elixirとesl-erlangのインストールを実施。

$ sudo apt-get install --no-install-recommends elixir esl-erlang

インストールできたら、キーチェインファイルは一応削除しておく

$ rm erlang_solution.asc

Pleromaのインストール

インストール可能な必要パッケージのインストールが済んだので、ここからPleromaのインストール。

pleromaユーザの作成

最初にPleroma用ユーザーを作成。ほぼ悩まなくていいと思います。フルネーム〜その他までは特に必要ないのでEnterで大丈夫。

$ sudo adduser pleroma
新しいグループ `pleroma' (1001) を追加しています...
新しいユーザ `pleroma' (1001) をグループ `pleroma' として追加しています...
ホームディレクトリ `/home/pleroma' を作成しています...
`/etc/skel' からファイルをコピーしています...
新しい UNIX パスワードを入力してください:
新しい UNIX パスワードを再入力してください:
passwd: パスワードは正しく更新されました
pleroma のユーザ情報を変更中
新しい値を入力してください。標準設定値を使うならリターンを押してください
	フルネーム []: 
	部屋番号 []: 
	職場電話番号 []: 
	自宅電話番号 []: 
	その他 []: 
以上で正しいですか? [Y/n] y

次に、pleromaユーザーをsudoグループに所属させ、pleromaユーザに切り替える。

$ usermod -aG sudo pleroma
$ su - pleroma

Pleromaのインストール

pleromaのソースをクローンする。

$ git clone https://git.pleroma.social/pleroma/pleroma

クローンしたら、配下にできた~/pleromaディレクトリへ移動して、追加で必要なパッケージのインストール。

$ cd pleroma
$ mix deps.get
!!! RUNNING IN LOCALHOST DEV MODE! !!!
FEDERATION WON'T WORK UNTIL YOU CONFIGURE A dev.secret.exs
Could not find Hex, which is needed to build dependency :phoenix
Shall I install Hex? (if running non-interactively, use "mix local.hex --force") [Yn] y

上記のようにHexのインストールを聞かれるのでインストールする。

作業が終わったら、コンフィグを生成する。

 $ mix generate_config
!!! RUNNING IN LOCALHOST DEV MODE! !!!
FEDERATION WON'T WORK UNTIL YOU CONFIGURE A dev.secret.exs
Could not find "rebar3", which is needed to build dependency :parse_trans
I can install a local copy which is just used by Mix
Shall I install rebar3? (if running non-interactively, use "mix local.rebar --force") [Yn] y

ここでもrebar3のインストールを求められるので、インストール。
少し時間がかかるので、まったり待つ。
少々Warningメッセージが目立つログが流れるが動作に支障はなさそうなので待つ。

最後に、ドメイン名、インスタンス名、メールアドレスを尋ねられるのでそれぞれ入力して終了。

--- THIS WILL OVERWRITE YOUR config/generated_config.exs! ---

What is your domain name? (e.g. pleroma.soykaf.com): [ドメイン名]
What is the name of your instance? (e.g. Pleroma/Soykaf): [インスタンス名]
What's your admin email address: [メールアドレス]

Writing config to config/generated_config.exs.

Check it and configure your database, then copy it to either config/dev.secret.exs or config/prod.secret.exs

Writing setup_db.psql, please run it as postgre superuser, i.e.: sudo su postgres -c 'psql -f config/setup_db.psql'

生成したgenerated_config.exsを記載通りにprod.secret.exsに変更する。

$ cp config/generated_config.exs config/prod.secret.exs

postgresqlデータベースもセットアップファイルを生成してるので記載通りにコマンドを走らせる。

$ sudo su postgres -c 'psql -f config/setup_db.psql'

データベースを作成したら、マイグレーションを実行する

$ MIX_ENV=prod mix ecto.migrate

これも時間もかかり、warningも目立つがそのまま待つ。

ローカル環境での動作確認

マイグレーション終わったら、まずはローカル環境で動作確認。
そのため、pleromaを起動する。

$ MIX_ENV=prod mix phx.server

起動するとログがガンガン流れるので、ブラウザで4000番ポートへアクセスする

http://[ラズパイのIPアドレス]:4000/

これでサイトが表示ができれば問題ないので、CTRL+Cでpleromaを終了させる。

ルーターのポート開放

ここまででやっておいていいけど、ここでルーターのポート解放を実施するのが吉かなと。

我が家は、NTTのHGW（PR-500MI）なので、詳細設定→静的NAT設定→ワンタッチ設定にあるWebサーバ設定を有効にして、ラズパイのIPアドレスを指定して終わり。

nginxの設定

pleroma側でnginxの設定ファイルを用意してくれているので、/etc/nginx/sites-enabled/へコピーする。

$ cp /home/pleroma/pleroma/installation/pleroma.nginx /etc/nginx/sites-enabled/

設定ファイルを開き、example.tldになっている箇所を漏れなく自分のドメイン名に変更する。

$ sudo nano /etc/nginx/sites-enabled/pleroma.nginx

Let’s Encryptの証明書取得

ここが一番苦しんだ。参考にしているサイトの手順で行うと、nginxが再起動を受け付けなくなる（/etc/nginx/sites-enabled/pleroma.nginxが証明書取得している前提の設定になっているのが原因なのだが、設定の再読み込みする必要があるため）

