ArchWiki - 利用者の投稿記録 [ja]

利用者:Fragment

2025-08-22T02:18:27Z

Fragment:

Slackでニュース翻訳要約してる人

Nftables

2017-01-14T10:34:31Z

Fragment: /* シンプルな IP/IPv6 ファイアウォール */ ポート番号修正

{{DISPLAYTITLE:nftables}}
[[Category:ファイアウォール]]
[[en:nftables]]
{{Related articles start}}
{{Related|ファイアウォール}}
{{Related|iptables}}
{{Related articles end}}
[http://netfilter.org/projects/nftables/ nftables] は既存の ip-, ip6-, arp-, ebtables フレームワークを置き換える netfilter のプロジェクトです。新しいパケットフィルタリングフレームワーク、新しいユーザースペースユーティリティ (nft)、そして ip- と ip6tables の互換レイヤーを提供します。現行のフック、接続追跡システム、ユーザースペースのキューイングコンポーネント、そして netfilter のログサブシステムを使っています。

nftables は3つのメインコンポーネントから構成されています: カーネルの実装、libnl netlink communication そして nftables ユーザースペースフロントエンド。カーネルは netlink の設定インターフェイスだけでなく、小さなクラス言語インタプリタを使用するランタイムのルールセットの評価も提供します。libnl にはカーネルと通信するためのローレベルな関数が含まれています。nftables フロントエンドはユーザーが対話するものです。

[http://wiki.nftables.org nftables の公式 wiki] には詳しい情報が載っています。

== インストール ==

Linux カーネル 3.13 から nftables を使うことはできますが、できるかぎり最新のカーネルを使用すること推奨します。nftables のユーザーランドユーティリティは {{Pkg|nftables}} パッケージで利用できます。[[Arch User Repository|AUR]] には {{AUR|nftables-git}} パッケージも存在します。

== 基本的な実装 ==

他のファイアウォールと異なり、nftables ではコマンドラインで作成される一時的なルールと、ファイルに保存して読み込まれる永続的なルールを区別しています。デフォルトファイルの {{ic|/etc/nftables.conf}} には "inet filter" という名前のシンプルな ipv4/ipv6 ファイアウォールテーブルが既に記述されています。

=== デフォルトルールセットのロード ===

{{ic|nftables.service}} を[[起動]]・[[有効化]]してください。

以下のコマンドでルールセットを確認できます:

# nft list ruleset

inet filter テーブルの設定が表示された場合、デスクトップとしてインターネットを問題なく利用できます。

{{Note|systemd サービスが正しく動作するように必要な nftables 関連のモジュール全てのエントリを含む {{ic|/etc/modules-load.d/nftables.conf}} を作成する必要があります。モジュールのリストは次のコマンドで取得可能です: {{bc|<nowiki>$ lsmod | grep '^nf'</nowiki>}} 作成していないと、{{ic|Error: Could not process rule: No such file or directory}} エラーで終了してしまいます。}}

== nft ==
nftables のユーザースペースユーティリティ {{ic|nft}} は現在カーネルのためにルールセットを処理する前にほとんどのルールセットの評価を行います。そのため、nftables はデフォルトのテーブルやチェインを提供していません。しかしながらユーザーが iptables のような設定をエミュレートすることが可能です。

{{Note|{{Pkg|nftables}} には "filter" テーブルが記述されている {{ic|/etc/nftables.conf}} が含まれています。このテーブルのルールでは、特定のプロトコルだけを許可して、他のプロトコルは全て拒否するようになっています。}}

nft は ifconfig や iproute2 と同じような感じで動作します。iptables のように引数のスイッチを使う代わりに、長く構造化された連続のコマンドになります。例えば:
nft add rule ip6 filter input ip6 saddr ::1 accept
{{ic|add}} はコマンドです。{{ic|rule}} は {{ic|add}} のサブコマンドです。{{ic|ip6}} は {{ic|rule}} の引数で、ip6 ファミリーを使うことを宣言しています。{{ic|filter}} と {{ic|input}} は {{ic|rule}} の引数で、それぞれ使用するテーブルとチェインを指定しています。残りはルールの定義で、マッチ ({{ic|ip}}) とパラメータ ({{ic|saddr}})、パラメータの引数 ({{ic|::1}}) そしてジャンプ ({{ic|accept}}) からなります。

以下は nft で利用できるコマンドの不完全なリストです:
<nowiki>
list
tables [family]
table [family] <name>
chain [family] <table> <name>

add
table [family] <name>
chain [family] <table> <name> [chain definitions]
rule [family] <table> <chain> <rule definition>

table [family] <name> (shortcut for `add table`)

insert
rule [family] <table> <chain> <rule definition>

delete
table [family] <name>
chain [family] <table> <name>
rule [family] <table> <handle>

flush
table [family] <name>
chain [family] <table> <name></nowiki>
{{ic|family}} は任意ですが、デフォルトは {{ic|ip}} になります。

==テーブル==
テーブルの用途はチェインを保持することです。iptables のテーブルと違って、nftables には初めから組み込まれているテーブルはありません。テーブルは指定の5つのファミリーのうちどれか一つを持つことができ、それによって様々な iptables のユーティリティを一つに統一します:

{| class="wikitable"
! nftables ファミリー || iptables ユーティリティ
|-
| ip || iptables
|-
| ip6 || ip6tables
|-
| inet || iptables と ip6tables
|-
| arp || arptables
|-
| bridge || ebtables
|}

=== ファミリー ===

{{ic|ip}} (IPv4) がデフォルトのファミリーです。特に指定がなければ {{ic|ip}} が使われます。

IPv6 は {{ic|ip6}} で指定できます。

IPv4 と IPv6 の両方に適用されるルールを作成するには {{ic|inet}} を使います。Linux 3.15 以上が必要で、{{ic|ip}} と {{ic|ip6}} ファミリーを統一してルールを簡単に定義できます。

{{Note|{{ic|inet}} は {{ic|nat}} タイプのチェインでは使えず、{{ic|filter}} タイプのチェインを使う必要があります ([http://www.spinics.net/lists/netfilter/msg56411.html ソース])。}}

===表示===
ファミリーの現在のテーブルは {{ic|nft list}} コマンドで一覧できます。
# nft list tables
# nft list tables ip6

テーブルの名前を指定することで完全なテーブルの定義を一覧できます:
# nft list table ''foo''
# nft list table ''ip6 foo''

===作成===
テーブルは2つのコマンド (片方はもう片方のショートカットです) で追加することができます。以下は foo という名前の ip テーブルと foo という名前の ip6 テーブルを追加する例です:
# nft add table ''foo''
# nft table ''ip6 foo''
ファミリーが異なっていれば同じ名前のテーブルを作ることが可能です。

===削除===
テーブルを削除することができるのはチェインが存在しない場合だけです。
# nft delete table ''foo''
# nft delete table ''ip6 foo''

==チェイン==
チェインの用途はルールを保持することです。iptables のチェインと違って、nftables には初めから組み込まれているチェインはありません。そのためチェインが netfilter フレームワークにあるタイプやフックをどれも使わない場合、iptables とは異なりチェインを通り抜けるパケットは nftables の影響を受けません。

===表示===
{{ic|nft list table foo}} コマンドは foo テーブルの全てのチェインを表示します。個々のチェインからルールを一覧することもできます。
# nft list chain ''foo'' ''bar''
# nft list chain ''ip6 foo bar''
上記コマンドは ip と ip6 の {{ic|foo}} テーブルの {{ic|bar}} チェインを表示します。

===作成===
テーブルがファイル定義や {{ic|nft add chain}} コマンドによって作成されたら、チェインを追加することができます。
# nft add chain ''foo'' ''bar''
# nft add chain ''ip6 foo bar''
上記コマンドは {{ic|bar}} という名前のチェインを ip と ip6 の {{ic|foo}} テーブルに追加します。

====プロパティ====
nftables には組み込みチェインが存在しないため、チェインは netfilter フレームワークの特定の機能にアクセスすることができます。
# nft add chain filter input \{ type filter hook input priority 0\; \}
上記コマンドは nftables に {{ic|input}} という名前のチェインを {{ic|filter}} テーブルに追加させ、そのタイプ・フック・プライオリティを定義します。これらのプロパティは基本的に iptables で組み込まれているテーブルやチェインを置き換えるものです。

=====タイプ=====
チェインには3つのタイプがあり、iptables で使われているテーブルと対応しています:
*filter
*nat
*route (mangle)

=====フック=====
チェインは6つのフックを使うことができ、ingress 以外は iptables で使われているチェインと対応しています:
*ingress
*input
*output
*forward
*prerouting
*postrouting

ingress フックは既存の {{ic|tc}} ユーティリティを置き換えます。

=====プライオリティ=====
{{Note|
* パケットが先に来るチェインにはプライオリティの効果はありません。
* プライオリティは符号なしの整数として設定するようになっているため、負のプライオリティを設定した場合、優先度は逆に高くなります。}}
プライオリティは nftables がどのパケットを初めに通過させるかを示します。整数で指定し、高い値を与えるほど優先されます。

=== 編集 ===

チェインを編集するには、以下のようにコマンドを実行してください:

# <nowiki>nft chain <table> <family> <chain> { [ type <type> hook <hook> device <device> priority <priority> \; policy <policy> \; ] }</nowiki>

例えば、デフォルトテーブルの input チェインのポリシーを "accept" から "drop" に変更するには:

# nft chain inet filter input { policy drop \; }

===削除===
チェインはルールが存在しない場合にのみ削除することができます。
# nft delete chain ''foo bar''
# nft delete chain ''ip6 foo bar''
以上のコマンドは ip と ip6 の {{ic|foo}} テーブルから {{ic|bar}} チェインを削除します。

==ルール==
ルールの用途はパケットを識別（マッチ）して処理を実行（ジャンプ）することです。iptables と同じように、様々なマッチやジャンプが利用できますが、nftables には欠けている機能も存在します。

===表示===
テーブルを表示するのと同じ方法を使って、{{ic|nft list}} コマンドでテーブルの中の現在のルールを表示することができます。個別のチェインからルールを表示することも可能です。
# nft list chain ''foo bar''
# nft list chain ''ip6 foo bar''
上記のコマンドで、ip と ip6 の {{ic|foo}} テーブルの {{ic|bar}} チェインのルールが表示されます。

===作成===
テーブルがファイル定義や {{ic|nft add rule}} コマンドによって作成されたら、ルールを追加することができます。
# nft add rule foo bar ip saddr 127.0.0.1 accept
# nft add rule ip6 foo bar ip saddr ::1 accept
上記のコマンドで、ip と ip6 の {{ic|foo}} テーブルの {{ic|bar}} チェインにルールが追加され、{{ic|saddr}} (ソースアドレス) が 127.0.0.1 (IPv4) や ::1 (IPv6) の場合に {{ic|ip}} パケットにマッチして、パケットを許可します。

====マッチ====
nftables では様々なマッチを使うことができ、ほとんどは、iptables と対応するようになっています。一番大きな違いは汎用的なマッチと暗黙的なマッチが存在しないことです。汎用的なマッチとは、{{ic|--protocol}} や {{ic|--source}} のように、いつでも使うことができるマッチで、暗黙的なマッチとは、{{ic|--sport}} のように、特定のプロトコルでしか使えないマッチのことです。

以下は利用できるマッチの一部です:

* meta (メタプロパティ。例: インターフェイス)
* icmp (ICMP プロトコル)
* icmpv6 (ICMPv6 プロトコル)
* ip (IP プロトコル)
* ip6 (IPv6 プロトコル)
* tcp (TCP プロトコル)
* udp (UDP プロトコル)
* sctp (SCTP プロトコル)
* ct (接続のトラッキング)

以下はマッチ引数の一部です (完全なリストは {{man|8|nft|url=http://www.netfilter.org/projects/nftables/manpage.html}} を見て下さい):
<nowiki>
meta:
oif <output interface INDEX>
iif <input interface INDEX>
oifname <output interface NAME>
iifname <input interface NAME>

(oif and iif accept string arguments and are converted to interface indexes)
(oifname and iifname are more dynamic, but slower because of string matching)

icmp:
type <icmp type>

icmpv6:
type <icmpv6 type>

ip:
protocol <protocol>
daddr <destination address>
saddr <source address>

ip6:
daddr <destination address>
saddr <source address>

tcp:
dport <destination port>
sport <source port>

udp:
dport <destination port>
sport <source port>

sctp:
dport <destination port>
sport <source port>

ct:
state <new | established | related | invalid></nowiki>

====ジャンプ====
ジャンプは iptables と同じように使うことができますが、ひとつのルールで複数のジャンプを使用できるようになっています。
# nft add rule filter input tcp dport 22 log accept

以下はジャンプの未完成なリストです:
*accept (パケットを許可)
*reject (パケットを拒否)
*drop (パケットを破棄)
*snat (送信元 NAT を実行)
*dnat (宛先 NAT を実行)
*log (パケットを記録)
*counter (パケットカウンタを保持、nftables ではカウンタはオプションです)
*return (チェインの横断を停止)
*jump <chain> (他のチェインにジャンプ)
*goto <chain> (他のチェインにジャンプ、元のチェインに戻らない)

===挿入===

====先頭に追加====
{{ic|nft insert rule}} コマンドでチェインにルールを挿入することができます。
# nft insert rule filter input ct state established,related accept

==== 特定の場所に追加 ====

Nftables はハンドルを使用してルールの位置を定義します。情報を取得するには、-a フラグを付けてルールセットを確認してください:

# nft list ruleset -a

特定のハンドラが付いているルールの後にルールを追加するには:

# nft add rule ''table_name'' ''chain_name'' position ''handler_number'' ''[rule-definition]''

===削除===
個々のルールはハンドルを使わないと削除することができません。{{ic|nft --handle list}} コマンドを使うことでルールのハンドルを確認できます。{{ic|--handle}} スイッチを付けると、{{ic|nft}} はハンドルを出力するようになります。

以下ではルールのハンドルを確認してルールを削除しています。未解決の IP アドレスのような、数字の出力を表示するときは {{ic|--number}} 引数を使うと良いでしょう。
{{hc|# nft --handle --numeric list chain filter input|2=
<nowiki>
table ip fltrTable {
chain input {
type filter hook input priority 0;
ip saddr 127.0.0.1 accept # handle 10
}
}
</nowiki>
}}
# nft delete rule fltrTable input handle 10

{{ic|nft flush table}} コマンドを使うことでテーブルの全てのチェインをフラッシュできます。個別のチェインをフラッシュするときは {{ic|nft flush chain}} または {{ic|nft delete rule}} コマンドを使います。
# nft flush table foo
# nft flush chain foo bar
# nft delete rule ip6 foo bar
最初のコマンドでは ip {{ic|foo}} テーブルのチェイン全てをフラッシュします。2番目のコマンドは ip {{ic|foo}} テーブルの {{ic|bar}} チェインをフラッシュします。3番目のコマンドは ip6 {{ic|foo}} テーブルの {{ic|bar}} チェインの全てのルールを削除します。

===アトミックリロード===
現在のルールセットをフラッシュする:
# echo "flush ruleset" > /tmp/nftables
現在のルールセットをダンプする:
# nft list ruleset >> /tmp/nftables
{{ic|/tmp/nftables}} を編集して次のコマンドで変更を適用:
# nft -f /tmp/nftables

==ファイル定義==
{{ic|nft -f}} コマンドでファイル定義を利用することができます。このコマンドは {{ic|iptables-restore}} コマンドと同じように動作します。ただし、{{ic|iptables-restore}} と違って、既存のルールセットをフラッシュしないので、前もって flush コマンドを実行する必要があります。
{{hc|/etc/nftables/filter.rules|2=
<nowiki>
flush table ip filter
table ip filter {
chain input {
type filter hook input priority 0;
ct state established,related accept
ip saddr 127.0.0.1 accept
tcp dport 22 log accept
reject
}
}
</nowiki>
}}

ルールを ({{ic|iptables-save}} のように) エクスポートするには:
# nft list ruleset

==基本的なファイアウォール==
以下の例は ''nft'' コマンドを使ってベーシックな ''IPv4'' ファイアウォールを設定する方法を示しています。IPv4 と IPv6 の両方をフィルタリングしたい場合、{{ic|/usr/share/nftables}} にある他のサンプルを見たり、{{ic|/etc/nftables.conf}} のデフォルト (IPv4/IPv6 で動作するように設定済みです) を使うようにしてください。

[[iptables]] のようなチェインを設定するには、まず備え付けの IPv4 フィルターファイルを使う必要があります:

# nft -f /usr/share/nftables/ipv4-filter

作成されたチェインを表示するには:

# nft list table filter

特定の宛先への出力を破棄:

# nft add rule ip filter output ip daddr 1.2.3.4 drop

宛先がローカルのポート 80 のパケットを破棄:

# nft add rule ip filter input tcp dport 80 drop

チェインの全てのルールを削除:

# nft delete rule filter output

==サンプル==
===シンプルな IP/IPv6 ファイアウォール===

{{hc|firewall.rules|2=<nowiki>
# A simple firewall

flush ruleset

table inet filter {
chain input {
type filter hook input priority 0; policy drop;

# established/related connections
ct state established,related accept

# invalid connections
ct state invalid drop

# loopback interface
iif lo accept

# ICMP
# routers may also want: mld-listener-query, nd-router-solicit
ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept
ip protocol icmp icmp type { destination-unreachable, router-advertisement, time-exceeded, parameter-problem } accept

# SSH (port 22)
tcp dport ssh accept

# HTTP (ports 80 & 443)
tcp dport { http, https } accept
}
}</nowiki>}}

===Limit rate IP/IPv6 ファイアウォール===

{{hc|firewall.2.rules|2=<nowiki>
table inet filter {
chain input {
type filter hook input priority 0; policy drop;

# no ping floods:
ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 10/second accept
ip protocol icmp icmp type echo-request limit rate 10/second accept

ct state established,related accept
ct state invalid drop

iifname lo accept

# avoid brute force on ssh:
tcp dport ssh limit rate 15/minute accept

}
}
</nowiki>}}

===ジャンプ===
設定ファイルでジャンプを使うときは、先にターゲットチェインを定義する必要があります。そうしないと {{ic|Error: Could not process rule: No such file or directory}} というエラーが発生します。
{{hc|jump.rules|2=
<nowiki>
table inet filter {
chain web {
tcp dport http accept
tcp dport 8080 accept
}
chain input {
type filter hook input priority 0;
ip saddr 10.0.2.0/24 jump web
drop
}
}
</nowiki>
}}

== 実践的なサンプル ==

=== インターフェイスによってルールを変える ===

複数のネットワークインターフェイスが存在する場合、それぞれのインターフェイスごとに別々のフィルターチェインを設定したい場合があるかもしれません。例えば、ホームルーターを構築するとき、LAN 上でアクセスできるウェブサーバーを実行しつつ ({{ic|nsp3s0}} インターフェイス)、インターネットからはアクセスできないようにしたい場合 ({{ic|enp2s0}} インターフェイス) などは以下のように設定します:

<nowiki>table inet filter {
chain input { # this chain serves as a dispatcher
type filter hook input priority 0;

iifname lo accept # always accept loopback
iifname enp2s0 jump input_enp2s0
iifname enp3s0 jump input_enp3s0

reject with icmp type port-unreachable # refuse traffic from all other interfaces
}
chain input_enp2s0 { # rules applicable to public interface interface
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
reject with icmp type port-unreachable # all other traffic
}
chain input_enp3s0 {
ct state {established,related} accept
ct state invalid drop
udp dport bootpc accept
tcp dport bootpc accept
tcp port http accept
tcp port https accept
reject with icmp type port-unreachable # all other traffic
}
chain ouput { # we let everything out
type filter hook output priority 0;
accept
}
}</nowiki>

もしくは {{ic|iifname}} ステートメントを特定のインターフェイスで使用して、他のインターフェイスについてはデフォルトルールを設定するという方法もあります。

=== マスカレード ===

nftables には特殊なキーワード {{ic|masquerade}} が存在し、送信元アドレスが自動的に出力インターフェイスのアドレスに設定されます ([http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_%28NAT%29#Masquerading ソース])。ルーターのインターフェイスが多数の ISP に接続されているときなど、インターフェイスの IP アドレスが一定でない場合に有用です。通常は、インターフェイスの IP アドレスが変わるたびにネットワークアドレス変換 (NAT) のルールを更新する必要があります。

{{ic|masquerade}} を使用するには:

* カーネルのバージョンが 3.18 以上である必要があります。
* カーネルコンフィグで以下のマスカレード設定が有効になっている必要があります。

CONFIG_NFT_MASQ=m

* {{ic|masquerade}} キーワードは {{ic|nat}} タイプのチェインでのみ使うことができ、{{ic|inet}} ファミリーのテーブルでは利用できません。{{ic|ip}} ファミリーや {{ic|ip6}} ファミリーのテーブルを使ってください。
* マスカレードは一種のソース NAT であり、出力パスでのみ機能します。

2つのインターフェイスが存在し {{ic|nsp3s0}} が LAN に接続され、{{ic|enp2s0}} がインターネットに接続されているマシンでの設定例:

<nowiki>table ip nat {
chain prerouting {
type nat hook prerouting priority 0;
}
chain postrouting {
type nat hook postrouting priority 0;
oifname "enp0s2" masquerade
}
}</nowiki>

==Syslog にログを出力する==

Linux カーネル 3.17 未満を使っている場合、ログ出力を有効にするには {{ic|xt_LOG}} を modprobe する必要があります。

==参照==
* [https://wiki.nftables.org/ netfilter nftables wiki]
* [https://lwn.net/Articles/324251/ nftables の最初のリリース]
* [https://home.regit.org/netfilter-en/nftables-quick-howto/ nftables クイックハウツー]
* [https://lwn.net/Articles/564095/ nftables の帰還]
* [http://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course-nftables/ What comes after ‘iptables’? It’s successor, of course: `nftables`]

Certbot

2016-12-23T13:35:14Z

Fragment:

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:Let’s Encrypt]]
[https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオープンな認証局です。[[Wikipedia:ja:Automated Certificate Management Environment|ACME]] プロトコルを利用しています。

公式クライアントは '''Certbot''' という名前で、コマンドラインから有効な X.509 証明書を取得できます。また、手動で CSR 作成を行うミニマルなクライアントを {{AUR|acme-tiny}} でインストールすることができます。スクリプトで使用するのに適したクライアントとして {{AUR|simp_le-git}} や {{AUR|letsencrypt-cli}} も存在します。

{{Note|以前 ''Let’s Encrypt クライアント''と呼ばれていた公式クライアントは、現在 ''Certbot'' と呼ばれています。}}

== Certbot ==

''Certbot'' は公式のリファレンスクライアントです。Python で書かれており、証明書を取得するためのコマンドラインツールを提供します。

=== インストール ===

{{Pkg|certbot}} パッケージを[[インストール]]してください。

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
* [[Nginx]] 用の実験的なプラグインは {{Pkg|certbot-nginx}} パッケージに入っています。
* {{Pkg|certbot-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

=== 設定 ===

証明を作成・インストールする方法は [https://certbot.eff.org/docs/ Certbot のドキュメント] を参照してください。

==== 手動 ====

{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}
{{Note|この方法では、自動的に証明書を更新することはできません。自動更新を行いたい場合には、[[#Webroot]]メソッドを使用してください。}}

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
# certbot certonly --manual

DNSのTXTレコードを利用した認証を行う場合、次のコマンドを使って下さい:
# certbot certonly --manual --preferred-challenges dns

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

{{Note|このコマンドを複数回実行すると、{{ic|/etc/letsencrypt/live/''your.domain''/}}に複数のファイルが作成されます。そのディレクトリにあるファイル名かウェブサーバーの設定を書き換える必要があることに注意してください。}}

==== Webroot ====

webroot の方法では、{{ic|yourdomain.tld/.well-known/acme-challenge/}} でチャレンジ/レスポンス認証が行われます。ウェブサーバーを止めることなく証明書を取得・更新できます:

# certbot certonly --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''

サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。

{{Note|Apacheまたはnginxの場合、{{ic|--webbroot}}ではなく{{ic|--apache}}または{{ic|--nginx}}をそれぞれ使用します。ポート443の代わりにポート80を使用して検証する必要がある場合は、{{ic|--webroot}}を使用します。}}

===== マルチドメイン =====

複数のドメインあるいはサブドメインを使用する場合、全てのドメインに対して webroot を指定する必要があります。別の webroot を指定しないと、既存の webroot が使われます。

{{ic|/.well-known/acme-challenge/}} への http リクエストを全て一つのフォルダ (例: {{ic|/var/lib/letsencrypt}}) にまとめることで、マルチドメインの管理がとても楽になります。nginx ならば、以下のようなファイルを作成:
{{hc|/etc/nginx/letsencrypt.conf|<nowiki>
location ^~ /.well-known/acme-challenge {
alias /var/lib/letsencrypt/.well-known/acme-challenge;
default_type "text/plain";
try_files $uri =404;
}
</nowiki>}}
そして証明書を作成したいサイトの server ブロックの中に以下のように記述します:
{{hc|/etc/nginx/servers/example.com.conf|<nowiki>
server {
...

include letsencrypt.conf;
}
</nowiki>}}

Apache の場合、{{ic|httpd-acme.conf}} ファイルを作成してください:
{{hc|/etc/httpd/conf/extra/httpd-acme.conf|<nowiki>
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
</nowiki>}}
そして {{ic|httpd.conf}} で上記ファイルをインクルードします:
{{hc|/etc/httpd/conf/httpd.conf|<nowiki>
Include conf/extra/httpd-acme.conf
</nowiki>}}
letsencrypt クライアントのパスから設定したパスに書き込めるように、また、ウェブサーバーから読み込めるようにする必要があります。次のコマンドを実行してください: {{ic|# chgrp http /var/lib/letsencrypt && chmod g+s /var/lib/letsencrypt}}。

===== 自動更新 =====

{{ic|certbot certonly}} を実行するとき、Certbot はドメインと webroot ディレクトリを {{ic|/etc/letsencrypt/renewal}} に記録します。次回からは {{ic|certbot renew}} を実行することで証明書を自動更新することができます。

====== サービス ======
以下の {{ic|.service}} ファイルを作成することで完全に自動化することが可能です:

{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --agree-tos}}

====== Standalone サービス ======
Standalone プラグインを使用する場合は更新リクエストを実行する前にウェブサーバーを停止させて、更新が完了してからウェブサーバーを再起動するようにします。Certbot のフックを使ってください。

'''Nginx'''
{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop nginx.service" --post-hook "/usr/bin/systemctl start nginx.service" --quiet --agree-tos}}

'''Apache'''
{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop httpd.service" --post-hook "/usr/bin/systemctl start httpd.service" --quiet --agree-tos}}

====== 自動更新タイマー ======

[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで証明書を更新できます (更新の必要がない証明書は自動的にスキップされます)。

{{hc|1=/etc/systemd/system/certbot.timer|
2=[Unit]
Description=Daily renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=daily
RandomizedDelaySec=1day
Persistent=true

[Install]
WantedBy=timers.target}}

{{ic|certbot.timer}} を[[起動]]・[[有効化]]してください。

証明書を更新するたびにウェブサーバーを再起動させると良いでしょう。{{ic|certbot.service}} ファイルに以下のどちらかの行を追加してください:

* Apache: {{ic|1=ExecStartPost=/bin/systemctl reload httpd.service}}
* nginx: {{ic|1=ExecStartPost=/bin/systemctl reload nginx.service}}

== 参照 ==

* [https://letsencrypt.org/docs/client-options/ ACME クライアントの一覧]

Certbot

2016-12-23T13:21:42Z

Fragment: 修正

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:Let’s Encrypt]]
[https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオープンな認証局です。[[Wikipedia:ja:Automated Certificate Management Environment|ACME]] プロトコルを利用しています。

公式クライアントは '''Certbot''' という名前で、コマンドラインから有効な X.509 証明書を取得できます。また、手動で CSR 作成を行うミニマルなクライアントを {{AUR|acme-tiny}} でインストールすることができます。スクリプトで使用するのに適したクライアントとして {{AUR|simp_le-git}} や {{AUR|letsencrypt-cli}} も存在します。

{{Note|以前 ''Let’s Encrypt クライアント''と呼ばれていた公式クライアントは、現在 ''Certbot'' と呼ばれています。}}

== Certbot ==

''Certbot'' は公式のリファレンスクライアントです。Python で書かれており、証明書を取得するためのコマンドラインツールを提供します。

=== インストール ===

{{Pkg|certbot}} パッケージを[[インストール]]してください。

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
* [[Nginx]] 用の実験的なプラグインは {{Pkg|certbot-nginx}} パッケージに入っています。
* {{Pkg|certbot-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

=== 設定 ===

証明を作成・インストールする方法は [https://certbot.eff.org/docs/ Certbot のドキュメント] を参照してください。

==== 手動 ====

{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}
{{Note|With this method, you will not be able to automatically renew certificates. If you are interested in auto-renewal you may want to use the [[#Webroot]] method.}}

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
# certbot certonly --manual

When preferring to use DNS challenge (TXT record) use:
# certbot certonly --manual --preferred-challenges dns

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

{{Note|Running this command multiple times will create multiple sets of files with a trailing number in {{ic|/etc/letsencrypt/live/''your.domain''/}} so take care to rename them in that directory or in the webserver config file.}}

==== Webroot ====

webroot の方法では、{{ic|yourdomain.tld/.well-known/acme-challenge/}} でチャレンジ/レスポンス認証が行われます。ウェブサーバーを止めることなく証明書を取得・更新できます:

# certbot certonly --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''

サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。

{{Note|For apache or nginx, use --apache or --nginx respectively instead of --webroot. If you require the verification through port 80 instead of port 443, use --webroot.}}

===== マルチドメイン =====

複数のドメインあるいはサブドメインを使用する場合、全てのドメインに対して webroot を指定する必要があります。別の webroot を指定しないと、既存の webroot が使われます。

{{ic|/.well-known/acme-challenge/}} への http リクエストを全て一つのフォルダ (例: {{ic|/var/lib/letsencrypt}}) にまとめることで、マルチドメインの管理がとても楽になります。nginx ならば、以下のようなファイルを作成:
{{hc|/etc/nginx/letsencrypt.conf|<nowiki>
location ^~ /.well-known/acme-challenge {
alias /var/lib/letsencrypt/.well-known/acme-challenge;
default_type "text/plain";
try_files $uri =404;
}
</nowiki>}}
そして証明書を作成したいサイトの server ブロックの中に以下のように記述します:
{{hc|/etc/nginx/servers/example.com.conf|<nowiki>
server {
...

include letsencrypt.conf;
}
</nowiki>}}

Apache の場合、{{ic|httpd-acme.conf}} ファイルを作成してください:
{{hc|/etc/httpd/conf/extra/httpd-acme.conf|<nowiki>
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
</nowiki>}}
そして {{ic|httpd.conf}} で上記ファイルをインクルードします:
{{hc|/etc/httpd/conf/httpd.conf|<nowiki>
Include conf/extra/httpd-acme.conf
</nowiki>}}
letsencrypt クライアントのパスから設定したパスに書き込めるように、また、ウェブサーバーから読み込めるようにする必要があります。次のコマンドを実行してください: {{ic|# chgrp http /var/lib/letsencrypt && chmod g+s /var/lib/letsencrypt}}。

===== 自動更新 =====

{{ic|certbot certonly}} を実行するとき、Certbot はドメインと webroot ディレクトリを {{ic|/etc/letsencrypt/renewal}} に記録します。次回からは {{ic|certbot renew}} を実行することで証明書を自動更新することができます。

====== サービス ======
以下の {{ic|.service}} ファイルを作成することで完全に自動化することが可能です:

{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --agree-tos}}

====== Standalone サービス ======
Standalone プラグインを使用する場合は更新リクエストを実行する前にウェブサーバーを停止させて、更新が完了してからウェブサーバーを再起動するようにします。Certbot のフックを使ってください。

'''Nginx'''
{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop nginx.service" --post-hook "/usr/bin/systemctl start nginx.service" --quiet --agree-tos}}

'''Apache'''
{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop httpd.service" --post-hook "/usr/bin/systemctl start httpd.service" --quiet --agree-tos}}

====== 自動更新タイマー ======

[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで証明書を更新できます (更新の必要がない証明書は自動的にスキップされます)。

{{hc|1=/etc/systemd/system/certbot.timer|
2=[Unit]
Description=Daily renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=daily
RandomizedDelaySec=1day
Persistent=true

[Install]
WantedBy=timers.target}}

{{ic|certbot.timer}} を[[起動]]・[[有効化]]してください。

証明書を更新するたびにウェブサーバーを再起動させると良いでしょう。{{ic|certbot.service}} ファイルに以下のどちらかの行を追加してください:

* Apache: {{ic|1=ExecStartPost=/bin/systemctl reload httpd.service}}
* nginx: {{ic|1=ExecStartPost=/bin/systemctl reload nginx.service}}

== 参照 ==

* [https://letsencrypt.org/docs/client-options/ ACME クライアントの一覧]

Certbot

2016-12-23T13:20:03Z

Fragment: 同期

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:Let’s Encrypt]]
[https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオープンな認証局です。[[Wikipedia:ja:Automated Certificate Management Environment|ACME]] プロトコルを利用しています。

公式クライアントは '''Certbot''' という名前で、コマンドラインから有効な X.509 証明書を取得できます。また、手動で CSR 作成を行うミニマルなクライアントを {{AUR|acme-tiny}} でインストールすることができます。スクリプトで使用するのに適したクライアントとして {{AUR|simp_le-git}} や {{AUR|letsencrypt-cli}} も存在します。

{{Note|以前 ''Let’s Encrypt クライアント''と呼ばれていた公式クライアントは、現在 ''Certbot'' と呼ばれています。}}

== Certbot ==

''Certbot'' は公式のリファレンスクライアントです。Python で書かれており、証明書を取得するためのコマンドラインツールを提供します。

=== インストール ===

{{Pkg|certbot}} パッケージを[[インストール]]してください。

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
* [[Nginx]] 用の実験的なプラグインは {{Pkg|certbot-nginx}} パッケージに入っています。
* {{Pkg|certbot-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

=== 設定 ===

証明を作成・インストールする方法は [https://certbot.eff.org/docs/ Certbot のドキュメント] を参照してください。

==== 手動 ====

{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}
{{Note|With this method, you will not be able to automatically renew certificates. If you are interested in auto-renewal you may want to use the [[#Webroot]] method.}}

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
# certbot certonly --manual

When preferring to use DNS challenge (TXT record) use:
# certbot certonly --manual --preferred-challenges dns

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

{{Note|Running this command multiple times will create multiple sets of files with a trailing number in {{ic|/etc/letsencrypt/live/''your.domain''/}} so take care to rename them in that directory or in the webserver config file.}}

==== Webroot ====

webroot の方法では、{{ic|yourdomain.tld/.well-known/acme-challenge/}} でチャレンジ/レスポンス認証が行われます。ウェブサーバーを止めることなく証明書を取得・更新できます:

# certbot certonly --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''

サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。

{{Note|For apache or nginx, use --apache or --nginx respectively instead of --webroot. If you require the verification through port 80 instead of port 443, use --webroot.}}

===== マルチドメイン =====

複数のドメインあるいはサブドメインを使用する場合、全てのドメインに対して webroot を指定する必要があります。別の webroot を指定しないと、既存の webroot が使われます。

{{ic|/.well-known/acme-challenge/}} への http リクエストを全て一つのフォルダ (例: {{ic|/var/lib/letsencrypt}}) にまとめることで、マルチドメインの管理がとても楽になります。nginx ならば、以下のようなファイルを作成:
{{hc|/etc/nginx/letsencrypt.conf|<nowiki>
location ^~ /.well-known/acme-challenge {
alias /var/lib/letsencrypt/.well-known/acme-challenge;
default_type "text/plain";
try_files $uri =404;
}
</nowiki>}}
そして証明書を作成したいサイトの server ブロックの中に以下のように記述します:
{{hc|/etc/nginx/servers/example.com.conf|<nowiki>
server {
...

include letsencrypt.conf;
}
</nowiki>}}

Apache の場合、{{ic|httpd-acme.conf}} ファイルを作成してください:
{{hc|/etc/httpd/conf/extra/httpd-acme.conf|<nowiki>
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
</nowiki>}}
そして {{ic|httpd.conf}} で上記ファイルをインクルードします:
{{hc|/etc/httpd/conf/httpd.conf|<nowiki>
Include conf/extra/httpd-acme.conf
</nowiki>}}
letsencrypt クライアントのパスから設定したパスに書き込めるように、また、ウェブサーバーから読み込めるようにする必要があります。次のコマンドを実行してください: {{ic|# chgrp http /var/lib/letsencrypt && chmod g+s /var/lib/letsencrypt}}。

===== 自動更新 =====

{{ic|certbot certonly}} を実行するとき、Certbot はドメインと webroot ディレクトリを {{ic|/etc/letsencrypt/renewal}} に記録します。次回からは {{ic|certbot renew}} を実行することで証明書を自動更新することができます。

====== サービス ======
以下の {{ic|.service}} ファイルを作成することで完全に自動化することが可能です:

{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --agree-tos}}

====== Standalone サービス ======
Standalone プラグインを使用する場合は更新リクエストを実行する前にウェブサーバーを停止させて、更新が完了してからウェブサーバーを再起動するようにします。Certbot のフックを使ってください。

'''Nginx'''
{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop nginx.service" --post-hook "/usr/bin/systemctl start nginx.service" --quiet --agree-tos}}

'''Apache'''
{{hc|1=/etc/systemd/system/certbot.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --pre-hook "/usr/bin/systemctl stop httpd.service" --post-hook "/usr/bin/systemctl start httpd.service" --quiet --agree-tos}}

====== 自動更新タイマー ======

[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで証明書を更新できます (更新の必要がない証明書は自動的にスキップされます)。

{{hc|1=/etc/systemd/system/certbot.timer|
2=[Unit]
Description=Daily renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=daily
RandomizedDelaySec=1day
Persistent=true

[Install]
WantedBy=timers.target}}

{{ic|certbot.timer}} を[[起動]]・[[有効化]]してください。

証明書を更新するたびにウェブサーバーを再起動させると良いでしょう。{{ic|certbot.service}} ファイルに以下のどちらかの行を追加してください:

* Apache: {{ic|1=ExecStartPost=/bin/systemctl reload httpd.service}}
* nginx: {{ic|1=ExecStartPost=/bin/systemctl reload nginx.service}}

== 参照 ==

* [https://letsencrypt.org/docs/client-options/ ACME クライアントの一覧]

Arduino

2016-12-16T02:48:38Z

Fragment: arduinoパッケージがAURからPkgへ

[[Category:開発]]
[[Category:計算と科学]]
[[en:Arduino]]
Arduino は柔軟で手軽なハードウェアとソフトウェアによる、オープンソースの電子工作プロトタイププラットフォームです。芸術家やデザイナー、ホビイスト、その他インタラクティブな機器や環境を作成したい全ての人を対象としています。詳細は [http://www.arduino.cc/ Arduino HomePage] を見て下さい。

== インストール ==

* {{Pkg|arduino}} パッケージをインストールしてください。オフラインドキュメントは {{Pkg|arduino-docs}} パッケージでインストールできます。
* ユーザーを {{ic|uucp}} と {{ic|lock}} [[ユーザーとグループ|グループ]]に追加してください (詳しくは次のセクションを参照: [[#シリアル通信]])。
* cdc_acm モジュールをロードする必要があります。
# modprobe cdc_acm

* PKGBUILD の arch=('i686' 'x86_64') 行に 'armv6h' を追加して arch=('i686' 'x86_64' 'armv6h') とすることで Raspberry Pi 上でもビルドできます。

=== AVR ボード ===
Arduino Uno などの AVR 基盤を使用する場合、任意で {{Pkg|arduino-avr-core}} をインストールすることで古い avr-core の代わりに Arch Linux の上流の avr-gcc を使うことができます。古い arduino-core を使いたい場合 [https://www.arduino.cc/en/Guide/Cores ボードマネージャでインストール] する必要があります。"Tools>Board" メニューからコアをいつでも切り替えられます。

=== Arduino Due / Yun ===

[http://arduino.cc/en/Main/arduinoBoardDue Arduino Due] と [http://arduino.cc/en/Main/ArduinoBoardYun Arduino Yun] は Arduino IDE バージョン 1.5 以上を必要とします。

=== Pinoccio Scout ===

[https://pinocc.io/ Pinoccio Scouts] も Arduino IDE を使ってプログラムすることが可能です。手順は [https://pinocc.io/solo こちら] に記載されています。もしくは、[[AUR]] から {{AUR|arduino-pinoccio}} をインストールすることもできます。

=== Intel Galileo ===

Intel Galileo ボードを Arduino IDE で使用したい場合、"Tools->Board->Boards Manager" から Galileo ツールのパッケージをダウンロードしてください。[https://github.com/arduino/Arduino/issues/5523 こちらの github の投稿] に従ってフィックスを適用できます。

=== Arm7 デバイス ===

[http://blog.tklee.org/2014/10/arduino-ide-158-on-banana-pi.html こちら] に対処方法が載っています。

=== RedBear Duo ===

{{Pkg|perl-archive-zip}} をインストールしないと crc32 に関するエラーが表示されます。

== 設定 ==

=== シリアル通信 ===

arduino ボードはシリアル接続や USB シリアル接続によってコンピュータと通信します。そのためシリアルデバイスファイルへの読み書きアクセス権がユーザーに必要となります。[[Udev]] は {{ic|uucp}} グループによって所有されている {{ic|/dev/tts/}} にファイルを作成するためユーザーを {{ic|uucp}} グループに追加することで必要な読み書き権限が与えられます。デフォルトの Java IDE を使用する場合は、ユーザーを lock グループに追加して {{ic|/var/lock/lockdev}} にアクセスできるようにしてください。

# gpasswd -a $USER uucp
# gpasswd -a $USER lock
{{Note|変更を適用するには、一度ログアウトしてから再度ログインする必要があります。}}

Arduino にアップロードを行う前に、Tools メニューからシリアルポート、ボード、プロセッサを適切に設定してください。

== stty ==

準備:
# stty -F /dev/ttyACM0 cs8 9600 ignbrk -brkint -imaxbel -opost -onlcr -isig -icanon -iexten -echo -echoe -echok -echoctl -echoke noflsh -ixon -crtscts

コマンドの後に改行せずにターミナルからコマンドを送信:
# echo -n "Hello World" > /dev/ttyACM0
{{Note| As autoreset on serial connection is activated by default on most boards, you need to disable this feature if you want to communicate directly with your board with the last command instead of a terminal emulator (arduino IDE, screen, picocom...). If you have a Leonardo board, you are not concerned by this, because it does not autoreset. If you have a Uno board, connect a 10 µF capacitor between the RESET and GND pins. If you have another board, connect a 120 ohms resistor between the RESET and 5V pins. See http://playground.arduino.cc/Main/DisablingAutoResetOnSerialConnection for more details.}}

Arduino からの出力を読み込み:
$ cat /dev/ttyACM0

== 他の IDE ==

=== ArduIDE ===

ArduIDE は Arduino 用の Qt ベース IDE です。[[AUR]] の {{AUR|arduide-git}} からインストールできます。

ターミナルから作業したい場合、複数の選択肢が存在します。

=== Arduino-CMake ===

[https://github.com/queezythegreat/arduino-cmake arduino-cmake] と [http://www.cmake.org/cmake/resources/software.html CMake] を使うことで複数のビルド環境でコマンドラインから Arduino のファームウェアをビルドすることができます。CMake があなたのニーズに合わせたビルド環境を生成し、お好きなツールを使用できます。シンプルな Makefile から Eclipse, Visual Studio, XCode などのプロジェクトまであらゆるビルド環境を準備可能です。

必要なパッケージ: {{Pkg|cmake}}, {{Pkg|arduino}}, {{Pkg|avr-gcc}}, {{Pkg|avr-binutils}}, {{Pkg|avr-libc}}, {{Pkg|avrdude}}。

=== gnoduino ===

{{AUR|gnoduino}} はオリジナルの Arduino IDE を GNOME 用にした実装で [[AUR]] からインストールできます。オリジナルの Arduino IDE ソフトウェアは Java で書かれています。gnoduino は Python で実装されており、GNOME を対象にしています。ただし xfce4 など他の WM でも動作します。軽量であることを謳っていますが、オリジナルの Arduino IDE と互換性は維持しています。ソースエディタは gtksourceview をベースとしています。

=== Ino ===

[https://github.com/amperka/ino Ino] は arduino ハードウェアを使うためのコマンドラインツールキットです。{{AUR|ino}} は [[AUR]] からインストールできます。

{{ic|Ino}} は {{ic|/etc/avrdude/avrdude.conf}} にある {{ic|avrdude.conf}} ファイルを確認しますが、({{pkg|avrdude}} のインストール時に) [[pacman]] はこのファイルを {{ic|/etc/avrdude.conf}} に配置します。{{ic|Ino}} が何かエラーを表示するときは {{ic|/etc/avrdude}} ディレクトリを作成してシンボリックリンクを作ってください:
# ln -s /etc/avrdude.conf /etc/avrdude/avrdude.conf

=== Makefile ===

{{Note|Update 2015-03-23. Due to recent changes in Arduino ≥v1.5, many old Makefiles do not work without some modification. A simple Makefile for Arduino version 1.5+ can be found [https://github.com/tomswartz07/arduino-makefile on GitHub].}}

Arduino IDE を使用する代わりに他のエディタと Makefile を使用することができます。

Arduino をプログラムするためのディレクトリをセットアップして、ディレクトリに Makefile をコピーしてください。Makefile のコピーは {{ic|/usr/share/arduino/hardware/cores/arduino/Makefile}} から取得できます。

設定にあわせて多少修正が必要です。Makefile には豊富に説明が付いています。以下は編集が必要な行の一例です:

PORT = usually /dev/ttyUSBx, where x is the usb serial port your arduino is plugged into
TARGET = your sketch's name
ARDUINO = /usr/share/arduino/lib/targets/arduino

スケッチでコールするライブラリにあわせて、ライブラリの一部をコンパイルする必要があります。SRC と CXXSRC を編集して必要なライブラリを記述してください。

編集したら {{ic|make && make upload}} でボードからスケッチを実行できるようになります。

=== Arduino-mk ===

{{AUR|arduino-mk}} は Makefile を使用するもうひとつのアプローチです。Arduino.mk を include するローカルな Makefile を作成することができます。使い方は [https://github.com/sudar/Arduino-Makefile プロジェクトページ] を見てください。

Arduino 1.5 の場合、以下のローカル Makefile を試してください (Arduino 1.5 のライブラリディレクトリの構造は少し変わっています):

ARDUINO_DIR = /usr/share/arduino
ARDMK_DIR = /usr/share/arduino
AVR_TOOLS_DIR = /usr
ARDUINO_CORE_PATH = /usr/share/arduino/hardware/arduino/avr/cores/arduino
BOARDS_TXT = /usr/share/arduino/hardware/arduino/avr/boards.txt
ARDUINO_VAR_PATH = /usr/share/arduino/hardware/arduino/avr/variants
BOOTLOADER_PARENT = /usr/share/arduino/hardware/arduino/avr/bootloaders

BOARD_TAG = uno
ARDUINO_LIBS =

include /usr/share/arduino/Arduino.mk

場合によっては {{pkg|avr-libc}} や {{pkg|avrdude}} のインストールが必要です。

=== Scons ===

[http://www.scons.org/ scons] と [https://github.com/suapapa/arscons arscons] を組み合わせて使うことでコマンドラインから簡単に Arduino プロジェクトをコンパイル・アップロードすることができます。Scons は python で作成されておりシリアルインターフェイスを使うのに python-pyserial が必要です。{{pkg|python-pyserial}} と {{pkg|scons}} をインストールしてください。

パッケージをインストールすると必要な依存パッケージも一緒にインストールされます。上記のように Arduino 本体も必要なのでインストールしてください。プロジェクトディレクトリを作成したら (例: test)、新しいディレクトリに arduino のプロジェクトファイルを作成します。ディレクトリと同じ名前を付けて拡張子に .ino を追加してください (例: test.ino)。arscons から [https://github.com/suapapa/arscons/blob/master/SConstruct SConstruct] スクリプトを取得してディレクトリに配置します。スクリプトの中身を確認して、必要であれば編集してください。中身は python スクリプトです。プロジェクトを編集したら、以下を実行:

$ scons # This will build the project
$ scons upload # This will upload the project to your Arduino

=== PlatformIO ===

[http://docs.platformio.ikravets.com/en/latest/quickstart.html PlatformIO] は複数のハードウェアプラットフォームのスケッチをビルド・アップロードすることができる python ツールです。現在、Arduino/AVR ベースの基盤、TI MSP430 や TI TM4C12x ボードに対応しています。近い将来、ライブラリ機能も追加して GitHub から直接ライブラリを検索できるようにすることを開発者は予定しています。

==== インストール ====

{{AUR|platformio}} または {{AUR|platformio-git}} パッケージをインストールしてください。

==== 使用方法 ====

$ platformio platforms install atmelavr
$ platformio init
$ vim platformio.ini

#
# Atmel AVR based board + Arduino Wiring Framework
#
[env:ArduinoMega2560]
platform = atmelavr
framework = arduino
board = megaatmega2560
upload_port = /dev/ttyACM0
targets = upload

$ platformio run

===Emacs===

[[Emacs]] を IDE として設定することができます。

[[AUR]] から {{aur|emacs-arduino-mode-git}} パッケージをインストールして emacs で {{ic|arduino-mode}} を有効にしてください。

init スクリプトに追加:
{{hc|~/.emacs|
;; arduino-mode
(require 'cl)
(autoload 'arduino-mode "arduino-mode" "Arduino editing mode." t)
(add-to-list 'auto-mode-alist '("\.ino$" . arduino-mode))}}

{{ic|Arduino-mk}} (上を参照) と {{ic|M-x compile}} {{ic|make upload}} を使うことでスケッチをコンパイル・アップロードできます。

参照: [http://www.emacswiki.org/emacs/ArduinoSupport]。

== トラブルシューティング ==

=== Version 1.6 ===

2014年10月5日現在、サードパーティ製のツールの多くは Arduino 1.0 ({{AUR|arduino10}}) でしか動作しません。一部のツールだけが Arduino バージョン 1.6 ({{Pkg|arduino}}) 以降でも動作します。ツールが動作しない場合はバージョンを確認してください。

=== Arduino デバイスの永続的な命名 ===

複数の arduino を使っている場合、接続した順番で {{ic|/dev/ttyUSB[0-9]}} という名前がデバイスに付けられているのに気づくかもしれません。IDE では大した問題ではありませんが、バックグラウンドで arduino プロジェクトと通信するようなソフトウェアをプログラムする場合、鬱陶しく感じられるでしょう。以下の udev ルールを使うことで arduino に固定のシンボリックリンクを割り当てることができます:
{{hc|/etc/udev/rules.d/52-arduino.rules|<nowiki>
SUBSYSTEMS=="usb", KERNEL=="ttyUSB[0-9]*", ATTRS{idVendor}=="0403", ATTRS{idProduct}=="6001", SYMLINK+="sensors/ftdi_%s{serial}"
</nowiki>}}
これで arduino に {{ic|/dev/sensors/ftdi_A700dzaF}} のような名前でアクセスできるようになります。もっと意味のある名前をデバイスに付けたい場合:
{{hc|/etc/udev/rules.d/52-arduino.rules|<nowiki>
SUBSYSTEMS=="usb", KERNEL=="ttyUSB[0-9]*", ATTRS{idVendor}=="0403", ATTRS{idProduct}=="6001", ATTRS{serial}=="A700dzaF", SYMLINK+="arduino/nano"
</nowiki>}}
上記で指定したシリアル番号のデバイスのシンボリックリンクが {{ic|/dev/arduino/nano}} に作成されます。変更を適用するのに arduino を切断して再接続したり次のコマンドを実行する必要はありません: {{ic|udevadm trigger}}。

一般的な {{ic|idVendor}}/{{ic|idProduct}} の組み合わせはディストリビューションパッケージの {{ic|hardware/arduino/avr/boards.txt}} で確認できます。中には Arduino プラットフォーム以外のデバイスも含まれています ([[wikipedia:FTDI|FTDI]])。{{ic|serial}} 属性を使うことでデバイスを区別することが可能です。

=== シリアルポートを開くときのエラー ===

IDE を起動したときシリアルポートが確認できても、アップロード時に TX/RX の LED が点灯しないことがあります。シリアルモニターで変更したボーレートが間違っている可能性があります。{{ic|~/.arduino/preferences.txt}} を編集して serial.debug_rate を 115200 などの値にしてください。

=== Missing twi.o ===

{{ic|/usr/share/arduino/lib/targets/libraries/Wire/utility/twi.o}} ファイルが存在しない場合、arduino はファイルを作成しようとします。通常ユーザーでは書き込み権限がないためファイルは作成されません。root で arduino を実行すればファイルが作成できます。ファイルの作成後は、arduino を通常ユーザーで実行できます。

=== Uno/Mega2560 を使用する ===

Arduino Uno と Mega2560 にはオンボード USB インターフェイス (Atmel 8U2) が存在しシリアルデータを受け取ります。そのため、デバイスを接続したときに cdc-acm カーネルモジュールによって作成される {{ic|/dev/ttyACM0}} からアクセスすることが可能です。

シリアル接続をするには 8U2 ファームウェアのアップデートが必要な場合があります。詳しくは [http://www.arduino.cc/cgi-bin/yabb2/YaBB.pl?num=1286350399] の #11 を確認してください。現在書き込むことができない Arduino の掲示板では、Uno を DFU にする方法が書かれている画像を見つけることができます。アカウントがなくて画像を閲覧できない場合、[http://www.scribd.com/doc/45913857/Arduino-UNO] を見てください。

Uno をループバックモードにして115200ボーで Arduino のシリアルモニターに文字列を打ち込むことで機能のテストができます。文字列が返ってくるはずです。ループバックにするには、デジタル側でピン 0 -> 1 をショートさせてリセットボタンを押すか、入力する際に GND -> RESET ピンをショートさせてください。

=== コンパイルエラー ===
以下のメッセージが表示される場合 (verbose モード):
/usr/share/arduino/hardware/tools/avr/bin/../lib/gcc/avr/4.3.2/../../../avr/bin/ld: cannot find -lm

次のフィックスを試みてください [https://bbs.archlinux.org/viewtopic.php?pid=1343402#p1343402]:
* {{Pkg|avr-gcc}} パッケージをインストール
* 初めから入っている avr-gcc コンパイラを上でインストールしたパッケージのコンパイラで置き換える:
# cd /usr/share/arduino/hardware/tools/avr/bin
# mv ./avr-gcc ./avr-gcc-backup
# ln -s /usr/bin/avr-gcc ./

システムでインストールした avr ツールを使いたいときは、Arduino の Linux インストールページに書かれているように avr ディレクトリを削除します: "システムのコンパイラを使いたい場合、arduino の IDE をインストールしたフォルダにある {{ic|./hardware/tools/avr}} を削除してください"。

Arduino.cc から適切な Linux バージョンをダウンロードして {{ic|/usr/share/arduino/hardware/tools/avr}} ディレクトリを標準のインストールアーカイブに含まれている avr ディレクトリで置き換えるという方法もあります。

=== ウィンドウマネージャでアプリケーションのサイズが変更できない、メニューがすぐ閉じる ===
[[Java#他のウィンドウマネージャになりすます]]を見てください。

== 参照 ==

* https://bbs.archlinux.org/viewtopic.php?pid=295312
* https://bbs.archlinux.org/viewtopic.php?pid=981348
* http://answers.ros.org/question/9097/how-can-i-get-a-unique-device-path-for-my-arduinoftdi-device/

Go

2016-11-27T09:44:39Z

Fragment: /* 参照 */ 項目の追加

[[Category:プログラミング言語]]
[[en:Go]]
[[ru:Go]]
[http://golang.org/ Go] は C 言語に由来する構文を持つ静的型付言語です。ガベージコレクションによるメモリ管理、型安全性、動的型付けの機能、可変長配列やキーバリューマップなどの型、膨大な標準ライブラリなどが追加されています。

== インストール ==

今日 Go のコンパイラは2つ存在しており、どちらも[[公式リポジトリ]]から[[インストール]]できます:

* '''go''': {{pkg|go}} で[[インストール]]できるコンパイルツールへのインターフェース
** コンパイルが高速
** 公式のツールが使える(go get, go doc, etc.)
** クロスコンパイル

* '''gccgo''': {{pkg|gcc-go}} で[[インストール]]できるコンパイラコレクションに含まれている ''gcc'' のフロントエンド
** goroutine がフルフローになる
** バイナリのサイズが小さい(dynamic linking)

=== インストールのテスト ===

Go が正しくインストールされたかは以下のような小さなプログラムをビルドして確認できます:

{{hc|hello.go|
package main

import "fmt"

func main() {
fmt.Println("Hello, Arch!")
}
}}

go ツールを使って実行:
{{hc|$ go run hello.go|
Hello, Arch!
}}

標準の ''gc'' コンパイラでコンパイル ({{ic|1=go build -compiler=gc hello.go}} と同じ):

$ go build hello.go

''gccgo'' でコンパイル ({{ic|1=go build -compiler=gccgo hello.go}} と同じ):

$ gccgo hello.go -o hello

=== $GOPATH ===

{{ic|import}} ステートメントなどで使用される、Go の依存パッケージは、{{ic|$GOPATH}} 変数、そして {{ic|$GOROOT}} (''go'' のインストールディレクトリ、デフォルトでは {{ic|/usr/lib/go}}) で検索されます。基本の {{ic|$GOROOT}} からだけでなく、外部の依存パッケージを使う場合は、{{ic|~/.bash_profile}} (もしくはそれに類する設定ファイル) にワークスペースを指定する必要があります:

export GOPATH=~/go

{{Tip|{{ic|go env}} を実行することで Go の変数を確認できます。}}

ワークスペースを作成:

$ mkdir -p ~/go/{bin,src}

プロジェクトのソースの保存には {{ic|src}} ディレクトリが、実行可能ファイルには {{ic|bin}} が使われます。

また、{{ic|bin}} ディレクトリのパスを {{ic|$PATH}} [[環境変数]]に追加することで (Go 言語で書かれた) インストールしたプログラムを ({{ic|ls}} などと同じように) どこでも実行できるようになります:

export PATH="$PATH:$GOPATH/bin"

必要な実行可能ファイルが実行できるように {{ic|$PATH}} に {{ic|bin}} ディレクトリも追加します。

詳細は {{ic|go help gopath}} を実行してください。

=== 他のプラットフォームのクロスコンパイルを有効にする ===

公式パッケージは Linux の amd64, i386, arm アーキテクチャしかサポートしていません。Darwin, FreeBSD, MS Windows などのクロスコンパイルをサポートするには、以下のようにしてください。

{{ic|$GOROOT_BOOTSTRAP}}を{{ic|/usr/lib/go}}に設定すると{{ic|/usr/lib/go/src}}をビルドできません。以下のような警告が出力されます。

$ cd /usr/lib/go/src
$ GOROOT_BOOTSTRAP=/usr/lib/go GOOS=darwin GOARCH=amd64 ./make.bash --no-clean
##### Building Go bootstrap tool.
cmd/dist
ERROR: $GOROOT_BOOTSTRAP must not be set to $GOROOT
Set $GOROOT_BOOTSTRAP to a working Go tree >= Go 1.4.

この問題を回避するには、https://golang.org/からGoのソースを入手してください。

{{Note|以下のコマンドは、{{ic|~/downloads/go}}にGoのダウンロードを解凍したものとします。}}

ダウンロードしたGoをビルドしてください。

$ cd ~/downloads/go/src
$ GOROOT_BOOTSTRAP=/usr/lib/go GOOS=linux GOARCH=amd64 ./make.bash --no-clean

これでダウンロードしたGo as bootstrapを使用してGoをビルドできるようになりました。以下のコマンドでビルドします。

$ cd /usr/lib/go/src; for os in darwin freebsd windows; do for arch in amd64 386; do sudo GOROOT_BOOTSTRAP="$HOME/downloads/go" GOOS=$os GOARCH=$arch ./make.bash --no-clean; done; done

{{Note|上記のコマンドは Go パッケージをアップデートするたびに実行する必要があります。}}

詳細は {{Bug|30287}} を参照。

== トラブルシューティング ==

=== Jetbrains Goプラグイン ===
もしJetbrainsのIDEを使用していてGoプラグインがGo SDK のパスを見つけられない場合、互換性のないパッケージを使用している可能性があります。{{ic|gcc-go}}パッケージを削除し、{{ic|go}}パッケージで置き換えてください。GOPATHが設定されている場合にはIDEは{{ic|/usr/lib/go}}でGo SDKを見つけられます。

== 参照 ==

* [http://golang.org/ Go プログラミング言語のオフィシャルウェブサイト]
* [[Wikipedia:ja:Go (プログラミング言語)|Wikipedia の記事]]
* [https://gobyexample.com/ 簡単な説明が付いているサンプル]
* [http://tour.golang.org インタラクティブな Go トレーニングツアー]
* [https://github.com/golang/go/wiki/IDEsAndTextEditorPlugins Go の IDE とプラグイン]
* [https://docs.google.com/document/d/1OaatvGhEAq7VseQ9kkavxKNAfepWy2yhPUBs96FGV28/edit Go 1.5 Bootstrap Plan]

Go

2016-11-27T09:41:05Z

Fragment: /* 他のプラットフォームのクロスコンパイルを有効にする */ 翻訳

Go

2016-11-27T09:31:00Z

Fragment: /* インストールのテスト */ 同期

[[Category:プログラミング言語]]
[[en:Go]]
[[ru:Go]]
[http://golang.org/ Go] は C 言語に由来する構文を持つ静的型付言語です。ガベージコレクションによるメモリ管理、型安全性、動的型付けの機能、可変長配列やキーバリューマップなどの型、膨大な標準ライブラリなどが追加されています。

== インストール ==

今日 Go のコンパイラは2つ存在しており、どちらも[[公式リポジトリ]]から[[インストール]]できます:

* '''go''': {{pkg|go}} で[[インストール]]できるコンパイルツールへのインターフェース
** コンパイルが高速
** 公式のツールが使える(go get, go doc, etc.)
** クロスコンパイル

* '''gccgo''': {{pkg|gcc-go}} で[[インストール]]できるコンパイラコレクションに含まれている ''gcc'' のフロントエンド
** goroutine がフルフローになる
** バイナリのサイズが小さい(dynamic linking)

=== インストールのテスト ===

Go が正しくインストールされたかは以下のような小さなプログラムをビルドして確認できます:

{{hc|hello.go|
package main

import "fmt"

func main() {
fmt.Println("Hello, Arch!")
}
}}

go ツールを使って実行:
{{hc|$ go run hello.go|
Hello, Arch!
}}

標準の ''gc'' コンパイラでコンパイル ({{ic|1=go build -compiler=gc hello.go}} と同じ):

$ go build hello.go

''gccgo'' でコンパイル ({{ic|1=go build -compiler=gccgo hello.go}} と同じ):

$ gccgo hello.go -o hello

=== $GOPATH ===

{{ic|import}} ステートメントなどで使用される、Go の依存パッケージは、{{ic|$GOPATH}} 変数、そして {{ic|$GOROOT}} (''go'' のインストールディレクトリ、デフォルトでは {{ic|/usr/lib/go}}) で検索されます。基本の {{ic|$GOROOT}} からだけでなく、外部の依存パッケージを使う場合は、{{ic|~/.bash_profile}} (もしくはそれに類する設定ファイル) にワークスペースを指定する必要があります:

export GOPATH=~/go

{{Tip|{{ic|go env}} を実行することで Go の変数を確認できます。}}

ワークスペースを作成:

$ mkdir -p ~/go/{bin,src}

プロジェクトのソースの保存には {{ic|src}} ディレクトリが、実行可能ファイルには {{ic|bin}} が使われます。

また、{{ic|bin}} ディレクトリのパスを {{ic|$PATH}} [[環境変数]]に追加することで (Go 言語で書かれた) インストールしたプログラムを ({{ic|ls}} などと同じように) どこでも実行できるようになります:

export PATH="$PATH:$GOPATH/bin"

必要な実行可能ファイルが実行できるように {{ic|$PATH}} に {{ic|bin}} ディレクトリも追加します。

詳細は {{ic|go help gopath}} を実行してください。

=== 他のプラットフォームのクロスコンパイルを有効にする ===

公式パッケージは Linux の amd64, i386, arm アーキテクチャしかサポートしていません。Darwin, FreeBSD, MS Windows などのクロスコンパイルをサポートするには、以下のコマンドを実行:

You can not build {{ic|/usr/lib/go/src}} of itself, ie if you set {{ic|$GOROOT_BOOTSTRAP}} to {{ic|/usr/lib/go}} you will get a warning like this.

$ cd /usr/lib/go/src
$ GOROOT_BOOTSTRAP=/usr/lib/go GOOS=darwin GOARCH=amd64 ./make.bash --no-clean
##### Building Go bootstrap tool.
cmd/dist
ERROR: $GOROOT_BOOTSTRAP must not be set to $GOROOT
Set $GOROOT_BOOTSTRAP to a working Go tree >= Go 1.4.

To get around this, grab a source copy of Go from https://golang.org/.

{{Note|Commands below will assume you extracted your download of Go to {{ic|~/downloads/go}}.}}

Build your downloaded Go with your system GO.

$ cd ~/downloads/go/src
$ GOROOT_BOOTSTRAP=/usr/lib/go GOOS=linux GOARCH=amd64 ./make.bash --no-clean

You can now build your system Go using the downloaded Go as bootstrap with this command.

$ cd /usr/lib/go/src; for os in darwin freebsd windows; do for arch in amd64 386; do sudo GOROOT_BOOTSTRAP="$HOME/downloads/go" GOOS=$os GOARCH=$arch ./make.bash --no-clean; done; done

{{Note|上記のコマンドは Go パッケージをアップデートするたびに実行する必要があります。}}

詳細は {{Bug|30287}} を参照。

== トラブルシューティング ==

=== Jetbrains Goプラグイン ===
もしJetbrainsのIDEを使用していてGoプラグインがGo SDK のパスを見つけられない場合、互換性のないパッケージを使用している可能性があります。{{ic|gcc-go}}パッケージを削除し、{{ic|go}}パッケージで置き換えてください。GOPATHが設定されている場合にはIDEは{{ic|/usr/lib/go}}でGo SDKを見つけられます。

== 参照 ==

* [http://golang.org/ Go プログラミング言語のオフィシャルウェブサイト]
* [[Wikipedia:ja:Go (プログラミング言語)|Wikipedia の記事]]
* [https://gobyexample.com/ 簡単な説明が付いているサンプル]
* [http://tour.golang.org インタラクティブな Go トレーニングツアー]
* [https://github.com/golang/go/wiki/IDEsAndTextEditorPlugins Go の IDE とプラグイン]

Go

2016-11-27T09:29:00Z

Fragment: /* インストール */ 同期

[[Category:プログラミング言語]]
[[en:Go]]
[[ru:Go]]
[http://golang.org/ Go] は C 言語に由来する構文を持つ静的型付言語です。ガベージコレクションによるメモリ管理、型安全性、動的型付けの機能、可変長配列やキーバリューマップなどの型、膨大な標準ライブラリなどが追加されています。

== インストール ==

今日 Go のコンパイラは2つ存在しており、どちらも[[公式リポジトリ]]から[[インストール]]できます:

* '''go''': {{pkg|go}} で[[インストール]]できるコンパイルツールへのインターフェース
** コンパイルが高速
** 公式のツールが使える(go get, go doc, etc.)
** クロスコンパイル

* '''gccgo''': {{pkg|gcc-go}} で[[インストール]]できるコンパイラコレクションに含まれている ''gcc'' のフロントエンド
** goroutine がフルフローになる
** バイナリのサイズが小さい(dynamic linking)

=== インストールのテスト ===

Go が正しくインストールされたかは以下のような小さなプログラムをビルドして確認できます:

{{hc|hello.go|
package main

import "fmt"

func main() {
fmt.Println("Hello, Arch!")
}
}}

go ツールを使って実行:
{{hc|$ go run hello.go|
Hello, Arch!
}}

標準の ''gc'' コンパイラでコンパイル ({{ic|1=go build -compiler=gc test.go}} と同じ):

$ go build test.go

''gccgo'' でコンパイル ({{ic|1=go build -compiler=gccgo test.go}} と同じ):

$ gccgo test.go -o test

=== $GOPATH ===

{{ic|import}} ステートメントなどで使用される、Go の依存パッケージは、{{ic|$GOPATH}} 変数、そして {{ic|$GOROOT}} (''go'' のインストールディレクトリ、デフォルトでは {{ic|/usr/lib/go}}) で検索されます。基本の {{ic|$GOROOT}} からだけでなく、外部の依存パッケージを使う場合は、{{ic|~/.bash_profile}} (もしくはそれに類する設定ファイル) にワークスペースを指定する必要があります:

export GOPATH=~/go

{{Tip|{{ic|go env}} を実行することで Go の変数を確認できます。}}

ワークスペースを作成:

$ mkdir -p ~/go/{bin,src}

プロジェクトのソースの保存には {{ic|src}} ディレクトリが、実行可能ファイルには {{ic|bin}} が使われます。

また、{{ic|bin}} ディレクトリのパスを {{ic|$PATH}} [[環境変数]]に追加することで (Go 言語で書かれた) インストールしたプログラムを ({{ic|ls}} などと同じように) どこでも実行できるようになります:

export PATH="$PATH:$GOPATH/bin"

必要な実行可能ファイルが実行できるように {{ic|$PATH}} に {{ic|bin}} ディレクトリも追加します。

詳細は {{ic|go help gopath}} を実行してください。

=== 他のプラットフォームのクロスコンパイルを有効にする ===

公式パッケージは Linux の amd64, i386, arm アーキテクチャしかサポートしていません。Darwin, FreeBSD, MS Windows などのクロスコンパイルをサポートするには、以下のコマンドを実行:

You can not build {{ic|/usr/lib/go/src}} of itself, ie if you set {{ic|$GOROOT_BOOTSTRAP}} to {{ic|/usr/lib/go}} you will get a warning like this.

$ cd /usr/lib/go/src
$ GOROOT_BOOTSTRAP=/usr/lib/go GOOS=darwin GOARCH=amd64 ./make.bash --no-clean
##### Building Go bootstrap tool.
cmd/dist
ERROR: $GOROOT_BOOTSTRAP must not be set to $GOROOT
Set $GOROOT_BOOTSTRAP to a working Go tree >= Go 1.4.

To get around this, grab a source copy of Go from https://golang.org/.

{{Note|Commands below will assume you extracted your download of Go to {{ic|~/downloads/go}}.}}

Build your downloaded Go with your system GO.

$ cd ~/downloads/go/src
$ GOROOT_BOOTSTRAP=/usr/lib/go GOOS=linux GOARCH=amd64 ./make.bash --no-clean

You can now build your system Go using the downloaded Go as bootstrap with this command.

$ cd /usr/lib/go/src; for os in darwin freebsd windows; do for arch in amd64 386; do sudo GOROOT_BOOTSTRAP="$HOME/downloads/go" GOOS=$os GOARCH=$arch ./make.bash --no-clean; done; done

{{Note|上記のコマンドは Go パッケージをアップデートするたびに実行する必要があります。}}

詳細は {{Bug|30287}} を参照。

== トラブルシューティング ==

=== Jetbrains Goプラグイン ===
もしJetbrainsのIDEを使用していてGoプラグインがGo SDK のパスを見つけられない場合、互換性のないパッケージを使用している可能性があります。{{ic|gcc-go}}パッケージを削除し、{{ic|go}}パッケージで置き換えてください。GOPATHが設定されている場合にはIDEは{{ic|/usr/lib/go}}でGo SDKを見つけられます。

== 参照 ==

* [http://golang.org/ Go プログラミング言語のオフィシャルウェブサイト]
* [[Wikipedia:ja:Go (プログラミング言語)|Wikipedia の記事]]
* [https://gobyexample.com/ 簡単な説明が付いているサンプル]
* [http://tour.golang.org インタラクティブな Go トレーニングツアー]
* [https://github.com/golang/go/wiki/IDEsAndTextEditorPlugins Go の IDE とプラグイン]

Go

2016-11-27T09:11:22Z

Fragment: /* Jetbrains Goプラグイン */ 翻訳進行

[[Category:プログラミング言語]]
[[en:Go]]
[[ru:Go]]
[http://golang.org/ Go] は C 言語に由来する構文を持つ静的型付言語です。ガベージコレクションによるメモリ管理、型安全性、動的型付けの機能、可変長配列やキーバリューマップなどの型、膨大な標準ライブラリなどが追加されています。

== インストール ==

今日 Go のコンパイラは2つ存在しており、どちらも[[公式リポジトリ]]から[[インストール]]できます:

* '''gc''': {{pkg|go}} で[[インストール]]できるコンパイラの公式セット 8g(x86), 6g(amd64), 5g(arm) の共通名称
** コンパイルが高速
* '''gccgo''': {{pkg|gcc-go}} で[[インストール]]できるコンパイラコレクションに含まれている ''gcc'' のフロントエンド
** goroutines に制限がある
** バイナリのサイズが小さい
** 優れた最適化

=== インストールのテスト ===

Go が正しくインストールされたかは以下のような小さなプログラムをビルドして確認できます:

{{hc|hello.go|
package main

import "fmt"

func main() {
fmt.Println("Hello, Arch!")
}
}}

go ツールを使って実行:
{{hc|$ go run hello.go|
Hello, Arch!
}}

標準の ''gc'' コンパイラでコンパイル ({{ic|1=go build -compiler=gc test.go}} と同じ):

$ go build test.go

''gccgo'' でコンパイル ({{ic|1=go build -compiler=gccgo test.go}} と同じ):

$ gccgo test.go -o test

=== $GOPATH ===

{{ic|import}} ステートメントなどで使用される、Go の依存パッケージは、{{ic|$GOPATH}} 変数、そして {{ic|$GOROOT}} (''go'' のインストールディレクトリ、デフォルトでは {{ic|/usr/lib/go}}) で検索されます。基本の {{ic|$GOROOT}} からだけでなく、外部の依存パッケージを使う場合は、{{ic|~/.bash_profile}} (もしくはそれに類する設定ファイル) にワークスペースを指定する必要があります:

export GOPATH=~/go

{{Tip|{{ic|go env}} を実行することで Go の変数を確認できます。}}

ワークスペースを作成:

$ mkdir -p ~/go/{bin,src}

プロジェクトのソースの保存には {{ic|src}} ディレクトリが、実行可能ファイルには {{ic|bin}} が使われます。

また、{{ic|bin}} ディレクトリのパスを {{ic|$PATH}} [[環境変数]]に追加することで (Go 言語で書かれた) インストールしたプログラムを ({{ic|ls}} などと同じように) どこでも実行できるようになります:

export PATH="$PATH:$GOPATH/bin"

必要な実行可能ファイルが実行できるように {{ic|$PATH}} に {{ic|bin}} ディレクトリも追加します。

詳細は {{ic|go help gopath}} を実行してください。

=== 他のプラットフォームのクロスコンパイルを有効にする ===

公式パッケージは Linux の amd64, i386, arm アーキテクチャしかサポートしていません。Darwin, FreeBSD, MS Windows などのクロスコンパイルをサポートするには、以下のコマンドを実行:

$ cd /usr/lib/go/src; for os in darwin freebsd windows; do for arch in amd64 386; do sudo GOOS=$os GOARCH=$arch ./make.bash --no-clean; done; done

{{Note|上記のコマンドは Go パッケージをアップデートするたびに実行する必要があります。}}

詳細は {{Bug|30287}} を参照。

== トラブルシューティング ==

=== Jetbrains Goプラグイン ===
もしJetbrainsのIDEを使用していてGoプラグインがGo SDK のパスを見つけられない場合、互換性のないパッケージを使用している可能性があります。{{ic|gcc-go}}パッケージを削除し、{{ic|go}}パッケージで置き換えてください。GOPATHが設定されている場合にはIDEは{{ic|/usr/lib/go}}でGo SDKを見つけられます。

== 参照 ==

* [http://golang.org/ Go プログラミング言語のオフィシャルウェブサイト]
* [[Wikipedia:ja:Go (プログラミング言語)|Wikipedia の記事]]
* [https://gobyexample.com/ 簡単な説明が付いているサンプル]
* [http://tour.golang.org インタラクティブな Go トレーニングツアー]
* [https://github.com/golang/go/wiki/IDEsAndTextEditorPlugins Go の IDE とプラグイン]

Go

2016-11-27T09:09:57Z

Fragment: /* Jetbrains Go Plugin */

[[Category:プログラミング言語]]
[[en:Go]]
[[ru:Go]]
[http://golang.org/ Go] は C 言語に由来する構文を持つ静的型付言語です。ガベージコレクションによるメモリ管理、型安全性、動的型付けの機能、可変長配列やキーバリューマップなどの型、膨大な標準ライブラリなどが追加されています。

== インストール ==

今日 Go のコンパイラは2つ存在しており、どちらも[[公式リポジトリ]]から[[インストール]]できます:

* '''gc''': {{pkg|go}} で[[インストール]]できるコンパイラの公式セット 8g(x86), 6g(amd64), 5g(arm) の共通名称
** コンパイルが高速
* '''gccgo''': {{pkg|gcc-go}} で[[インストール]]できるコンパイラコレクションに含まれている ''gcc'' のフロントエンド
** goroutines に制限がある
** バイナリのサイズが小さい
** 優れた最適化

=== インストールのテスト ===

Go が正しくインストールされたかは以下のような小さなプログラムをビルドして確認できます:

{{hc|hello.go|
package main

import "fmt"

func main() {
fmt.Println("Hello, Arch!")
}
}}

go ツールを使って実行:
{{hc|$ go run hello.go|
Hello, Arch!
}}

標準の ''gc'' コンパイラでコンパイル ({{ic|1=go build -compiler=gc test.go}} と同じ):

$ go build test.go

''gccgo'' でコンパイル ({{ic|1=go build -compiler=gccgo test.go}} と同じ):

$ gccgo test.go -o test

=== $GOPATH ===

{{ic|import}} ステートメントなどで使用される、Go の依存パッケージは、{{ic|$GOPATH}} 変数、そして {{ic|$GOROOT}} (''go'' のインストールディレクトリ、デフォルトでは {{ic|/usr/lib/go}}) で検索されます。基本の {{ic|$GOROOT}} からだけでなく、外部の依存パッケージを使う場合は、{{ic|~/.bash_profile}} (もしくはそれに類する設定ファイル) にワークスペースを指定する必要があります:

export GOPATH=~/go

{{Tip|{{ic|go env}} を実行することで Go の変数を確認できます。}}

ワークスペースを作成:

$ mkdir -p ~/go/{bin,src}

プロジェクトのソースの保存には {{ic|src}} ディレクトリが、実行可能ファイルには {{ic|bin}} が使われます。

また、{{ic|bin}} ディレクトリのパスを {{ic|$PATH}} [[環境変数]]に追加することで (Go 言語で書かれた) インストールしたプログラムを ({{ic|ls}} などと同じように) どこでも実行できるようになります:

export PATH="$PATH:$GOPATH/bin"

必要な実行可能ファイルが実行できるように {{ic|$PATH}} に {{ic|bin}} ディレクトリも追加します。

詳細は {{ic|go help gopath}} を実行してください。

=== 他のプラットフォームのクロスコンパイルを有効にする ===

公式パッケージは Linux の amd64, i386, arm アーキテクチャしかサポートしていません。Darwin, FreeBSD, MS Windows などのクロスコンパイルをサポートするには、以下のコマンドを実行:

$ cd /usr/lib/go/src; for os in darwin freebsd windows; do for arch in amd64 386; do sudo GOOS=$os GOARCH=$arch ./make.bash --no-clean; done; done

{{Note|上記のコマンドは Go パッケージをアップデートするたびに実行する必要があります。}}

詳細は {{Bug|30287}} を参照。

== トラブルシューティング ==

=== Jetbrains Goプラグイン ===
もしJetbrainsのIDEを使用していてGoプラグインがGo SDK のパスを見つけられない場合、互換性のないパッケージを使用している可能性があります。{{ic|gcc-go}}を削除し、{{ic|go}}で置き換えてください。GOPATHが設定されている場合にはIDEは{{ic|/usr/lib/go}}でGo SDKを見つけられます。

== 参照 ==

* [http://golang.org/ Go プログラミング言語のオフィシャルウェブサイト]
* [[Wikipedia:ja:Go (プログラミング言語)|Wikipedia の記事]]
* [https://gobyexample.com/ 簡単な説明が付いているサンプル]
* [http://tour.golang.org インタラクティブな Go トレーニングツアー]
* [https://github.com/golang/go/wiki/IDEsAndTextEditorPlugins Go の IDE とプラグイン]

Go

2016-11-27T09:02:24Z

Fragment: 項目の追加

[[Category:プログラミング言語]]
[[en:Go]]
[[ru:Go]]
[http://golang.org/ Go] は C 言語に由来する構文を持つ静的型付言語です。ガベージコレクションによるメモリ管理、型安全性、動的型付けの機能、可変長配列やキーバリューマップなどの型、膨大な標準ライブラリなどが追加されています。

== インストール ==

今日 Go のコンパイラは2つ存在しており、どちらも[[公式リポジトリ]]から[[インストール]]できます:

* '''gc''': {{pkg|go}} で[[インストール]]できるコンパイラの公式セット 8g(x86), 6g(amd64), 5g(arm) の共通名称
** コンパイルが高速
* '''gccgo''': {{pkg|gcc-go}} で[[インストール]]できるコンパイラコレクションに含まれている ''gcc'' のフロントエンド
** goroutines に制限がある
** バイナリのサイズが小さい
** 優れた最適化

=== インストールのテスト ===

Go が正しくインストールされたかは以下のような小さなプログラムをビルドして確認できます:

{{hc|hello.go|
package main

import "fmt"

func main() {
fmt.Println("Hello, Arch!")
}
}}

go ツールを使って実行:
{{hc|$ go run hello.go|
Hello, Arch!
}}

標準の ''gc'' コンパイラでコンパイル ({{ic|1=go build -compiler=gc test.go}} と同じ):

$ go build test.go

''gccgo'' でコンパイル ({{ic|1=go build -compiler=gccgo test.go}} と同じ):

$ gccgo test.go -o test

=== $GOPATH ===

{{ic|import}} ステートメントなどで使用される、Go の依存パッケージは、{{ic|$GOPATH}} 変数、そして {{ic|$GOROOT}} (''go'' のインストールディレクトリ、デフォルトでは {{ic|/usr/lib/go}}) で検索されます。基本の {{ic|$GOROOT}} からだけでなく、外部の依存パッケージを使う場合は、{{ic|~/.bash_profile}} (もしくはそれに類する設定ファイル) にワークスペースを指定する必要があります:

export GOPATH=~/go

{{Tip|{{ic|go env}} を実行することで Go の変数を確認できます。}}

ワークスペースを作成:

$ mkdir -p ~/go/{bin,src}

プロジェクトのソースの保存には {{ic|src}} ディレクトリが、実行可能ファイルには {{ic|bin}} が使われます。

また、{{ic|bin}} ディレクトリのパスを {{ic|$PATH}} [[環境変数]]に追加することで (Go 言語で書かれた) インストールしたプログラムを ({{ic|ls}} などと同じように) どこでも実行できるようになります:

export PATH="$PATH:$GOPATH/bin"

必要な実行可能ファイルが実行できるように {{ic|$PATH}} に {{ic|bin}} ディレクトリも追加します。

詳細は {{ic|go help gopath}} を実行してください。

=== 他のプラットフォームのクロスコンパイルを有効にする ===

公式パッケージは Linux の amd64, i386, arm アーキテクチャしかサポートしていません。Darwin, FreeBSD, MS Windows などのクロスコンパイルをサポートするには、以下のコマンドを実行:

$ cd /usr/lib/go/src; for os in darwin freebsd windows; do for arch in amd64 386; do sudo GOOS=$os GOARCH=$arch ./make.bash --no-clean; done; done

{{Note|上記のコマンドは Go パッケージをアップデートするたびに実行する必要があります。}}

詳細は {{Bug|30287}} を参照。

== トラブルシューティング ==

=== Jetbrains Go Plugin ===
If you are using a Jetbrains IDE and the Go plugin cannot find your Go SDK path, you might be using an incompatible package. Remove the {{ic|gcc-go}} package and replace it with {{ic|go}}. If your GOPATH is set, the IDE should now be able to find your Go SDK at {{ic|/usr/lib/go}}.