仕方ないのでcertbotを諦めて、letsencryptを実行する方法を取った。

$ sudo letsencrypt certonly --standalone -d [ドメイン名]

証明書の取得ができたら、nginxを再起動して設定を読み込ませる。

$ sudo systemctl restart nginx

ここで、エラーが出るようだと証明書の取得に失敗しているか、/etc/nginx/sites-enabled/pleroma.nginxに間違いがある。

pleromaのサービス登録

先にこれを行ってもいいのだけど、なんとなくここで。実際はnginxの設定を終わらせた直後に行なうべきかと。

最初に、pleromaに用意してあるsystemctl用のスクリプトを/etc/systemd/system/へコピーする

$ cp /home/pleroma/pleroma/installation/pleroma.service /etc/systemd/system/

コピーしたpleroma.serviceに追記が必要なのでnanoで編集する。追記箇所は下の+の1行。

[Unit]
Description=Pleroma social network
After=network.target postgresql.service

[Service]
User=pleroma
WorkingDirectory=/home/pleroma/pleroma
Environment="HOME=/home/pleroma"
+ Environment="MIX_ENV=prod"
ExecStart=/usr/local/bin/mix phx.server
ExecReload=/bin/kill $MAINPID
KillMode=process
Restart=on-failure

[Install]
WantedBy=multi-user.target
Alias=pleroma.service

編集後、サービスを有効化する。

$ sudo systemctl enable pleroma --now

$ sudo systemctl enable pleroma
$ sudo systemctl start pleroma

 最終作業

外部ブラウザでアクセス

設置作業は以上で終わりなので、スマホ等でサイトへアクセスする。（PCからならテザリングか外部のVPN経由で）

問題なければ、ちゃんと表示されるのでアカウントを作成する。

アカウント追加を停止する

アカウントができたら、これ以上のアカウント追加をできないよう/home/pleroma/pleroma/config/prod.secret.exsをnanoで開く。

$ sudo nano /home/pleroma/pleroma/config/prod.secret.exs

registrations_openを下記のように編集する

  registrations_open: false

編集終了後、pleromaサービスを再起動して置く

$ sudo systemctl reload pleroma

Let’s Encryptの自動更新を有効にする

30日を超えて証明書の更新がないと無効になるようなので、定期的に自動更新をするように設定する必要がある。

まずは、ちゃんと更新ができるか確認。

$ sudo certbot renew

以下のようなメッセージが出ているならOK。

Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/[ドメイン名].conf
-------------------------------------------------------------------------------
Cert not yet due for renewal

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/[ドメイン名]/fullchain.pem (skipped)
No renewals were attempted.

要するに、取得したばかりで更新の必要がないと言ってるだけで、更新手続きそのものは正常にできてる。

今度は、crontabファイルに定期実行するよう追記する。

0  1    1,15 * *        root    /usr/bin/cerbot renew --quiet

毎月1日15日AM1:00に更新を実行するようにしています。

参考にしたサイト

404 Not Found

i2p.rocks

https://git.pleroma.social/pleroma/pleroma/wikis/Pleroma%e3%81%ae%e5%85%a5%e3%82%8c%e6%96%b9

git.pleroma.social

Raspbian Stretch Liteのインストール

Etcherを使ってimgファイルを書きこみ。

balenaEtcher - Flash OS images to SD cards & USB drives

A cross-platform tool to flash OS images onto SD cards and USB drives safely and easily. Free and open source for makers...

etcher.io

一度マウントが解除されるのでマウントし直して、ターミナルから次のコマンドで空ファイルを作り、SSHを有効にしておく（今のバージョンは無効になってるらしいので）

> touch /Volumes/boot/ssh

ラズパイは有線LAN接続して、SDカードを入れ電源をONにする。

Raspbianの初期設定

アップデートと自動更新の設定

SSHで接続して、アップデート実施。

$ sudo apt-get update && sudo apt-get -y dist-upgrade && sudo apt-get -y autoremove && sudo apt-get autoclean
$ sudo rpi-update