== 参照 ==

* [http://golang.org/ Go プログラミング言語のオフィシャルウェブサイト]
* [[Wikipedia:ja:Go (プログラミング言語)|Wikipedia の記事]]
* [https://gobyexample.com/ 簡単な説明が付いているサンプル]
* [http://tour.golang.org インタラクティブな Go トレーニングツアー]
* [https://github.com/golang/go/wiki/IDEsAndTextEditorPlugins Go の IDE とプラグイン]

Ext4

2016-11-22T00:26:50Z

Fragment: /* メタデータチェックサムを有効化する */ 翻訳

[[Category:ファイルシステム]]
[[cs:Ext4]]
[[de:Ext4]]
[[en:Ext4]]
[[es:Ext4]]
[[fr:Ext4]]
[[it:Ext4]]
[[ru:Ext4]]
[[tr:Ext4]]
[[zh-CN:Ext4]]
{{Related articles start}}
{{Related|ファイルシステム}}
{{Related|Ext3}}
{{Related articles end}}

Ext4 は Linux で一番よく使われているファイルシステム、Ext3 の発展版です。多くの点で、Ext3 から Ext4 になって Ext2 から　Ext3 に進んだときよりも大きな改善がされています。Ext3 では Ext2 にジャーナリングを追加したのがほとんどでしたが、Ext4 ではファイルデータを保存するファイルシステムの重要なデータ構造にメスが入っています。その結果、改良された設計、優れたパフォーマンス、信頼性、機能性を備えたファイルシステムが誕生しました。

ソース: [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies]

== 新しく ext4 ファイルシステムを作成 ==

パーティションをフォーマットするには次を実行:

# mkfs.ext4 /dev/''partition''

{{Tip|オプションについては mkfs.ext4 の man ページを見て下さい。{{ic|/etc/mke2fs.conf}} を編集すればデフォルトのオプションを見たり設定できます。}}

デフォルトでは、{{Ic|mkfs.ext4}} はやや低めの比率の bytes-per-inode を使って、作成される inode の定量を計算します。容量が 750GB 以上のパーティションではこれだと inode 番号が大きくなりすぎて、ディスク容量の無駄になります。比率は {{Ic|-i}} オプションで直接設定することができます。1/6291456 なら 2TB のパーティションで 476928 の inode になります。

==ext3 から ext4 に移行==

===ext3 パーティションを変換せずに ext4 としてマウント===

====理由====

ext4 を完全に変換する案と ext3 をそのまま使用する案の折衷案として、既存の ext3 パーティションを ext4 としてマウントする方法があります。

'''利点:'''
* 互換性 (ext3 としてファイルシステムをマウントできます) – ext4 のサポートがないオペレーティングシステムからもファイルシステムを読み込むことが可能です (例: Windows の ext3 ドライバー)
* パフォーマンスが向上 (ext4 パーティションに完全に変換するのよりは劣ります) – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* ext4 の機能を全て活用することはできません (マルチブロックアロケーションや遅延アロケーションなどのディスクフォーマットに変更を与える機能は使えません)

{{Note|ext4 が比較的新しいファイルシステムということ以外に (このこと自体をリスクと考えることもできます)、この方法を使用することで不利益になることは特にありません。}}

====方法====

# {{ic|/etc/fstab}} を編集して ext4 としてマウントしたいパーティションの 'type' を ext3 から ext4 に変更してください。
# 変更したパーティションを再マウントします。

===ext3 パーティションを ext4 に変換===

====理由====

ext4 の能力を活かすには、非可逆の変換をする必要があります。

'''利点:'''
* パフォーマンスの向上と新機能 – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* 一方通行 (ext4 パーティションを ext3 に'ダウングレード'することはできません)

====方法====

以下の手順は http://ext4.wiki.kernel.org/index.php/Ext4_Howto と https://bbs.archlinux.org/viewtopic.php?id=61602 から引用しています。
{{Warning|エクステントなどのオプションを有効にしないかぎり ext4 は ext3 と後方互換性があります。ただし、パーティションを完全に変換しない場合、ext4 を使用する利点は少なくなります。}}

# '''[[バックアッププログラム|バックアップ]]'''を行なって下さい。ext4 に変換する ext3 パーティションに存在するデータを全てバックアップします。特に / (root) パーティションをバックアップする場合は、[http://clonezilla.org Clonezilla] が役に立ちます。
# {{ic|/etc/fstab}} を編集して ext4 に変換するパーティションの 'type' を ext3 から ext4 に変換してください。
# (必要であれば) ライブメディアを起動します。{{Ic|e2fsprogs}} で変換を行う際はドライブがマウントされていない状態になっている必要があります。ドライブの root (/) パーティションを変換するときは、他のライブメディアから起動して変換するのが一番簡単です。
# パーティションがマウントされていないことを確認してください
# {{Ic|tune2fs -O extent,uninit_bg,dir_index /dev/sdxX}} を実行 ({{Ic|/dev/sdxX}} は変換するパーティションのパスに置き換えて下さい、例: {{Ic|/dev/sda1}})
# {{Ic|fsck -f /dev/sdxX}} を実行
# 推奨: パーティションをマウントして {{Ic|e4defrag -c -v /dev/sdxX}} を実行
# Arch Linux を再起動してください

{{Note|The user '''MUST''' fsck the filesystem, or it will be unreadable! This fsck run is needed to return the filesystem to a consistent state. '''It WILL find checksum errors in the group descriptors''' -- this is expected. The '-f' parameter asks fsck to force checking even if the file system seems clean. The '-p' parameter asks fsck to 'automatically repair' (otherwise, the user will be asked for input for each error).
You may need to run fsck -f rather than fsck -fp.}}

{{Note|Even though the filesystem is now converted to ext4, all files that have been written before the conversion do not yet take advantage of the extent option of ext4, which will improve large file performance and reduce fragmentation and filesystem check time. In order to fully take advantage of ext4, all files would have to be rewritten on disk. Use e4defrag to take care of this problem.}}
{{Warning|1=root (/) パーティションを変換した場合、起動しようとした時にカーネルパニックが発生することがあります。カーネルパニックが起きる場合、'fallback' の initial ramdisk を使用して再起動して、'default' の initial ramdisk を再作成してください: {{Ic|mkinitcpio -p linux}}。}}

== ファイルベースの暗号化を利用する ==

Linux 4.1以降、ext4はファイルベースの暗号化をサポートしています。暗号化用にマークされたディレクトリツリーでは、ファイルの内容、ファイル名、およびシンボリックリンクのターゲットはすべて暗号化されます。暗号化キーはカーネルキーリングに格納されます。機能の詳細、実装状態の概要、実用的な点、カーネル4.1でのテスト結果については、[http://blog.quarkslab.com/a-glimpse-of-ext4-filesystem-level-encryption.html Quarkslabのブログ]の項目も参照してください。

{{ic|CONFIG_EXT4_ENCRYPTION}}オプションが有効になっているカーネルを使用していて、{{Pkg|e2fsprogs}}パッケージが少なくともバージョン1.43以上であることを確認してください。

次に、ファイルシステムが暗号化にサポートしているブロックサイズを使用していることを確認します:

{{hc|# tune2fs -l /dev/''device'' {{!}} grep 'Block size'|
Block size: 4096
}}

{{hc|# getconf PAGE_SIZE|
4096
}}

これらの値が同じでない場合、ファイルシステムは暗号化をサポートしないので'''絶対にこれ以上先には進まないでください'''。

次に、ファイルシステムの暗号化機能フラグを有効にします:

# tune2fs -O encrypt /dev/''device''

{{Warning|暗号化機能フラグを有効にすると、4.1より古いカーネルはファイルシステムをマウントできなくなります。}}

次に、暗号化するディレクトリを作成します:

# mkdir /encrypted

暗号化は空のディレクトリにしか適用できないことに注意してください。暗号化設定(または「暗号化ポリシー」)は、新しいファイルとサブディレクトリによって継承されます。既存のファイルの暗号化はまだサポートされていません。

今度は、新しい鍵を生成して鍵リングに追加します。キーリングをフラッシュする(再起動する)たびに、この手順を繰り返す必要があります:

# e4crypt add_key
Enter passphrase (echo disabled):
Added key with descriptor [f88747555a6115f5]

{{Warning|パスフレーズを忘れた場合、ファイルを解読する方法はありません！パスフレーズを設定した後にパスフレーズを変更することはまだできません。}}

{{Note|パスフレーズに対する[[Wikipedia:Dictionary_attack|辞書攻撃]]を防ぐために、ランダムな [[Wikipedia:Salt_(cryptography)|ソルト]]が自動生成され、ext4ファイルシステムのスーパーブロックに保存されます。パスフレーズ''と''ソルトの両方は、実際の暗号化キーを導出するために使用されます。暗号化を有効にした複数のext4ファイルシステムがマウントされている場合、{{ic|e4crypt add_key}}は実際にはファイルシステムごとに1つずつ複数のキーを追加します。どんなキーもどんなファイルシステムでも使うことができますが、どのファイルシステムでもそのファイルシステム自身のソルトを使っているキーだけを使うのが賢明でしょう。そうでない場合、ファイルシステムBがアンマウントされていると、ファイルシステムAのファイルを解読することができなくなります。あるいは、{{ic|-S}}オプションを{{ic|e4crypt add_key}}に使用して自分でソルトを指定することもできます。}}

これであなたのキーの記述子が分かりました。キーがセッションキーリングに含まれていることを確認します:

# keyctl show
Session Keyring
1021618178 --alswrv 1000 1000 keyring: _ses
176349519 --alsw-v 1000 1000 \_ logon: ext4:f88747555a6115f5

ほとんど完了しました。次に、ディレクトリに暗号化ポリシーを設定します(キーを割り当てます)。:

# e4crypt set_policy f88747555a6115f5 /encrypted

以上です。キーリングにキーを追加せずにディレクトリにアクセスしようとすると、ファイル名とその内容は暗号化されたように見えます。

==Tips and tricks==
===予約ブロックの削除===

デフォルトでは、ファイルシステムの 5% はフラグメントが起こらないように root ユーザーに予約されます。最近の大容量ディスクでは、パーティションを長期保存アーカイブとして使う場合、5%は必要以上に大きい値となります (詳しくは [http://www.redhat.com/archives/ext3-users/2009-January/msg00026.html このメール] を見て下さい)。パーティションが以下の条件を満たしているならば、ディスク容量を増やすために予約ブロックの割合を減らしても大抵は問題ありません:

*パーティションがとても大きい (例えば 50GB 以上)
*長期保存用のアーカイブとして使っている、頻繁にファイルを作成したり削除することがない

予約ブロックを削減するには tune2fs ユーティリティを使います。次のコマンドは {{ic|/dev/sdXY}} パーティションの予約ブロックの割合を 1.0% に設定します:

# tune2fs -m 1.0 /dev/sdXY

findmnt(8) を使うことでデバイスの名前を確認できます:

$ findmnt ''/the/mount/point''

=== E4rat ===

[[E4rat]] は ext4 ファイルシステム用に作られたプリロードアプリケーションです。[[E4rat]] は起動時に開かれるファイルを記録して、アクセス時間が短縮されるようにパーティションにおけるファイルの配置を最適化します。そして起動時の初期段階でファイルを先読みします。[[E4rat]] は [[SSD]] を使っている場合は効果がありません。SSD のアクセス時間はハードディスクと比べると無視できるほどしかないためです。

=== バリアとパフォーマンス ===

カーネル 2.6.30 から、データの整合性を確保するのに役立つ変更によって ext4 のパフォーマンスは落ちています [http://www.phoronix.com/scan.php?page=article&item=ext4_then_now&num=1]。

''多くのファイルシステム (XFS, ext3, ext4, reiserfs) では、fsync やトランザクションコミットの際に書き込みバリアと呼ばれるものをディスクに送信します。書き込みバリアは書き込みの順序を守らせるための仕組みで (いくらか性能面への影響があります)、ディスクの書き込みキャッシュを安全に利用できるようにするためのものです。お使いのディスクにバッテリーが搭載されているような場合は、バリアを無効化することで性能を改善できる場合があります。''

''書き込みバリアの送信は、マウントオプションに {{Ic|1=barrier=0}} (ext3, ext4, reiserfs の場合) や {{ic|nobarrier}} (XFS) を設定することで無効化できます'' [http://manual.geeko.cpon.org/ja/cha.tuning.io.html]。

{{Warning|バリアを無効化すると、電源が失われたときにキャッシュが正しく書き込まれるか保証がされなくなります。これによってファイルシステムの破壊やデータ損失が発生する場合があります。}}

バリアをオフにしたいときは {{ic|/etc/fstab}} の変更したいファイルシステムに {{Ic|1=barrier=0}} オプションを追加してください。例:

{{hc|/etc/fstab|2=
/dev/sda5 / ext4 noatime,barrier=0 0 1
}}

== メタデータチェックサムを有効化する ==

新しいファイルシステムと既存のファイルシステムのメタデータチェックサムを有効にする場合は、いくつかのカーネルモジュールをロードする必要があります。

CPUがSSE 4.2をサポートしている場合は、ハードウェアアクセラレーションされたCRC32Cアルゴリズムを有効にするために、{{Ic|crc32c_intel}}カーネルモジュールがロードされていることを確認してください。そうでない場合には、{{Ic|crc32c_generic}}モジュールをロードする必要があります。

また、対象がルートファイルシステムの場合は、{{Ic|/mkinitcpio.conf}}に{{Ic|crc32c_}}モジュールを追加する必要があります:

MODULES="... crc32c_intel crc32c_generic"

それが済んだら、initramfsを再生成します。 [[Mkinitcpio#Image creation and activation]]を参照してください。

その後、次の2つのセクションで説明するように、メタデータチェックサムのサポートを有効にする準備が整いました。いずれの場合も、ファイルシステムをマウントしてはいけません。

メタデータチェックサムの詳細については、次を参照
[https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums ext4 wiki].

=== 新しいファイルシステム ===

新しいファイルシステム上でext4メタデータのチェックサムをサポートするには、{{Ic|e2fsprogs 1.43}}以上であることを確認してください。

そうしたら以下のようにファイルシステムを作成します:

# mkfs.ext4 ''/dev/path/to/disk''

{{Ic|metadata_csum}}と{{Ic|64bit}}オプションはデフォルトで有効になります。

ファイルシステムは通常の方法でマウントできます。

=== 既存のファイルシステム ===

既存のext4ファイルシステムでサポートを有効にするには、次のようにします。

これは、パーティションをアンマウントして実行する必要があるため、{{Ic|/}}に対して有効化する場合には、USBライブディストリビューションで実行する必要があります。

まず、以下を実行してパーティションをチェックし最適化する必要があります:

# e2fsck -Df ''/dev/path/to/disk''

その後、ファイルシステムを64bitに変換する必要があります:

# resize2fs -b ''/dev/path/to/disk''

最後にチェックサムを追加できます

# tune2fs -O metadata_csum ''/dev/path/to/disk''

ファイルシステムは通常の方法でマウントできます。

以下を実行して機能が有効になっているかどうかを確認できます:

# dumpe2fs ''/dev/path/to/disk''

=== パフォーマンスへの影響 ===

インテルのモジュールでは、[https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums#Benchmarking このベンチマーク]に見られるように、一貫して一般的なものより10倍速、最大で20倍速いことに注意してください。.

== 参照 ==

* [https://ext4.wiki.kernel.org/ Official Ext4 wiki]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout Ext4 Disk Layout] described in its wiki
* [http://lwn.net/Articles/639427/ Ext4 Encryption] LWN article
* Kernel commits for ext4 encryption [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6162e4b0bedeb3dac2ba0a5e1b1f56db107d97ec] [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=8663da2c0919896788321cd8a0016af08588c656]
* [http://e2fsprogs.sourceforge.net/e2fsprogs-release.html e2fsprogs Changelog]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums Ext4 Metadata Checksums]

Ext4

2016-11-22T00:08:35Z

Fragment: 項目の編集・追加

[[Category:ファイルシステム]]
[[cs:Ext4]]
[[de:Ext4]]
[[en:Ext4]]
[[es:Ext4]]
[[fr:Ext4]]
[[it:Ext4]]
[[ru:Ext4]]
[[tr:Ext4]]
[[zh-CN:Ext4]]
{{Related articles start}}
{{Related|ファイルシステム}}
{{Related|Ext3}}
{{Related articles end}}

Ext4 は Linux で一番よく使われているファイルシステム、Ext3 の発展版です。多くの点で、Ext3 から Ext4 になって Ext2 から　Ext3 に進んだときよりも大きな改善がされています。Ext3 では Ext2 にジャーナリングを追加したのがほとんどでしたが、Ext4 ではファイルデータを保存するファイルシステムの重要なデータ構造にメスが入っています。その結果、改良された設計、優れたパフォーマンス、信頼性、機能性を備えたファイルシステムが誕生しました。

ソース: [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies]

== 新しく ext4 ファイルシステムを作成 ==

パーティションをフォーマットするには次を実行:

# mkfs.ext4 /dev/''partition''

{{Tip|オプションについては mkfs.ext4 の man ページを見て下さい。{{ic|/etc/mke2fs.conf}} を編集すればデフォルトのオプションを見たり設定できます。}}

デフォルトでは、{{Ic|mkfs.ext4}} はやや低めの比率の bytes-per-inode を使って、作成される inode の定量を計算します。容量が 750GB 以上のパーティションではこれだと inode 番号が大きくなりすぎて、ディスク容量の無駄になります。比率は {{Ic|-i}} オプションで直接設定することができます。1/6291456 なら 2TB のパーティションで 476928 の inode になります。

==ext3 から ext4 に移行==

===ext3 パーティションを変換せずに ext4 としてマウント===

====理由====

ext4 を完全に変換する案と ext3 をそのまま使用する案の折衷案として、既存の ext3 パーティションを ext4 としてマウントする方法があります。

'''利点:'''
* 互換性 (ext3 としてファイルシステムをマウントできます) – ext4 のサポートがないオペレーティングシステムからもファイルシステムを読み込むことが可能です (例: Windows の ext3 ドライバー)
* パフォーマンスが向上 (ext4 パーティションに完全に変換するのよりは劣ります) – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* ext4 の機能を全て活用することはできません (マルチブロックアロケーションや遅延アロケーションなどのディスクフォーマットに変更を与える機能は使えません)

{{Note|ext4 が比較的新しいファイルシステムということ以外に (このこと自体をリスクと考えることもできます)、この方法を使用することで不利益になることは特にありません。}}

====方法====

# {{ic|/etc/fstab}} を編集して ext4 としてマウントしたいパーティションの 'type' を ext3 から ext4 に変更してください。
# 変更したパーティションを再マウントします。

===ext3 パーティションを ext4 に変換===

====理由====

ext4 の能力を活かすには、非可逆の変換をする必要があります。

'''利点:'''
* パフォーマンスの向上と新機能 – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* 一方通行 (ext4 パーティションを ext3 に'ダウングレード'することはできません)

====方法====

以下の手順は http://ext4.wiki.kernel.org/index.php/Ext4_Howto と https://bbs.archlinux.org/viewtopic.php?id=61602 から引用しています。
{{Warning|エクステントなどのオプションを有効にしないかぎり ext4 は ext3 と後方互換性があります。ただし、パーティションを完全に変換しない場合、ext4 を使用する利点は少なくなります。}}

# '''[[バックアッププログラム|バックアップ]]'''を行なって下さい。ext4 に変換する ext3 パーティションに存在するデータを全てバックアップします。特に / (root) パーティションをバックアップする場合は、[http://clonezilla.org Clonezilla] が役に立ちます。
# {{ic|/etc/fstab}} を編集して ext4 に変換するパーティションの 'type' を ext3 から ext4 に変換してください。
# (必要であれば) ライブメディアを起動します。{{Ic|e2fsprogs}} で変換を行う際はドライブがマウントされていない状態になっている必要があります。ドライブの root (/) パーティションを変換するときは、他のライブメディアから起動して変換するのが一番簡単です。
# パーティションがマウントされていないことを確認してください
# {{Ic|tune2fs -O extent,uninit_bg,dir_index /dev/sdxX}} を実行 ({{Ic|/dev/sdxX}} は変換するパーティションのパスに置き換えて下さい、例: {{Ic|/dev/sda1}})
# {{Ic|fsck -f /dev/sdxX}} を実行
# 推奨: パーティションをマウントして {{Ic|e4defrag -c -v /dev/sdxX}} を実行
# Arch Linux を再起動してください

{{Note|The user '''MUST''' fsck the filesystem, or it will be unreadable! This fsck run is needed to return the filesystem to a consistent state. '''It WILL find checksum errors in the group descriptors''' -- this is expected. The '-f' parameter asks fsck to force checking even if the file system seems clean. The '-p' parameter asks fsck to 'automatically repair' (otherwise, the user will be asked for input for each error).
You may need to run fsck -f rather than fsck -fp.}}

{{Note|Even though the filesystem is now converted to ext4, all files that have been written before the conversion do not yet take advantage of the extent option of ext4, which will improve large file performance and reduce fragmentation and filesystem check time. In order to fully take advantage of ext4, all files would have to be rewritten on disk. Use e4defrag to take care of this problem.}}
{{Warning|1=root (/) パーティションを変換した場合、起動しようとした時にカーネルパニックが発生することがあります。カーネルパニックが起きる場合、'fallback' の initial ramdisk を使用して再起動して、'default' の initial ramdisk を再作成してください: {{Ic|mkinitcpio -p linux}}。}}

== ファイルベースの暗号化を利用する ==

Linux 4.1以降、ext4はファイルベースの暗号化をサポートしています。暗号化用にマークされたディレクトリツリーでは、ファイルの内容、ファイル名、およびシンボリックリンクのターゲットはすべて暗号化されます。暗号化キーはカーネルキーリングに格納されます。機能の詳細、実装状態の概要、実用的な点、カーネル4.1でのテスト結果については、[http://blog.quarkslab.com/a-glimpse-of-ext4-filesystem-level-encryption.html Quarkslabのブログ]の項目も参照してください。

{{ic|CONFIG_EXT4_ENCRYPTION}}オプションが有効になっているカーネルを使用していて、{{Pkg|e2fsprogs}}パッケージが少なくともバージョン1.43以上であることを確認してください。

次に、ファイルシステムが暗号化にサポートしているブロックサイズを使用していることを確認します:

{{hc|# tune2fs -l /dev/''device'' {{!}} grep 'Block size'|
Block size: 4096
}}

{{hc|# getconf PAGE_SIZE|
4096
}}

これらの値が同じでない場合、ファイルシステムは暗号化をサポートしないので'''絶対にこれ以上先には進まないでください'''。

次に、ファイルシステムの暗号化機能フラグを有効にします:

# tune2fs -O encrypt /dev/''device''

{{Warning|暗号化機能フラグを有効にすると、4.1より古いカーネルはファイルシステムをマウントできなくなります。}}

次に、暗号化するディレクトリを作成します:

# mkdir /encrypted

暗号化は空のディレクトリにしか適用できないことに注意してください。暗号化設定(または「暗号化ポリシー」)は、新しいファイルとサブディレクトリによって継承されます。既存のファイルの暗号化はまだサポートされていません。

今度は、新しい鍵を生成して鍵リングに追加します。キーリングをフラッシュする(再起動する)たびに、この手順を繰り返す必要があります:

# e4crypt add_key
Enter passphrase (echo disabled):
Added key with descriptor [f88747555a6115f5]

{{Warning|パスフレーズを忘れた場合、ファイルを解読する方法はありません！パスフレーズを設定した後にパスフレーズを変更することはまだできません。}}

{{Note|パスフレーズに対する[[Wikipedia:Dictionary_attack|辞書攻撃]]を防ぐために、ランダムな [[Wikipedia:Salt_(cryptography)|ソルト]]が自動生成され、ext4ファイルシステムのスーパーブロックに保存されます。パスフレーズ''と''ソルトの両方は、実際の暗号化キーを導出するために使用されます。暗号化を有効にした複数のext4ファイルシステムがマウントされている場合、{{ic|e4crypt add_key}}は実際にはファイルシステムごとに1つずつ複数のキーを追加します。どんなキーもどんなファイルシステムでも使うことができますが、どのファイルシステムでもそのファイルシステム自身のソルトを使っているキーだけを使うのが賢明でしょう。そうでない場合、ファイルシステムBがアンマウントされていると、ファイルシステムAのファイルを解読することができなくなります。あるいは、{{ic|-S}}オプションを{{ic|e4crypt add_key}}に使用して自分でソルトを指定することもできます。}}

これであなたのキーの記述子が分かりました。キーがセッションキーリングに含まれていることを確認します:

# keyctl show
Session Keyring
1021618178 --alswrv 1000 1000 keyring: _ses
176349519 --alsw-v 1000 1000 \_ logon: ext4:f88747555a6115f5

ほとんど完了しました。次に、ディレクトリに暗号化ポリシーを設定します(キーを割り当てます)。:

# e4crypt set_policy f88747555a6115f5 /encrypted

以上です。キーリングにキーを追加せずにディレクトリにアクセスしようとすると、ファイル名とその内容は暗号化されたように見えます。

==Tips and tricks==
===予約ブロックの削除===

デフォルトでは、ファイルシステムの 5% はフラグメントが起こらないように root ユーザーに予約されます。最近の大容量ディスクでは、パーティションを長期保存アーカイブとして使う場合、5%は必要以上に大きい値となります (詳しくは [http://www.redhat.com/archives/ext3-users/2009-January/msg00026.html このメール] を見て下さい)。パーティションが以下の条件を満たしているならば、ディスク容量を増やすために予約ブロックの割合を減らしても大抵は問題ありません:

*パーティションがとても大きい (例えば 50GB 以上)
*長期保存用のアーカイブとして使っている、頻繁にファイルを作成したり削除することがない

予約ブロックを削減するには tune2fs ユーティリティを使います。次のコマンドは {{ic|/dev/sdXY}} パーティションの予約ブロックの割合を 1.0% に設定します:

# tune2fs -m 1.0 /dev/sdXY

findmnt(8) を使うことでデバイスの名前を確認できます:

$ findmnt ''/the/mount/point''

=== E4rat ===

[[E4rat]] は ext4 ファイルシステム用に作られたプリロードアプリケーションです。[[E4rat]] は起動時に開かれるファイルを記録して、アクセス時間が短縮されるようにパーティションにおけるファイルの配置を最適化します。そして起動時の初期段階でファイルを先読みします。[[E4rat]] は [[SSD]] を使っている場合は効果がありません。SSD のアクセス時間はハードディスクと比べると無視できるほどしかないためです。

=== バリアとパフォーマンス ===

カーネル 2.6.30 から、データの整合性を確保するのに役立つ変更によって ext4 のパフォーマンスは落ちています [http://www.phoronix.com/scan.php?page=article&item=ext4_then_now&num=1]。

''多くのファイルシステム (XFS, ext3, ext4, reiserfs) では、fsync やトランザクションコミットの際に書き込みバリアと呼ばれるものをディスクに送信します。書き込みバリアは書き込みの順序を守らせるための仕組みで (いくらか性能面への影響があります)、ディスクの書き込みキャッシュを安全に利用できるようにするためのものです。お使いのディスクにバッテリーが搭載されているような場合は、バリアを無効化することで性能を改善できる場合があります。''

''書き込みバリアの送信は、マウントオプションに {{Ic|1=barrier=0}} (ext3, ext4, reiserfs の場合) や {{ic|nobarrier}} (XFS) を設定することで無効化できます'' [http://manual.geeko.cpon.org/ja/cha.tuning.io.html]。

{{Warning|バリアを無効化すると、電源が失われたときにキャッシュが正しく書き込まれるか保証がされなくなります。これによってファイルシステムの破壊やデータ損失が発生する場合があります。}}

バリアをオフにしたいときは {{ic|/etc/fstab}} の変更したいファイルシステムに {{Ic|1=barrier=0}} オプションを追加してください。例:

{{hc|/etc/fstab|2=
/dev/sda5 / ext4 noatime,barrier=0 0 1
}}

== メタデータチェックサムを有効化する ==

In both cases of enabling metadata checksums for new and existing filesystems, you will need to load some kernel modules.

If your CPU supports SSE 4.2, make sure the {{Ic|crc32c_intel}} kernel module is loaded in order to enable the hardware accelerated CRC32C algorithm. If not you will need to load the {{Ic|crc32c_generic}} module.

If this is the root file-system your {{Ic|crc32c_}} module might need to be added to {{Ic|/etc/mkinitcpio.conf}}:

MODULES="... crc32c_intel crc32c_generic"

And then regenerate the initramfs. See [[Mkinitcpio#Image creation and activation]].

After this, you are ready to enable support for metadata checksums as described in the following two sections. In both cases the file system must not be mounted.

More about metadata checksums can be read on the [https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums ext4 wiki].

=== New filesystem ===

To enable support for ext4 metadata checksums on a new file system make sure that you have {{Ic|e2fsprogs 1.43}} or newer and simply do a:

# mkfs.ext4 ''/dev/path/to/disk''

The {{Ic |metadata_csum}} and {{Ic|64bit}} options will be enabled by default.

The file-system can then be mounted as usual.

=== Existing filesystem ===

To enable support on an existing ext4 file system do the following.

This needs to be done with the partition unmounted, so if you want to convert the root, you'll need to run off an USB live distro.

First the partition needs to be checked and optimized using:

# e2fsck -Df ''/dev/path/to/disk''

Then the file-system needs to be converted to 64bit:

# resize2fs -b ''/dev/path/to/disk''

Finally checksums can be added

# tune2fs -O metadata_csum ''/dev/path/to/disk''

The file-system can then be mounted as usual.

You can check whether the features were successfully enabled by running:

# dumpe2fs ''/dev/path/to/disk''

=== Impact on performance ===

Keep in mind that the intel module consistently performs 10x faster than the generic one, peaking at 20x faster as can be seen in [https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums#Benchmarking this benchmark].

== 参照 ==

* [https://ext4.wiki.kernel.org/ Official Ext4 wiki]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout Ext4 Disk Layout] described in its wiki
* [http://lwn.net/Articles/639427/ Ext4 Encryption] LWN article
* Kernel commits for ext4 encryption [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6162e4b0bedeb3dac2ba0a5e1b1f56db107d97ec] [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=8663da2c0919896788321cd8a0016af08588c656]
* [http://e2fsprogs.sourceforge.net/e2fsprogs-release.html e2fsprogs Changelog]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums Ext4 Metadata Checksums]

Ext4

2016-11-22T00:03:30Z

Fragment: /* ファイルベースの暗号化を利用する */ 翻訳

[[Category:ファイルシステム]]
[[cs:Ext4]]
[[de:Ext4]]
[[en:Ext4]]
[[es:Ext4]]
[[fr:Ext4]]
[[it:Ext4]]
[[ru:Ext4]]
[[tr:Ext4]]
[[zh-CN:Ext4]]
{{Related articles start}}
{{Related|ファイルシステム}}
{{Related|Ext3}}
{{Related articles end}}

Ext4 は Linux で一番よく使われているファイルシステム、Ext3 の発展版です。多くの点で、Ext3 から Ext4 になって Ext2 から　Ext3 に進んだときよりも大きな改善がされています。Ext3 では Ext2 にジャーナリングを追加したのがほとんどでしたが、Ext4 ではファイルデータを保存するファイルシステムの重要なデータ構造にメスが入っています。その結果、改良された設計、優れたパフォーマンス、信頼性、機能性を備えたファイルシステムが誕生しました。

ソース: [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies]

== 新しく ext4 ファイルシステムを作成 ==

パーティションをフォーマットするには次を実行:

# mkfs.ext4 /dev/''partition''

{{Tip|オプションについては mkfs.ext4 の man ページを見て下さい。{{ic|/etc/mke2fs.conf}} を編集すればデフォルトのオプションを見たり設定できます。}}

デフォルトでは、{{Ic|mkfs.ext4}} はやや低めの比率の bytes-per-inode を使って、作成される inode の定量を計算します。容量が 750GB 以上のパーティションではこれだと inode 番号が大きくなりすぎて、ディスク容量の無駄になります。比率は {{Ic|-i}} オプションで直接設定することができます。1/6291456 なら 2TB のパーティションで 476928 の inode になります。

==ext3 から ext4 に移行==

===ext3 パーティションを変換せずに ext4 としてマウント===

====理由====

ext4 を完全に変換する案と ext3 をそのまま使用する案の折衷案として、既存の ext3 パーティションを ext4 としてマウントする方法があります。

'''利点:'''
* 互換性 (ext3 としてファイルシステムをマウントできます) – ext4 のサポートがないオペレーティングシステムからもファイルシステムを読み込むことが可能です (例: Windows の ext3 ドライバー)
* パフォーマンスが向上 (ext4 パーティションに完全に変換するのよりは劣ります) – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* ext4 の機能を全て活用することはできません (マルチブロックアロケーションや遅延アロケーションなどのディスクフォーマットに変更を与える機能は使えません)

{{Note|ext4 が比較的新しいファイルシステムということ以外に (このこと自体をリスクと考えることもできます)、この方法を使用することで不利益になることは特にありません。}}

====方法====

# {{ic|/etc/fstab}} を編集して ext4 としてマウントしたいパーティションの 'type' を ext3 から ext4 に変更してください。
# 変更したパーティションを再マウントします。

===ext3 パーティションを ext4 に変換===

====理由====

ext4 の能力を活かすには、非可逆の変換をする必要があります。

'''利点:'''
* パフォーマンスの向上と新機能 – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* 一方通行 (ext4 パーティションを ext3 に'ダウングレード'することはできません)

====方法====

以下の手順は http://ext4.wiki.kernel.org/index.php/Ext4_Howto と https://bbs.archlinux.org/viewtopic.php?id=61602 から引用しています。
{{Warning|エクステントなどのオプションを有効にしないかぎり ext4 は ext3 と後方互換性があります。ただし、パーティションを完全に変換しない場合、ext4 を使用する利点は少なくなります。}}

# '''[[バックアッププログラム|バックアップ]]'''を行なって下さい。ext4 に変換する ext3 パーティションに存在するデータを全てバックアップします。特に / (root) パーティションをバックアップする場合は、[http://clonezilla.org Clonezilla] が役に立ちます。
# {{ic|/etc/fstab}} を編集して ext4 に変換するパーティションの 'type' を ext3 から ext4 に変換してください。
# (必要であれば) ライブメディアを起動します。{{Ic|e2fsprogs}} で変換を行う際はドライブがマウントされていない状態になっている必要があります。ドライブの root (/) パーティションを変換するときは、他のライブメディアから起動して変換するのが一番簡単です。
# パーティションがマウントされていないことを確認してください
# {{Ic|tune2fs -O extent,uninit_bg,dir_index /dev/sdxX}} を実行 ({{Ic|/dev/sdxX}} は変換するパーティションのパスに置き換えて下さい、例: {{Ic|/dev/sda1}})
# {{Ic|fsck -f /dev/sdxX}} を実行
# 推奨: パーティションをマウントして {{Ic|e4defrag -c -v /dev/sdxX}} を実行
# Arch Linux を再起動してください

{{Note|The user '''MUST''' fsck the filesystem, or it will be unreadable! This fsck run is needed to return the filesystem to a consistent state. '''It WILL find checksum errors in the group descriptors''' -- this is expected. The '-f' parameter asks fsck to force checking even if the file system seems clean. The '-p' parameter asks fsck to 'automatically repair' (otherwise, the user will be asked for input for each error).
You may need to run fsck -f rather than fsck -fp.}}

{{Note|Even though the filesystem is now converted to ext4, all files that have been written before the conversion do not yet take advantage of the extent option of ext4, which will improve large file performance and reduce fragmentation and filesystem check time. In order to fully take advantage of ext4, all files would have to be rewritten on disk. Use e4defrag to take care of this problem.}}
{{Warning|1=root (/) パーティションを変換した場合、起動しようとした時にカーネルパニックが発生することがあります。カーネルパニックが起きる場合、'fallback' の initial ramdisk を使用して再起動して、'default' の initial ramdisk を再作成してください: {{Ic|mkinitcpio -p linux}}。}}

== ファイルベースの暗号化を利用する ==

Linux 4.1以降、ext4はファイルベースの暗号化をサポートしています。暗号化用にマークされたディレクトリツリーでは、ファイルの内容、ファイル名、およびシンボリックリンクのターゲットはすべて暗号化されます。暗号化キーはカーネルキーリングに格納されます。機能の詳細、実装状態の概要、実用的な点、カーネル4.1でのテスト結果については、[http://blog.quarkslab.com/a-glimpse-of-ext4-filesystem-level-encryption.html Quarkslabのブログ]の項目も参照してください。

{{ic|CONFIG_EXT4_ENCRYPTION}}オプションが有効になっているカーネルを使用していて、{{Pkg|e2fsprogs}}パッケージが少なくともバージョン1.43以上であることを確認してください。

次に、ファイルシステムが暗号化にサポートしているブロックサイズを使用していることを確認します:

{{hc|# tune2fs -l /dev/''device'' {{!}} grep 'Block size'|
Block size: 4096
}}

{{hc|# getconf PAGE_SIZE|
4096
}}

これらの値が同じでない場合、ファイルシステムは暗号化をサポートしないので'''絶対にこれ以上先には進まないでください'''。

次に、ファイルシステムの暗号化機能フラグを有効にします:

# tune2fs -O encrypt /dev/''device''

{{Warning|暗号化機能フラグを有効にすると、4.1より古いカーネルはファイルシステムをマウントできなくなります。}}

次に、暗号化するディレクトリを作成します:

# mkdir /encrypted

暗号化は空のディレクトリにしか適用できないことに注意してください。暗号化設定(または「暗号化ポリシー」)は、新しいファイルとサブディレクトリによって継承されます。既存のファイルの暗号化はまだサポートされていません。

今度は、新しい鍵を生成して鍵リングに追加します。キーリングをフラッシュする(再起動する)たびに、この手順を繰り返す必要があります:

# e4crypt add_key
Enter passphrase (echo disabled):
Added key with descriptor [f88747555a6115f5]

{{Warning|パスフレーズを忘れた場合、ファイルを解読する方法はありません！パスフレーズを設定した後にパスフレーズを変更することはまだできません。}}

{{Note|パスフレーズに対する[[Wikipedia:Dictionary_attack|辞書攻撃]]を防ぐために、ランダムな [[Wikipedia:Salt_(cryptography)|ソルト]]が自動生成され、ext4ファイルシステムのスーパーブロックに保存されます。パスフレーズ''と''ソルトの両方は、実際の暗号化キーを導出するために使用されます。暗号化を有効にした複数のext4ファイルシステムがマウントされている場合、{{ic|e4crypt add_key}}は実際にはファイルシステムごとに1つずつ複数のキーを追加します。どんなキーもどんなファイルシステムでも使うことができますが、どのファイルシステムでもそのファイルシステム自身のソルトを使っているキーだけを使うのが賢明でしょう。そうでない場合、ファイルシステムBがアンマウントされていると、ファイルシステムAのファイルを解読することができなくなります。あるいは、{{ic|-S}}オプションを{{ic|e4crypt add_key}}に使用して自分でソルトを指定することもできます。}}

これであなたのキーの記述子が分かりました。キーがセッションキーリングに含まれていることを確認します:

# keyctl show
Session Keyring
1021618178 --alswrv 1000 1000 keyring: _ses
176349519 --alsw-v 1000 1000 \_ logon: ext4:f88747555a6115f5

ほとんど完了しました。次に、ディレクトリに暗号化ポリシーを設定します(キーを割り当てます)。:

# e4crypt set_policy f88747555a6115f5 /encrypted

以上です。キーリングにキーを追加せずにディレクトリにアクセスしようとすると、ファイル名とその内容は暗号化されたように見えます。

==Tips and tricks==
===予約ブロックの削除===

デフォルトでは、ファイルシステムの 5% はフラグメントが起こらないように root ユーザーに予約されます。最近の大容量ディスクでは、パーティションを長期保存アーカイブとして使う場合、5%は必要以上に大きい値となります (詳しくは [http://www.redhat.com/archives/ext3-users/2009-January/msg00026.html このメール] を見て下さい)。パーティションが以下の条件を満たしているならば、ディスク容量を増やすために予約ブロックの割合を減らしても大抵は問題ありません:

*パーティションがとても大きい (例えば 50GB 以上)
*長期保存用のアーカイブとして使っている、頻繁にファイルを作成したり削除することがない

予約ブロックを削減するには tune2fs ユーティリティを使います。次のコマンドは {{ic|/dev/sdXY}} パーティションの予約ブロックの割合を 1.0% に設定します:

# tune2fs -m 1.0 /dev/sdXY

findmnt(8) を使うことでデバイスの名前を確認できます:

$ findmnt ''/the/mount/point''

=== E4rat ===

[[E4rat]] は ext4 ファイルシステム用に作られたプリロードアプリケーションです。[[E4rat]] は起動時に開かれるファイルを記録して、アクセス時間が短縮されるようにパーティションにおけるファイルの配置を最適化します。そして起動時の初期段階でファイルを先読みします。[[E4rat]] は [[SSD]] を使っている場合は効果がありません。SSD のアクセス時間はハードディスクと比べると無視できるほどしかないためです。

==トラブルシューティング==
=== バリアとパフォーマンス ===

カーネル 2.6.30 から、データの整合性を確保するのに役立つ変更によって ext4 のパフォーマンスは落ちています [http://www.phoronix.com/scan.php?page=article&item=ext4_then_now&num=1]。

''多くのファイルシステム (XFS, ext3, ext4, reiserfs) では、fsync やトランザクションコミットの際に書き込みバリアと呼ばれるものをディスクに送信します。書き込みバリアは書き込みの順序を守らせるための仕組みで (いくらか性能面への影響があります)、ディスクの書き込みキャッシュを安全に利用できるようにするためのものです。お使いのディスクにバッテリーが搭載されているような場合は、バリアを無効化することで性能を改善できる場合があります。''

''書き込みバリアの送信は、マウントオプションに {{Ic|1=barrier=0}} (ext3, ext4, reiserfs の場合) や {{ic|nobarrier}} (XFS) を設定することで無効化できます'' [http://manual.geeko.cpon.org/ja/cha.tuning.io.html]。

{{Warning|バリアを無効化すると、電源が失われたときにキャッシュが正しく書き込まれるか保証がされなくなります。これによってファイルシステムの破壊やデータ損失が発生する場合があります。}}

バリアをオフにしたいときは {{ic|/etc/fstab}} の変更したいファイルシステムに {{Ic|1=barrier=0}} オプションを追加してください。例:

{{hc|/etc/fstab|2=
/dev/sda5 / ext4 noatime,barrier=0 0 1
}}

== 参照 ==

* [https://ext4.wiki.kernel.org/ Official Ext4 wiki]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout Ext4 Disk Layout] described in its wiki
* [http://lwn.net/Articles/639427/ Ext4 Encryption] LWN article
* Kernel commits for ext4 encryption [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6162e4b0bedeb3dac2ba0a5e1b1f56db107d97ec] [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=8663da2c0919896788321cd8a0016af08588c656]
* [http://e2fsprogs.sourceforge.net/e2fsprogs-release.html e2fsprogs Changelog]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums Ext4 Metadata Checksums]

Ext4

2016-11-21T23:26:45Z

Fragment: 参照の追加

[[Category:ファイルシステム]]
[[cs:Ext4]]
[[de:Ext4]]
[[en:Ext4]]
[[es:Ext4]]
[[fr:Ext4]]
[[it:Ext4]]
[[ru:Ext4]]
[[tr:Ext4]]
[[zh-CN:Ext4]]
{{Related articles start}}
{{Related|ファイルシステム}}
{{Related|Ext3}}
{{Related articles end}}

Ext4 は Linux で一番よく使われているファイルシステム、Ext3 の発展版です。多くの点で、Ext3 から Ext4 になって Ext2 から　Ext3 に進んだときよりも大きな改善がされています。Ext3 では Ext2 にジャーナリングを追加したのがほとんどでしたが、Ext4 ではファイルデータを保存するファイルシステムの重要なデータ構造にメスが入っています。その結果、改良された設計、優れたパフォーマンス、信頼性、機能性を備えたファイルシステムが誕生しました。

ソース: [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies]

== 新しく ext4 ファイルシステムを作成 ==

パーティションをフォーマットするには次を実行:

# mkfs.ext4 /dev/''partition''

{{Tip|オプションについては mkfs.ext4 の man ページを見て下さい。{{ic|/etc/mke2fs.conf}} を編集すればデフォルトのオプションを見たり設定できます。}}

デフォルトでは、{{Ic|mkfs.ext4}} はやや低めの比率の bytes-per-inode を使って、作成される inode の定量を計算します。容量が 750GB 以上のパーティションではこれだと inode 番号が大きくなりすぎて、ディスク容量の無駄になります。比率は {{Ic|-i}} オプションで直接設定することができます。1/6291456 なら 2TB のパーティションで 476928 の inode になります。

==ext3 から ext4 に移行==

===ext3 パーティションを変換せずに ext4 としてマウント===

====理由====

ext4 を完全に変換する案と ext3 をそのまま使用する案の折衷案として、既存の ext3 パーティションを ext4 としてマウントする方法があります。

'''利点:'''
* 互換性 (ext3 としてファイルシステムをマウントできます) – ext4 のサポートがないオペレーティングシステムからもファイルシステムを読み込むことが可能です (例: Windows の ext3 ドライバー)
* パフォーマンスが向上 (ext4 パーティションに完全に変換するのよりは劣ります) – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* ext4 の機能を全て活用することはできません (マルチブロックアロケーションや遅延アロケーションなどのディスクフォーマットに変更を与える機能は使えません)

{{Note|ext4 が比較的新しいファイルシステムということ以外に (このこと自体をリスクと考えることもできます)、この方法を使用することで不利益になることは特にありません。}}

====方法====

# {{ic|/etc/fstab}} を編集して ext4 としてマウントしたいパーティションの 'type' を ext3 から ext4 に変更してください。
# 変更したパーティションを再マウントします。

===ext3 パーティションを ext4 に変換===

====理由====

ext4 の能力を活かすには、非可逆の変換をする必要があります。

'''利点:'''
* パフォーマンスの向上と新機能 – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* 一方通行 (ext4 パーティションを ext3 に'ダウングレード'することはできません)

====方法====

以下の手順は http://ext4.wiki.kernel.org/index.php/Ext4_Howto と https://bbs.archlinux.org/viewtopic.php?id=61602 から引用しています。
{{Warning|エクステントなどのオプションを有効にしないかぎり ext4 は ext3 と後方互換性があります。ただし、パーティションを完全に変換しない場合、ext4 を使用する利点は少なくなります。}}

# '''[[バックアッププログラム|バックアップ]]'''を行なって下さい。ext4 に変換する ext3 パーティションに存在するデータを全てバックアップします。特に / (root) パーティションをバックアップする場合は、[http://clonezilla.org Clonezilla] が役に立ちます。
# {{ic|/etc/fstab}} を編集して ext4 に変換するパーティションの 'type' を ext3 から ext4 に変換してください。
# (必要であれば) ライブメディアを起動します。{{Ic|e2fsprogs}} で変換を行う際はドライブがマウントされていない状態になっている必要があります。ドライブの root (/) パーティションを変換するときは、他のライブメディアから起動して変換するのが一番簡単です。
# パーティションがマウントされていないことを確認してください
# {{Ic|tune2fs -O extent,uninit_bg,dir_index /dev/sdxX}} を実行 ({{Ic|/dev/sdxX}} は変換するパーティションのパスに置き換えて下さい、例: {{Ic|/dev/sda1}})
# {{Ic|fsck -f /dev/sdxX}} を実行
# 推奨: パーティションをマウントして {{Ic|e4defrag -c -v /dev/sdxX}} を実行
# Arch Linux を再起動してください

{{Note|The user '''MUST''' fsck the filesystem, or it will be unreadable! This fsck run is needed to return the filesystem to a consistent state. '''It WILL find checksum errors in the group descriptors''' -- this is expected. The '-f' parameter asks fsck to force checking even if the file system seems clean. The '-p' parameter asks fsck to 'automatically repair' (otherwise, the user will be asked for input for each error).
You may need to run fsck -f rather than fsck -fp.}}

{{Note|Even though the filesystem is now converted to ext4, all files that have been written before the conversion do not yet take advantage of the extent option of ext4, which will improve large file performance and reduce fragmentation and filesystem check time. In order to fully take advantage of ext4, all files would have to be rewritten on disk. Use e4defrag to take care of this problem.}}
{{Warning|1=root (/) パーティションを変換した場合、起動しようとした時にカーネルパニックが発生することがあります。カーネルパニックが起きる場合、'fallback' の initial ramdisk を使用して再起動して、'default' の initial ramdisk を再作成してください: {{Ic|mkinitcpio -p linux}}。}}

== ファイルベースの暗号化を利用する ==

Since Linux 4.1, ext4 supports file-based encryption. In a directory tree marked for encryption, file contents, filenames, and symbolic link targets are all encrypted. Encryption keys are stored in the kernel keyring. See also [http://blog.quarkslab.com/a-glimpse-of-ext4-filesystem-level-encryption.html Quarkslab's blog] entry with a write-up of the feature, an overview of the implementation state, and practical test results with kernel 4.1.

Make sure you are using a kernel with the option {{ic|CONFIG_EXT4_ENCRYPTION}} enabled and have the {{Pkg|e2fsprogs}} package updated to at least version 1.43.

Then verify that your filesystem is using a supported block size for encryption:

{{hc|# tune2fs -l /dev/''device'' {{!}} grep 'Block size'|
Block size: 4096
}}

{{hc|# getconf PAGE_SIZE|
4096
}}

If these values are not the same, then your filesystem will not support encryption, so '''do not proceed further'''.

Next, enable the encryption feature flag on your filesystem:

# tune2fs -O encrypt /dev/''device''

{{Warning|Once the encryption feature flag is enabled, kernels older than 4.1 will be unable to mount the filesystem.}}

Next, make a directory to encrypt:

# mkdir /encrypted

Note that encryption can only be applied to an empty directory. The encryption setting (or "encryption policy") is inherited by new files and subdirectories. Encrypting existing files is not yet supported.

Now generate and add a new key to your keyring. This step must be repeated every time you flush your keyring (reboot):

# e4crypt add_key
Enter passphrase (echo disabled):
Added key with descriptor [f88747555a6115f5]

{{Warning|If you forget your passphrase, there will be no way to decrypt your files! It also isn't yet possible to change a passphrase after you've set it.}}

{{Note|To help prevent [[Wikipedia:Dictionary_attack|dictionary attacks]] on your passphrase, a random [[Wikipedia:Salt_(cryptography)|salt]] is automatically generated and stored in the ext4 filesystem superblock. Both the passphrase ''and'' the salt are used to derive the actual encryption key. As a consequence of this, if you have multiple ext4 filesystems with encryption enabled mounted, then {{ic|e4crypt add_key}} will actually add multiple keys, one per filesystem. Although any key can be used on any filesystem, it would be wise to only use, on a given filesystem, keys using that filesystem's salt. Otherwise, you risk being unable to decrypt files on filesystem A if filesystem B is unmounted. Alternatively, you can use the {{ic|-S}} option to {{ic|e4crypt add_key}} to specify a salt yourself.}}

Now you know the descriptor for your key. Make sure the key is in your session keyring:

# keyctl show
Session Keyring
1021618178 --alswrv 1000 1000 keyring: _ses
176349519 --alsw-v 1000 1000 \_ logon: ext4:f88747555a6115f5

Almost done. Now set an encryption policy on the directory (assign the key to it):

# e4crypt set_policy f88747555a6115f5 /encrypted

That is all. If you try accessing the directory without adding the key into your keyring, filenames and their contents will be seen as encrypted gibberish.

==Tips and tricks==
===予約ブロックの削除===

デフォルトでは、ファイルシステムの 5% はフラグメントが起こらないように root ユーザーに予約されます。最近の大容量ディスクでは、パーティションを長期保存アーカイブとして使う場合、5%は必要以上に大きい値となります (詳しくは [http://www.redhat.com/archives/ext3-users/2009-January/msg00026.html このメール] を見て下さい)。パーティションが以下の条件を満たしているならば、ディスク容量を増やすために予約ブロックの割合を減らしても大抵は問題ありません:

*パーティションがとても大きい (例えば 50GB 以上)
*長期保存用のアーカイブとして使っている、頻繁にファイルを作成したり削除することがない

予約ブロックを削減するには tune2fs ユーティリティを使います。次のコマンドは {{ic|/dev/sdXY}} パーティションの予約ブロックの割合を 1.0% に設定します:

# tune2fs -m 1.0 /dev/sdXY

findmnt(8) を使うことでデバイスの名前を確認できます:

$ findmnt ''/the/mount/point''

=== E4rat ===

[[E4rat]] は ext4 ファイルシステム用に作られたプリロードアプリケーションです。[[E4rat]] は起動時に開かれるファイルを記録して、アクセス時間が短縮されるようにパーティションにおけるファイルの配置を最適化します。そして起動時の初期段階でファイルを先読みします。[[E4rat]] は [[SSD]] を使っている場合は効果がありません。SSD のアクセス時間はハードディスクと比べると無視できるほどしかないためです。

==トラブルシューティング==
=== バリアとパフォーマンス ===

カーネル 2.6.30 から、データの整合性を確保するのに役立つ変更によって ext4 のパフォーマンスは落ちています [http://www.phoronix.com/scan.php?page=article&item=ext4_then_now&num=1]。

''多くのファイルシステム (XFS, ext3, ext4, reiserfs) では、fsync やトランザクションコミットの際に書き込みバリアと呼ばれるものをディスクに送信します。書き込みバリアは書き込みの順序を守らせるための仕組みで (いくらか性能面への影響があります)、ディスクの書き込みキャッシュを安全に利用できるようにするためのものです。お使いのディスクにバッテリーが搭載されているような場合は、バリアを無効化することで性能を改善できる場合があります。''

''書き込みバリアの送信は、マウントオプションに {{Ic|1=barrier=0}} (ext3, ext4, reiserfs の場合) や {{ic|nobarrier}} (XFS) を設定することで無効化できます'' [http://manual.geeko.cpon.org/ja/cha.tuning.io.html]。

{{Warning|バリアを無効化すると、電源が失われたときにキャッシュが正しく書き込まれるか保証がされなくなります。これによってファイルシステムの破壊やデータ損失が発生する場合があります。}}

バリアをオフにしたいときは {{ic|/etc/fstab}} の変更したいファイルシステムに {{Ic|1=barrier=0}} オプションを追加してください。例:

{{hc|/etc/fstab|2=
/dev/sda5 / ext4 noatime,barrier=0 0 1
}}

== 参照 ==

* [https://ext4.wiki.kernel.org/ Official Ext4 wiki]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout Ext4 Disk Layout] described in its wiki
* [http://lwn.net/Articles/639427/ Ext4 Encryption] LWN article
* Kernel commits for ext4 encryption [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=6162e4b0bedeb3dac2ba0a5e1b1f56db107d97ec] [https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=8663da2c0919896788321cd8a0016af08588c656]
* [http://e2fsprogs.sourceforge.net/e2fsprogs-release.html e2fsprogs Changelog]
* [https://ext4.wiki.kernel.org/index.php/Ext4_Metadata_Checksums Ext4 Metadata Checksums]

Ext4

2016-11-21T23:26:02Z

Fragment: 項目の追加。

[[Category:ファイルシステム]]
[[cs:Ext4]]
[[de:Ext4]]
[[en:Ext4]]
[[es:Ext4]]
[[fr:Ext4]]
[[it:Ext4]]
[[ru:Ext4]]
[[tr:Ext4]]
[[zh-CN:Ext4]]
{{Related articles start}}
{{Related|ファイルシステム}}
{{Related|Ext3}}
{{Related articles end}}

Ext4 は Linux で一番よく使われているファイルシステム、Ext3 の発展版です。多くの点で、Ext3 から Ext4 になって Ext2 から　Ext3 に進んだときよりも大きな改善がされています。Ext3 では Ext2 にジャーナリングを追加したのがほとんどでしたが、Ext4 ではファイルデータを保存するファイルシステムの重要なデータ構造にメスが入っています。その結果、改良された設計、優れたパフォーマンス、信頼性、機能性を備えたファイルシステムが誕生しました。

ソース: [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies]

== 新しく ext4 ファイルシステムを作成 ==

パーティションをフォーマットするには次を実行:

# mkfs.ext4 /dev/''partition''

{{Tip|オプションについては mkfs.ext4 の man ページを見て下さい。{{ic|/etc/mke2fs.conf}} を編集すればデフォルトのオプションを見たり設定できます。}}

デフォルトでは、{{Ic|mkfs.ext4}} はやや低めの比率の bytes-per-inode を使って、作成される inode の定量を計算します。容量が 750GB 以上のパーティションではこれだと inode 番号が大きくなりすぎて、ディスク容量の無駄になります。比率は {{Ic|-i}} オプションで直接設定することができます。1/6291456 なら 2TB のパーティションで 476928 の inode になります。

==ext3 から ext4 に移行==

===ext3 パーティションを変換せずに ext4 としてマウント===

====理由====

ext4 を完全に変換する案と ext3 をそのまま使用する案の折衷案として、既存の ext3 パーティションを ext4 としてマウントする方法があります。

'''利点:'''
* 互換性 (ext3 としてファイルシステムをマウントできます) – ext4 のサポートがないオペレーティングシステムからもファイルシステムを読み込むことが可能です (例: Windows の ext3 ドライバー)
* パフォーマンスが向上 (ext4 パーティションに完全に変換するのよりは劣ります) – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* ext4 の機能を全て活用することはできません (マルチブロックアロケーションや遅延アロケーションなどのディスクフォーマットに変更を与える機能は使えません)

{{Note|ext4 が比較的新しいファイルシステムということ以外に (このこと自体をリスクと考えることもできます)、この方法を使用することで不利益になることは特にありません。}}

====方法====

# {{ic|/etc/fstab}} を編集して ext4 としてマウントしたいパーティションの 'type' を ext3 から ext4 に変更してください。
# 変更したパーティションを再マウントします。

===ext3 パーティションを ext4 に変換===

====理由====

ext4 の能力を活かすには、非可逆の変換をする必要があります。

'''利点:'''
* パフォーマンスの向上と新機能 – 詳しくは [http://kernelnewbies.org/Ext4 Ext4 - Linux Kernel Newbies] を見て下さい

'''欠点:'''
* 一方通行 (ext4 パーティションを ext3 に'ダウングレード'することはできません)

====方法====

以下の手順は http://ext4.wiki.kernel.org/index.php/Ext4_Howto と https://bbs.archlinux.org/viewtopic.php?id=61602 から引用しています。
{{Warning|エクステントなどのオプションを有効にしないかぎり ext4 は ext3 と後方互換性があります。ただし、パーティションを完全に変換しない場合、ext4 を使用する利点は少なくなります。}}

# '''[[バックアッププログラム|バックアップ]]'''を行なって下さい。ext4 に変換する ext3 パーティションに存在するデータを全てバックアップします。特に / (root) パーティションをバックアップする場合は、[http://clonezilla.org Clonezilla] が役に立ちます。
# {{ic|/etc/fstab}} を編集して ext4 に変換するパーティションの 'type' を ext3 から ext4 に変換してください。
# (必要であれば) ライブメディアを起動します。{{Ic|e2fsprogs}} で変換を行う際はドライブがマウントされていない状態になっている必要があります。ドライブの root (/) パーティションを変換するときは、他のライブメディアから起動して変換するのが一番簡単です。
# パーティションがマウントされていないことを確認してください
# {{Ic|tune2fs -O extent,uninit_bg,dir_index /dev/sdxX}} を実行 ({{Ic|/dev/sdxX}} は変換するパーティションのパスに置き換えて下さい、例: {{Ic|/dev/sda1}})
# {{Ic|fsck -f /dev/sdxX}} を実行
# 推奨: パーティションをマウントして {{Ic|e4defrag -c -v /dev/sdxX}} を実行
# Arch Linux を再起動してください

{{Note|The user '''MUST''' fsck the filesystem, or it will be unreadable! This fsck run is needed to return the filesystem to a consistent state. '''It WILL find checksum errors in the group descriptors''' -- this is expected. The '-f' parameter asks fsck to force checking even if the file system seems clean. The '-p' parameter asks fsck to 'automatically repair' (otherwise, the user will be asked for input for each error).
You may need to run fsck -f rather than fsck -fp.}}

{{Note|Even though the filesystem is now converted to ext4, all files that have been written before the conversion do not yet take advantage of the extent option of ext4, which will improve large file performance and reduce fragmentation and filesystem check time. In order to fully take advantage of ext4, all files would have to be rewritten on disk. Use e4defrag to take care of this problem.}}
{{Warning|1=root (/) パーティションを変換した場合、起動しようとした時にカーネルパニックが発生することがあります。カーネルパニックが起きる場合、'fallback' の initial ramdisk を使用して再起動して、'default' の initial ramdisk を再作成してください: {{Ic|mkinitcpio -p linux}}。}}

== ファイルベースの暗号化を利用する ==

Since Linux 4.1, ext4 supports file-based encryption. In a directory tree marked for encryption, file contents, filenames, and symbolic link targets are all encrypted. Encryption keys are stored in the kernel keyring. See also [http://blog.quarkslab.com/a-glimpse-of-ext4-filesystem-level-encryption.html Quarkslab's blog] entry with a write-up of the feature, an overview of the implementation state, and practical test results with kernel 4.1.

Make sure you are using a kernel with the option {{ic|CONFIG_EXT4_ENCRYPTION}} enabled and have the {{Pkg|e2fsprogs}} package updated to at least version 1.43.

Then verify that your filesystem is using a supported block size for encryption:

{{hc|# tune2fs -l /dev/''device'' {{!}} grep 'Block size'|
Block size: 4096
}}

{{hc|# getconf PAGE_SIZE|
4096
}}

If these values are not the same, then your filesystem will not support encryption, so '''do not proceed further'''.

Next, enable the encryption feature flag on your filesystem:

# tune2fs -O encrypt /dev/''device''

{{Warning|Once the encryption feature flag is enabled, kernels older than 4.1 will be unable to mount the filesystem.}}

Next, make a directory to encrypt:

# mkdir /encrypted

Note that encryption can only be applied to an empty directory. The encryption setting (or "encryption policy") is inherited by new files and subdirectories. Encrypting existing files is not yet supported.

Now generate and add a new key to your keyring. This step must be repeated every time you flush your keyring (reboot):

# e4crypt add_key
Enter passphrase (echo disabled):
Added key with descriptor [f88747555a6115f5]

{{Warning|If you forget your passphrase, there will be no way to decrypt your files! It also isn't yet possible to change a passphrase after you've set it.}}

{{Note|To help prevent [[Wikipedia:Dictionary_attack|dictionary attacks]] on your passphrase, a random [[Wikipedia:Salt_(cryptography)|salt]] is automatically generated and stored in the ext4 filesystem superblock. Both the passphrase ''and'' the salt are used to derive the actual encryption key. As a consequence of this, if you have multiple ext4 filesystems with encryption enabled mounted, then {{ic|e4crypt add_key}} will actually add multiple keys, one per filesystem. Although any key can be used on any filesystem, it would be wise to only use, on a given filesystem, keys using that filesystem's salt. Otherwise, you risk being unable to decrypt files on filesystem A if filesystem B is unmounted. Alternatively, you can use the {{ic|-S}} option to {{ic|e4crypt add_key}} to specify a salt yourself.}}

Now you know the descriptor for your key. Make sure the key is in your session keyring:

# keyctl show
Session Keyring
1021618178 --alswrv 1000 1000 keyring: _ses
176349519 --alsw-v 1000 1000 \_ logon: ext4:f88747555a6115f5

Almost done. Now set an encryption policy on the directory (assign the key to it):

# e4crypt set_policy f88747555a6115f5 /encrypted

That is all. If you try accessing the directory without adding the key into your keyring, filenames and their contents will be seen as encrypted gibberish.

==Tips and tricks==
===予約ブロックの削除===

デフォルトでは、ファイルシステムの 5% はフラグメントが起こらないように root ユーザーに予約されます。最近の大容量ディスクでは、パーティションを長期保存アーカイブとして使う場合、5%は必要以上に大きい値となります (詳しくは [http://www.redhat.com/archives/ext3-users/2009-January/msg00026.html このメール] を見て下さい)。パーティションが以下の条件を満たしているならば、ディスク容量を増やすために予約ブロックの割合を減らしても大抵は問題ありません:

*パーティションがとても大きい (例えば 50GB 以上)
*長期保存用のアーカイブとして使っている、頻繁にファイルを作成したり削除することがない

予約ブロックを削減するには tune2fs ユーティリティを使います。次のコマンドは {{ic|/dev/sdXY}} パーティションの予約ブロックの割合を 1.0% に設定します:

# tune2fs -m 1.0 /dev/sdXY

findmnt(8) を使うことでデバイスの名前を確認できます:

$ findmnt ''/the/mount/point''

=== E4rat ===

[[E4rat]] は ext4 ファイルシステム用に作られたプリロードアプリケーションです。[[E4rat]] は起動時に開かれるファイルを記録して、アクセス時間が短縮されるようにパーティションにおけるファイルの配置を最適化します。そして起動時の初期段階でファイルを先読みします。[[E4rat]] は [[SSD]] を使っている場合は効果がありません。SSD のアクセス時間はハードディスクと比べると無視できるほどしかないためです。

==トラブルシューティング==
=== バリアとパフォーマンス ===

カーネル 2.6.30 から、データの整合性を確保するのに役立つ変更によって ext4 のパフォーマンスは落ちています [http://www.phoronix.com/scan.php?page=article&item=ext4_then_now&num=1]。

''多くのファイルシステム (XFS, ext3, ext4, reiserfs) では、fsync やトランザクションコミットの際に書き込みバリアと呼ばれるものをディスクに送信します。書き込みバリアは書き込みの順序を守らせるための仕組みで (いくらか性能面への影響があります)、ディスクの書き込みキャッシュを安全に利用できるようにするためのものです。お使いのディスクにバッテリーが搭載されているような場合は、バリアを無効化することで性能を改善できる場合があります。''

''書き込みバリアの送信は、マウントオプションに {{Ic|1=barrier=0}} (ext3, ext4, reiserfs の場合) や {{ic|nobarrier}} (XFS) を設定することで無効化できます'' [http://manual.geeko.cpon.org/ja/cha.tuning.io.html]。

{{Warning|バリアを無効化すると、電源が失われたときにキャッシュが正しく書き込まれるか保証がされなくなります。これによってファイルシステムの破壊やデータ損失が発生する場合があります。}}

バリアをオフにしたいときは {{ic|/etc/fstab}} の変更したいファイルシステムに {{Ic|1=barrier=0}} オプションを追加してください。例:

{{hc|/etc/fstab|2=
/dev/sda5 / ext4 noatime,barrier=0 0 1
}}

Makepkg

2016-05-31T03:33:13Z

Fragment: /* マルチコアを利用して圧縮する */ xz圧縮のマルチプロセッシングについて

{{Lowercase title}}
[[Category:パッケージ開発]]
[[Category:Arch について]]
[[ar:Makepkg]]
[[el:Makepkg]]
[[en:Makepkg]]
[[es:Makepkg]]
[[fr:makepkg]]
[[it:Makepkg]]
[[nl:Makepkg]]
[[pt:Makepkg]]
[[ru:Makepkg]]
[[sr:Makepkg]]
[[tr:Makepkg]]
[[zh-CN:Makepkg]]
{{Related articles start}}
{{Related|パッケージの作成}}
{{Related|PKGBUILD}}
{{Related|Arch User Repository}}
{{Related|pacman}}
{{Related|公式リポジトリ}}
{{Related|Arch Build System}}
{{Related articles end}}
makepkg は [[pacman]] (Arch Linux のパッケージマネージャ) でのインストールに適したパッケージをコンパイル・ビルドするために使われます。makepkg はパッケージのビルドを自動化するスクリプトです; ソースファイルのダウンロード・検証、依存関係の確認、ビルド時の設定、ソースのコンパイル、一時 root へのインストール、カスタマイズ、メタ情報の生成、そして全てをまとめたパッケージの作成。

makepkg は {{Pkg|pacman}} パッケージの中に入っています。

== 設定 ==

{{ic|/etc/makepkg.conf}} が makepkg のメインの設定ファイルです。ほとんどのユーザーはパッケージをビルドする前に makepkg の設定オプションを微調整するとよいでしょう。{{ic|~/.makepkg.conf}} ファイルを作成することもできます。

=== アーキテクチャ、コンパイルフラグ ===
makepkg でソフトウェアをコンパイルする時 {{ic|MAKEFLAGS}}, {{ic|CFLAGS}}, {{ic|CXXFLAGS}}, {{ic|CPPFLAGS}} オプションが {{Pkg|make}}, {{Pkg|gcc}}, {{ic|g++}} によって使われます。デフォルトでは、様々なマシンでインストールできるような一般的なパッケージを生成するようにオプションが設定されています。ホストマシン用にコンパイルをチューニングすることでパフォーマンスを改善することが可能です。コンパイルするホストのプロセッサに合わせてパッケージをコンパイルするデメリットは、他のマシンでは動作しなくなるかもしれないということです。

{{Note|あなたが export した変数を全てのパッケージビルドシステムが使うわけではないということに注意してください。元の Makefile や [[PKGBUILD]] 内の変数を上書きすることがあります。}}

{{hc|/etc/makepkg.conf|<nowiki>
[...]

#########################################################################
# ARCHITECTURE, COMPILE FLAGS
#########################################################################
#
CARCH="x86_64"
CHOST="x86_64-unknown-linux-gnu"

#-- Exclusive: will only run on x86_64
# -march (or -mcpu) builds exclusively for an architecture
# -mtune optimizes for an architecture, but builds for whole processor family
CPPFLAGS="-D_FORTIFY_SOURCE=2"
CFLAGS="-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector --param=ssp-buffer-size=4"
CXXFLAGS="-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector --param=ssp-buffer-size=4"
LDFLAGS="-Wl,-O1,--sort-common,--as-needed,-z,relro"
#-- Make Flags: change this for DistCC/SMP systems
#MAKEFLAGS="-j2"

[...]
</nowiki>}}

デフォルトの makepkg.conf の {{ic|CFLAGS}} と {{ic|CXXFLAGS}} はそれぞれのアーキテクチャを持つ全てのマシンと互換性があります。

x86_64 のマシンでは、時間を投資して公式のパッケージをリビルドすることでそれに見合うだけのパフォーマンスの向上を得られることは稀です。

GCC バージョン 4.3.0 から、マシンの CPU の自動検知とサポートされている最適化の自動セレクトを有効にする {{ic|1=-march=native}} スイッチが使えるようになっています。これを使うには、以下のように {{ic|CFLAGS}} と {{ic|CXXFLAGS}} を変更してください:

# -march=native also sets the correct -mtune=
CFLAGS="-march=native -O2 -pipe -fstack-protector --param=ssp-buffer-size=4 -D_FORTIFY_SOURCE=2"
CXXFLAGS="${CFLAGS}"

{{Tip|{{ic|1=march=native}} フラグがどうなるか見るには、次を実行してください:
<nowiki>$ gcc -march=native -E -v - </dev/null 2>&1 | sed -n 's/.* -v - //p'</nowiki>
}}

{{ic|1=-march=native}} は全ての利用可能な命令セットを有効にし特定の CPU にあわせてスケジューリングを改善するので CPU タイプに合わせた最適化によって理論上はパフォーマンスが向上します。アプリケーション (例えば: 音声・動画エンコードツール、科学的なアプリケーション、数学プログラムなど) をリビルドするときにこれは特に顕著で、Arch Linux によって提供されているデフォルトのオプション (またパッケージ) を使うときには有効にならない新しい命令を使えることで大きなアドバンテージを得ることができます。

コンパイラスイッチによって、ループ展開・悪いベクトル化・狂ったインライン化などでコンパイラはコードサイズを膨張させがちなので"標準外の" CFLAGS を使うことでパフォーマンスを下げるのはとても簡単です。何かが速くなると確認・ベンチマークできない限り、高速化できる可能性はほとんどありません！

利用可能なオプションの完全なリストは GCC の man ページを見て下さい。Gentoo の [https://wiki.gentoo.org/wiki/GCC_optimization/ja Compilation Optimization Guide] や [http://wiki.gentoo.org/wiki/Safe_CFLAGS Safe CFLAGS] にはより詳しい情報が載っています。

====MAKEFLAGS====
{{ic|MAKEFLAGS}} オプションを使って make に追加するオプションを指定することができます。マルチコア・マルチプロセッサのシステムを使っているユーザーは同時に実行するジョブの数を指定できます、例: {{ic|-j4}}。{{ic|nproc}} を使うことで利用可能なプロセッサの数がわかります。[[PKGBUILD]] によっては、特定のバージョンで競合状態になったり、もしくはサポートされていないために、この値を {{ic|-j1}} で上書きします。これによってビルドが失敗するパッケージがある場合は、エラーがあなたの MAKEFLAGS によって引き起こされていることを確認してから、バグトラッカーに[[バグ報告ガイドライン|報告]]してください。

利用可能なオプションの全ては {{ic|man make}} を見て下さい。

=== パッケージの出力 ===

次に、ソースファイルやパッケージが置かれる場所、パッケージ作成者としての名前を設定することができます。このステップは任意です; デフォルトでは、パッケージは makepkg が実行された作業ディレクトリに作成されます。

{{hc|/etc/makepkg.conf|<nowiki>
[...]

#########################################################################
# PACKAGE OUTPUT
#########################################################################
#
# Default: put built package and cached source in build directory
#
#-- Destination: specify a fixed directory where all packages will be placed
#PKGDEST=/home/packages
#-- Source cache: specify a fixed directory where source files will be cached
#SRCDEST=/home/sources
#-- Source packages: specify a fixed directory where all src packages will be placed
#SRCPKGDEST=/home/srcpackages
#-- Packager: name/email of the person or organization building packages
#PACKAGER="John Doe <john@doe.com>"

[...]
</nowiki>}}

例えば、ディレクトリを作成して:

$ mkdir /home/$USER/packages

{{ic|/etc/makepkg.conf}} の {{ic|PKGDEST}} 変数を修正してください。

{{ic|PACKAGER}} 変数はコンパイルしたパッケージの {{ic|.PKGINFO}} メタデータファイルの中に {{ic|packager}} 値を設定します。デフォルトでは、ユーザーがコンパイルしたパッケージは以下のように表示されます:

{{hc|pacman -Qi package|<nowiki>
[...]
Packager : Unknown Packager
[...]
</nowiki>}}

設定した後:

{{hc|pacman -Qi package|<nowiki>
[...]
Packager : John Doe <john@doe.com>
[...]
</nowiki>}}

システム上で複数のユーザーがパッケージをコンパイルしていたり、あなたのパッケージを他のユーザーに渡す場合にこれを使うと有用です。

=== 署名チェック ===
以下の手順は makepkg を使ったコンパイルに必須のものではありません、初期設定は [[#使用方法]] に進んで下さい。一時的に署名チェックを無効にしたいときは makepkg コマンドに {{ic|--skippgpcheck}} オプションを付けて呼び出して下さい。
[[PKGBUILD]] の source 行の一部に .sig の形で署名ファイルがあると、makepkg はソースファイルの信頼性を検証します。例えば、署名 {{ic|pkgname-pkgver.tar.gz.sig}} は gpg プログラムによってファイル {{ic|pkgname-pkgver.tar.gz}} の整合性のチェックに使われます。望むなら、他の開発者による署名を手動で GPG キーリングに追加することができます。詳細は [[GnuPG]] の記事を見て下さい。

{{Note|makepkg で実装されている署名チェックは pacman のキーリングを使用しません。以下にあるように gpg を設定して makepkg が pacman のキーリングを読み込めるようにしてください。}}

gpg キーはユーザーの {{ic|~/.gnupg/pubring.gpg}} ファイルの中に保存されていると期待されています。与えられた署名が含まれていない場合、makepkg は警告を表示します。
{{hc|makepkg|<nowiki>
[...]
==> Verifying source file signatures with gpg...
pkgname-pkgver.tar.gz ... FAILED (unknown public key 1234567890)
==> WARNING: Warnings have occurred while verifying the signatures.
Please make sure you really trust them.
[...]
</nowiki>}}
現在の gpg キーのリストを表示するには gpg コマンドを使って下さい。
{{bc|gpg --list-keys}}
{{ic|pubring.gpg}} ファイルが存在しない時はすぐに作成されます。gpg を設定して Arch Linux の開発者によって投稿された署名チェックが成功した AUR パッケージをコンパイルできるようにすることが可能です。
以下の行をあなたの gpg 設定ファイルの一番下に追加してユーザーの個人キーリングに pacman のキーリングを含めて下さい。
{{hc|~/.gnupg/gpg.conf|<nowiki>
[...]
keyring /etc/pacman.d/gnupg/pubring.gpg
</nowiki>}}
前と同じように {{ic|gpg --list-keys}} を実行すると出力にキーリングと開発者のリストが含まれています。

== 使用方法 ==

次に進む前に、{{Grp|base-devel}} グループがインストールされているか確認してください。このグループに属しているパッケージは [[PKGBUILD]] の中に依存パッケージとして載せる必要はないことになっています。以下を (root で) 実行して "base-devel" グループをインストールしてください:

# pacman -S base-devel

{{Note|依存パッケージが欠けていることに不満を言う前に、全ての Arch Linux 環境では {{Grp|base}} グループがインストールされていることが前提になっていることを思い出してください。'''makepkg''' や [[AUR ヘルパー]]でビルドするときには "base-devel" グループがインストールされていることが前提になっています。}}

パッケージを作成するには、まず[[パッケージの作成]]に記述されているようにして [[PKGBUILD]] を作成するか [[Arch Build System|ABS ツリー]]や [[Arch User Repository]] などから取得してくる必要があります。

{{Warning|信頼できるソースからパッケージをビルド・インストールしてください。}}

{{ic|PKGBUILD}} を入手したら、PKGBUILD が保存されているディレクトリに移動してから次のコマンドを実行して {{ic|PKGBUILD}} に記述されたパッケージを作成します:

$ makepkg

パッケージ作成後、要らなくなったファイル ($srcdir に展開されたファイルなど) を makepkg によって削除するには、以下のオプションを加えて下さい。同じパッケージをビルドしたりパッケージのバージョンを更新するときに、同じビルドフォルダを使う場合、このオプションは有益です。残ったファイルを新しいビルドに持ち越す危険がなくなります。

$ makepkg -c

必要な依存パッケージが欠けている場合、makepkg は警告を表示します。必要な依存パッケージを自動的にインストールするには、次のコマンドを使って下さい:

$ makepkg -s

依存パッケージが取ってこれるのは設定されたリポジトリからだけということに注意してください; 詳しくは [[pacman#リポジトリ]] を見て下さい。また、ビルドの前に手動で依存パッケージをインストールすることもできます ({{ic|pacman -S --asdeps dep1 dep2}})。

全ての依存関係が解決されパッケージのビルドが成功すれば、パッケージファイル ({{ic|pkgname-pkgver.pkg.tar.xz}}) が作業ディレクトリの中に作成されます。インストールするには、(root で) 次を実行してください:

# pacman -U pkgname-pkgver.pkg.tar.xz

もしくは、{{ic|pacman -U pkgname-pkgver.pkg.tar.xz}} を実行する代わりに {{ic|-i}} フラグを使ってインストールすることもできます:

$ makepkg -i

== Tips and Tricks ==
=== コンパイル時間を短縮する ===

==== tmpfs ====

パッケージをコンパイルするのは I/O に負担がかかる作業のため、[[tmpfs]] を利用することでビルド時間を大幅に短縮することができます。該当する {{ic|/etc/makepkg.conf}} のオプションは {{ic|BUILD ENVIRONMENT}} セクションの一番下にあります:
{{hc|/etc/makepkg.conf|<nowiki>
[...]