次に、ソフトの自動更新するようunattended-upgradesを導入。

$ sudo apt-get install -y unattended-upgrades

このままでは動作しないようなので、/etc/apt/apt.conf.d/20auto-upgradesを再生成する。

$ sudo dpkg-reconfigure -plow unattended-upgrades

この画面で、「アップデートがあった場合、自動的にダウンロードとアップデートしていいか？」と聞かれるので<Yes>を選択。

次にこの画面になるので、画像にあるように次の内容に修正する。

"origin=${distro_id},codename=${distro_codename}";

最低限これで動作するはず。これ以外の設定は下記ページ参照。

Debian 系で unattended-upgrades を有効にする場合の追加設定 (メール通知, autoremove, autoclean, 再起動) - Qiita

何台か趣味のサーバ用に Ubuntu Server を動かしている。 趣味のサーバは時間が取れないことがあるので、手動アップデートだと忘れてしまうことがある。 unattended-upgrades を有効にすると、セキュリティ上重要なアッ...

qiita.com

IPアドレスの固定

/etc/dhcpcd.confを編集する。

sudo nano /etc/dhcpcd.conf

編集するのは次の箇所。

interface eth0
static ip_address=[固定するラズパイのIPアドレス]
static routers=[デフォルトゲートウェイ（基本的にルータのIPアドレス）]
static domain_name_servers=[DNSサーバアドレス（基本的にルータのIPアドレス）] 1.1.1.1

ルータ側で払い出しIPアドレスを固定することができるならそっちもしておいた方が、いざって時にいいかも。

セカンダリDNSに指定した1.1.1.1は、最近公開されたプライバシー重視らしいパブリックDNS。
詳しいことはこちら。

1.1.1.1 — インターネットを高速にする無料アプリ

携帯電話でのインターネット利用を高速化し、プライバシー保護と信頼性を強化する無料アプリを、インストールしてください。

1.1.1.1

raspi-configの設定

raspi-configを起動して、設定を実施。

• Change User Passwordでパスワードを変更
• Localisation Options→Change Localeでja_JP.UTF-8を指定
• Localisation Options→Change TimezoneでAsia→Tokyoを指定

ここまでは必須。以下は任意。

• Overclock→Highに変更
• Advanced Options→Expand FilesystemでSDカード全域を利用する（初回起動時に設定されてるぽい）

<Finish>を選択すると再起動するか確認されるので、再起動実施。

セキュリティ向上作業

最低限のセキュリティを確保するために、初期ユーザーであるpiのユーザー名を切り替えます。

そのままでは、当然変更できないので作業用ユーザ（temp）を作成する。

$ sudo useradd -M temp

そのままでは、sudoコマンドが利用できないので、作業用ユーザをsudoグループに追加し、パスワードを設定して、一度SSHから抜ける。

$ sudo gpasswd -a temp sudo
$ sudo passwd temp
$ exit

今度は、作業用ユーザでログインしてpiを新ユーザ名に変更する。

$ sudo usermod -l [新ユーザ名] pi

その後で、ホームディレクトリも新ユーザ名に合わせて作成し、piからデータを移動させる（でもここまでの作業でホームディレクトリは空なので必要ないかも）

$ sudo usermod -d /home/[新ユーザ名] -m [新ユーザ名]

さらに、piグループも新ユーザ名に変更してログアウト。

$ sudo groupmod -n [新ユーザ名] pi
$ exit

これで、piから新ユーザ名に切り替わったので、新ユーザ名でSSHでログインします。
その上で作業用ユーザを削除します。

$ sudo userdel temp

さらに、rootユーザも有効になっているため、ロックして無効化します（sudoつけるの面倒だけど、セキュリティ上無効にしておきたい）

$ sudo passwd -l root

これで最低限のセキュリティは確保できたはず。

秘密鍵を使ってssh接続する＋パスワード入力を省略する

sshの秘密鍵を作ってsshの設定も済ませてしまう。

Mac側での作業

Macのターミナルで次のコマンドで鍵を作る。

> ssh-keygen -t rsa

作成する際、次の３つの質問があるが全部Enterキーで空入力する

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/tool-lab/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again:

※今回はラズパイ1台だけなのでkeyファイル名はデフォルトのままにしてるだけ。複数台で鍵の使い分けが必要なら１行目のkeyファイル名の指定は必須。

出来上がった.ssh/id_rsa.pubをラズパイへコピー。

> scp .ssh/id_rsa.pub pi@raspberrypi.local:

ラズパイ側での作業

ログインして、次のコマンドでkeyファイルを~/.sshディレクトリへ移動と名前を変更する。

$ mkdir .ssh
$ cat id_rsa.pub >> .ssh/authorized_keys

外部からのアクセスを禁止するためパーミッションの変更を実施し、~/id_rsa.pubを削除。

$ chmod 700 .ssh
$ chmod 600 .ssh/authorized_keys
$ rm id_rsa.pub

鍵の準備ができたので、sshサーバーの設定を変更するため、/etc/ssh/sshd_configを編集する。

$ sudo nano /etc/ssh/sshd_config

※エディタはviでもemacsでもvimでもご自由に。Raspbianのデフォルトがnanoで使いやすいからなだけ。

編集箇所と編集内容は次の通り。
基本的にはコメントアウトされてるので解除してyes/noに変更するだけ。

Port [任意のポート番号(10000〜65535)]
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no

Portは、22番から任意の番号に変更する。
変更後、次のコマンドでsshdの再起動をして変更を反映する。

$ sudo systemctl restart ssh

新しくターミナルを開いて、ログインがうまく行くことを確認する。
うまくいかない時はやり直し。

SSHのクライアントのConfigファイルの設定

このままだとSSHを起動する時にオプションやらつけて入力が面倒なのでMacに~/.ssh/configファイルを作る。内容は次の通り。

Host [任意の名前]
 HostName [ラズパイのIPアドレス]
 User [新ユーザ名]
 Port [ラズパイの/etc/ssh/sshd_config内のPortで指定した番号]
 IdentityFile ~/.ssh/id_rsa

これで、任意の名前でSSHログイン可能になる。

DDNSの設定

DDNSには、No-IP.comを利用しました。

No-IP | Smarter DNS Starts Here

No-IP is a Free Dynamic DNS and Managed DNS provider with 100% uptime. Get free DDNS, plus domain registration and SSL c...

www.noip.com

DUC（Dynamic Update Client）のインストール

ドメイン名を確保したら、以下のページにある手順でDUCをインストールしてグローバルIPの変更に対応できるようにする。

How to Install the Linux Dynamic Update Client (DUC) | Support | No-IP Knowledge BaseSupport | No-IP Knowledge Base

What is No-IP’s Linux  DUC? No-IP’s Dynamic Update Client for Linux is a lightweight program that keeps a hostname in sy...

www.noip.com

実際のコマンドは次の通り。

$ cd /usr/local/src
$ sudo wget http://www.no-ip.com/client/linux/noip-duc-linux.tar.gz
$ sudo tar xzf noip-duc-linux.tar.gz
$ cd noip-2.1.9-1
$ sudo make install

※ディレクトリ名は執筆時当時のものなので確認して実行すること。

make installするときにエラーが出るけど、問題がないので無視してOK。
make installを実行したら、No-IP.comのID（メールアドレス）とパスワードを聞かれるので入力。
次に更新間隔を分単位で入力するので、短めの時間（3〜5分）で一度設定。入力しない場合は30分間隔で更新する。

Please enter an update interval:[30]

その後

Do you wish to run something at successful update?[N] (y/N)

と、更新成功時に何か実行するかと聞かれるけど、実行するものもないのでそのままEnter。

終了したら、次のコマンドでDUCを起動して様子見。

$ sudo /usr/local/bin/noip2

指定した時間が過ぎたら、

$ sudo /usr/local/bin/noip2 -S

でIPが取得されているか確認。

$ sudo /usr/local/bin/noip2 -U 30
$ sudo /usr/local/bin/noip2 -S

これを実行して、更新間隔を30分にして、更新間隔が30分になっていることを確認。

DUCをサービス登録する

再起動した時に自動的に起動できるよう、サービス登録をする。
ググって見つけてきたこちらの設定ファイルを利用。

$ sudo nano /etc/systemd/system/noip2.service

で、コードをコピペして保存したら、コードに記載されているコマンドを実行してサービスに登録→再起動。

$ sudo systemctl enable noip2
$ sudo systemctl start noip2
$ sudo reboot

再起動後に、ちゃんと動いていることを確認しておく。

$ sudo systemctl status noip2
$ sudo /usr/local/bin/noip2 -S

後は30日に1回メールが来るはずなので、その都度ログインして更新しておく。

参考にしたサイト

以下のページを参考にしました。

【Buster対応】Raspbianのインストールと最強の初期設定 | なうびるどいんぐ

Raspberry Piをサーバーにして使うときにやっておきたい設定いろいろ。Raspberry Piで使うDebian系LinuxのRaspbian(Raspberry Pi OS)、セットアップの時にやってる「インストールしたらこれをや...

jyn.jp

Raspberry Piに公開鍵認証を使ってssh接続する | ツール・ラボ

Raspberry Piに固定IPアドレスを割り当てて、Macのターミナルからssh接続できるようにしました。今回は、もうちょっと安全&簡単に接続できるように設定してみます。 ssh接続時の認証方法 前回までのRaspberry P

tool-lab.com