#########################################################################
# BUILD ENVIRONMENT
#########################################################################
#
# Defaults: BUILDENV=(!distcc color !ccache check !sign)
# A negated environment option will do the opposite of the comments below.
#
#-- distcc: Use the Distributed C/C++/ObjC compiler
#-- color: Colorize output messages
#-- ccache: Use ccache to cache compilation
#-- check: Run the check() function if present in the PKGBUILD
#-- sign: Generate PGP signature file
#
BUILDENV=(!distcc color !ccache check !sign)
#
#-- If using DistCC, your MAKEFLAGS will also need modification. In addition,
#-- specify a space-delimited list of hosts running in the DistCC cluster.
#DISTCC_HOSTS=""
#
#-- Specify a directory for package building.
#BUILDDIR=/tmp/makepkg

[...]
</nowiki>}}

{{ic|1=BUILDDIR=/tmp/makepkg}} 行をアンコメントして {{ic|1=BUILDDIR=/tmp/builds}} などに設定すれば (もしくはデフォルトの値のままにすれば) Arch のデフォルトの {{ic|/tmp}} [[tmpfs]] が使用されます。
{{Note|[[tmpfs]] フォルダは {{ic|noexec}} オプションを付けずにマウントされている必要があります。このオプションを使うとビルドスクリプトやユーティリティが実行できません。また、[[tmpfs]] の記事に記されているように、デフォルトのサイズは利用できる RAM の半分となっており、容量を全て使いきってしまうおそれがあります。}}
[[tmpfs]] でコンパイルしたパッケージは再起動するとなくなってしまうので注意してください。そのため、何度もインストールするようなパッケージは他の（永続的な）ディレクトリに移動したほうが良いでしょう。

==== ccache ====

[[ccache]] を使うことでコンパイル結果をキャッシュしてビルド時間を短縮できます。

=== md5sum を新規作成する ===
[http://allanmcrae.com/2013/04/pacman-4-1-released/ pacman 4.1] から {{ic|makepkg -g >> PKGBUILD}} は必要なくなり、pacman-contrib は {{ic|updpkgsums}} スクリプトに[https://projects.archlinux.org/pacman.git/tree/NEWS 併合]されました。このスクリプトを使って PKGBUILD の中に新しいチェックサムを生成することができます:
$ updpkgsums

=== Makepkg が PKGBUILD を二度利用する ===
Makepkg は PKGBUILD を二度実行します (最初に実行した時と、fakeroot 下で2回目)。PKGBUILD に置かれた標準から外れた関数は全て同じく二度実行されます。

=== 圧縮しないパッケージを作成する ===
パッケージをローカルでインストールしたいだけの場合、[[Wikipedia:ja:xz (ファイルフォーマット)|LZMA2]] の圧縮と解凍を避けることでプロセスを高速化できます:

{{hc|/etc/makepkg.conf|2=
[...]
#PKGEXT='.pkg.tar.xz'
PKGEXT='.pkg.tar'
[...]
}}

=== マルチコアを利用して圧縮する ===
{{pkg|xz}} は[[Wikipedia:ja:対称型マルチプロセッシング|対称型マルチプロセッシング (SMP)]] による圧縮をサポートしています。 {{ic|--threads}}オプションを使うことでマルチコアを活用できます:

{{hc|/etc/makepkg.conf|2=
[...]
COMPRESSXZ=(xz -c -z '''-T0''' -)
[...]
}}

== トラブルシューティング ==

=== QMAKE を使用するパッケージで makepkg.conf の CFLAGS/CXXFLAGS/CPPFLAGS が適用されない ===
Qmake は {{ic|CFLAGS}} と {{ic|CXXFLAGS}} 変数を自動的に設定します。makepkg の設定ファイルで定義した変数を qmake に使わせるには、PKGBUILD を編集して [http://doc.qt.io/qt-5/qmake-variable-reference.html#qmake-cflags-release QMAKE_CFLAGS_RELEASE] と [http://doc.qt.io/qt-5/qmake-variable-reference.html#qmake-cxxflags-release QMAKE_CXXFLAGS_RELEASE] 変数を qmake に指定する必要があります。例:

{{hc|PKGBUILD|<nowiki>
...

build() {
cd "$srcdir/$_pkgname-$pkgver-src"
qmake-qt4 "$srcdir/$_pkgname-$pkgver-src/$_pkgname.pro" \
PREFIX=/usr \
CONFIG+=LINUX_INTEGRATED \
INSTALL_ROOT_PATH="$pkgdir"\
QMAKE_CFLAGS_RELEASE="${CFLAGS}"\
QMAKE_CXXFLAGS_RELEASE="${CXXFLAGS}"

make
}

...
</nowiki>}}

もしくは、システム全体で設定したい場合、{{ic|qmake.conf}} を作成して [http://doc.qt.io/qt-5/qmake-environment-reference.html#qmakespec QMAKESPEC] 環境変数を設定してください。

=== WARNING: Package contains reference to $srcdir ===
リテラル文字列 {{ic|$srcdir}} か {{ic|$pkgdir}} があなたのパッケージ内のインストールされたファイルのどれかに含まれています。

ファイルを確認するには、makepkg のビルドディレクトリから次のコマンドを実行してください:
$ grep -R "$(pwd)/src" pkg/

詳しくは [http://www.mail-archive.com/arch-general@archlinux.org/msg15561.html こちら] を参照。

== 参照 ==
* [https://github.com/pixelb/scripts/blob/master/scripts/gcccpuopt gcccpuopt]: 現在の CPU にあわせた gcc の cpu オプションを表示するスクリプト

利用者:Fragment

2016-05-15T05:38:12Z

Fragment: ページの作成:「中途半端な奴です」

中途半端な奴です

Raspberry Pi

2016-05-08T06:16:42Z

Fragment: /* SD カードのパフォーマンスを最大化するヒント */ https化

[[Category:ARM アーキテクチャ]]
[[cs:Raspberry Pi]]
[[en:Raspberry Pi]]
[[ru:Raspberry Pi]]
[[uk:Raspberry Pi]]
[[zh-CN:Raspberry Pi]]
[[Wikipedia:ja:Raspberry Pi|Wikipedia]] より:
:"''Raspberry Pi はクレジットカードサイズのシングルボードコンピュータのシリーズである。イギリスのラズベリーパイ財団によって開発されており、学校で基本的なコンピュータ科学の教育を促進することを意図している。''"
オリジナルモデルは Broadcom SoC BCM2835 ([[Wikipedia:ARM11|ARM11 マイクロアーキテクチャ]]) を使用していましたが、ラズベリーパイ財団は最近になってニューモデルの "Raspberry Pi 2" をリリースしました。RasPi 2 には BCM2836 SoC (クアッドコアの [[Wikipedia:ARM_Cortex-A7|ARM Cortex A7]] アーキテクチャ) が搭載されています。2016年2月には、BCM2837 SoC (クアッドコアの [[Wikipedia:ARM Cortex-A53|ARM Cortex-A53 アーキテクチャ]]) を搭載して WiFi と Bluetooth が組み込まれた Pi 3 が発売されました。

== 前書き ==
この記事は完全なセットアップガイドではなく、読者が既に Arch システムを構築していることを前提としています。ユーザーの作成やシステムの管理など、基本的な作業の方法がよくわからない場合、Arch 初心者は[[ビギナーズガイド]]を読むことが推奨されています。

{{Note|ARM アーキテクチャのサポートは公式 Arch Linux フォーラムではなく https://archlinuxarm.org で提供されています。ARM 固有の問題に関する投稿は [[フォーラムエチケット#Arch Linux ディストリビューションのサポートオンリー|Arch Linux ディストリビューションのサポートオンリー]]ポリシーに従って直ちにクローズされます。}}

== システム構成 ==

Raspberry Pi は ARM ベースのデバイスであり、ARM アーキテクチャ用にコンパイルされたバイナリが必要になります。ARM 用のバイナリは Arch Linux を ARM ベースのデバイスに移植している [http://archlinuxarm.org/about Arch Linux ARM プロジェクト] によって提供されています。ALARM プロジェクトのウェブサイトには独自のコミュニティとフォーラムがあります。オリジナルの Arch のフォーラムでは ARM に関連する問題は''サポートされていません''。Raspberry Pi 2 が登場したことで、デバイスのアーキテクチャによって必要なパッケージは2つに分かれています:
* ARMv6 (BCM2835): Raspberry Pi Model A, A+, B, B+, Zero
* ARMv7 (BCM2836): Raspberry Pi 2 (Model B+ ベース)
* ARMv8 (BCM2837): Raspberry Pi 3

== Arch Linux ARM のインストール ==

[http://archlinuxarm.org/platforms/armv6/raspberry-pi Arch Linux ARM Pi のドキュメント], [http://archlinuxarm.org/platforms/armv7/broadcom/raspberry-pi-2 Arch Linux ARM Pi2 のドキュメント], [https://archlinuxarm.org/platforms/armv8/broadcom/raspberry-pi-3 Arch Linux ARM Pi3 のドキュメント] を見てください。

== ネットワーク ==

ネットワークはあらかじめ設定されており、[[systemd-networkd]] によって dhcp モードでオンボードの NIC が使われます。ケーブルが接続されていれば、ほとんどのルーターで自動的に IP が取得されます。

最初から [[Secure Shell]] を使って SD カードにアクセスする場合は、Raspberry Pi をイーサネットケーブルで接続してルーターの設定を通して IP アドレスを割り当てるのが一番簡単です。root で直接アクセスすることができます (パスワード: root)。まず初めにパスワードを変更することを強く推奨します。任意で [[SSH 鍵]]も設定してください。

=== Ethernet を使わずに WLAN を設定 ===

無線インターネット接続を確立する必要がある場合、いくつかパッケージを追加でダウンロードして SD カードに保存する必要があります。[[netctl]] を使用する場合、最低でも [[WPA supplicant]] と依存パッケージの ''libnl'' が必要になります。また、''dialog'' と依存パッケージの ''ncurses'' もインストールしておいたほうが便利でしょう。

まとめると以下を実行する必要があります:
* 他のコンピュータから SD カードにパッケージをダウンロード
* Raspberry Pi にパッケージをインストール・設定

必要なパッケージは全て [https://archlinuxarm.org/packages Arch Linux ARM の公式ウェブサイト] で見つけることができ、[http://mirror.archlinuxarm.org Arch Linux ARM のリポジトリ] からダウンロードできます。

その後、Raspberry Pi を接続して立ち上げて、モニター/キーボードを使うか[[#シリアルコンソール|シリアルコンソール]]でログインします。そして、パッケージを[[en2:Offline_installation_of_packages|オフラインインストール]]してください。パッケージの依存パッケージが欠けている場合は、依存パッケージもダウンロードしてインストールしてください。

パッケージをインストールしたら、インターネットに接続してビギナーズガイドの[[ビギナーズガイド#無線|このセクション]]に書かれているように設定します。

== オーディオ ==
{{Note|必須モジュール {{ic|snd-bcm2835}} はデフォルトで自動ロードされます。}}

'''alsa-utils''', '''alsa-firmware''', '''alsa-lib''', '''alsa-plugins''' パッケージをインストールしてください:
# pacman -S alsa-utils alsa-firmware alsa-lib alsa-plugins

ARM の Linux カーネルバージョン 4.4.x では ALSA とサウンドモジュールに大きな変更があります。最新のカーネルで {{ic|alsamixer}} などのツールを使用するには {{ic|/boot/config.txt}} を編集して以下の行を記述してください:
dtparam=audio=on

任意で、{{ic|alsamixer}} を使ってデフォルトのボリュームを調整してください。唯一の音源 "PCM" がミュートされていないことを確認してください (ミュートされている場合は {{ic|MM}} と表示されます、ミュートを解除するには {{ic|M}} を押して下さい)。

音源の出力を選択するには:
$ amixer cset numid=3 ''x''

{{ic|''x''}} は以下のどれかになります:
*0 は自動
*1 はアナログ出力
*2 は HDMI

=== HDMI オーディオの注意 ===
アプリケーションによっては音声を HDMI で出力するために {{ic|/boot/config.txt}} に設定が必要です:
hdmi_drive=2

== ビデオ ==

=== HDMI / アナログ TV 出力 ===
デフォルト設定では、Raspberry Pi は [[wikipedia:ja:HDMI|HDMI]] モニターが接続されているときは HDMI を使うようになっています。接続されていない場合はアナログ TV 出力 (コンポジット出力あるいは RCA) が使われます。

HDMI やアナログ TV 出力のオン・オフを切り替えるには、次を見て下さい:

/opt/vc/bin/tvservice

''-s'' パラメータでディスプレイの状態を確認し、''-o'' パラメータでディスプレイをオフに、''-p'' パラメータで優先設定を使って HDMI をオンにします。

オーバースキャン・アンダースキャンを適切に修正するには調整が必要で、多くの設定がある {{ic|boot/config.txt}} で簡単に行うことができます。修正するには、コメントの指示に従って適切な行の設定をアンコメントしてください:

# uncomment the following to adjust overscan. Use positive numbers if console
# goes off screen, and negative if there is too much border
#overscan_left=16
overscan_right=8
overscan_top=-16
overscan_bottom=-16

アナログビデオ出力を使いたいユーザーは NTSC 以外の出力のオプションを含んでいる[https://raw.github.com/Evilpaul/RPi-config/master/config.txt この]設定ファイルを見て下さい。

新しい設定を適用するには再起動が必要です。

=== アナログ TV 出力の注意事項 ===

Raspberry Pi 1 モデル B+ と Raspberry Pi 2 モデル B から、コンポジットビデオ端子はなくなって、代わりに 3.5mm の動画/音声ジャックからコンポジット信号を出力するようになっています。RCA ケーブルによっては赤や白の音声端子で動画を接続する Raspberry Pi の規格に対応していない場合があります [http://www.raspberrypi-spy.co.uk/2014/07/raspberry-pi-model-b-3-5mm-audiovideo-jack/]。

=== X.org ドライバー ===

Raspberry Pi の X.org ドライバーは '''xf86-video-fbdev''' あるいは ''xf86-video-fbturbo-git'' パッケージでインストールできます:
# pacman -S xf86-video-fbdev

== オンボードのハードウェアセンサー ==
=== 温度 ===
温度センサーは '''raspberrypi-firmware-tools''' パッケージにあるユーティリティで使うことができます。RPi は BCM2835 SoC (CPU/GPU) 上にセンサーを搭載しています:

{{hc|$ /opt/vc/bin/vcgencmd measure_temp|2=
temp=49.8'C
}}

また、ファイルシステムから読み取ることもできます:
{{hc|$ cat /sys/class/thermal/thermal_zone0/temp|2=
49768
}}

人間が読めるように出力するには:
{{hc|$ awk '{printf "%3.1f°C\n", $1/1000}' /sys/class/thermal/thermal_zone0/temp|2=
54.1°C
}}

=== 電圧 ===
同じように {{ic|/opt/vc/bin/vcgencmd}} で4つの異なる電圧をチェックすることができます:

$ /opt/vc/bin/vcgencmd measure_volts ''<id>''

{{ic|''<id>''}} は以下のどれかに置き換えてください:
*core はコアの電圧
*sdram_c は sdram Core の電圧
*sdram_i は sdram I/O の電圧
*sdram_p は sdram PHY の電圧

=== 軽量なモニタリングスイート ===
{{AUR|monitorix}} は v3.2.0 から RPi をサポートしています。スクリーンショットは[http://www.monitorix.org/screenshots.html ここ] にあります。

== オーバークロック / アンダークロック ==
{{ic|/boot/config.txt}} を編集することで RPi をオーバークロックさせることができます、例:

arm_freq=800
arm_freq_min=100
core_freq=300
core_freq_min=75
sdram_freq=400
over_voltage=0

{{ic|*_min}} の行は任意で、それぞれの設定の最低値を定義します。システムの負担が低い時は、指定した値まで下がります。オプションの詳しい説明や例は elinux の [http://elinux.org/RPiconfig#Overclocking Overclocking] 記事を見て下さい。

新しい設定を適用するには再起動が必要です。

CPU のオーバークロック設定は、負担が高い時にガバナーが CPU の周波数を上げる場合にだけ適用されます。次のコマンドで現在の CPU の周波数を確認できます:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

スケーリングガバナーの詳細は [[CPU 周波数スケーリング]]を見てください。

{{Tip|以下のスクリプトを実行すると RPi に設定された全ての周波数が表示されます:
{{bc|<nowiki>
#/bin/bash
for src in arm core h264 isp v3d uart pwm emmc pixel vec hdmi dpi ; do
echo -e "$src:\t$(/opt/vc/bin/vcgencmd measure_clock $src)"
done
</nowiki>}}
}}

== SD カードのパフォーマンスを最大化するヒント ==

システムのレスポンスは SD メディアの速度に大きな影響を受けます。特にシステムのアップデートなどディスク I/O に関する処理を行っている際はそれが際立つでしょう。pacman がファイルシステムにファイルを書き出すときに [https://archlinuxarm.org/forum/viewtopic.php?f=64&t=9467 頻繁に停止する] ような場合、RPi や RPi2 の接続バスが足を引っ張っているというよりは、SD (あるいはマイクロ SD) カードがボトルネックとなっている可能性があります。詳しくは[[ベンチマーク#フラッシュメディア]]を参照。

一般的なパフォーマンスを上げる方法については[[パフォーマンスの最大化]]や[[ソリッドステートドライブ#SSD の読み書きを最小化するヒント]]を見て下さい。

=== 起動時に fsck を有効にする ===

[[fsck#ブート時のチェック]]を見てください。カーネルパラメータは {{ic|/boot/cmdline.txt}} で指定するようにしてください。

== シリアルコンソール ==
ブートメッセージを見るには、デフォルトの {{ic|/boot/cmdline.txt}} を編集して、{{ic|loglevel}} を {{ic|5}} に変更してください:
loglevel=5

速度を 115200 から 38400 に変える:
console=ttyAMA0,38400 kgdboc=ttyAMA0,38400

getty サービスを起動する:
# systemctl start getty@ttyAMA0

ブート時に有効にする:
# systemctl enable getty@ttyAMA0.service

適当な service リンクを作成する:
# ln -s /usr/lib/systemd/system/serial-getty@.service /etc/systemd/system/getty.target.wants/serial-getty@ttyAMA0.service

そして PC から接続:
# screen /dev/ttyUSB0 38400

== Raspberry Pi カメラモジュール ==
カメラモジュールのコマンドは '''raspberrypi-firmware-tools''' パッケージに含まれています - このパッケージはデフォルトでインストールされています。以下のコマンドで使うことができます:
$ /opt/vc/bin/raspistill
$ /opt/vc/bin/raspivid

{{ic|/boot/config.txt}} に以下を追加する必要があります:
gpu_mem=128
start_file=start_x.elf
fixup_file=fixup_x.dat

LED をオフにする設定 (任意):
disable_camera_led=1

以下のエラーが表示される場合:
mmal: mmal_vc_component_enable: failed to enable component: ENOSPC
mmal: camera component couldn't be enabled
mmal: main: Failed to create camera component
mmal: Failed to run camera app. Please check for firmware updates

{{ic|/boot/config.txt}} に以下の値を設定してみてください:
cma_lwm=
cma_hwm=
cma_offline_start=

以下のエラーが表示される場合:

mmal: mmal_vc_component_create: failed to create component 'vc.ril.camera' (1:ENOMEM)
mmal: mmal_component_create_core: could not create component 'vc.ril.camera' (1)
mmal: Failed to create camera component
mmal: main: Failed to create camera component
mmal: Only 64M of gpu_mem is configured. Try running "sudo raspi-config" and ensure that "memory_split" has a value of 128 or greater

{{ic|/etc/modprobe.d/blacklist.conf}} に以下の行を追加してください:
blacklist i2c_bcm2708

({{ic|/dev/video0}} を使用する) 標準的なアプリケーションを使うには V4L2 ドライバーをロードする必要があります。以下のように自動ロードファイルを作成することで起動時に自動的にロードさせることが可能です:
{{hc|/etc/modules-load.d/rpi-camera.conf|bcm2835-v4l2}}

== ハードウェア乱数生成器 ==
Raspberry Pi 用の Arch Linux ARM には '''rng-tools''' パッケージがインストールされており、{{ic|bcm2835-rng}} が起動時にロードされるように設定されています ([https://archlinuxarm.org/forum/viewtopic.php?f=31&t=4993#p27708 こちら] を参照) が、Hardware RNG Entropy Gatherer Daemon ('''rngd''') にハードウェア乱数生成器の場所を教えてやる必要があります。

{{ic|/etc/conf.d/rngd}} を編集することで設定します:
RNGD_OPTS="-o /dev/random -r /dev/hwrng"
設定したら '''rngd''' デーモンを[[再起動]]してください:
# systemctl restart rngd

この設定で、ハードウェア乱数生成器からのデータがカーネルのエントロピープール ({{ic|/dev/random}}) に取り入れられるようになります。エントロピーを確認するには:

# cat /proc/sys/kernel/random/entropy_avail

{{Note|古いイメージからカーネルを更新すると旧式の {{ic|bcm2708-rng}} を見つけられず '''systemd-modules-load.service''' の起動に失敗していることがあります。その場合には {{ic|/etc/modules-load.d/raspberrypi.conf}} を設定し直し、 '''systemd-modules-load.service''' を再起動すると解決します。([https://archlinuxarm.org/forum/viewtopic.php?f=64&t=10153 こちら] を参照) }}

== GPIO ==
=== SPI ===
{{ic|/dev/spidev*}} デバイスを有効にするには、以下の行をアンコメントしてください:
{{hc|head=/boot/config.txt|output=
device_tree_param=spi=on
}}

=== Python ===
Python から GPIO ピンを使えるようにするために、[https://pypi.python.org/pypi/RPi.GPIO RPi.GPIO] ライブラリを使用することができます。[[AUR|AUR]] から {{AUR|python-raspberry-gpio}} か {{AUR|python2-raspberry-gpio}} のどちらかをインストールしてください。

== I2C ==

''i2c-tools'' と ''lm_sensors'' パッケージをインストールしてください。

{{ic|/boot/config.txt}} に以下を追加することで i2c ハードウェアを有効にするようにブートローダーを設定します:
dtparam=i2c_arm=on

{{ic|i2c-dev}} と {{ic|i2c-bcm2708}} モジュールを起動時にロードするように設定:

{{hc|/etc/modules-load.d/raspberrypi.conf|i2c-dev
i2c-bcm2708}}

Raspberry Pi を再起動してから次のコマンドを実行してハードウェアアドレスを取得:
i2cdetect -y 0

{{Note|I2C0 ではなく I2C1 ポートを使用する場合、{{ic|i2cdetect -y 1}} を実行して、以下のコマンドで使われている {{ic|i2c-0}} を {{ic|i2c-1}} に置き換える必要があります。}}

そしてデバイスを初期化するように Linux を設定します。以下のコマンドのハードウェアアドレスは先のコマンドで取得したアドレスに置き換えてください ('0x' を前に付けます、例: 0x48)。デバイス名は自由に決めて下さい:
echo <devicename> <hardware address> >/sys/class/i2c-adapter/i2c-0/new_device

dmesg コマンドを使ってカーネルメッセージを確認すると、以下のような新しいエントリが追加されているはずです:
i2c-0: new_device: Instantiated device ds1621 at 0x48
最後に、センサーの出力を読み出す:
sensors

== QEMU chroot ==

場合によっては Raspberry Pi を動かすよりもディスクイメージを直接操作したほうが楽だということもあるでしょう。RPi の root パーティションが含まれている SD カードをマウントして、そこに chroot することで直接操作することができます。chroot からは、''pacman'' を実行してパッケージをインストールしたり、巨大なライブラリをコンパイルすることが可能です。実行可能ファイルは ARM アーキテクチャ用のものなので、[[QEMU]] を使って x86 への変換を行う必要があります。

{{Note|2016年1月現在、ARM の QEMU で {{pkg|make}} が動作しないため、以下の方法でパッケージをビルドすることはできません。ARM パッケージのビルドが必要な場合は [https://archlinuxarm.org/wiki/Distcc_Cross-Compiling Arch Linux ARM ウェブサイトのガイド] に従ってクロスコンパイラをビルドしてください。}}

[[AUR]] から {{AUR|binfmt-support}} と {{AUR|qemu-user-static}} をインストールしてください。

ARM から x86 への変換が有効かどうか確認:

# update-binfmts --importdir /var/lib/binfmts/ --import
# update-binfmts --display qemu-arm

ARM から x86 への変換が有効でない場合、update-binfmts を使って有効にしてください:
# update-binfmts --enable qemu-arm

SD カードを {{ic|mnt/}} にマウントします (デバイス名は適宜置き換えてください)。

# mkdir mnt
# mount /dev/mmcblk0p2 mnt

(ARM からの変換を処理する) QEMU の実行可能ファイルを SD カードの root にコピー:

# cp /usr/bin/qemu-arm-static mnt/usr/bin

最後に [[Change Root#Change root]] に書かれているように SD カードの root に chroot してください。{{ic|qemu-arm-static}} コマンドは {{ic|chroot}} の中から呼び出す必要があります:

# chroot /mnt/arch /usr/bin/qemu-arm-static /bin/bash

== 参照 ==
* [https://www.raspberrypi.org Raspberry Pi] - 公式ウェブサイト
* [http://elinux.org/RPiconfig RPi Config] - ボンネットの下の設定に関連する情報がまとまっています
* [http://elinux.org/RPI_vcgencmd_usage RPi vcgencmd usage] - ファームウェアコマンドの vcgencmd の概要
* [http://archpi.dabase.com/ Arch Linux ARM on Raspberry PI] - RPi で Arch Linux を動かす時のヒントが書かれている FAQ スタイルのサイト

Raspberry Pi

2016-05-08T06:12:13Z

Fragment: /* ネットワーク */ 可能な範囲のhttps化

[[Category:ARM アーキテクチャ]]
[[cs:Raspberry Pi]]
[[en:Raspberry Pi]]
[[ru:Raspberry Pi]]
[[uk:Raspberry Pi]]
[[zh-CN:Raspberry Pi]]
[[Wikipedia:ja:Raspberry Pi|Wikipedia]] より:
:"''Raspberry Pi はクレジットカードサイズのシングルボードコンピュータのシリーズである。イギリスのラズベリーパイ財団によって開発されており、学校で基本的なコンピュータ科学の教育を促進することを意図している。''"
オリジナルモデルは Broadcom SoC BCM2835 ([[Wikipedia:ARM11|ARM11 マイクロアーキテクチャ]]) を使用していましたが、ラズベリーパイ財団は最近になってニューモデルの "Raspberry Pi 2" をリリースしました。RasPi 2 には BCM2836 SoC (クアッドコアの [[Wikipedia:ARM_Cortex-A7|ARM Cortex A7]] アーキテクチャ) が搭載されています。2016年2月には、BCM2837 SoC (クアッドコアの [[Wikipedia:ARM Cortex-A53|ARM Cortex-A53 アーキテクチャ]]) を搭載して WiFi と Bluetooth が組み込まれた Pi 3 が発売されました。

== 前書き ==
この記事は完全なセットアップガイドではなく、読者が既に Arch システムを構築していることを前提としています。ユーザーの作成やシステムの管理など、基本的な作業の方法がよくわからない場合、Arch 初心者は[[ビギナーズガイド]]を読むことが推奨されています。

{{Note|ARM アーキテクチャのサポートは公式 Arch Linux フォーラムではなく https://archlinuxarm.org で提供されています。ARM 固有の問題に関する投稿は [[フォーラムエチケット#Arch Linux ディストリビューションのサポートオンリー|Arch Linux ディストリビューションのサポートオンリー]]ポリシーに従って直ちにクローズされます。}}

== システム構成 ==

Raspberry Pi は ARM ベースのデバイスであり、ARM アーキテクチャ用にコンパイルされたバイナリが必要になります。ARM 用のバイナリは Arch Linux を ARM ベースのデバイスに移植している [http://archlinuxarm.org/about Arch Linux ARM プロジェクト] によって提供されています。ALARM プロジェクトのウェブサイトには独自のコミュニティとフォーラムがあります。オリジナルの Arch のフォーラムでは ARM に関連する問題は''サポートされていません''。Raspberry Pi 2 が登場したことで、デバイスのアーキテクチャによって必要なパッケージは2つに分かれています:
* ARMv6 (BCM2835): Raspberry Pi Model A, A+, B, B+, Zero
* ARMv7 (BCM2836): Raspberry Pi 2 (Model B+ ベース)
* ARMv8 (BCM2837): Raspberry Pi 3

== Arch Linux ARM のインストール ==

[http://archlinuxarm.org/platforms/armv6/raspberry-pi Arch Linux ARM Pi のドキュメント], [http://archlinuxarm.org/platforms/armv7/broadcom/raspberry-pi-2 Arch Linux ARM Pi2 のドキュメント], [https://archlinuxarm.org/platforms/armv8/broadcom/raspberry-pi-3 Arch Linux ARM Pi3 のドキュメント] を見てください。

== ネットワーク ==

ネットワークはあらかじめ設定されており、[[systemd-networkd]] によって dhcp モードでオンボードの NIC が使われます。ケーブルが接続されていれば、ほとんどのルーターで自動的に IP が取得されます。

最初から [[Secure Shell]] を使って SD カードにアクセスする場合は、Raspberry Pi をイーサネットケーブルで接続してルーターの設定を通して IP アドレスを割り当てるのが一番簡単です。root で直接アクセスすることができます (パスワード: root)。まず初めにパスワードを変更することを強く推奨します。任意で [[SSH 鍵]]も設定してください。

=== Ethernet を使わずに WLAN を設定 ===

無線インターネット接続を確立する必要がある場合、いくつかパッケージを追加でダウンロードして SD カードに保存する必要があります。[[netctl]] を使用する場合、最低でも [[WPA supplicant]] と依存パッケージの ''libnl'' が必要になります。また、''dialog'' と依存パッケージの ''ncurses'' もインストールしておいたほうが便利でしょう。

まとめると以下を実行する必要があります:
* 他のコンピュータから SD カードにパッケージをダウンロード
* Raspberry Pi にパッケージをインストール・設定

必要なパッケージは全て [https://archlinuxarm.org/packages Arch Linux ARM の公式ウェブサイト] で見つけることができ、[http://mirror.archlinuxarm.org Arch Linux ARM のリポジトリ] からダウンロードできます。

その後、Raspberry Pi を接続して立ち上げて、モニター/キーボードを使うか[[#シリアルコンソール|シリアルコンソール]]でログインします。そして、パッケージを[[en2:Offline_installation_of_packages|オフラインインストール]]してください。パッケージの依存パッケージが欠けている場合は、依存パッケージもダウンロードしてインストールしてください。

パッケージをインストールしたら、インターネットに接続してビギナーズガイドの[[ビギナーズガイド#無線|このセクション]]に書かれているように設定します。

== オーディオ ==
{{Note|必須モジュール {{ic|snd-bcm2835}} はデフォルトで自動ロードされます。}}

'''alsa-utils''', '''alsa-firmware''', '''alsa-lib''', '''alsa-plugins''' パッケージをインストールしてください:
# pacman -S alsa-utils alsa-firmware alsa-lib alsa-plugins

ARM の Linux カーネルバージョン 4.4.x では ALSA とサウンドモジュールに大きな変更があります。最新のカーネルで {{ic|alsamixer}} などのツールを使用するには {{ic|/boot/config.txt}} を編集して以下の行を記述してください:
dtparam=audio=on

任意で、{{ic|alsamixer}} を使ってデフォルトのボリュームを調整してください。唯一の音源 "PCM" がミュートされていないことを確認してください (ミュートされている場合は {{ic|MM}} と表示されます、ミュートを解除するには {{ic|M}} を押して下さい)。

音源の出力を選択するには:
$ amixer cset numid=3 ''x''

{{ic|''x''}} は以下のどれかになります:
*0 は自動
*1 はアナログ出力
*2 は HDMI

=== HDMI オーディオの注意 ===
アプリケーションによっては音声を HDMI で出力するために {{ic|/boot/config.txt}} に設定が必要です:
hdmi_drive=2

== ビデオ ==

=== HDMI / アナログ TV 出力 ===
デフォルト設定では、Raspberry Pi は [[wikipedia:ja:HDMI|HDMI]] モニターが接続されているときは HDMI を使うようになっています。接続されていない場合はアナログ TV 出力 (コンポジット出力あるいは RCA) が使われます。

HDMI やアナログ TV 出力のオン・オフを切り替えるには、次を見て下さい:

/opt/vc/bin/tvservice

''-s'' パラメータでディスプレイの状態を確認し、''-o'' パラメータでディスプレイをオフに、''-p'' パラメータで優先設定を使って HDMI をオンにします。

オーバースキャン・アンダースキャンを適切に修正するには調整が必要で、多くの設定がある {{ic|boot/config.txt}} で簡単に行うことができます。修正するには、コメントの指示に従って適切な行の設定をアンコメントしてください:

# uncomment the following to adjust overscan. Use positive numbers if console
# goes off screen, and negative if there is too much border
#overscan_left=16
overscan_right=8
overscan_top=-16
overscan_bottom=-16

アナログビデオ出力を使いたいユーザーは NTSC 以外の出力のオプションを含んでいる[https://raw.github.com/Evilpaul/RPi-config/master/config.txt この]設定ファイルを見て下さい。

新しい設定を適用するには再起動が必要です。

=== アナログ TV 出力の注意事項 ===

Raspberry Pi 1 モデル B+ と Raspberry Pi 2 モデル B から、コンポジットビデオ端子はなくなって、代わりに 3.5mm の動画/音声ジャックからコンポジット信号を出力するようになっています。RCA ケーブルによっては赤や白の音声端子で動画を接続する Raspberry Pi の規格に対応していない場合があります [http://www.raspberrypi-spy.co.uk/2014/07/raspberry-pi-model-b-3-5mm-audiovideo-jack/]。

=== X.org ドライバー ===

Raspberry Pi の X.org ドライバーは '''xf86-video-fbdev''' あるいは ''xf86-video-fbturbo-git'' パッケージでインストールできます:
# pacman -S xf86-video-fbdev

== オンボードのハードウェアセンサー ==
=== 温度 ===
温度センサーは '''raspberrypi-firmware-tools''' パッケージにあるユーティリティで使うことができます。RPi は BCM2835 SoC (CPU/GPU) 上にセンサーを搭載しています:

{{hc|$ /opt/vc/bin/vcgencmd measure_temp|2=
temp=49.8'C
}}

また、ファイルシステムから読み取ることもできます:
{{hc|$ cat /sys/class/thermal/thermal_zone0/temp|2=
49768
}}

人間が読めるように出力するには:
{{hc|$ awk '{printf "%3.1f°C\n", $1/1000}' /sys/class/thermal/thermal_zone0/temp|2=
54.1°C
}}

=== 電圧 ===
同じように {{ic|/opt/vc/bin/vcgencmd}} で4つの異なる電圧をチェックすることができます:

$ /opt/vc/bin/vcgencmd measure_volts ''<id>''

{{ic|''<id>''}} は以下のどれかに置き換えてください:
*core はコアの電圧
*sdram_c は sdram Core の電圧
*sdram_i は sdram I/O の電圧
*sdram_p は sdram PHY の電圧

=== 軽量なモニタリングスイート ===
{{AUR|monitorix}} は v3.2.0 から RPi をサポートしています。スクリーンショットは[http://www.monitorix.org/screenshots.html ここ] にあります。

== オーバークロック / アンダークロック ==
{{ic|/boot/config.txt}} を編集することで RPi をオーバークロックさせることができます、例:

arm_freq=800
arm_freq_min=100
core_freq=300
core_freq_min=75
sdram_freq=400
over_voltage=0

{{ic|*_min}} の行は任意で、それぞれの設定の最低値を定義します。システムの負担が低い時は、指定した値まで下がります。オプションの詳しい説明や例は elinux の [http://elinux.org/RPiconfig#Overclocking Overclocking] 記事を見て下さい。

新しい設定を適用するには再起動が必要です。

CPU のオーバークロック設定は、負担が高い時にガバナーが CPU の周波数を上げる場合にだけ適用されます。次のコマンドで現在の CPU の周波数を確認できます:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

スケーリングガバナーの詳細は [[CPU 周波数スケーリング]]を見てください。

{{Tip|以下のスクリプトを実行すると RPi に設定された全ての周波数が表示されます:
{{bc|<nowiki>
#/bin/bash
for src in arm core h264 isp v3d uart pwm emmc pixel vec hdmi dpi ; do
echo -e "$src:\t$(/opt/vc/bin/vcgencmd measure_clock $src)"
done
</nowiki>}}
}}

== SD カードのパフォーマンスを最大化するヒント ==

システムのレスポンスは SD メディアの速度に大きな影響を受けます。特にシステムのアップデートなどディスク I/O に関する処理を行っている際はそれが際立つでしょう。pacman がファイルシステムにファイルを書き出すときに [http://archlinuxarm.org/forum/viewtopic.php?f=64&t=9467 頻繁に停止する] ような場合、RPi や RPi2 の接続バスが足を引っ張っているというよりは、SD (あるいはマイクロ SD) カードがボトルネックとなっている可能性があります。詳しくは[[ベンチマーク#フラッシュメディア]]を参照。

一般的なパフォーマンスを上げる方法については[[パフォーマンスの最大化]]や[[ソリッドステートドライブ#SSD の読み書きを最小化するヒント]]を見て下さい。

=== 起動時に fsck を有効にする ===

[[fsck#ブート時のチェック]]を見てください。カーネルパラメータは {{ic|/boot/cmdline.txt}} で指定するようにしてください。

== シリアルコンソール ==
ブートメッセージを見るには、デフォルトの {{ic|/boot/cmdline.txt}} を編集して、{{ic|loglevel}} を {{ic|5}} に変更してください:
loglevel=5

速度を 115200 から 38400 に変える:
console=ttyAMA0,38400 kgdboc=ttyAMA0,38400

getty サービスを起動する:
# systemctl start getty@ttyAMA0

ブート時に有効にする:
# systemctl enable getty@ttyAMA0.service

適当な service リンクを作成する:
# ln -s /usr/lib/systemd/system/serial-getty@.service /etc/systemd/system/getty.target.wants/serial-getty@ttyAMA0.service

そして PC から接続:
# screen /dev/ttyUSB0 38400

== Raspberry Pi カメラモジュール ==
カメラモジュールのコマンドは '''raspberrypi-firmware-tools''' パッケージに含まれています - このパッケージはデフォルトでインストールされています。以下のコマンドで使うことができます:
$ /opt/vc/bin/raspistill
$ /opt/vc/bin/raspivid

{{ic|/boot/config.txt}} に以下を追加する必要があります:
gpu_mem=128
start_file=start_x.elf
fixup_file=fixup_x.dat

LED をオフにする設定 (任意):
disable_camera_led=1

以下のエラーが表示される場合:
mmal: mmal_vc_component_enable: failed to enable component: ENOSPC
mmal: camera component couldn't be enabled
mmal: main: Failed to create camera component
mmal: Failed to run camera app. Please check for firmware updates

{{ic|/boot/config.txt}} に以下の値を設定してみてください:
cma_lwm=
cma_hwm=
cma_offline_start=

以下のエラーが表示される場合:

mmal: mmal_vc_component_create: failed to create component 'vc.ril.camera' (1:ENOMEM)
mmal: mmal_component_create_core: could not create component 'vc.ril.camera' (1)
mmal: Failed to create camera component
mmal: main: Failed to create camera component
mmal: Only 64M of gpu_mem is configured. Try running "sudo raspi-config" and ensure that "memory_split" has a value of 128 or greater

{{ic|/etc/modprobe.d/blacklist.conf}} に以下の行を追加してください:
blacklist i2c_bcm2708

({{ic|/dev/video0}} を使用する) 標準的なアプリケーションを使うには V4L2 ドライバーをロードする必要があります。以下のように自動ロードファイルを作成することで起動時に自動的にロードさせることが可能です:
{{hc|/etc/modules-load.d/rpi-camera.conf|bcm2835-v4l2}}

== ハードウェア乱数生成器 ==
Raspberry Pi 用の Arch Linux ARM には '''rng-tools''' パッケージがインストールされており、{{ic|bcm2835-rng}} が起動時にロードされるように設定されています ([https://archlinuxarm.org/forum/viewtopic.php?f=31&t=4993#p27708 こちら] を参照) が、Hardware RNG Entropy Gatherer Daemon ('''rngd''') にハードウェア乱数生成器の場所を教えてやる必要があります。

{{ic|/etc/conf.d/rngd}} を編集することで設定します:
RNGD_OPTS="-o /dev/random -r /dev/hwrng"
設定したら '''rngd''' デーモンを[[再起動]]してください:
# systemctl restart rngd

この設定で、ハードウェア乱数生成器からのデータがカーネルのエントロピープール ({{ic|/dev/random}}) に取り入れられるようになります。エントロピーを確認するには:

# cat /proc/sys/kernel/random/entropy_avail

{{Note|古いイメージからカーネルを更新すると旧式の {{ic|bcm2708-rng}} を見つけられず '''systemd-modules-load.service''' の起動に失敗していることがあります。その場合には {{ic|/etc/modules-load.d/raspberrypi.conf}} を設定し直し、 '''systemd-modules-load.service''' を再起動すると解決します。([https://archlinuxarm.org/forum/viewtopic.php?f=64&t=10153 こちら] を参照) }}

== GPIO ==
=== SPI ===
{{ic|/dev/spidev*}} デバイスを有効にするには、以下の行をアンコメントしてください:
{{hc|head=/boot/config.txt|output=
device_tree_param=spi=on
}}

=== Python ===
Python から GPIO ピンを使えるようにするために、[https://pypi.python.org/pypi/RPi.GPIO RPi.GPIO] ライブラリを使用することができます。[[AUR|AUR]] から {{AUR|python-raspberry-gpio}} か {{AUR|python2-raspberry-gpio}} のどちらかをインストールしてください。

== I2C ==

''i2c-tools'' と ''lm_sensors'' パッケージをインストールしてください。

{{ic|/boot/config.txt}} に以下を追加することで i2c ハードウェアを有効にするようにブートローダーを設定します:
dtparam=i2c_arm=on

{{ic|i2c-dev}} と {{ic|i2c-bcm2708}} モジュールを起動時にロードするように設定:

{{hc|/etc/modules-load.d/raspberrypi.conf|i2c-dev
i2c-bcm2708}}

Raspberry Pi を再起動してから次のコマンドを実行してハードウェアアドレスを取得:
i2cdetect -y 0

{{Note|I2C0 ではなく I2C1 ポートを使用する場合、{{ic|i2cdetect -y 1}} を実行して、以下のコマンドで使われている {{ic|i2c-0}} を {{ic|i2c-1}} に置き換える必要があります。}}

そしてデバイスを初期化するように Linux を設定します。以下のコマンドのハードウェアアドレスは先のコマンドで取得したアドレスに置き換えてください ('0x' を前に付けます、例: 0x48)。デバイス名は自由に決めて下さい:
echo <devicename> <hardware address> >/sys/class/i2c-adapter/i2c-0/new_device

dmesg コマンドを使ってカーネルメッセージを確認すると、以下のような新しいエントリが追加されているはずです:
i2c-0: new_device: Instantiated device ds1621 at 0x48
最後に、センサーの出力を読み出す:
sensors

== QEMU chroot ==

場合によっては Raspberry Pi を動かすよりもディスクイメージを直接操作したほうが楽だということもあるでしょう。RPi の root パーティションが含まれている SD カードをマウントして、そこに chroot することで直接操作することができます。chroot からは、''pacman'' を実行してパッケージをインストールしたり、巨大なライブラリをコンパイルすることが可能です。実行可能ファイルは ARM アーキテクチャ用のものなので、[[QEMU]] を使って x86 への変換を行う必要があります。

{{Note|2016年1月現在、ARM の QEMU で {{pkg|make}} が動作しないため、以下の方法でパッケージをビルドすることはできません。ARM パッケージのビルドが必要な場合は [https://archlinuxarm.org/wiki/Distcc_Cross-Compiling Arch Linux ARM ウェブサイトのガイド] に従ってクロスコンパイラをビルドしてください。}}

[[AUR]] から {{AUR|binfmt-support}} と {{AUR|qemu-user-static}} をインストールしてください。

ARM から x86 への変換が有効かどうか確認:

# update-binfmts --importdir /var/lib/binfmts/ --import
# update-binfmts --display qemu-arm

ARM から x86 への変換が有効でない場合、update-binfmts を使って有効にしてください:
# update-binfmts --enable qemu-arm

SD カードを {{ic|mnt/}} にマウントします (デバイス名は適宜置き換えてください)。

# mkdir mnt
# mount /dev/mmcblk0p2 mnt

(ARM からの変換を処理する) QEMU の実行可能ファイルを SD カードの root にコピー:

# cp /usr/bin/qemu-arm-static mnt/usr/bin

最後に [[Change Root#Change root]] に書かれているように SD カードの root に chroot してください。{{ic|qemu-arm-static}} コマンドは {{ic|chroot}} の中から呼び出す必要があります:

# chroot /mnt/arch /usr/bin/qemu-arm-static /bin/bash

== 参照 ==
* [https://www.raspberrypi.org Raspberry Pi] - 公式ウェブサイト
* [http://elinux.org/RPiconfig RPi Config] - ボンネットの下の設定に関連する情報がまとまっています
* [http://elinux.org/RPI_vcgencmd_usage RPi vcgencmd usage] - ファームウェアコマンドの vcgencmd の概要
* [http://archpi.dabase.com/ Arch Linux ARM on Raspberry PI] - RPi で Arch Linux を動かす時のヒントが書かれている FAQ スタイルのサイト

Raspberry Pi

2016-05-08T06:10:27Z

Fragment: /* 前書き */ リンクのhttps化

[[Category:ARM アーキテクチャ]]
[[cs:Raspberry Pi]]
[[en:Raspberry Pi]]
[[ru:Raspberry Pi]]
[[uk:Raspberry Pi]]
[[zh-CN:Raspberry Pi]]
[[Wikipedia:ja:Raspberry Pi|Wikipedia]] より:
:"''Raspberry Pi はクレジットカードサイズのシングルボードコンピュータのシリーズである。イギリスのラズベリーパイ財団によって開発されており、学校で基本的なコンピュータ科学の教育を促進することを意図している。''"
オリジナルモデルは Broadcom SoC BCM2835 ([[Wikipedia:ARM11|ARM11 マイクロアーキテクチャ]]) を使用していましたが、ラズベリーパイ財団は最近になってニューモデルの "Raspberry Pi 2" をリリースしました。RasPi 2 には BCM2836 SoC (クアッドコアの [[Wikipedia:ARM_Cortex-A7|ARM Cortex A7]] アーキテクチャ) が搭載されています。2016年2月には、BCM2837 SoC (クアッドコアの [[Wikipedia:ARM Cortex-A53|ARM Cortex-A53 アーキテクチャ]]) を搭載して WiFi と Bluetooth が組み込まれた Pi 3 が発売されました。

== 前書き ==
この記事は完全なセットアップガイドではなく、読者が既に Arch システムを構築していることを前提としています。ユーザーの作成やシステムの管理など、基本的な作業の方法がよくわからない場合、Arch 初心者は[[ビギナーズガイド]]を読むことが推奨されています。

{{Note|ARM アーキテクチャのサポートは公式 Arch Linux フォーラムではなく https://archlinuxarm.org で提供されています。ARM 固有の問題に関する投稿は [[フォーラムエチケット#Arch Linux ディストリビューションのサポートオンリー|Arch Linux ディストリビューションのサポートオンリー]]ポリシーに従って直ちにクローズされます。}}

== システム構成 ==

Raspberry Pi は ARM ベースのデバイスであり、ARM アーキテクチャ用にコンパイルされたバイナリが必要になります。ARM 用のバイナリは Arch Linux を ARM ベースのデバイスに移植している [http://archlinuxarm.org/about Arch Linux ARM プロジェクト] によって提供されています。ALARM プロジェクトのウェブサイトには独自のコミュニティとフォーラムがあります。オリジナルの Arch のフォーラムでは ARM に関連する問題は''サポートされていません''。Raspberry Pi 2 が登場したことで、デバイスのアーキテクチャによって必要なパッケージは2つに分かれています:
* ARMv6 (BCM2835): Raspberry Pi Model A, A+, B, B+, Zero
* ARMv7 (BCM2836): Raspberry Pi 2 (Model B+ ベース)
* ARMv8 (BCM2837): Raspberry Pi 3

== Arch Linux ARM のインストール ==

[http://archlinuxarm.org/platforms/armv6/raspberry-pi Arch Linux ARM Pi のドキュメント], [http://archlinuxarm.org/platforms/armv7/broadcom/raspberry-pi-2 Arch Linux ARM Pi2 のドキュメント], [https://archlinuxarm.org/platforms/armv8/broadcom/raspberry-pi-3 Arch Linux ARM Pi3 のドキュメント] を見てください。

== ネットワーク ==

ネットワークはあらかじめ設定されており、[[systemd-networkd]] によって dhcp モードでオンボードの NIC が使われます。ケーブルが接続されていれば、ほとんどのルーターで自動的に IP が取得されます。

最初から [[Secure Shell]] を使って SD カードにアクセスする場合は、Raspberry Pi をイーサネットケーブルで接続してルーターの設定を通して IP アドレスを割り当てるのが一番簡単です。root で直接アクセスすることができます (パスワード: root)。まず初めにパスワードを変更することを強く推奨します。任意で [[SSH 鍵]]も設定してください。

=== Ethernet を使わずに WLAN を設定 ===

無線インターネット接続を確立する必要がある場合、いくつかパッケージを追加でダウンロードして SD カードに保存する必要があります。[[netctl]] を使用する場合、最低でも [[WPA supplicant]] と依存パッケージの ''libnl'' が必要になります。また、''dialog'' と依存パッケージの ''ncurses'' もインストールしておいたほうが便利でしょう。

まとめると以下を実行する必要があります:
* 他のコンピュータから SD カードにパッケージをダウンロード
* Raspberry Pi にパッケージをインストール・設定

必要なパッケージは全て [http://archlinuxarm.org/packages Arch Linux ARM の公式ウェブサイト] で見つけることができ、[http://mirror.archlinuxarm.org Arch Linux ARM のリポジトリ] からダウンロードできます。

その後、Raspberry Pi を接続して立ち上げて、モニター/キーボードを使うか[[#シリアルコンソール|シリアルコンソール]]でログインします。そして、パッケージを[[en2:Offline_installation_of_packages|オフラインインストール]]してください。パッケージの依存パッケージが欠けている場合は、依存パッケージもダウンロードしてインストールしてください。

パッケージをインストールしたら、インターネットに接続してビギナーズガイドの[[ビギナーズガイド#無線|このセクション]]に書かれているように設定します。

== オーディオ ==
{{Note|必須モジュール {{ic|snd-bcm2835}} はデフォルトで自動ロードされます。}}

'''alsa-utils''', '''alsa-firmware''', '''alsa-lib''', '''alsa-plugins''' パッケージをインストールしてください:
# pacman -S alsa-utils alsa-firmware alsa-lib alsa-plugins

ARM の Linux カーネルバージョン 4.4.x では ALSA とサウンドモジュールに大きな変更があります。最新のカーネルで {{ic|alsamixer}} などのツールを使用するには {{ic|/boot/config.txt}} を編集して以下の行を記述してください:
dtparam=audio=on

任意で、{{ic|alsamixer}} を使ってデフォルトのボリュームを調整してください。唯一の音源 "PCM" がミュートされていないことを確認してください (ミュートされている場合は {{ic|MM}} と表示されます、ミュートを解除するには {{ic|M}} を押して下さい)。

音源の出力を選択するには:
$ amixer cset numid=3 ''x''

{{ic|''x''}} は以下のどれかになります:
*0 は自動
*1 はアナログ出力
*2 は HDMI

=== HDMI オーディオの注意 ===
アプリケーションによっては音声を HDMI で出力するために {{ic|/boot/config.txt}} に設定が必要です:
hdmi_drive=2

== ビデオ ==

=== HDMI / アナログ TV 出力 ===
デフォルト設定では、Raspberry Pi は [[wikipedia:ja:HDMI|HDMI]] モニターが接続されているときは HDMI を使うようになっています。接続されていない場合はアナログ TV 出力 (コンポジット出力あるいは RCA) が使われます。

HDMI やアナログ TV 出力のオン・オフを切り替えるには、次を見て下さい:

/opt/vc/bin/tvservice

''-s'' パラメータでディスプレイの状態を確認し、''-o'' パラメータでディスプレイをオフに、''-p'' パラメータで優先設定を使って HDMI をオンにします。

オーバースキャン・アンダースキャンを適切に修正するには調整が必要で、多くの設定がある {{ic|boot/config.txt}} で簡単に行うことができます。修正するには、コメントの指示に従って適切な行の設定をアンコメントしてください:

# uncomment the following to adjust overscan. Use positive numbers if console
# goes off screen, and negative if there is too much border
#overscan_left=16
overscan_right=8
overscan_top=-16
overscan_bottom=-16

アナログビデオ出力を使いたいユーザーは NTSC 以外の出力のオプションを含んでいる[https://raw.github.com/Evilpaul/RPi-config/master/config.txt この]設定ファイルを見て下さい。

新しい設定を適用するには再起動が必要です。

=== アナログ TV 出力の注意事項 ===

Raspberry Pi 1 モデル B+ と Raspberry Pi 2 モデル B から、コンポジットビデオ端子はなくなって、代わりに 3.5mm の動画/音声ジャックからコンポジット信号を出力するようになっています。RCA ケーブルによっては赤や白の音声端子で動画を接続する Raspberry Pi の規格に対応していない場合があります [http://www.raspberrypi-spy.co.uk/2014/07/raspberry-pi-model-b-3-5mm-audiovideo-jack/]。

=== X.org ドライバー ===

Raspberry Pi の X.org ドライバーは '''xf86-video-fbdev''' あるいは ''xf86-video-fbturbo-git'' パッケージでインストールできます:
# pacman -S xf86-video-fbdev

== オンボードのハードウェアセンサー ==
=== 温度 ===
温度センサーは '''raspberrypi-firmware-tools''' パッケージにあるユーティリティで使うことができます。RPi は BCM2835 SoC (CPU/GPU) 上にセンサーを搭載しています:

{{hc|$ /opt/vc/bin/vcgencmd measure_temp|2=
temp=49.8'C
}}

また、ファイルシステムから読み取ることもできます:
{{hc|$ cat /sys/class/thermal/thermal_zone0/temp|2=
49768
}}

人間が読めるように出力するには:
{{hc|$ awk '{printf "%3.1f°C\n", $1/1000}' /sys/class/thermal/thermal_zone0/temp|2=
54.1°C
}}

=== 電圧 ===
同じように {{ic|/opt/vc/bin/vcgencmd}} で4つの異なる電圧をチェックすることができます:

$ /opt/vc/bin/vcgencmd measure_volts ''<id>''

{{ic|''<id>''}} は以下のどれかに置き換えてください:
*core はコアの電圧
*sdram_c は sdram Core の電圧
*sdram_i は sdram I/O の電圧
*sdram_p は sdram PHY の電圧

=== 軽量なモニタリングスイート ===
{{AUR|monitorix}} は v3.2.0 から RPi をサポートしています。スクリーンショットは[http://www.monitorix.org/screenshots.html ここ] にあります。

== オーバークロック / アンダークロック ==
{{ic|/boot/config.txt}} を編集することで RPi をオーバークロックさせることができます、例:

arm_freq=800
arm_freq_min=100
core_freq=300
core_freq_min=75
sdram_freq=400
over_voltage=0

{{ic|*_min}} の行は任意で、それぞれの設定の最低値を定義します。システムの負担が低い時は、指定した値まで下がります。オプションの詳しい説明や例は elinux の [http://elinux.org/RPiconfig#Overclocking Overclocking] 記事を見て下さい。

新しい設定を適用するには再起動が必要です。

CPU のオーバークロック設定は、負担が高い時にガバナーが CPU の周波数を上げる場合にだけ適用されます。次のコマンドで現在の CPU の周波数を確認できます:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

スケーリングガバナーの詳細は [[CPU 周波数スケーリング]]を見てください。

{{Tip|以下のスクリプトを実行すると RPi に設定された全ての周波数が表示されます:
{{bc|<nowiki>
#/bin/bash
for src in arm core h264 isp v3d uart pwm emmc pixel vec hdmi dpi ; do
echo -e "$src:\t$(/opt/vc/bin/vcgencmd measure_clock $src)"
done
</nowiki>}}
}}

== SD カードのパフォーマンスを最大化するヒント ==

システムのレスポンスは SD メディアの速度に大きな影響を受けます。特にシステムのアップデートなどディスク I/O に関する処理を行っている際はそれが際立つでしょう。pacman がファイルシステムにファイルを書き出すときに [http://archlinuxarm.org/forum/viewtopic.php?f=64&t=9467 頻繁に停止する] ような場合、RPi や RPi2 の接続バスが足を引っ張っているというよりは、SD (あるいはマイクロ SD) カードがボトルネックとなっている可能性があります。詳しくは[[ベンチマーク#フラッシュメディア]]を参照。

一般的なパフォーマンスを上げる方法については[[パフォーマンスの最大化]]や[[ソリッドステートドライブ#SSD の読み書きを最小化するヒント]]を見て下さい。

=== 起動時に fsck を有効にする ===

[[fsck#ブート時のチェック]]を見てください。カーネルパラメータは {{ic|/boot/cmdline.txt}} で指定するようにしてください。

== シリアルコンソール ==
ブートメッセージを見るには、デフォルトの {{ic|/boot/cmdline.txt}} を編集して、{{ic|loglevel}} を {{ic|5}} に変更してください:
loglevel=5

速度を 115200 から 38400 に変える:
console=ttyAMA0,38400 kgdboc=ttyAMA0,38400

getty サービスを起動する:
# systemctl start getty@ttyAMA0

ブート時に有効にする:
# systemctl enable getty@ttyAMA0.service

適当な service リンクを作成する:
# ln -s /usr/lib/systemd/system/serial-getty@.service /etc/systemd/system/getty.target.wants/serial-getty@ttyAMA0.service

そして PC から接続:
# screen /dev/ttyUSB0 38400

== Raspberry Pi カメラモジュール ==
カメラモジュールのコマンドは '''raspberrypi-firmware-tools''' パッケージに含まれています - このパッケージはデフォルトでインストールされています。以下のコマンドで使うことができます:
$ /opt/vc/bin/raspistill
$ /opt/vc/bin/raspivid

{{ic|/boot/config.txt}} に以下を追加する必要があります:
gpu_mem=128
start_file=start_x.elf
fixup_file=fixup_x.dat

LED をオフにする設定 (任意):
disable_camera_led=1

以下のエラーが表示される場合:
mmal: mmal_vc_component_enable: failed to enable component: ENOSPC
mmal: camera component couldn't be enabled
mmal: main: Failed to create camera component
mmal: Failed to run camera app. Please check for firmware updates

{{ic|/boot/config.txt}} に以下の値を設定してみてください:
cma_lwm=
cma_hwm=
cma_offline_start=

以下のエラーが表示される場合:

mmal: mmal_vc_component_create: failed to create component 'vc.ril.camera' (1:ENOMEM)
mmal: mmal_component_create_core: could not create component 'vc.ril.camera' (1)
mmal: Failed to create camera component
mmal: main: Failed to create camera component
mmal: Only 64M of gpu_mem is configured. Try running "sudo raspi-config" and ensure that "memory_split" has a value of 128 or greater

{{ic|/etc/modprobe.d/blacklist.conf}} に以下の行を追加してください:
blacklist i2c_bcm2708

({{ic|/dev/video0}} を使用する) 標準的なアプリケーションを使うには V4L2 ドライバーをロードする必要があります。以下のように自動ロードファイルを作成することで起動時に自動的にロードさせることが可能です:
{{hc|/etc/modules-load.d/rpi-camera.conf|bcm2835-v4l2}}

== ハードウェア乱数生成器 ==
Raspberry Pi 用の Arch Linux ARM には '''rng-tools''' パッケージがインストールされており、{{ic|bcm2835-rng}} が起動時にロードされるように設定されています ([https://archlinuxarm.org/forum/viewtopic.php?f=31&t=4993#p27708 こちら] を参照) が、Hardware RNG Entropy Gatherer Daemon ('''rngd''') にハードウェア乱数生成器の場所を教えてやる必要があります。

{{ic|/etc/conf.d/rngd}} を編集することで設定します:
RNGD_OPTS="-o /dev/random -r /dev/hwrng"
設定したら '''rngd''' デーモンを[[再起動]]してください:
# systemctl restart rngd

この設定で、ハードウェア乱数生成器からのデータがカーネルのエントロピープール ({{ic|/dev/random}}) に取り入れられるようになります。エントロピーを確認するには:

# cat /proc/sys/kernel/random/entropy_avail

{{Note|古いイメージからカーネルを更新すると旧式の {{ic|bcm2708-rng}} を見つけられず '''systemd-modules-load.service''' の起動に失敗していることがあります。その場合には {{ic|/etc/modules-load.d/raspberrypi.conf}} を設定し直し、 '''systemd-modules-load.service''' を再起動すると解決します。([https://archlinuxarm.org/forum/viewtopic.php?f=64&t=10153 こちら] を参照) }}

== GPIO ==
=== SPI ===
{{ic|/dev/spidev*}} デバイスを有効にするには、以下の行をアンコメントしてください:
{{hc|head=/boot/config.txt|output=
device_tree_param=spi=on
}}

=== Python ===
Python から GPIO ピンを使えるようにするために、[https://pypi.python.org/pypi/RPi.GPIO RPi.GPIO] ライブラリを使用することができます。[[AUR|AUR]] から {{AUR|python-raspberry-gpio}} か {{AUR|python2-raspberry-gpio}} のどちらかをインストールしてください。

== I2C ==

''i2c-tools'' と ''lm_sensors'' パッケージをインストールしてください。

{{ic|/boot/config.txt}} に以下を追加することで i2c ハードウェアを有効にするようにブートローダーを設定します:
dtparam=i2c_arm=on

{{ic|i2c-dev}} と {{ic|i2c-bcm2708}} モジュールを起動時にロードするように設定:

{{hc|/etc/modules-load.d/raspberrypi.conf|i2c-dev
i2c-bcm2708}}

Raspberry Pi を再起動してから次のコマンドを実行してハードウェアアドレスを取得:
i2cdetect -y 0

{{Note|I2C0 ではなく I2C1 ポートを使用する場合、{{ic|i2cdetect -y 1}} を実行して、以下のコマンドで使われている {{ic|i2c-0}} を {{ic|i2c-1}} に置き換える必要があります。}}

そしてデバイスを初期化するように Linux を設定します。以下のコマンドのハードウェアアドレスは先のコマンドで取得したアドレスに置き換えてください ('0x' を前に付けます、例: 0x48)。デバイス名は自由に決めて下さい:
echo <devicename> <hardware address> >/sys/class/i2c-adapter/i2c-0/new_device

dmesg コマンドを使ってカーネルメッセージを確認すると、以下のような新しいエントリが追加されているはずです:
i2c-0: new_device: Instantiated device ds1621 at 0x48
最後に、センサーの出力を読み出す:
sensors

== QEMU chroot ==

場合によっては Raspberry Pi を動かすよりもディスクイメージを直接操作したほうが楽だということもあるでしょう。RPi の root パーティションが含まれている SD カードをマウントして、そこに chroot することで直接操作することができます。chroot からは、''pacman'' を実行してパッケージをインストールしたり、巨大なライブラリをコンパイルすることが可能です。実行可能ファイルは ARM アーキテクチャ用のものなので、[[QEMU]] を使って x86 への変換を行う必要があります。

{{Note|2016年1月現在、ARM の QEMU で {{pkg|make}} が動作しないため、以下の方法でパッケージをビルドすることはできません。ARM パッケージのビルドが必要な場合は [https://archlinuxarm.org/wiki/Distcc_Cross-Compiling Arch Linux ARM ウェブサイトのガイド] に従ってクロスコンパイラをビルドしてください。}}

[[AUR]] から {{AUR|binfmt-support}} と {{AUR|qemu-user-static}} をインストールしてください。

ARM から x86 への変換が有効かどうか確認:

# update-binfmts --importdir /var/lib/binfmts/ --import
# update-binfmts --display qemu-arm

ARM から x86 への変換が有効でない場合、update-binfmts を使って有効にしてください:
# update-binfmts --enable qemu-arm

SD カードを {{ic|mnt/}} にマウントします (デバイス名は適宜置き換えてください)。

# mkdir mnt
# mount /dev/mmcblk0p2 mnt

(ARM からの変換を処理する) QEMU の実行可能ファイルを SD カードの root にコピー:

# cp /usr/bin/qemu-arm-static mnt/usr/bin

最後に [[Change Root#Change root]] に書かれているように SD カードの root に chroot してください。{{ic|qemu-arm-static}} コマンドは {{ic|chroot}} の中から呼び出す必要があります:

# chroot /mnt/arch /usr/bin/qemu-arm-static /bin/bash

== 参照 ==
* [https://www.raspberrypi.org Raspberry Pi] - 公式ウェブサイト
* [http://elinux.org/RPiconfig RPi Config] - ボンネットの下の設定に関連する情報がまとまっています
* [http://elinux.org/RPI_vcgencmd_usage RPi vcgencmd usage] - ファームウェアコマンドの vcgencmd の概要
* [http://archpi.dabase.com/ Arch Linux ARM on Raspberry PI] - RPi で Arch Linux を動かす時のヒントが書かれている FAQ スタイルのサイト

Raspberry Pi

2016-05-07T18:58:44Z

Fragment: /* ハードウェア乱数生成器 */ 参照リンク追加

[[Category:ARM アーキテクチャ]]
[[cs:Raspberry Pi]]
[[en:Raspberry Pi]]
[[ru:Raspberry Pi]]
[[uk:Raspberry Pi]]
[[zh-CN:Raspberry Pi]]
[[Wikipedia:ja:Raspberry Pi|Wikipedia]] より:
:"''Raspberry Pi はクレジットカードサイズのシングルボードコンピュータのシリーズである。イギリスのラズベリーパイ財団によって開発されており、学校で基本的なコンピュータ科学の教育を促進することを意図している。''"
オリジナルモデルは Broadcom SoC BCM2835 ([[Wikipedia:ARM11|ARM11 マイクロアーキテクチャ]]) を使用していましたが、ラズベリーパイ財団は最近になってニューモデルの "Raspberry Pi 2" をリリースしました。RasPi 2 には BCM2836 SoC (クアッドコアの [[Wikipedia:ARM_Cortex-A7|ARM Cortex A7]] アーキテクチャ) が搭載されています。2016年2月には、BCM2837 SoC (クアッドコアの [[Wikipedia:ARM Cortex-A53|ARM Cortex-A53 アーキテクチャ]]) を搭載して WiFi と Bluetooth が組み込まれた Pi 3 が発売されました。

== 前書き ==
この記事は完全なセットアップガイドではなく、読者が既に Arch システムを構築していることを前提としています。ユーザーの作成やシステムの管理など、基本的な作業の方法がよくわからない場合、Arch 初心者は[[ビギナーズガイド]]を読むことが推奨されています。

{{Note|ARM アーキテクチャのサポートは公式 Arch Linux フォーラムではなく http://archlinuxarm.org で提供されています。ARM 固有の問題に関する投稿は [[フォーラムエチケット#Arch Linux ディストリビューションのサポートオンリー|Arch Linux ディストリビューションのサポートオンリー]]ポリシーに従って直ちにクローズされます。}}

== システム構成 ==

Raspberry Pi は ARM ベースのデバイスであり、ARM アーキテクチャ用にコンパイルされたバイナリが必要になります。ARM 用のバイナリは Arch Linux を ARM ベースのデバイスに移植している [http://archlinuxarm.org/about Arch Linux ARM プロジェクト] によって提供されています。ALARM プロジェクトのウェブサイトには独自のコミュニティとフォーラムがあります。オリジナルの Arch のフォーラムでは ARM に関連する問題は''サポートされていません''。Raspberry Pi 2 が登場したことで、デバイスのアーキテクチャによって必要なパッケージは2つに分かれています:
* ARMv6 (BCM2835): Raspberry Pi Model A, A+, B, B+, Zero
* ARMv7 (BCM2836): Raspberry Pi 2 (Model B+ ベース)
* ARMv8 (BCM2837): Raspberry Pi 3

== Arch Linux ARM のインストール ==

[http://archlinuxarm.org/platforms/armv6/raspberry-pi Arch Linux ARM Pi のドキュメント], [http://archlinuxarm.org/platforms/armv7/broadcom/raspberry-pi-2 Arch Linux ARM Pi2 のドキュメント], [https://archlinuxarm.org/platforms/armv8/broadcom/raspberry-pi-3 Arch Linux ARM Pi3 のドキュメント] を見てください。

== ネットワーク ==

ネットワークはあらかじめ設定されており、[[systemd-networkd]] によって dhcp モードでオンボードの NIC が使われます。ケーブルが接続されていれば、ほとんどのルーターで自動的に IP が取得されます。

最初から [[Secure Shell]] を使って SD カードにアクセスする場合は、Raspberry Pi をイーサネットケーブルで接続してルーターの設定を通して IP アドレスを割り当てるのが一番簡単です。root で直接アクセスすることができます (パスワード: root)。まず初めにパスワードを変更することを強く推奨します。任意で [[SSH 鍵]]も設定してください。

=== Ethernet を使わずに WLAN を設定 ===

無線インターネット接続を確立する必要がある場合、いくつかパッケージを追加でダウンロードして SD カードに保存する必要があります。[[netctl]] を使用する場合、最低でも [[WPA supplicant]] と依存パッケージの ''libnl'' が必要になります。また、''dialog'' と依存パッケージの ''ncurses'' もインストールしておいたほうが便利でしょう。

まとめると以下を実行する必要があります:
* 他のコンピュータから SD カードにパッケージをダウンロード
* Raspberry Pi にパッケージをインストール・設定

必要なパッケージは全て [http://archlinuxarm.org/packages Arch Linux ARM の公式ウェブサイト] で見つけることができ、[http://mirror.archlinuxarm.org Arch Linux ARM のリポジトリ] からダウンロードできます。

その後、Raspberry Pi を接続して立ち上げて、モニター/キーボードを使うか[[#シリアルコンソール|シリアルコンソール]]でログインします。そして、パッケージを[[en2:Offline_installation_of_packages|オフラインインストール]]してください。パッケージの依存パッケージが欠けている場合は、依存パッケージもダウンロードしてインストールしてください。

パッケージをインストールしたら、インターネットに接続してビギナーズガイドの[[ビギナーズガイド#無線|このセクション]]に書かれているように設定します。

== オーディオ ==
{{Note|必須モジュール {{ic|snd-bcm2835}} はデフォルトで自動ロードされます。}}

'''alsa-utils''', '''alsa-firmware''', '''alsa-lib''', '''alsa-plugins''' パッケージをインストールしてください:
# pacman -S alsa-utils alsa-firmware alsa-lib alsa-plugins

ARM の Linux カーネルバージョン 4.4.x では ALSA とサウンドモジュールに大きな変更があります。最新のカーネルで {{ic|alsamixer}} などのツールを使用するには {{ic|/boot/config.txt}} を編集して以下の行を記述してください:
dtparam=audio=on

任意で、{{ic|alsamixer}} を使ってデフォルトのボリュームを調整してください。唯一の音源 "PCM" がミュートされていないことを確認してください (ミュートされている場合は {{ic|MM}} と表示されます、ミュートを解除するには {{ic|M}} を押して下さい)。

音源の出力を選択するには:
$ amixer cset numid=3 ''x''

{{ic|''x''}} は以下のどれかになります:
*0 は自動
*1 はアナログ出力
*2 は HDMI

=== HDMI オーディオの注意 ===
アプリケーションによっては音声を HDMI で出力するために {{ic|/boot/config.txt}} に設定が必要です:
hdmi_drive=2

== ビデオ ==

=== HDMI / アナログ TV 出力 ===
デフォルト設定では、Raspberry Pi は [[wikipedia:ja:HDMI|HDMI]] モニターが接続されているときは HDMI を使うようになっています。接続されていない場合はアナログ TV 出力 (コンポジット出力あるいは RCA) が使われます。

HDMI やアナログ TV 出力のオン・オフを切り替えるには、次を見て下さい:

/opt/vc/bin/tvservice

''-s'' パラメータでディスプレイの状態を確認し、''-o'' パラメータでディスプレイをオフに、''-p'' パラメータで優先設定を使って HDMI をオンにします。

オーバースキャン・アンダースキャンを適切に修正するには調整が必要で、多くの設定がある {{ic|boot/config.txt}} で簡単に行うことができます。修正するには、コメントの指示に従って適切な行の設定をアンコメントしてください:

# uncomment the following to adjust overscan. Use positive numbers if console
# goes off screen, and negative if there is too much border
#overscan_left=16
overscan_right=8
overscan_top=-16
overscan_bottom=-16

アナログビデオ出力を使いたいユーザーは NTSC 以外の出力のオプションを含んでいる[https://raw.github.com/Evilpaul/RPi-config/master/config.txt この]設定ファイルを見て下さい。

新しい設定を適用するには再起動が必要です。

=== アナログ TV 出力の注意事項 ===

Raspberry Pi 1 モデル B+ と Raspberry Pi 2 モデル B から、コンポジットビデオ端子はなくなって、代わりに 3.5mm の動画/音声ジャックからコンポジット信号を出力するようになっています。RCA ケーブルによっては赤や白の音声端子で動画を接続する Raspberry Pi の規格に対応していない場合があります [http://www.raspberrypi-spy.co.uk/2014/07/raspberry-pi-model-b-3-5mm-audiovideo-jack/]。

=== X.org ドライバー ===

Raspberry Pi の X.org ドライバーは '''xf86-video-fbdev''' あるいは ''xf86-video-fbturbo-git'' パッケージでインストールできます:
# pacman -S xf86-video-fbdev

== オンボードのハードウェアセンサー ==
=== 温度 ===
温度センサーは '''raspberrypi-firmware-tools''' パッケージにあるユーティリティで使うことができます。RPi は BCM2835 SoC (CPU/GPU) 上にセンサーを搭載しています:

{{hc|$ /opt/vc/bin/vcgencmd measure_temp|2=
temp=49.8'C
}}

また、ファイルシステムから読み取ることもできます:
{{hc|$ cat /sys/class/thermal/thermal_zone0/temp|2=
49768
}}

人間が読めるように出力するには:
{{hc|$ awk '{printf "%3.1f°C\n", $1/1000}' /sys/class/thermal/thermal_zone0/temp|2=
54.1°C
}}

=== 電圧 ===
同じように {{ic|/opt/vc/bin/vcgencmd}} で4つの異なる電圧をチェックすることができます:

$ /opt/vc/bin/vcgencmd measure_volts ''<id>''

{{ic|''<id>''}} は以下のどれかに置き換えてください:
*core はコアの電圧
*sdram_c は sdram Core の電圧
*sdram_i は sdram I/O の電圧
*sdram_p は sdram PHY の電圧

=== 軽量なモニタリングスイート ===
{{AUR|monitorix}} は v3.2.0 から RPi をサポートしています。スクリーンショットは[http://www.monitorix.org/screenshots.html ここ] にあります。

== オーバークロック / アンダークロック ==
{{ic|/boot/config.txt}} を編集することで RPi をオーバークロックさせることができます、例:

arm_freq=800
arm_freq_min=100
core_freq=300
core_freq_min=75
sdram_freq=400
over_voltage=0

{{ic|*_min}} の行は任意で、それぞれの設定の最低値を定義します。システムの負担が低い時は、指定した値まで下がります。オプションの詳しい説明や例は elinux の [http://elinux.org/RPiconfig#Overclocking Overclocking] 記事を見て下さい。

新しい設定を適用するには再起動が必要です。

CPU のオーバークロック設定は、負担が高い時にガバナーが CPU の周波数を上げる場合にだけ適用されます。次のコマンドで現在の CPU の周波数を確認できます:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

スケーリングガバナーの詳細は [[CPU 周波数スケーリング]]を見てください。

{{Tip|以下のスクリプトを実行すると RPi に設定された全ての周波数が表示されます:
{{bc|<nowiki>
#/bin/bash
for src in arm core h264 isp v3d uart pwm emmc pixel vec hdmi dpi ; do
echo -e "$src:\t$(/opt/vc/bin/vcgencmd measure_clock $src)"
done
</nowiki>}}
}}

== SD カードのパフォーマンスを最大化するヒント ==

システムのレスポンスは SD メディアの速度に大きな影響を受けます。特にシステムのアップデートなどディスク I/O に関する処理を行っている際はそれが際立つでしょう。pacman がファイルシステムにファイルを書き出すときに [http://archlinuxarm.org/forum/viewtopic.php?f=64&t=9467 頻繁に停止する] ような場合、RPi や RPi2 の接続バスが足を引っ張っているというよりは、SD (あるいはマイクロ SD) カードがボトルネックとなっている可能性があります。詳しくは[[ベンチマーク#フラッシュメディア]]を参照。

一般的なパフォーマンスを上げる方法については[[パフォーマンスの最大化]]や[[ソリッドステートドライブ#SSD の読み書きを最小化するヒント]]を見て下さい。

=== 起動時に fsck を有効にする ===

[[fsck#ブート時のチェック]]を見てください。カーネルパラメータは {{ic|/boot/cmdline.txt}} で指定するようにしてください。

== シリアルコンソール ==
ブートメッセージを見るには、デフォルトの {{ic|/boot/cmdline.txt}} を編集して、{{ic|loglevel}} を {{ic|5}} に変更してください:
loglevel=5

速度を 115200 から 38400 に変える:
console=ttyAMA0,38400 kgdboc=ttyAMA0,38400

getty サービスを起動する:
# systemctl start getty@ttyAMA0

ブート時に有効にする:
# systemctl enable getty@ttyAMA0.service

適当な service リンクを作成する:
# ln -s /usr/lib/systemd/system/serial-getty@.service /etc/systemd/system/getty.target.wants/serial-getty@ttyAMA0.service

そして PC から接続:
# screen /dev/ttyUSB0 38400

== Raspberry Pi カメラモジュール ==
カメラモジュールのコマンドは '''raspberrypi-firmware-tools''' パッケージに含まれています - このパッケージはデフォルトでインストールされています。以下のコマンドで使うことができます:
$ /opt/vc/bin/raspistill
$ /opt/vc/bin/raspivid

{{ic|/boot/config.txt}} に以下を追加する必要があります:
gpu_mem=128
start_file=start_x.elf
fixup_file=fixup_x.dat

LED をオフにする設定 (任意):
disable_camera_led=1

以下のエラーが表示される場合:
mmal: mmal_vc_component_enable: failed to enable component: ENOSPC
mmal: camera component couldn't be enabled
mmal: main: Failed to create camera component
mmal: Failed to run camera app. Please check for firmware updates

{{ic|/boot/config.txt}} に以下の値を設定してみてください:
cma_lwm=
cma_hwm=
cma_offline_start=

以下のエラーが表示される場合:

mmal: mmal_vc_component_create: failed to create component 'vc.ril.camera' (1:ENOMEM)
mmal: mmal_component_create_core: could not create component 'vc.ril.camera' (1)
mmal: Failed to create camera component
mmal: main: Failed to create camera component
mmal: Only 64M of gpu_mem is configured. Try running "sudo raspi-config" and ensure that "memory_split" has a value of 128 or greater

{{ic|/etc/modprobe.d/blacklist.conf}} に以下の行を追加してください:
blacklist i2c_bcm2708

({{ic|/dev/video0}} を使用する) 標準的なアプリケーションを使うには V4L2 ドライバーをロードする必要があります。以下のように自動ロードファイルを作成することで起動時に自動的にロードさせることが可能です:
{{hc|/etc/modules-load.d/rpi-camera.conf|bcm2835-v4l2}}

== ハードウェア乱数生成器 ==
Raspberry Pi 用の Arch Linux ARM には '''rng-tools''' パッケージがインストールされており、{{ic|bcm2835-rng}} が起動時にロードされるように設定されています ([https://archlinuxarm.org/forum/viewtopic.php?f=31&t=4993#p27708 こちら] を参照) が、Hardware RNG Entropy Gatherer Daemon ('''rngd''') にハードウェア乱数生成器の場所を教えてやる必要があります。

{{ic|/etc/conf.d/rngd}} を編集することで設定します:
RNGD_OPTS="-o /dev/random -r /dev/hwrng"
設定したら '''rngd''' デーモンを[[再起動]]してください:
# systemctl restart rngd

この設定で、ハードウェア乱数生成器からのデータがカーネルのエントロピープール ({{ic|/dev/random}}) に取り入れられるようになります。エントロピーを確認するには:

# cat /proc/sys/kernel/random/entropy_avail

{{Note|古いイメージからカーネルを更新すると旧式の {{ic|bcm2708-rng}} を見つけられず '''systemd-modules-load.service''' の起動に失敗していることがあります。その場合には {{ic|/etc/modules-load.d/raspberrypi.conf}} を設定し直し、 '''systemd-modules-load.service''' を再起動すると解決します。([https://archlinuxarm.org/forum/viewtopic.php?f=64&t=10153 こちら] を参照) }}

== GPIO ==
=== SPI ===
{{ic|/dev/spidev*}} デバイスを有効にするには、以下の行をアンコメントしてください:
{{hc|head=/boot/config.txt|output=
device_tree_param=spi=on
}}

=== Python ===
Python から GPIO ピンを使えるようにするために、[https://pypi.python.org/pypi/RPi.GPIO RPi.GPIO] ライブラリを使用することができます。[[AUR|AUR]] から {{AUR|python-raspberry-gpio}} か {{AUR|python2-raspberry-gpio}} のどちらかをインストールしてください。

== I2C ==

''i2c-tools'' と ''lm_sensors'' パッケージをインストールしてください。

{{ic|/boot/config.txt}} に以下を追加することで i2c ハードウェアを有効にするようにブートローダーを設定します:
dtparam=i2c_arm=on

{{ic|i2c-dev}} と {{ic|i2c-bcm2708}} モジュールを起動時にロードするように設定:

{{hc|/etc/modules-load.d/raspberrypi.conf|i2c-dev
i2c-bcm2708}}

Raspberry Pi を再起動してから次のコマンドを実行してハードウェアアドレスを取得:
i2cdetect -y 0

{{Note|I2C0 ではなく I2C1 ポートを使用する場合、{{ic|i2cdetect -y 1}} を実行して、以下のコマンドで使われている {{ic|i2c-0}} を {{ic|i2c-1}} に置き換える必要があります。}}

そしてデバイスを初期化するように Linux を設定します。以下のコマンドのハードウェアアドレスは先のコマンドで取得したアドレスに置き換えてください ('0x' を前に付けます、例: 0x48)。デバイス名は自由に決めて下さい:
echo <devicename> <hardware address> >/sys/class/i2c-adapter/i2c-0/new_device

dmesg コマンドを使ってカーネルメッセージを確認すると、以下のような新しいエントリが追加されているはずです:
i2c-0: new_device: Instantiated device ds1621 at 0x48
最後に、センサーの出力を読み出す:
sensors

== QEMU chroot ==

場合によっては Raspberry Pi を動かすよりもディスクイメージを直接操作したほうが楽だということもあるでしょう。RPi の root パーティションが含まれている SD カードをマウントして、そこに chroot することで直接操作することができます。chroot からは、''pacman'' を実行してパッケージをインストールしたり、巨大なライブラリをコンパイルすることが可能です。実行可能ファイルは ARM アーキテクチャ用のものなので、[[QEMU]] を使って x86 への変換を行う必要があります。

{{Note|2016年1月現在、ARM の QEMU で {{pkg|make}} が動作しないため、以下の方法でパッケージをビルドすることはできません。ARM パッケージのビルドが必要な場合は [https://archlinuxarm.org/wiki/Distcc_Cross-Compiling Arch Linux ARM ウェブサイトのガイド] に従ってクロスコンパイラをビルドしてください。}}

[[AUR]] から {{AUR|binfmt-support}} と {{AUR|qemu-user-static}} をインストールしてください。

ARM から x86 への変換が有効かどうか確認:

# update-binfmts --importdir /var/lib/binfmts/ --import
# update-binfmts --display qemu-arm

ARM から x86 への変換が有効でない場合、update-binfmts を使って有効にしてください:
# update-binfmts --enable qemu-arm

SD カードを {{ic|mnt/}} にマウントします (デバイス名は適宜置き換えてください)。

# mkdir mnt
# mount /dev/mmcblk0p2 mnt

(ARM からの変換を処理する) QEMU の実行可能ファイルを SD カードの root にコピー:

# cp /usr/bin/qemu-arm-static mnt/usr/bin

最後に [[Change Root#Change root]] に書かれているように SD カードの root に chroot してください。{{ic|qemu-arm-static}} コマンドは {{ic|chroot}} の中から呼び出す必要があります:

# chroot /mnt/arch /usr/bin/qemu-arm-static /bin/bash

== 参照 ==
* [https://www.raspberrypi.org Raspberry Pi] - 公式ウェブサイト
* [http://elinux.org/RPiconfig RPi Config] - ボンネットの下の設定に関連する情報がまとまっています
* [http://elinux.org/RPI_vcgencmd_usage RPi vcgencmd usage] - ファームウェアコマンドの vcgencmd の概要
* [http://archpi.dabase.com/ Arch Linux ARM on Raspberry PI] - RPi で Arch Linux を動かす時のヒントが書かれている FAQ スタイルのサイト

Raspberry Pi

2016-05-07T18:49:16Z

Fragment: /* ハードウェア乱数生成器 */ 前回とセットで情報加筆修正

[[Category:ARM アーキテクチャ]]
[[cs:Raspberry Pi]]
[[en:Raspberry Pi]]
[[ru:Raspberry Pi]]
[[uk:Raspberry Pi]]
[[zh-CN:Raspberry Pi]]
[[Wikipedia:ja:Raspberry Pi|Wikipedia]] より:
:"''Raspberry Pi はクレジットカードサイズのシングルボードコンピュータのシリーズである。イギリスのラズベリーパイ財団によって開発されており、学校で基本的なコンピュータ科学の教育を促進することを意図している。''"
オリジナルモデルは Broadcom SoC BCM2835 ([[Wikipedia:ARM11|ARM11 マイクロアーキテクチャ]]) を使用していましたが、ラズベリーパイ財団は最近になってニューモデルの "Raspberry Pi 2" をリリースしました。RasPi 2 には BCM2836 SoC (クアッドコアの [[Wikipedia:ARM_Cortex-A7|ARM Cortex A7]] アーキテクチャ) が搭載されています。2016年2月には、BCM2837 SoC (クアッドコアの [[Wikipedia:ARM Cortex-A53|ARM Cortex-A53 アーキテクチャ]]) を搭載して WiFi と Bluetooth が組み込まれた Pi 3 が発売されました。

== 前書き ==
この記事は完全なセットアップガイドではなく、読者が既に Arch システムを構築していることを前提としています。ユーザーの作成やシステムの管理など、基本的な作業の方法がよくわからない場合、Arch 初心者は[[ビギナーズガイド]]を読むことが推奨されています。

{{Note|ARM アーキテクチャのサポートは公式 Arch Linux フォーラムではなく http://archlinuxarm.org で提供されています。ARM 固有の問題に関する投稿は [[フォーラムエチケット#Arch Linux ディストリビューションのサポートオンリー|Arch Linux ディストリビューションのサポートオンリー]]ポリシーに従って直ちにクローズされます。}}

== システム構成 ==

Raspberry Pi は ARM ベースのデバイスであり、ARM アーキテクチャ用にコンパイルされたバイナリが必要になります。ARM 用のバイナリは Arch Linux を ARM ベースのデバイスに移植している [http://archlinuxarm.org/about Arch Linux ARM プロジェクト] によって提供されています。ALARM プロジェクトのウェブサイトには独自のコミュニティとフォーラムがあります。オリジナルの Arch のフォーラムでは ARM に関連する問題は''サポートされていません''。Raspberry Pi 2 が登場したことで、デバイスのアーキテクチャによって必要なパッケージは2つに分かれています:
* ARMv6 (BCM2835): Raspberry Pi Model A, A+, B, B+, Zero
* ARMv7 (BCM2836): Raspberry Pi 2 (Model B+ ベース)
* ARMv8 (BCM2837): Raspberry Pi 3

== Arch Linux ARM のインストール ==

[http://archlinuxarm.org/platforms/armv6/raspberry-pi Arch Linux ARM Pi のドキュメント], [http://archlinuxarm.org/platforms/armv7/broadcom/raspberry-pi-2 Arch Linux ARM Pi2 のドキュメント], [https://archlinuxarm.org/platforms/armv8/broadcom/raspberry-pi-3 Arch Linux ARM Pi3 のドキュメント] を見てください。

== ネットワーク ==

ネットワークはあらかじめ設定されており、[[systemd-networkd]] によって dhcp モードでオンボードの NIC が使われます。ケーブルが接続されていれば、ほとんどのルーターで自動的に IP が取得されます。

最初から [[Secure Shell]] を使って SD カードにアクセスする場合は、Raspberry Pi をイーサネットケーブルで接続してルーターの設定を通して IP アドレスを割り当てるのが一番簡単です。root で直接アクセスすることができます (パスワード: root)。まず初めにパスワードを変更することを強く推奨します。任意で [[SSH 鍵]]も設定してください。

=== Ethernet を使わずに WLAN を設定 ===

無線インターネット接続を確立する必要がある場合、いくつかパッケージを追加でダウンロードして SD カードに保存する必要があります。[[netctl]] を使用する場合、最低でも [[WPA supplicant]] と依存パッケージの ''libnl'' が必要になります。また、''dialog'' と依存パッケージの ''ncurses'' もインストールしておいたほうが便利でしょう。

まとめると以下を実行する必要があります:
* 他のコンピュータから SD カードにパッケージをダウンロード
* Raspberry Pi にパッケージをインストール・設定

必要なパッケージは全て [http://archlinuxarm.org/packages Arch Linux ARM の公式ウェブサイト] で見つけることができ、[http://mirror.archlinuxarm.org Arch Linux ARM のリポジトリ] からダウンロードできます。

その後、Raspberry Pi を接続して立ち上げて、モニター/キーボードを使うか[[#シリアルコンソール|シリアルコンソール]]でログインします。そして、パッケージを[[en2:Offline_installation_of_packages|オフラインインストール]]してください。パッケージの依存パッケージが欠けている場合は、依存パッケージもダウンロードしてインストールしてください。

パッケージをインストールしたら、インターネットに接続してビギナーズガイドの[[ビギナーズガイド#無線|このセクション]]に書かれているように設定します。

== オーディオ ==
{{Note|必須モジュール {{ic|snd-bcm2835}} はデフォルトで自動ロードされます。}}

'''alsa-utils''', '''alsa-firmware''', '''alsa-lib''', '''alsa-plugins''' パッケージをインストールしてください:
# pacman -S alsa-utils alsa-firmware alsa-lib alsa-plugins

ARM の Linux カーネルバージョン 4.4.x では ALSA とサウンドモジュールに大きな変更があります。最新のカーネルで {{ic|alsamixer}} などのツールを使用するには {{ic|/boot/config.txt}} を編集して以下の行を記述してください:
dtparam=audio=on

任意で、{{ic|alsamixer}} を使ってデフォルトのボリュームを調整してください。唯一の音源 "PCM" がミュートされていないことを確認してください (ミュートされている場合は {{ic|MM}} と表示されます、ミュートを解除するには {{ic|M}} を押して下さい)。

音源の出力を選択するには:
$ amixer cset numid=3 ''x''

{{ic|''x''}} は以下のどれかになります:
*0 は自動
*1 はアナログ出力
*2 は HDMI

=== HDMI オーディオの注意 ===
アプリケーションによっては音声を HDMI で出力するために {{ic|/boot/config.txt}} に設定が必要です:
hdmi_drive=2

== ビデオ ==

=== HDMI / アナログ TV 出力 ===
デフォルト設定では、Raspberry Pi は [[wikipedia:ja:HDMI|HDMI]] モニターが接続されているときは HDMI を使うようになっています。接続されていない場合はアナログ TV 出力 (コンポジット出力あるいは RCA) が使われます。

HDMI やアナログ TV 出力のオン・オフを切り替えるには、次を見て下さい:

/opt/vc/bin/tvservice

''-s'' パラメータでディスプレイの状態を確認し、''-o'' パラメータでディスプレイをオフに、''-p'' パラメータで優先設定を使って HDMI をオンにします。

オーバースキャン・アンダースキャンを適切に修正するには調整が必要で、多くの設定がある {{ic|boot/config.txt}} で簡単に行うことができます。修正するには、コメントの指示に従って適切な行の設定をアンコメントしてください:

# uncomment the following to adjust overscan. Use positive numbers if console
# goes off screen, and negative if there is too much border
#overscan_left=16
overscan_right=8
overscan_top=-16
overscan_bottom=-16

アナログビデオ出力を使いたいユーザーは NTSC 以外の出力のオプションを含んでいる[https://raw.github.com/Evilpaul/RPi-config/master/config.txt この]設定ファイルを見て下さい。

新しい設定を適用するには再起動が必要です。

=== アナログ TV 出力の注意事項 ===

Raspberry Pi 1 モデル B+ と Raspberry Pi 2 モデル B から、コンポジットビデオ端子はなくなって、代わりに 3.5mm の動画/音声ジャックからコンポジット信号を出力するようになっています。RCA ケーブルによっては赤や白の音声端子で動画を接続する Raspberry Pi の規格に対応していない場合があります [http://www.raspberrypi-spy.co.uk/2014/07/raspberry-pi-model-b-3-5mm-audiovideo-jack/]。

=== X.org ドライバー ===

Raspberry Pi の X.org ドライバーは '''xf86-video-fbdev''' あるいは ''xf86-video-fbturbo-git'' パッケージでインストールできます:
# pacman -S xf86-video-fbdev

== オンボードのハードウェアセンサー ==
=== 温度 ===
温度センサーは '''raspberrypi-firmware-tools''' パッケージにあるユーティリティで使うことができます。RPi は BCM2835 SoC (CPU/GPU) 上にセンサーを搭載しています:

{{hc|$ /opt/vc/bin/vcgencmd measure_temp|2=
temp=49.8'C
}}

また、ファイルシステムから読み取ることもできます:
{{hc|$ cat /sys/class/thermal/thermal_zone0/temp|2=
49768
}}

人間が読めるように出力するには:
{{hc|$ awk '{printf "%3.1f°C\n", $1/1000}' /sys/class/thermal/thermal_zone0/temp|2=
54.1°C
}}

=== 電圧 ===
同じように {{ic|/opt/vc/bin/vcgencmd}} で4つの異なる電圧をチェックすることができます:

$ /opt/vc/bin/vcgencmd measure_volts ''<id>''

{{ic|''<id>''}} は以下のどれかに置き換えてください:
*core はコアの電圧
*sdram_c は sdram Core の電圧
*sdram_i は sdram I/O の電圧
*sdram_p は sdram PHY の電圧

=== 軽量なモニタリングスイート ===
{{AUR|monitorix}} は v3.2.0 から RPi をサポートしています。スクリーンショットは[http://www.monitorix.org/screenshots.html ここ] にあります。

== オーバークロック / アンダークロック ==
{{ic|/boot/config.txt}} を編集することで RPi をオーバークロックさせることができます、例:

arm_freq=800
arm_freq_min=100
core_freq=300
core_freq_min=75
sdram_freq=400
over_voltage=0

{{ic|*_min}} の行は任意で、それぞれの設定の最低値を定義します。システムの負担が低い時は、指定した値まで下がります。オプションの詳しい説明や例は elinux の [http://elinux.org/RPiconfig#Overclocking Overclocking] 記事を見て下さい。

新しい設定を適用するには再起動が必要です。

CPU のオーバークロック設定は、負担が高い時にガバナーが CPU の周波数を上げる場合にだけ適用されます。次のコマンドで現在の CPU の周波数を確認できます:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

スケーリングガバナーの詳細は [[CPU 周波数スケーリング]]を見てください。

{{Tip|以下のスクリプトを実行すると RPi に設定された全ての周波数が表示されます:
{{bc|<nowiki>
#/bin/bash
for src in arm core h264 isp v3d uart pwm emmc pixel vec hdmi dpi ; do
echo -e "$src:\t$(/opt/vc/bin/vcgencmd measure_clock $src)"
done
</nowiki>}}
}}

== SD カードのパフォーマンスを最大化するヒント ==

システムのレスポンスは SD メディアの速度に大きな影響を受けます。特にシステムのアップデートなどディスク I/O に関する処理を行っている際はそれが際立つでしょう。pacman がファイルシステムにファイルを書き出すときに [http://archlinuxarm.org/forum/viewtopic.php?f=64&t=9467 頻繁に停止する] ような場合、RPi や RPi2 の接続バスが足を引っ張っているというよりは、SD (あるいはマイクロ SD) カードがボトルネックとなっている可能性があります。詳しくは[[ベンチマーク#フラッシュメディア]]を参照。

一般的なパフォーマンスを上げる方法については[[パフォーマンスの最大化]]や[[ソリッドステートドライブ#SSD の読み書きを最小化するヒント]]を見て下さい。

=== 起動時に fsck を有効にする ===

[[fsck#ブート時のチェック]]を見てください。カーネルパラメータは {{ic|/boot/cmdline.txt}} で指定するようにしてください。

== シリアルコンソール ==
ブートメッセージを見るには、デフォルトの {{ic|/boot/cmdline.txt}} を編集して、{{ic|loglevel}} を {{ic|5}} に変更してください:
loglevel=5

速度を 115200 から 38400 に変える:
console=ttyAMA0,38400 kgdboc=ttyAMA0,38400

getty サービスを起動する:
# systemctl start getty@ttyAMA0

ブート時に有効にする:
# systemctl enable getty@ttyAMA0.service

適当な service リンクを作成する:
# ln -s /usr/lib/systemd/system/serial-getty@.service /etc/systemd/system/getty.target.wants/serial-getty@ttyAMA0.service

そして PC から接続:
# screen /dev/ttyUSB0 38400

== Raspberry Pi カメラモジュール ==
カメラモジュールのコマンドは '''raspberrypi-firmware-tools''' パッケージに含まれています - このパッケージはデフォルトでインストールされています。以下のコマンドで使うことができます:
$ /opt/vc/bin/raspistill
$ /opt/vc/bin/raspivid

{{ic|/boot/config.txt}} に以下を追加する必要があります:
gpu_mem=128
start_file=start_x.elf
fixup_file=fixup_x.dat

LED をオフにする設定 (任意):
disable_camera_led=1

以下のエラーが表示される場合:
mmal: mmal_vc_component_enable: failed to enable component: ENOSPC
mmal: camera component couldn't be enabled
mmal: main: Failed to create camera component
mmal: Failed to run camera app. Please check for firmware updates

{{ic|/boot/config.txt}} に以下の値を設定してみてください:
cma_lwm=
cma_hwm=
cma_offline_start=

以下のエラーが表示される場合:

mmal: mmal_vc_component_create: failed to create component 'vc.ril.camera' (1:ENOMEM)
mmal: mmal_component_create_core: could not create component 'vc.ril.camera' (1)
mmal: Failed to create camera component
mmal: main: Failed to create camera component
mmal: Only 64M of gpu_mem is configured. Try running "sudo raspi-config" and ensure that "memory_split" has a value of 128 or greater

{{ic|/etc/modprobe.d/blacklist.conf}} に以下の行を追加してください:
blacklist i2c_bcm2708

({{ic|/dev/video0}} を使用する) 標準的なアプリケーションを使うには V4L2 ドライバーをロードする必要があります。以下のように自動ロードファイルを作成することで起動時に自動的にロードさせることが可能です:
{{hc|/etc/modules-load.d/rpi-camera.conf|bcm2835-v4l2}}

== ハードウェア乱数生成器 ==
Raspberry Pi 用の Arch Linux ARM には '''rng-tools''' パッケージがインストールされており、{{ic|bcm2835-rng}} が起動時にロードされるように設定されています ([https://archlinuxarm.org/forum/viewtopic.php?f=31&t=4993#p27708 こちら] を参照) が、Hardware RNG Entropy Gatherer Daemon ('''rngd''') にハードウェア乱数生成器の場所を教えてやる必要があります。

{{ic|/etc/conf.d/rngd}} を編集することで設定します:
RNGD_OPTS="-o /dev/random -r /dev/hwrng"
設定したら '''rngd''' デーモンを[[再起動]]してください:
# systemctl restart rngd

この設定で、ハードウェア乱数生成器からのデータがカーネルのエントロピープール ({{ic|/dev/random}}) に取り入れられるようになります。エントロピーを確認するには:

# cat /proc/sys/kernel/random/entropy_avail

{{Note|古いイメージからカーネルを更新すると旧式の {{ic|bcm2708-rng}} を見つけられず '''systemd-modules-load.service''' の起動に失敗していることがあります。その場合には {{ic|/etc/modules-load.d/raspberrypi.conf}} を設定し直し、 '''systemd-modules-load.service''' を再起動すると解決します。}}

== GPIO ==
=== SPI ===
{{ic|/dev/spidev*}} デバイスを有効にするには、以下の行をアンコメントしてください:
{{hc|head=/boot/config.txt|output=
device_tree_param=spi=on
}}

=== Python ===
Python から GPIO ピンを使えるようにするために、[https://pypi.python.org/pypi/RPi.GPIO RPi.GPIO] ライブラリを使用することができます。[[AUR|AUR]] から {{AUR|python-raspberry-gpio}} か {{AUR|python2-raspberry-gpio}} のどちらかをインストールしてください。

== I2C ==

''i2c-tools'' と ''lm_sensors'' パッケージをインストールしてください。

{{ic|/boot/config.txt}} に以下を追加することで i2c ハードウェアを有効にするようにブートローダーを設定します:
dtparam=i2c_arm=on

{{ic|i2c-dev}} と {{ic|i2c-bcm2708}} モジュールを起動時にロードするように設定:

{{hc|/etc/modules-load.d/raspberrypi.conf|i2c-dev
i2c-bcm2708}}

Raspberry Pi を再起動してから次のコマンドを実行してハードウェアアドレスを取得:
i2cdetect -y 0

{{Note|I2C0 ではなく I2C1 ポートを使用する場合、{{ic|i2cdetect -y 1}} を実行して、以下のコマンドで使われている {{ic|i2c-0}} を {{ic|i2c-1}} に置き換える必要があります。}}

そしてデバイスを初期化するように Linux を設定します。以下のコマンドのハードウェアアドレスは先のコマンドで取得したアドレスに置き換えてください ('0x' を前に付けます、例: 0x48)。デバイス名は自由に決めて下さい:
echo <devicename> <hardware address> >/sys/class/i2c-adapter/i2c-0/new_device

dmesg コマンドを使ってカーネルメッセージを確認すると、以下のような新しいエントリが追加されているはずです:
i2c-0: new_device: Instantiated device ds1621 at 0x48
最後に、センサーの出力を読み出す:
sensors

== QEMU chroot ==

場合によっては Raspberry Pi を動かすよりもディスクイメージを直接操作したほうが楽だということもあるでしょう。RPi の root パーティションが含まれている SD カードをマウントして、そこに chroot することで直接操作することができます。chroot からは、''pacman'' を実行してパッケージをインストールしたり、巨大なライブラリをコンパイルすることが可能です。実行可能ファイルは ARM アーキテクチャ用のものなので、[[QEMU]] を使って x86 への変換を行う必要があります。

{{Note|2016年1月現在、ARM の QEMU で {{pkg|make}} が動作しないため、以下の方法でパッケージをビルドすることはできません。ARM パッケージのビルドが必要な場合は [https://archlinuxarm.org/wiki/Distcc_Cross-Compiling Arch Linux ARM ウェブサイトのガイド] に従ってクロスコンパイラをビルドしてください。}}

[[AUR]] から {{AUR|binfmt-support}} と {{AUR|qemu-user-static}} をインストールしてください。

ARM から x86 への変換が有効かどうか確認:

# update-binfmts --importdir /var/lib/binfmts/ --import
# update-binfmts --display qemu-arm

ARM から x86 への変換が有効でない場合、update-binfmts を使って有効にしてください:
# update-binfmts --enable qemu-arm

SD カードを {{ic|mnt/}} にマウントします (デバイス名は適宜置き換えてください)。

# mkdir mnt
# mount /dev/mmcblk0p2 mnt

(ARM からの変換を処理する) QEMU の実行可能ファイルを SD カードの root にコピー:

# cp /usr/bin/qemu-arm-static mnt/usr/bin

最後に [[Change Root#Change root]] に書かれているように SD カードの root に chroot してください。{{ic|qemu-arm-static}} コマンドは {{ic|chroot}} の中から呼び出す必要があります:

# chroot /mnt/arch /usr/bin/qemu-arm-static /bin/bash

== 参照 ==
* [https://www.raspberrypi.org Raspberry Pi] - 公式ウェブサイト
* [http://elinux.org/RPiconfig RPi Config] - ボンネットの下の設定に関連する情報がまとまっています
* [http://elinux.org/RPI_vcgencmd_usage RPi vcgencmd usage] - ファームウェアコマンドの vcgencmd の概要
* [http://archpi.dabase.com/ Arch Linux ARM on Raspberry PI] - RPi で Arch Linux を動かす時のヒントが書かれている FAQ スタイルのサイト

Raspberry Pi

2016-05-07T18:38:04Z

Fragment: /* ハードウェア乱数生成器 */

[[Category:ARM アーキテクチャ]]
[[cs:Raspberry Pi]]
[[en:Raspberry Pi]]
[[ru:Raspberry Pi]]
[[uk:Raspberry Pi]]
[[zh-CN:Raspberry Pi]]
[[Wikipedia:ja:Raspberry Pi|Wikipedia]] より:
:"''Raspberry Pi はクレジットカードサイズのシングルボードコンピュータのシリーズである。イギリスのラズベリーパイ財団によって開発されており、学校で基本的なコンピュータ科学の教育を促進することを意図している。''"
オリジナルモデルは Broadcom SoC BCM2835 ([[Wikipedia:ARM11|ARM11 マイクロアーキテクチャ]]) を使用していましたが、ラズベリーパイ財団は最近になってニューモデルの "Raspberry Pi 2" をリリースしました。RasPi 2 には BCM2836 SoC (クアッドコアの [[Wikipedia:ARM_Cortex-A7|ARM Cortex A7]] アーキテクチャ) が搭載されています。2016年2月には、BCM2837 SoC (クアッドコアの [[Wikipedia:ARM Cortex-A53|ARM Cortex-A53 アーキテクチャ]]) を搭載して WiFi と Bluetooth が組み込まれた Pi 3 が発売されました。

== 前書き ==
この記事は完全なセットアップガイドではなく、読者が既に Arch システムを構築していることを前提としています。ユーザーの作成やシステムの管理など、基本的な作業の方法がよくわからない場合、Arch 初心者は[[ビギナーズガイド]]を読むことが推奨されています。

{{Note|ARM アーキテクチャのサポートは公式 Arch Linux フォーラムではなく http://archlinuxarm.org で提供されています。ARM 固有の問題に関する投稿は [[フォーラムエチケット#Arch Linux ディストリビューションのサポートオンリー|Arch Linux ディストリビューションのサポートオンリー]]ポリシーに従って直ちにクローズされます。}}

== システム構成 ==

Raspberry Pi は ARM ベースのデバイスであり、ARM アーキテクチャ用にコンパイルされたバイナリが必要になります。ARM 用のバイナリは Arch Linux を ARM ベースのデバイスに移植している [http://archlinuxarm.org/about Arch Linux ARM プロジェクト] によって提供されています。ALARM プロジェクトのウェブサイトには独自のコミュニティとフォーラムがあります。オリジナルの Arch のフォーラムでは ARM に関連する問題は''サポートされていません''。Raspberry Pi 2 が登場したことで、デバイスのアーキテクチャによって必要なパッケージは2つに分かれています:
* ARMv6 (BCM2835): Raspberry Pi Model A, A+, B, B+, Zero
* ARMv7 (BCM2836): Raspberry Pi 2 (Model B+ ベース)
* ARMv8 (BCM2837): Raspberry Pi 3

== Arch Linux ARM のインストール ==

[http://archlinuxarm.org/platforms/armv6/raspberry-pi Arch Linux ARM Pi のドキュメント], [http://archlinuxarm.org/platforms/armv7/broadcom/raspberry-pi-2 Arch Linux ARM Pi2 のドキュメント], [https://archlinuxarm.org/platforms/armv8/broadcom/raspberry-pi-3 Arch Linux ARM Pi3 のドキュメント] を見てください。

== ネットワーク ==

ネットワークはあらかじめ設定されており、[[systemd-networkd]] によって dhcp モードでオンボードの NIC が使われます。ケーブルが接続されていれば、ほとんどのルーターで自動的に IP が取得されます。

最初から [[Secure Shell]] を使って SD カードにアクセスする場合は、Raspberry Pi をイーサネットケーブルで接続してルーターの設定を通して IP アドレスを割り当てるのが一番簡単です。root で直接アクセスすることができます (パスワード: root)。まず初めにパスワードを変更することを強く推奨します。任意で [[SSH 鍵]]も設定してください。

=== Ethernet を使わずに WLAN を設定 ===

無線インターネット接続を確立する必要がある場合、いくつかパッケージを追加でダウンロードして SD カードに保存する必要があります。[[netctl]] を使用する場合、最低でも [[WPA supplicant]] と依存パッケージの ''libnl'' が必要になります。また、''dialog'' と依存パッケージの ''ncurses'' もインストールしておいたほうが便利でしょう。

まとめると以下を実行する必要があります:
* 他のコンピュータから SD カードにパッケージをダウンロード
* Raspberry Pi にパッケージをインストール・設定

必要なパッケージは全て [http://archlinuxarm.org/packages Arch Linux ARM の公式ウェブサイト] で見つけることができ、[http://mirror.archlinuxarm.org Arch Linux ARM のリポジトリ] からダウンロードできます。

その後、Raspberry Pi を接続して立ち上げて、モニター/キーボードを使うか[[#シリアルコンソール|シリアルコンソール]]でログインします。そして、パッケージを[[en2:Offline_installation_of_packages|オフラインインストール]]してください。パッケージの依存パッケージが欠けている場合は、依存パッケージもダウンロードしてインストールしてください。

パッケージをインストールしたら、インターネットに接続してビギナーズガイドの[[ビギナーズガイド#無線|このセクション]]に書かれているように設定します。

== オーディオ ==
{{Note|必須モジュール {{ic|snd-bcm2835}} はデフォルトで自動ロードされます。}}

'''alsa-utils''', '''alsa-firmware''', '''alsa-lib''', '''alsa-plugins''' パッケージをインストールしてください:
# pacman -S alsa-utils alsa-firmware alsa-lib alsa-plugins

ARM の Linux カーネルバージョン 4.4.x では ALSA とサウンドモジュールに大きな変更があります。最新のカーネルで {{ic|alsamixer}} などのツールを使用するには {{ic|/boot/config.txt}} を編集して以下の行を記述してください:
dtparam=audio=on

任意で、{{ic|alsamixer}} を使ってデフォルトのボリュームを調整してください。唯一の音源 "PCM" がミュートされていないことを確認してください (ミュートされている場合は {{ic|MM}} と表示されます、ミュートを解除するには {{ic|M}} を押して下さい)。

音源の出力を選択するには:
$ amixer cset numid=3 ''x''

{{ic|''x''}} は以下のどれかになります:
*0 は自動
*1 はアナログ出力
*2 は HDMI

=== HDMI オーディオの注意 ===
アプリケーションによっては音声を HDMI で出力するために {{ic|/boot/config.txt}} に設定が必要です:
hdmi_drive=2

== ビデオ ==

=== HDMI / アナログ TV 出力 ===
デフォルト設定では、Raspberry Pi は [[wikipedia:ja:HDMI|HDMI]] モニターが接続されているときは HDMI を使うようになっています。接続されていない場合はアナログ TV 出力 (コンポジット出力あるいは RCA) が使われます。

HDMI やアナログ TV 出力のオン・オフを切り替えるには、次を見て下さい:

/opt/vc/bin/tvservice

''-s'' パラメータでディスプレイの状態を確認し、''-o'' パラメータでディスプレイをオフに、''-p'' パラメータで優先設定を使って HDMI をオンにします。

オーバースキャン・アンダースキャンを適切に修正するには調整が必要で、多くの設定がある {{ic|boot/config.txt}} で簡単に行うことができます。修正するには、コメントの指示に従って適切な行の設定をアンコメントしてください:

# uncomment the following to adjust overscan. Use positive numbers if console
# goes off screen, and negative if there is too much border
#overscan_left=16
overscan_right=8
overscan_top=-16
overscan_bottom=-16

アナログビデオ出力を使いたいユーザーは NTSC 以外の出力のオプションを含んでいる[https://raw.github.com/Evilpaul/RPi-config/master/config.txt この]設定ファイルを見て下さい。

新しい設定を適用するには再起動が必要です。

=== アナログ TV 出力の注意事項 ===

Raspberry Pi 1 モデル B+ と Raspberry Pi 2 モデル B から、コンポジットビデオ端子はなくなって、代わりに 3.5mm の動画/音声ジャックからコンポジット信号を出力するようになっています。RCA ケーブルによっては赤や白の音声端子で動画を接続する Raspberry Pi の規格に対応していない場合があります [http://www.raspberrypi-spy.co.uk/2014/07/raspberry-pi-model-b-3-5mm-audiovideo-jack/]。

=== X.org ドライバー ===

Raspberry Pi の X.org ドライバーは '''xf86-video-fbdev''' あるいは ''xf86-video-fbturbo-git'' パッケージでインストールできます:
# pacman -S xf86-video-fbdev

== オンボードのハードウェアセンサー ==
=== 温度 ===
温度センサーは '''raspberrypi-firmware-tools''' パッケージにあるユーティリティで使うことができます。RPi は BCM2835 SoC (CPU/GPU) 上にセンサーを搭載しています:

{{hc|$ /opt/vc/bin/vcgencmd measure_temp|2=
temp=49.8'C
}}

また、ファイルシステムから読み取ることもできます:
{{hc|$ cat /sys/class/thermal/thermal_zone0/temp|2=
49768
}}

人間が読めるように出力するには:
{{hc|$ awk '{printf "%3.1f°C\n", $1/1000}' /sys/class/thermal/thermal_zone0/temp|2=
54.1°C
}}

=== 電圧 ===
同じように {{ic|/opt/vc/bin/vcgencmd}} で4つの異なる電圧をチェックすることができます:

$ /opt/vc/bin/vcgencmd measure_volts ''<id>''

{{ic|''<id>''}} は以下のどれかに置き換えてください:
*core はコアの電圧
*sdram_c は sdram Core の電圧
*sdram_i は sdram I/O の電圧
*sdram_p は sdram PHY の電圧

=== 軽量なモニタリングスイート ===
{{AUR|monitorix}} は v3.2.0 から RPi をサポートしています。スクリーンショットは[http://www.monitorix.org/screenshots.html ここ] にあります。

== オーバークロック / アンダークロック ==
{{ic|/boot/config.txt}} を編集することで RPi をオーバークロックさせることができます、例:

arm_freq=800
arm_freq_min=100
core_freq=300
core_freq_min=75
sdram_freq=400
over_voltage=0

{{ic|*_min}} の行は任意で、それぞれの設定の最低値を定義します。システムの負担が低い時は、指定した値まで下がります。オプションの詳しい説明や例は elinux の [http://elinux.org/RPiconfig#Overclocking Overclocking] 記事を見て下さい。

新しい設定を適用するには再起動が必要です。

CPU のオーバークロック設定は、負担が高い時にガバナーが CPU の周波数を上げる場合にだけ適用されます。次のコマンドで現在の CPU の周波数を確認できます:
$ cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_cur_freq

スケーリングガバナーの詳細は [[CPU 周波数スケーリング]]を見てください。

{{Tip|以下のスクリプトを実行すると RPi に設定された全ての周波数が表示されます:
{{bc|<nowiki>
#/bin/bash
for src in arm core h264 isp v3d uart pwm emmc pixel vec hdmi dpi ; do
echo -e "$src:\t$(/opt/vc/bin/vcgencmd measure_clock $src)"
done
</nowiki>}}
}}

== SD カードのパフォーマンスを最大化するヒント ==

システムのレスポンスは SD メディアの速度に大きな影響を受けます。特にシステムのアップデートなどディスク I/O に関する処理を行っている際はそれが際立つでしょう。pacman がファイルシステムにファイルを書き出すときに [http://archlinuxarm.org/forum/viewtopic.php?f=64&t=9467 頻繁に停止する] ような場合、RPi や RPi2 の接続バスが足を引っ張っているというよりは、SD (あるいはマイクロ SD) カードがボトルネックとなっている可能性があります。詳しくは[[ベンチマーク#フラッシュメディア]]を参照。

一般的なパフォーマンスを上げる方法については[[パフォーマンスの最大化]]や[[ソリッドステートドライブ#SSD の読み書きを最小化するヒント]]を見て下さい。

=== 起動時に fsck を有効にする ===

[[fsck#ブート時のチェック]]を見てください。カーネルパラメータは {{ic|/boot/cmdline.txt}} で指定するようにしてください。

== シリアルコンソール ==
ブートメッセージを見るには、デフォルトの {{ic|/boot/cmdline.txt}} を編集して、{{ic|loglevel}} を {{ic|5}} に変更してください:
loglevel=5

速度を 115200 から 38400 に変える:
console=ttyAMA0,38400 kgdboc=ttyAMA0,38400

getty サービスを起動する:
# systemctl start getty@ttyAMA0

ブート時に有効にする:
# systemctl enable getty@ttyAMA0.service

適当な service リンクを作成する:
# ln -s /usr/lib/systemd/system/serial-getty@.service /etc/systemd/system/getty.target.wants/serial-getty@ttyAMA0.service

そして PC から接続:
# screen /dev/ttyUSB0 38400

== Raspberry Pi カメラモジュール ==
カメラモジュールのコマンドは '''raspberrypi-firmware-tools''' パッケージに含まれています - このパッケージはデフォルトでインストールされています。以下のコマンドで使うことができます:
$ /opt/vc/bin/raspistill
$ /opt/vc/bin/raspivid

{{ic|/boot/config.txt}} に以下を追加する必要があります:
gpu_mem=128
start_file=start_x.elf
fixup_file=fixup_x.dat

LED をオフにする設定 (任意):
disable_camera_led=1

以下のエラーが表示される場合:
mmal: mmal_vc_component_enable: failed to enable component: ENOSPC
mmal: camera component couldn't be enabled
mmal: main: Failed to create camera component
mmal: Failed to run camera app. Please check for firmware updates

{{ic|/boot/config.txt}} に以下の値を設定してみてください:
cma_lwm=
cma_hwm=
cma_offline_start=

以下のエラーが表示される場合:

mmal: mmal_vc_component_create: failed to create component 'vc.ril.camera' (1:ENOMEM)
mmal: mmal_component_create_core: could not create component 'vc.ril.camera' (1)
mmal: Failed to create camera component
mmal: main: Failed to create camera component
mmal: Only 64M of gpu_mem is configured. Try running "sudo raspi-config" and ensure that "memory_split" has a value of 128 or greater

{{ic|/etc/modprobe.d/blacklist.conf}} に以下の行を追加してください:
blacklist i2c_bcm2708

({{ic|/dev/video0}} を使用する) 標準的なアプリケーションを使うには V4L2 ドライバーをロードする必要があります。以下のように自動ロードファイルを作成することで起動時に自動的にロードさせることが可能です:
{{hc|/etc/modules-load.d/rpi-camera.conf|bcm2835-v4l2}}

== ハードウェア乱数生成器 ==
Raspberry Pi 用の Arch Linux ARM には '''rng-tools''' パッケージがインストールされており、{{ic|bcm2835-rng}} が起動時にロードされるように設定されています ([https://archlinuxarm.org/forum/viewtopic.php?f=31&t=4993#p27708 こちら] を参照) が、Hardware RNG Entropy Gatherer Daemon ('''rngd''') にハードウェア乱数生成器の場所を教えてやる必要があります。

{{ic|/etc/conf.d/rngd}} を編集することで設定します:
RNGD_OPTS="-o /dev/random -r /dev/hwrng"
設定したら '''rngd''' デーモンを[[再起動]]してください:
# systemctl restart rngd

この設定で、ハードウェア乱数生成器からのデータがカーネルのエントロピープール ({{ic|/dev/random}}) に取り入れられるようになります。エントロピーを確認するには:

# cat /proc/sys/kernel/random/entropy_avail

{{Note|古いイメージからカーネルを更新すると旧式の {{ic|bcm2708-rng}} を見つけられず '''systemd-modules-load.service''' の起動に失敗していることがあります。その場合には {{ic|/etc/modules-load.d/raspberrypi.conf}} を設定し直し、 '''systemd-modules-load.service''' を再起動すると解決します。 ([https://archlinuxarm.org/forum/viewtopic.php?f=64&t=10153 こちら] を参照) }}

== GPIO ==
=== SPI ===
{{ic|/dev/spidev*}} デバイスを有効にするには、以下の行をアンコメントしてください:
{{hc|head=/boot/config.txt|output=
device_tree_param=spi=on
}}

=== Python ===
Python から GPIO ピンを使えるようにするために、[https://pypi.python.org/pypi/RPi.GPIO RPi.GPIO] ライブラリを使用することができます。[[AUR|AUR]] から {{AUR|python-raspberry-gpio}} か {{AUR|python2-raspberry-gpio}} のどちらかをインストールしてください。

== I2C ==

''i2c-tools'' と ''lm_sensors'' パッケージをインストールしてください。

{{ic|/boot/config.txt}} に以下を追加することで i2c ハードウェアを有効にするようにブートローダーを設定します:
dtparam=i2c_arm=on

{{ic|i2c-dev}} と {{ic|i2c-bcm2708}} モジュールを起動時にロードするように設定:

{{hc|/etc/modules-load.d/raspberrypi.conf|i2c-dev
i2c-bcm2708}}

Raspberry Pi を再起動してから次のコマンドを実行してハードウェアアドレスを取得:
i2cdetect -y 0

{{Note|I2C0 ではなく I2C1 ポートを使用する場合、{{ic|i2cdetect -y 1}} を実行して、以下のコマンドで使われている {{ic|i2c-0}} を {{ic|i2c-1}} に置き換える必要があります。}}

そしてデバイスを初期化するように Linux を設定します。以下のコマンドのハードウェアアドレスは先のコマンドで取得したアドレスに置き換えてください ('0x' を前に付けます、例: 0x48)。デバイス名は自由に決めて下さい:
echo <devicename> <hardware address> >/sys/class/i2c-adapter/i2c-0/new_device

dmesg コマンドを使ってカーネルメッセージを確認すると、以下のような新しいエントリが追加されているはずです:
i2c-0: new_device: Instantiated device ds1621 at 0x48
最後に、センサーの出力を読み出す:
sensors

== QEMU chroot ==

場合によっては Raspberry Pi を動かすよりもディスクイメージを直接操作したほうが楽だということもあるでしょう。RPi の root パーティションが含まれている SD カードをマウントして、そこに chroot することで直接操作することができます。chroot からは、''pacman'' を実行してパッケージをインストールしたり、巨大なライブラリをコンパイルすることが可能です。実行可能ファイルは ARM アーキテクチャ用のものなので、[[QEMU]] を使って x86 への変換を行う必要があります。

{{Note|2016年1月現在、ARM の QEMU で {{pkg|make}} が動作しないため、以下の方法でパッケージをビルドすることはできません。ARM パッケージのビルドが必要な場合は [https://archlinuxarm.org/wiki/Distcc_Cross-Compiling Arch Linux ARM ウェブサイトのガイド] に従ってクロスコンパイラをビルドしてください。}}

[[AUR]] から {{AUR|binfmt-support}} と {{AUR|qemu-user-static}} をインストールしてください。

ARM から x86 への変換が有効かどうか確認:

# update-binfmts --importdir /var/lib/binfmts/ --import
# update-binfmts --display qemu-arm

ARM から x86 への変換が有効でない場合、update-binfmts を使って有効にしてください:
# update-binfmts --enable qemu-arm

SD カードを {{ic|mnt/}} にマウントします (デバイス名は適宜置き換えてください)。

# mkdir mnt
# mount /dev/mmcblk0p2 mnt

(ARM からの変換を処理する) QEMU の実行可能ファイルを SD カードの root にコピー:

# cp /usr/bin/qemu-arm-static mnt/usr/bin

最後に [[Change Root#Change root]] に書かれているように SD カードの root に chroot してください。{{ic|qemu-arm-static}} コマンドは {{ic|chroot}} の中から呼び出す必要があります:

# chroot /mnt/arch /usr/bin/qemu-arm-static /bin/bash

== 参照 ==
* [https://www.raspberrypi.org Raspberry Pi] - 公式ウェブサイト
* [http://elinux.org/RPiconfig RPi Config] - ボンネットの下の設定に関連する情報がまとまっています
* [http://elinux.org/RPI_vcgencmd_usage RPi vcgencmd usage] - ファームウェアコマンドの vcgencmd の概要
* [http://archpi.dabase.com/ Arch Linux ARM on Raspberry PI] - RPi で Arch Linux を動かす時のヒントが書かれている FAQ スタイルのサイト

セキュリティ

2016-04-09T13:55:57Z

Fragment: /* pam_cracklibを用いた強力なパスワードの要求 */ 翻訳進行

[[Category:セキュリティ]]
[[Category:ファイルシステム]]
[[Category:ネットワーク]]
[[en:Security]]
[[ru:Security]]
{{Related articles start}}
{{Related|アプリケーション一覧/セキュリティ}}
{{Related|:カテゴリ:セキュリティ}}
{{Related articles end}}
この記事では Arch Linux システムを防御するための推奨事項とベストプラクティスを並べています。

==概念==
*セキュリティを厳しくするあまりシステムが使い物にならなくなってしまう可能性があります。うまいやり方は度を越さない程度にセキュリティを強化します。
*セキュリティを高めるために出来ることは数多く存在しますが、一番の脅威はいつだってユーザー自身です。セキュリティを考える時は、多層防御を考える必要があります。ある層が突破されたとしても、他の層が攻撃を防御しなくてはなりません。ただし全てのネットワークからマシンを切断して、金庫にしまって決して使わないかぎり、システムを100%セキュアにすることは不可能です。
*少しだけ病的なまでの心配性 (パラノイド) になりましょう。それは役に立ちます。そして疑り深くなってください。話がうますぎるように聞こえたら、おそらくその通りです。
*[[Wikipedia:ja:最小権限の原則|最小権限の原則]]: システムの各部位は使用に必要なことにだけしかアクセスできないようにするべきで、それ以上は必要ありません。

==パスワード==
パスワードは安全な linux システムのかぎです。パスワードは[[ユーザーとグループ|ユーザーアカウント]], [[ディスク暗号化|暗号化されたファイルシステム]], [[SSH 鍵|SSH]]/[[GPG]] 鍵などを守ります。コンピュータを使用する人を信頼するのに使う主要な手段なので、安全なパスワードを選んでそれを保護するというのがセキュリティの大部分と言っても過言ではありません。

===強力なパスワードの選び方===

パスワードは簡単に[[Wikipedia:ja:パスワードクラック|割り出されたり]]または個人情報から類推されないようにすることが重要です。そういうわけで、辞書に載っている単語やあなたの飼っている犬の名前などは使わないようにしましょう。パスワードは出来るだけ8文字以上で、小文字と大文字を混ぜてください。さらに数字や特殊文字も1文字以上含めると良いでしょう。当たり前ですが、長くて複雑なパスワードが基本的に良いパスワードとされます。

{{Pkg|pwgen}} や {{Pkg|apg}} などのツールは安全なパスワードを生成するのに役立ちます。

また、ある文章の各単語の一番最初を取ってパスワードを作ることもできます。
例えば “the girl is walking down the rainy street” なら “t6!WdtR5” とパスワードにすることができます。この方法はパスワードを覚えるのをずっと簡単にしてくれます。さらに、入力するのが面倒くさくなりますがパスワードを “The girl is walking down the rainy street" にすることも可能です。

===パスワードの管理===
強固なパスワードを選び出したら、それを安全に保管してください。[[Wikipedia:ja:ソーシャル・エンジニアリング|心理操作]]や[[Wikipedia:Shoulder surfing (computer security)|ショルダーサーフィン]]に注意したり、セキュアでないサーバーから必要以上に情報が流出するのをふせぐためにパスワードを再利用しないようにしてください。{{Pkg|pass}}, {{Pkg|keepassx}}, {{Pkg|gnome-keyring}} などのツールは大量の複雑なパスワードを管理するのに役立ちます。[[Wikipedia:ja:LastPass|Lastpass]] はデバイス間で同期するためにオンラインで暗号化されたパスワードを保存するサービスですが、クローズドソースのコードと外部の企業の両方を信頼する必要があります。

概して、安全なパスワードは覚えにくいからといって安全でないパスワードを使ってはいけません。パスワードはバランスを取る必要があります。弱いパスワードをたくさん作るよりは、安全なパスワードの暗号化されたデータベースを作り、一つの強いマスターパスワードで守るほうが良いでしょう。パスワードを紙に書くのも、物理的なセキュリティを必要としますがソフトウェアの脆弱性を防ぐ点では同じくらい有効です [https://www.schneier.com/blog/archives/2005/06/write_down_your.html]。

===パスワードのハッシュ===
{{Warning|SHA512 は高速なハッシュ関数として設計されており、パスワードのハッシュ用には作られていません。bcrypt や scrypt などに比べて SHA512 によってハッシュ化されたパスワードには攻撃者は''はるかに''高速にブルートフォース攻撃をすることができます。}}

デフォルトの Arch のハッシュ [[en2:SHA password hashes|sha512]] はとても強固で変更する必要はありません。デフォルトでは、{{ic|/etc/shadow}} にパスワードがハッシュ化されて保存され、root にだけ読み取り許可を与え、{{ic|/etc/passwd}} にはユーザー識別子だけが保存されます。従って、[[#root の制限|root ユーザーが安全]]である限り、ファイルが外部システムにコピーされたり解読されることはありえません。

[http://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils How are passwords stored in Linux (Understanding hashing with shadow utils)] も参照してください。

=== pam_cracklibを用いた強力なパスワードの強制 ===

''pam_cracklib'' は [[Wikipedia:ja:辞書攻撃|辞書攻撃]] からの防御を提供し、システム全体で強制するパスワードポリシーの設定を補助します。

{{Warning|''root'' アカウントはこのポリシーの影響を受けません。}}
{{Note|''root'' アカウントを望ましい/設定されたポリシーを迂回したユーザーにパスワードを設定するために利用できます。これは一時的なパスワードを設定するときに便利です。}}

例えば以下のようなポリシーを強制させたい場合:
* エラー時に2回パスワードプロンプト
* 最小で10文字の長さ(minlenオプション)
* 新しくパスワードを設定する場合、少なくとも6文字は古いパスワードと異なる(difokオプション)
* 少なくとも1文字数字を含む(dcreditオプション)
* 少なくとも1文字は大文字を含む(ucreditオプション)
* 少なくとも1文字は異なる文字を含む(ocreditオプション)
* 少なくとも1文字は小文字を含む(lcreditオプション)

{{ic|/etc/pam.d/passwd}} ファイルを以下のように書き換えます:
{{bc|1=
#%PAM-1.0
password required pam_cracklib.so retry=2 minlen=10 difok=6 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
password required pam_unix.so use_authtok sha512 shadow
}}

The {{ic|password required pam_unix.so use_authtok}} instructs the ''pam_unix'' module to not prompt for a password but rather to use the one provided by ''pam_cracklib''.

詳細な情報については pam_cracklib(8) と pam_unix(8) の man ページを参照してください。

==パーティション==

現在カーネルは {{ic|fs.protected_hardlinks}} や {{ic|fs.protected_symlinks}} sysctl スイッチが有効になっていればハードリンクやシンボリックリンクに関するセキュリティの問題を解決するので、world-writable なディレクトリを分離させるセキュリティ的な利点はもはや存在しません。

それでもディスク容量が消耗したときのダメージを低減させる荒っぽい方法として world-writable なディレクトリを含むパーティションが分割されることがあります。しかしながら、サービスを落とすには {{ic|/var}} や {{ic|/tmp}} などのパーティションを一杯にするだけで十分です。この問題の対処についてはもっと柔軟性のある方法が存在します (クォータなど)、またファイルシステムによっては関連する機能を持っていることがあります (btrfs はサブボリュームにクォータを設定できます)。

===マウントオプション===

最小権限の原則に従って、パーティションは (機能性を失わない限りで) 最も制限的なマウントオプションを使ってマウントすると良いでしょう。

====関連するマウントオプション====

*{{ic|nodev}}: ファイルシステム上のキャラクタ・ブロック特殊デバイスを解釈しない。
*{{ic|nosuid}}: set-user-identifier や set-group-identifier ビットの効果を許可しない。
*{{ic|noexec}}: マウントされたファイルシステム上の全てのバイナリの直接実行を許可しない。

====使用例====

{{Note|データパーティションはいつでも {{ic|nodev}}, {{ic|nosuid}}, {{ic|noexec}} でマウントするべきです。}}

{| class="wikitable"
| align="center" |'''パーティション'''
| align="center" |{{ic|nodev}}
| align="center" |{{ic|nosuid}}
| align="center" |{{ic|noexec}}
|-
| {{ic|/var}}||yes||yes||yes <sup>[1]</sup>
|-
| {{ic|/home}}||yes||yes||yes, if you do not code, use wine or steam
|-
| {{ic|/dev/shm}}||yes||yes||yes
|-
| {{ic|/tmp}}||yes||yes||maybe, breaks compiling packages and various other things
|-
| {{ic|/boot}}||yes||yes||yes
|-
|}

<sup>[1]</sup> パッケージによっては (例えば {{Pkg|nvidia-dkms}}) {{ic|/var}} で {{ic|exec}} を必要とすることがあるので注意してください。

==ファイルシステムのパーミッション==
デフォルトのファイルシステムのパーミッションはほぼ全ての読み取りアクセスが許可されているため、パーミッションを変更することで http や nobody ユーザーなど root 以外のアカウントへのアクセスを手に入れた攻撃者から重要な情報を隠すことができます。

例えば:

# chmod 700 /boot /etc/{iptables,arptables}

デフォルトの [[Umask]] を変更することで新しく作成したファイルのセキュリティを向上させることができます。[http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf NSA RHEL5 Security Guide] はセキュリティを最大化させるために {{ic|077}} の umask を提案しています、これは新しいファイルの所有者以外のユーザーによる読み取りを出来なくします。umask を変更するには、[[Umask#マスクの値を設定]] を参照してください。

==ディスク暗号化==

[[ディスク暗号化]]、特に[[#パスワード|強固なパスフレーズ]]による完全ディスク暗号化は、物理的なリカバリからデータを守る唯一の方法です。コンピュータの電源がオフになっていて問題のディスクがアンマウントされている時は完璧なセキュリティを提供します。

しかしながら、コンピュータの電源が入れられてドライブがマウントされると、そのデータは暗号化されていないドライブと同じように無防備になります。そのためデータが必要なくなったときはすぐにデータのパーティションをアンマウントするのが最善です。

[[Dm-crypt]] など特定のプログラムでは、ループファイルを物理ボリュームとして暗号化することができます。これはシステムの特定部分だけを守りたいときに完全なディスク暗号化の代わりの選択肢となりえます。

==ユーザー設定==
インストールした後は日常の使用のために通常ユーザーを作成してください。root ユーザーを常用してはいけません。

===3回ログインを失敗したユーザーをロックアウトする===
セキュリティをさらに高めるために、指定した回数ログインを失敗したユーザーをログインできなくすることが可能です。root ユーザーがロックを解除するまでそのユーザーアカウントにロックをかけるか、または設定した時間が経つと自動でロックが解除されるように設定できます。
3回ログインを失敗したユーザーを10分間ログインできないようにするには {{ic|/etc/pam.d/system-login}} を変更する必要があります:

{{hc|/etc/pam.d/system-login|
2=auth required pam_tally.so deny=2 unlock_time=600 onerr=succeed file=/var/log/faillog
#auth required pam_tally.so onerr=succeed file=/var/log/faillog
}}

2行目のコメントを消すとログインの失敗ごとに2度カウントされるようになります。これだけです。冒険心を味わいたければ、ログインを3回失敗してみてください。それで何が起こるか分かるはずです。手動でユーザーのロックを解除するには次を実行してください:

# pam_tally --user ''username'' --reset

3回ログインが失敗したユーザーを永遠にログインできないようにしたい場合 {{ic|unlock_time}} の部分を削除してください。こうすると root がアカウントをアンロックするまでログインできなくなります。

=== プロセスの数を制限する ===

信頼できないユーザーが大量に存在するシステムでは、一度に実行できるプロセスの数を制限して、[[Wikipedia:ja:Fork爆弾|フォーク爆弾]]などのサービス拒否攻撃を予防することが重要です。ユーザーやグループごとに実行できるプロセスの数は {{ic|/etc/security/limits.conf}} で定義することができ、デフォルトでは空になっています。以下の値をファイルに追加すると、実行できるプロセスが100個までに制限されます。ulimit コマンドを使って一時的に上げられる最大数も200個までに制限します。ユーザーが普段実行するプロセスの数や、管理するハードウェアにあわせて適切な値に変更してください。

* soft nproc 100
* hard nproc 200

== root の制限 ==
root ユーザーは、定義上、システムで最も強力なユーザーです。このため、root ユーザーの権限を維持しながら害を及ぼす力を制限する、もしくは root ユーザーの行動をもっと追跡できるようにする方法が多数存在します。

===su の代わりに sudo を使う===
[[Su#セキュリティ|色々な理由]]から特権アクセスには [[su]] よりも [[sudo]] を使うほうが好ましいとされます。

* 通常の権限しか持たないユーザーが実行した特権コマンドのログを保持します。
* root アクセスを必要とする各ユーザーに root ユーザーのパスワードを与える必要がありません。
* 完全な root ターミナルは作成されないため、{{ic|sudo}} は root アクセスが必要ないコマンドを偶発的に ''root'' で実行してしまうことを防止します。これは[[Wikipedia:ja:最小権限の原則|最小権限の原則]]と合っています。
* 一つのコマンドを実行するためだけに完全な root アクセスを与える代わりに、ユーザーごとに個々のプログラムを有効にすることができます。例えば、ユーザー ''alice'' に特定のプログラムへのアクセス権限を与えるには:

# visudo

{{hc|/etc/sudoers|
alice ALL = NOPASSWD: /path/to/program}}

また、全てのユーザーに個別のコマンドを許可することも可能です。通常ユーザーでサーバーから Samba 共有をマウントするには:

%users ALL=/sbin/mount.cifs,/sbin/umount.cifs

これによって users グループのメンバーである全てのユーザーが全てのマシン (ALL) から {{ic|/sbin/mount.cifs}} や {{ic|/sbin/umount.cifs}} コマンドを実行できるようになります。

{{Tip|{{ic|visudo}} で {{ic|vi}} の代わりに {{ic|nano}} を使うには:

{{hc|/etc/sudoers|
2=Defaults editor=/usr/bin/rnano
}}
{{ic|1=# EDITOR=nano visudo}} のエクスポートは何にでも {{ic|EDITOR}} として使うことができるためにセキュリティリスクとされています。
}}

====sudo を使ってファイルを編集する====
root で {{ic|vim}} などのテキストエディタを使用するのはセキュリティ上の脆弱性になりえます。ユーザーは任意のシェルコマンドを実行でき、コマンドを実行したユーザーのログが残らないからです。これを解決するには、以下をシェルの設定ファイルに追加してください:

export SUDO_EDITOR=rvim

ファイルの編集には {{ic|sudoedit filename}} または {{ic|sudo -e filename}} を使って下さい。自動的に {{ic|rvim}} によって {{ic|filename}} が編集されるようになり、テキストエディタからのシェルコマンドが無効になります。

===root ログインの制限===
[[sudo]] を適切に設定することで、ユーザビリティをあまり下げることなく完全な root アクセスを大分制限することが可能です。

====特定のユーザーだけに許可を与える====
[[Wikipedia:Pluggable authentication module|PAM]] の {{ic|pam_wheel.so}} は {{ic|wheel}} グループに入っているユーザーだけに {{ic|su}} を使用したログインを許可します。{{ic|/etc/pam.d/su}} と {{ic|/etc/pam.d/su-l}} の両方を編集して次の行をアンコメントしてください:
{{bc|<nowiki>
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid
</nowiki>}}
特権コマンドを実行できる既存のユーザーだけが root でログインできるようになります。

====ssh ログインを拒否する====
ローカルユーザーの root ログインを拒否したくない場合でも、[[SSH#root ログインを拒否する|SSH による root ログインを拒否]]するのがグッドプラクティスです。この目的は、ユーザーがリモートでシステムを完全に手にかける前にセキュリティ層を追加することにあります。

==強制アクセス制御==

[[Wikipedia:ja:強制アクセス制御|強制アクセス制御]] (Mandatory Access Control, MAC) は Arch やほとんどの Linux ディストリビューションで使われている[[Wikipedia:ja:任意アクセス制御|任意アクセス制御]] (Discretionary Access Control, DAC) とは大きく異なるタイプのセキュリティポリシーです。原則的に MAC ではシステムに影響を与えるプログラムの行動は全てセキュリティルールセットによってチェックを受けます。このルールセットは、DAC とは対照的に、ユーザーが変更することは不可能です。実装方法は色々と異なるタイプが存在しますが、強制アクセス制御を使うことで実質的にコンピュータのセキュリティを著しく向上させることになります。

===パス名 MAC===
パス名ベースのアクセス制御は指定されたファイルのパスに基づいてパーミッションを与えるというシンプルな形式のアクセス制御です。この形式のアクセス制御の欠点としてはファイルが移動されてもパーミッションはファイルと一緒に付いていかないということが挙げられます。プラス面となるのは、パス名ベースの MAC はラベルベースの MAC と異なり、幅広いファイルシステムに実装できることです。

*[[AppArmor]] は [[Wikipedia:ja:カノニカル|Canonical]] によって開発されている MAC 実装で SELinux に比べて"簡単"になっています。
*[[TOMOYO Linux|Tomoyo]] はもうひとつのシンプルで、使いやすい強制アクセス制御を提供するシステムです。利用と実装の両面でシンプルになるように設計されており、依存するライブラリがとても少なくなっています。

===ロールベースアクセス制御===
grsecurity がサポートしている MAC 実装はロールベースアクセス制御と呼ばれています。RBAC はユーザーごとにロールを割り当てます。それぞれのロールには特定のオブジェクトで実行できる操作を定義します。上手く記述されたロールと操作を使うことでユーザーに指定した作業しかできないように制限をかけることができます。デフォルトの "deny-all" では管理者が想定していない行動をユーザーは出来ません。

*[[Grsecurity#RBAC|Grsecurity RBAC]] には設定を楽にするため AppArmor のような学習モードが備わっています。
*[[Grsecurity#RBAC|Grsecurity RBAC]] は SELinux のように付加的なメタデータを使いません。RBAC は SELinux よりもずっと高速です。

===ラベル MAC===
ラベルベースのアクセス制御ではファイルの拡張属性を使ってセキュリティパーミッションを管理します。このシステムはセキュリティの機能においてパス名ベースの MAC よりも間違いなく柔軟性が高い一方、拡張属性をサポートしているファイルシステムでしか動作しません。

*[[SELinux]] は、Linux セキュリティを向上させる [[Wikipedia:ja:アメリカ国家安全保障局|NSA]] プロジェクトに基づいており、システムユーザーやロールとは完全に独立して MAC を実装しています。成長してオリジナルの設定が変わっていくシステムのコントロールを簡単に維持できる、極めて強固なマルチレベル MAC ポリシー実装を提供します。

=== アクセス制御リスト ===
[[Wikipedia:ja:アクセス制御リスト|アクセス制御リスト]] (Access Control List, ACL) は何らかの方法で直接ファイルシステムにルールを付加する代わりとなる手段です。ACL はプログラムの行動を許可された挙動のリストでチェックすることによりアクセス制御を実装しています。

*[[grsecurity]] はセキュリティを向上させるための完全なカーネルパッチセットだけでなく、ACL アクセス制御も実装しています。メモリ割り当てのコントロールを拡張し、chroot 制限を改良、特定のネットワーク挙動に関係するルールを定めます。

==カーネルの防御==

===カーネルログへのアクセスを制限する===

カーネルログにはカーネルの脆弱性を突こうとしている攻撃者にとって有益な情報、保護が必要なメモリーアドレスなどが含まれています。{{ic|kernel.dmesg_restrict}} フラグは (デフォルトで root として実行しているプロセスしか持たない) {{ic|CAP_SYS_ADMIN}} ケイパビリティのないログへのアクセスを禁止します。

{{hc|/etc/sysctl.d/50-dmesg-restrict.conf|2=kernel.dmesg_restrict = 1}}

===proc ファイルシステムのカーネルポインタへのアクセスを制限する===

{{ic|kernel.kptr_restrict}} を有効にすると {{ic|CAP_SYSLOG}} のない通常ユーザーから {{ic|/proc/kallsyms}} のカーネルシンボルのアドレスが秘匿され、動的にアドレス・シンボルを解決するカーネル exploit が難しくなります。これは事前にコンパイルされた Arch Linux カーネルではあまり意味がありません、周到な攻撃者はカーネルパッケージをダウンロードしてそこから手動でシンボルを取得することができるからです。しかしながら自分でカーネルをコンパイルする場合は、ローカルの root 攻撃を減らす効果があります。ただし root 以外のユーザーで使用する場合いくつかの {{Pkg|perf}} コマンドが破壊されます (メインの {{Pkg|perf}} 機能には結局 root アクセスが必要になりますが)。詳しくは {{Bug|34323}} を見て下さい。

{{hc|/etc/sysctl.d/50-kptr-restrict.conf|2=kernel.kptr_restrict = 1}}

===BPF JIT コンパイラを無効にする===

Linux カーネルにはパフォーマンス最適化のために BPF/Seccomp ルールセットをネイティブコードにコンパイルする機能が含まれています。最高レベルのセキュリティのために {{ic|net.core.bpf_jit_enable}} フラグは0にしておくべきです。

コンパイラは特定の領域では有用ですが、通常は役に立ちません。JIT コンパイラは攻撃者がヒープスプレー攻撃を行う機会を与え、カーネルのヒープが悪意のあるコードで満たされるかもしれません。このコードは不正な関数へのポインタの間接参照など、他の脆弱性攻撃によって実行される危険性があります。

{{note|[[grsecurity]] には BPF JIT コンパイラの JIT ハードニングが含まれており、攻撃のリスクを大幅に減らします。}}

===ptrace スコープ===

{{ic|kernel.yama.ptrace_scope}} フラグによって、Arch は Yama LSM をデフォルトで有効にしています。このフラグはプロセスが {{ic|CAP_SYS_PTRACE}} のないスコープの外で他のプロセスに {{ic|ptrace}} コールを実行するのを止めます。多くのデバッグツールがいくつかの機能を使うためにこれを必要としますが、セキュリティの面では飛躍的な改善になります。この機能がないと、名前空間のような外部レイヤーを適用しないかぎり同一ユーザーで動作するプロセスの分割は基本的に行われません。デバッガを既存プロセスにアタッチできることはこの欠点のデモンストレーションです。

{{note|[[grsecurity]] では、この防護は {{ic|kernel.grsecurity.harden_ptrace}} フラグによって切り替えます。}}

====破壊される機能の例====

{{Note|{{ic|sudo}} を使って特定のユーザーに、パスワード有り無しで許可を与えたりすることで、root で以下のコマンドを実行することは可能です。}}

* {{ic|gdb -p $PID}}
* {{ic|strace -p $PID}}
* {{ic|perf trace -p $PID}}
* {{ic|reptyr $PID}}

=== リンクの [[Wikipedia:TOCTOU|TOCTOU]] 攻撃を防止する ===

この機能が追加された日時や根拠についてはこの [https://git.kernel.org/?p=linux/kernel/git/torvalds/linux.git;a=commitdiff;h=800179c9b8a1e796e441674776d11cd4c05d61d7 commit メッセージ]を見て下さい。

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

{{Note|現在は {{ic|/usr/lib/sysctl.d/50-default.conf}} によってデフォルトで有効にされています。}}

===hidepid===

カーネルには権限がないユーザーから他のユーザーのプロセスを秘匿させる機能が存在し、{{ic|proc}} ファイルシステムを {{ic|1=hidepid=1}} または {{ic|1=hidepid=2}} でマウントすることで有効になります。ただし、[http://lists.freedesktop.org/archives/systemd-devel/2012-October/006859.html この機能は現在 systemd を破壊します]。カーネルによるコンテナの cgroups ファイルシステムの仮想化サポートが欠けているために、その対応策が必要だからです。

===grsecurity===

標準の Linux カーネルは機密情報へのアクセスを必要以上に許可しておりメモリーの脆弱性攻撃への保護は最低限しか提供していません。[https://grsecurity.net/ Grsecurity] はこれを修正することを目指しています。Grsecurity には PaX のメモリーパッチがバンドルされています。PaX は ALSR を発明しており、強力な保護を提供します。Grsecurity はファイルシステムを防護し、高度なロールベースアクセス制御を提供して、せっかくの PaX のメモリー保護を無駄にするような情報漏洩を防ぎます。

== アプリケーションのサンドボックス化 ==

=== Firejail ===

[[Firejail]] はアプリケーションやサーバーをサンドボックス化するためのシンプルで使いやすいツールです。Firejail はサーバーだけでなくブラウザなどのインターネットに接続するアプリケーションでも使うことができます。Grsecurity と一緒に使うことで Firejail はさらに強化することが可能です。

=== chroot ===

手動で [[chroot]] 監獄を構築する方法もあります。

=== Linux Containers ===

他の手段 (KVM や Virtualbox) よりも強力な分離が必要なときは [[Linux Containers]] を選択するのもよいでしょう。LXC は仮想ハードウェアを使って擬似的な chroot で既存のカーネル上で動作します。

=== 他の仮想化手段 ===

[[VirtualBox]], [[KVM]], [[Xen]] などの完全な仮想化マシンを使うことでもセキュリティを向上させることができます。危険なアプリケーションを実行したり危険なウェブサイトを開いたりするときに役に立つでしょう。

==ネットワークとファイアウォール==

===ファイアウォール===
標準の Arch カーネルは [[Wikipedia:ja:iptables|Netfilter]] の [[iptables]] を使用する能力がありますが、デフォルトでは有効になっていません。[[公式リポジトリ]]から {{Pkg|iptables}} をインストールして、有効にし、ファイアウォールを設定することが強く推奨されます。

*全般的な情報は [[iptables]] を見て下さい。
*iptables ファイアウォールを設定するガイドは[[シンプルなステートフルファイアウォール]]を見て下さい。
*netfilter を設定する他の方法は[[ファイアウォール]]を見て下さい。
*Bluetack などの IP アドレスのリストをブロックする方法は [[Ipset]] を見て下さい。

===カーネルパラメータ===
ネットワークに影響を与えるカーネルパラメータは [[sysctl]] を使って設定できます。設定方法は [[sysctl#TCP/IP スタックの防御]] を見て下さい。

===SSH===
[[SSH 鍵#パスワードログインの無効化|SSH 鍵を必要]]としない [[Secure Shell]] を使うのは避けましょう。これは[[Wikipedia:ja:総当たり攻撃|総当たり攻撃]]を防ぎます。また、[[Fail2ban]] や [[Sshguard]] はログを監視して [[iptables|iptables ルール]]を書き込む方式の保護を提供しますが、攻撃者がアドレスを識別して管理者からのパケットのように偽装することができるため、サービスの妨害が行われる危険性があります。

[[Secure Shell#root ログインを拒否する|root ログインを拒否する]]のは、侵入追跡と root アクセス前のセキュリティレイヤを追加するという両方の面でグッドプラクティスです。

===DNS===

[[en2:DNSSEC|DNSSEC]] や [[DNSCrypt]] を見て下さい。

==パッケージの認証==
パッケージの署名が適正に使われていないと [http://www.cs.arizona.edu/stork/packagemanagersecurity/attacks-on-package-managers.html#overview パッケージマネージャへの攻撃] が考えられ、さらに [http://www.cs.arizona.edu/stork/packagemanagersecurity/faq.html 適切な署名システム] を使っているパッケージマネージャにも影響を与える可能性があります。Arch はデフォルトでパッケージの署名を使用しており5つの信頼されたマスターキーによる web of trust を使っています。詳しくは [[Pacman-key]] を見て下さい。

==物理セキュリティ==
{{Note|リモート攻撃からコンピュータを守りたいだけの場合はこのセクションは無視してかまいません。}}

十分な時間とリソースさえあればコンピュータへの物理的なアクセスは root アクセスになります。しかしながら、十分な防御策を張ることで''実用的で''高いレベルのセキュリティを得ることができます。

攻撃者は悪意のある IEEE 1394 (FireWire), Thunderbolt, PCI Express デバイスを取り付けることでメモリーへの完全なアクセスを手に入れることができ、次に起動した時には簡単にコンピュータの完全なコントロールを手中に収めることができます [http://www.breaknenter.org/projects/inception/]。これを防ぐために出来ることは限られており、悪意のあるファームウェアをドライブに書き込むなどハードウェア自体の改変に対処することは不可能です。ただし、攻撃者の大部分にはこうした知識がなく実行されることはほとんどありません。

[[#ディスク暗号化|ディスク暗号化]]はコンピュータが盗まれた場合にデータへのアクセスを防止しますが、あなたが次にログインしたときにデータを取得するために悪意のあるファームウェアが能力のある攻撃者によってインストールされる可能性があります。

===BIOS をロックダウンする===

BIOS にパスワードを追加することによってリムーバルメディアから誰かが起動する (これはコンピュータへの root アクセスと基本的に同義です) のを予防します。使用しているドライブがブートの順番で一番最初に来ることを確認して、可能であれば他のドライブのブートを無効にしてください。

===ブートローダー===

ブートローダーの保護はとても重要です。{{ic|1=init=/bin/sh}} というたった一つのカーネルパラメータで、全てのユーザー・ログイン制限が全くの無に帰します。

====Syslinux====

Syslinux は[[Syslinux#セキュリティ|ブートローダーのパスワード保護]]をサポートしています。メニューのアイテムごとにパスワードを設定したり、ブートローダー全体にパスワードの保護を設定することが可能です。

====GRUB====

[[GRUB]] も同じくブートローダーのパスワードをサポートしています。詳しくは [[GRUB/Tips and tricks#GRUB メニューのパスワード保護]] を見て下さい。

===root でのコンソールログインを拒む===
コンソールからの root ログインを拒否するよう設定を変更すれば侵入者がシステムへのアクセスを取得するのを難しくすることができます。侵入者はシステムに存在するユーザーの名前とそのユーザーのパスワードを考えなくてはならなくなります。コンソールによって root がログインできるようになっている場合、侵入者が解き当てるのはパスワードだけで十分になります。
コンソールの root ログインのブロックは {{ic|/etc/securetty}} の tty 行をコメントアウトすることで行います。
{{hc|/etc/securetty|
#tty1
}}

ブロックしたい tty 全てで同じようにコメントアウトしてください。
変更の効果を確認するには、一つの行だけをコメントアウトしてから特定のコンソールに移って root でのログインを試行してみてください。{{ic|Login incorrect}} というメッセージが表示されるはずです。ブロックされたことを確認したら、戻ってから残りの tty 行をコメントアウトしてください。
{{Note|If you see {{ic|ttyS0}} this is for a serial console. Similarly, on Xen virtualized systems {{ic|hvc0}} is for the administrator.}}

=== 自動ログアウト ===
[[Bash]] または [[Zsh]] を使っている場合、{{ic|TMOUT}} によってタイムアウトによるシェルからの自動ログアウトを設定できます。

例えば、以下は仮想コンソールから自動でログアウトします (X11 のターミナルエミュレータからはログアウトしません):

{{hc|/etc/profile.d/shell-timeout.sh|<nowiki>
TMOUT="$(( 60*10 ))";
[ -z "$DISPLAY" ] && export TMOUT;
case $( /usr/bin/tty ) in
/dev/tty[0-9]*) export TMOUT;;
esac
</nowiki>}}

(X のコンソールも含めて) 全ての Bash/Zsh プロンプトでタイムアウトさせたい場合は、次を使って下さい:

$ export TMOUT="$(( 60*10 ))";

シェルで何かコマンドが動作している間はこのタイムアウトは動作しないので注意してください (例: SSH セッションや {{ic|TMOUT}} をサポートしていない他のシェル)。しかしながら固まった GDM/Xorg を root で再起動するのに VC を使っているような場合は、とても有用です。

== 参照 ==

* ArchWiki のセキュリティアプリケーションのリスト: [[アプリケーション一覧/セキュリティ]]
* [http://www.puschitz.com/SecuringLinux.shtml Securing and Hardening Red Hat Linux Production Systems]
* [http://www.ibm.com/developerworks/linux/tutorials/l-harden-desktop/index.html Hardening the linux desktop]
* [http://www.ibm.com/developerworks/linux/tutorials/l-harden-server/index.html Hardening the linux server]
* [http://www.faqs.org/docs/securing/index.html Securing and Optimizing Linux]
* [http://www.auscert.org.au/5816 UNIX and Linux Security Checklist v3.0]
* [http://wiki.centos.org/HowTos/OS_Protection CentOS Wiki: OS Protection]
* [http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.en.pdf Hardening Debian (pdf)]
* [http://crunchbang.org/forums/viewtopic.php?id=24722 The paranoid #! Security Guide]
* [https://github.com/lfit/itpol/blob/master/linux-workstation-security.md Linux Foundation's Linux workstation security checklist]
* [https://www.privacytools.io/ privacytools.io]

セキュリティ

2016-04-09T13:28:41Z

Fragment: /* パスワード */ 英語wikiから説のインポート

[[Category:セキュリティ]]
[[Category:ファイルシステム]]
[[Category:ネットワーク]]
[[en:Security]]
[[ru:Security]]
{{Related articles start}}
{{Related|アプリケーション一覧/セキュリティ}}
{{Related|:カテゴリ:セキュリティ}}
{{Related articles end}}
この記事では Arch Linux システムを防御するための推奨事項とベストプラクティスを並べています。

==概念==
*セキュリティを厳しくするあまりシステムが使い物にならなくなってしまう可能性があります。うまいやり方は度を越さない程度にセキュリティを強化します。
*セキュリティを高めるために出来ることは数多く存在しますが、一番の脅威はいつだってユーザー自身です。セキュリティを考える時は、多層防御を考える必要があります。ある層が突破されたとしても、他の層が攻撃を防御しなくてはなりません。ただし全てのネットワークからマシンを切断して、金庫にしまって決して使わないかぎり、システムを100%セキュアにすることは不可能です。
*少しだけ病的なまでの心配性 (パラノイド) になりましょう。それは役に立ちます。そして疑り深くなってください。話がうますぎるように聞こえたら、おそらくその通りです。
*[[Wikipedia:ja:最小権限の原則|最小権限の原則]]: システムの各部位は使用に必要なことにだけしかアクセスできないようにするべきで、それ以上は必要ありません。

==パスワード==
パスワードは安全な linux システムのかぎです。パスワードは[[ユーザーとグループ|ユーザーアカウント]], [[ディスク暗号化|暗号化されたファイルシステム]], [[SSH 鍵|SSH]]/[[GPG]] 鍵などを守ります。コンピュータを使用する人を信頼するのに使う主要な手段なので、安全なパスワードを選んでそれを保護するというのがセキュリティの大部分と言っても過言ではありません。

===強力なパスワードの選び方===

パスワードは簡単に[[Wikipedia:ja:パスワードクラック|割り出されたり]]または個人情報から類推されないようにすることが重要です。そういうわけで、辞書に載っている単語やあなたの飼っている犬の名前などは使わないようにしましょう。パスワードは出来るだけ8文字以上で、小文字と大文字を混ぜてください。さらに数字や特殊文字も1文字以上含めると良いでしょう。当たり前ですが、長くて複雑なパスワードが基本的に良いパスワードとされます。

{{Pkg|pwgen}} や {{Pkg|apg}} などのツールは安全なパスワードを生成するのに役立ちます。

また、ある文章の各単語の一番最初を取ってパスワードを作ることもできます。
例えば “the girl is walking down the rainy street” なら “t6!WdtR5” とパスワードにすることができます。この方法はパスワードを覚えるのをずっと簡単にしてくれます。さらに、入力するのが面倒くさくなりますがパスワードを “The girl is walking down the rainy street" にすることも可能です。

===パスワードの管理===
強固なパスワードを選び出したら、それを安全に保管してください。[[Wikipedia:ja:ソーシャル・エンジニアリング|心理操作]]や[[Wikipedia:Shoulder surfing (computer security)|ショルダーサーフィン]]に注意したり、セキュアでないサーバーから必要以上に情報が流出するのをふせぐためにパスワードを再利用しないようにしてください。{{Pkg|pass}}, {{Pkg|keepassx}}, {{Pkg|gnome-keyring}} などのツールは大量の複雑なパスワードを管理するのに役立ちます。[[Wikipedia:ja:LastPass|Lastpass]] はデバイス間で同期するためにオンラインで暗号化されたパスワードを保存するサービスですが、クローズドソースのコードと外部の企業の両方を信頼する必要があります。

概して、安全なパスワードは覚えにくいからといって安全でないパスワードを使ってはいけません。パスワードはバランスを取る必要があります。弱いパスワードをたくさん作るよりは、安全なパスワードの暗号化されたデータベースを作り、一つの強いマスターパスワードで守るほうが良いでしょう。パスワードを紙に書くのも、物理的なセキュリティを必要としますがソフトウェアの脆弱性を防ぐ点では同じくらい有効です [https://www.schneier.com/blog/archives/2005/06/write_down_your.html]。

===パスワードのハッシュ===
{{Warning|SHA512 は高速なハッシュ関数として設計されており、パスワードのハッシュ用には作られていません。bcrypt や scrypt などに比べて SHA512 によってハッシュ化されたパスワードには攻撃者は''はるかに''高速にブルートフォース攻撃をすることができます。}}

デフォルトの Arch のハッシュ [[en2:SHA password hashes|sha512]] はとても強固で変更する必要はありません。デフォルトでは、{{ic|/etc/shadow}} にパスワードがハッシュ化されて保存され、root にだけ読み取り許可を与え、{{ic|/etc/passwd}} にはユーザー識別子だけが保存されます。従って、[[#root の制限|root ユーザーが安全]]である限り、ファイルが外部システムにコピーされたり解読されることはありえません。

[http://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils How are passwords stored in Linux (Understanding hashing with shadow utils)] も参照してください。

=== pam_cracklibを用いた強力なパスワードの要求 ===

''pam_cracklib'' provides protection against [[Wikipedia:Dictionary attack|Dictionary attacks]] and helps configure a password policy that can be enforced throughout the system.

{{Warning|The ''root'' account is not affected by this policy.}}
{{Note|You can use the ''root'' account to set a password for a user that bypasses the desired/configured policy. This is useful when setting temporary passwords.}}

If for example you want to enforce this policy:
* prompt 2 times for password in case of an error
* 10 characters minimum length (minlen option)
* at least 6 characters should be different from old password when entering a new one (difok option)
* at least 1 digit (dcredit option)
* at least 1 uppercase (ucredit option)
* at least 1 other character (ocredit option)
* at least 1 lowercase (lcredit option)

Edit the {{ic|/etc/pam.d/passwd}} file to read as:
{{bc|1=
#%PAM-1.0
password required pam_cracklib.so retry=2 minlen=10 difok=6 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
password required pam_unix.so use_authtok sha512 shadow
}}

The {{ic|password required pam_unix.so use_authtok}} instructs the ''pam_unix'' module to not prompt for a password but rather to use the one provided by ''pam_cracklib''.

You can refer to the pam_cracklib(8) and pam_unix(8) man pages for more information.

==パーティション==

現在カーネルは {{ic|fs.protected_hardlinks}} や {{ic|fs.protected_symlinks}} sysctl スイッチが有効になっていればハードリンクやシンボリックリンクに関するセキュリティの問題を解決するので、world-writable なディレクトリを分離させるセキュリティ的な利点はもはや存在しません。

それでもディスク容量が消耗したときのダメージを低減させる荒っぽい方法として world-writable なディレクトリを含むパーティションが分割されることがあります。しかしながら、サービスを落とすには {{ic|/var}} や {{ic|/tmp}} などのパーティションを一杯にするだけで十分です。この問題の対処についてはもっと柔軟性のある方法が存在します (クォータなど)、またファイルシステムによっては関連する機能を持っていることがあります (btrfs はサブボリュームにクォータを設定できます)。

===マウントオプション===

最小権限の原則に従って、パーティションは (機能性を失わない限りで) 最も制限的なマウントオプションを使ってマウントすると良いでしょう。

====関連するマウントオプション====

*{{ic|nodev}}: ファイルシステム上のキャラクタ・ブロック特殊デバイスを解釈しない。
*{{ic|nosuid}}: set-user-identifier や set-group-identifier ビットの効果を許可しない。
*{{ic|noexec}}: マウントされたファイルシステム上の全てのバイナリの直接実行を許可しない。

====使用例====

{{Note|データパーティションはいつでも {{ic|nodev}}, {{ic|nosuid}}, {{ic|noexec}} でマウントするべきです。}}

{| class="wikitable"
| align="center" |'''パーティション'''
| align="center" |{{ic|nodev}}
| align="center" |{{ic|nosuid}}
| align="center" |{{ic|noexec}}
|-
| {{ic|/var}}||yes||yes||yes <sup>[1]</sup>
|-
| {{ic|/home}}||yes||yes||yes, if you do not code, use wine or steam
|-
| {{ic|/dev/shm}}||yes||yes||yes
|-
| {{ic|/tmp}}||yes||yes||maybe, breaks compiling packages and various other things
|-
| {{ic|/boot}}||yes||yes||yes
|-
|}

<sup>[1]</sup> パッケージによっては (例えば {{Pkg|nvidia-dkms}}) {{ic|/var}} で {{ic|exec}} を必要とすることがあるので注意してください。

==ファイルシステムのパーミッション==
デフォルトのファイルシステムのパーミッションはほぼ全ての読み取りアクセスが許可されているため、パーミッションを変更することで http や nobody ユーザーなど root 以外のアカウントへのアクセスを手に入れた攻撃者から重要な情報を隠すことができます。

例えば:

# chmod 700 /boot /etc/{iptables,arptables}

デフォルトの [[Umask]] を変更することで新しく作成したファイルのセキュリティを向上させることができます。[http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf NSA RHEL5 Security Guide] はセキュリティを最大化させるために {{ic|077}} の umask を提案しています、これは新しいファイルの所有者以外のユーザーによる読み取りを出来なくします。umask を変更するには、[[Umask#マスクの値を設定]] を参照してください。

==ディスク暗号化==

[[ディスク暗号化]]、特に[[#パスワード|強固なパスフレーズ]]による完全ディスク暗号化は、物理的なリカバリからデータを守る唯一の方法です。コンピュータの電源がオフになっていて問題のディスクがアンマウントされている時は完璧なセキュリティを提供します。

しかしながら、コンピュータの電源が入れられてドライブがマウントされると、そのデータは暗号化されていないドライブと同じように無防備になります。そのためデータが必要なくなったときはすぐにデータのパーティションをアンマウントするのが最善です。

[[Dm-crypt]] など特定のプログラムでは、ループファイルを物理ボリュームとして暗号化することができます。これはシステムの特定部分だけを守りたいときに完全なディスク暗号化の代わりの選択肢となりえます。

==ユーザー設定==
インストールした後は日常の使用のために通常ユーザーを作成してください。root ユーザーを常用してはいけません。

===3回ログインを失敗したユーザーをロックアウトする===
セキュリティをさらに高めるために、指定した回数ログインを失敗したユーザーをログインできなくすることが可能です。root ユーザーがロックを解除するまでそのユーザーアカウントにロックをかけるか、または設定した時間が経つと自動でロックが解除されるように設定できます。
3回ログインを失敗したユーザーを10分間ログインできないようにするには {{ic|/etc/pam.d/system-login}} を変更する必要があります:

{{hc|/etc/pam.d/system-login|
2=auth required pam_tally.so deny=2 unlock_time=600 onerr=succeed file=/var/log/faillog
#auth required pam_tally.so onerr=succeed file=/var/log/faillog
}}

2行目のコメントを消すとログインの失敗ごとに2度カウントされるようになります。これだけです。冒険心を味わいたければ、ログインを3回失敗してみてください。それで何が起こるか分かるはずです。手動でユーザーのロックを解除するには次を実行してください:

# pam_tally --user ''username'' --reset

3回ログインが失敗したユーザーを永遠にログインできないようにしたい場合 {{ic|unlock_time}} の部分を削除してください。こうすると root がアカウントをアンロックするまでログインできなくなります。

=== プロセスの数を制限する ===

信頼できないユーザーが大量に存在するシステムでは、一度に実行できるプロセスの数を制限して、[[Wikipedia:ja:Fork爆弾|フォーク爆弾]]などのサービス拒否攻撃を予防することが重要です。ユーザーやグループごとに実行できるプロセスの数は {{ic|/etc/security/limits.conf}} で定義することができ、デフォルトでは空になっています。以下の値をファイルに追加すると、実行できるプロセスが100個までに制限されます。ulimit コマンドを使って一時的に上げられる最大数も200個までに制限します。ユーザーが普段実行するプロセスの数や、管理するハードウェアにあわせて適切な値に変更してください。

* soft nproc 100
* hard nproc 200

== root の制限 ==
root ユーザーは、定義上、システムで最も強力なユーザーです。このため、root ユーザーの権限を維持しながら害を及ぼす力を制限する、もしくは root ユーザーの行動をもっと追跡できるようにする方法が多数存在します。

===su の代わりに sudo を使う===
[[Su#セキュリティ|色々な理由]]から特権アクセスには [[su]] よりも [[sudo]] を使うほうが好ましいとされます。

* 通常の権限しか持たないユーザーが実行した特権コマンドのログを保持します。
* root アクセスを必要とする各ユーザーに root ユーザーのパスワードを与える必要がありません。
* 完全な root ターミナルは作成されないため、{{ic|sudo}} は root アクセスが必要ないコマンドを偶発的に ''root'' で実行してしまうことを防止します。これは[[Wikipedia:ja:最小権限の原則|最小権限の原則]]と合っています。
* 一つのコマンドを実行するためだけに完全な root アクセスを与える代わりに、ユーザーごとに個々のプログラムを有効にすることができます。例えば、ユーザー ''alice'' に特定のプログラムへのアクセス権限を与えるには:

# visudo

{{hc|/etc/sudoers|
alice ALL = NOPASSWD: /path/to/program}}

また、全てのユーザーに個別のコマンドを許可することも可能です。通常ユーザーでサーバーから Samba 共有をマウントするには:

%users ALL=/sbin/mount.cifs,/sbin/umount.cifs

これによって users グループのメンバーである全てのユーザーが全てのマシン (ALL) から {{ic|/sbin/mount.cifs}} や {{ic|/sbin/umount.cifs}} コマンドを実行できるようになります。

{{Tip|{{ic|visudo}} で {{ic|vi}} の代わりに {{ic|nano}} を使うには:

{{hc|/etc/sudoers|
2=Defaults editor=/usr/bin/rnano
}}
{{ic|1=# EDITOR=nano visudo}} のエクスポートは何にでも {{ic|EDITOR}} として使うことができるためにセキュリティリスクとされています。
}}

====sudo を使ってファイルを編集する====
root で {{ic|vim}} などのテキストエディタを使用するのはセキュリティ上の脆弱性になりえます。ユーザーは任意のシェルコマンドを実行でき、コマンドを実行したユーザーのログが残らないからです。これを解決するには、以下をシェルの設定ファイルに追加してください:

export SUDO_EDITOR=rvim

ファイルの編集には {{ic|sudoedit filename}} または {{ic|sudo -e filename}} を使って下さい。自動的に {{ic|rvim}} によって {{ic|filename}} が編集されるようになり、テキストエディタからのシェルコマンドが無効になります。

===root ログインの制限===
[[sudo]] を適切に設定することで、ユーザビリティをあまり下げることなく完全な root アクセスを大分制限することが可能です。

====特定のユーザーだけに許可を与える====
[[Wikipedia:Pluggable authentication module|PAM]] の {{ic|pam_wheel.so}} は {{ic|wheel}} グループに入っているユーザーだけに {{ic|su}} を使用したログインを許可します。{{ic|/etc/pam.d/su}} と {{ic|/etc/pam.d/su-l}} の両方を編集して次の行をアンコメントしてください:
{{bc|<nowiki>
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid
</nowiki>}}
特権コマンドを実行できる既存のユーザーだけが root でログインできるようになります。

====ssh ログインを拒否する====
ローカルユーザーの root ログインを拒否したくない場合でも、[[SSH#root ログインを拒否する|SSH による root ログインを拒否]]するのがグッドプラクティスです。この目的は、ユーザーがリモートでシステムを完全に手にかける前にセキュリティ層を追加することにあります。

==強制アクセス制御==

[[Wikipedia:ja:強制アクセス制御|強制アクセス制御]] (Mandatory Access Control, MAC) は Arch やほとんどの Linux ディストリビューションで使われている[[Wikipedia:ja:任意アクセス制御|任意アクセス制御]] (Discretionary Access Control, DAC) とは大きく異なるタイプのセキュリティポリシーです。原則的に MAC ではシステムに影響を与えるプログラムの行動は全てセキュリティルールセットによってチェックを受けます。このルールセットは、DAC とは対照的に、ユーザーが変更することは不可能です。実装方法は色々と異なるタイプが存在しますが、強制アクセス制御を使うことで実質的にコンピュータのセキュリティを著しく向上させることになります。

===パス名 MAC===
パス名ベースのアクセス制御は指定されたファイルのパスに基づいてパーミッションを与えるというシンプルな形式のアクセス制御です。この形式のアクセス制御の欠点としてはファイルが移動されてもパーミッションはファイルと一緒に付いていかないということが挙げられます。プラス面となるのは、パス名ベースの MAC はラベルベースの MAC と異なり、幅広いファイルシステムに実装できることです。

*[[AppArmor]] は [[Wikipedia:ja:カノニカル|Canonical]] によって開発されている MAC 実装で SELinux に比べて"簡単"になっています。
*[[TOMOYO Linux|Tomoyo]] はもうひとつのシンプルで、使いやすい強制アクセス制御を提供するシステムです。利用と実装の両面でシンプルになるように設計されており、依存するライブラリがとても少なくなっています。

===ロールベースアクセス制御===
grsecurity がサポートしている MAC 実装はロールベースアクセス制御と呼ばれています。RBAC はユーザーごとにロールを割り当てます。それぞれのロールには特定のオブジェクトで実行できる操作を定義します。上手く記述されたロールと操作を使うことでユーザーに指定した作業しかできないように制限をかけることができます。デフォルトの "deny-all" では管理者が想定していない行動をユーザーは出来ません。

*[[Grsecurity#RBAC|Grsecurity RBAC]] には設定を楽にするため AppArmor のような学習モードが備わっています。
*[[Grsecurity#RBAC|Grsecurity RBAC]] は SELinux のように付加的なメタデータを使いません。RBAC は SELinux よりもずっと高速です。

===ラベル MAC===
ラベルベースのアクセス制御ではファイルの拡張属性を使ってセキュリティパーミッションを管理します。このシステムはセキュリティの機能においてパス名ベースの MAC よりも間違いなく柔軟性が高い一方、拡張属性をサポートしているファイルシステムでしか動作しません。

*[[SELinux]] は、Linux セキュリティを向上させる [[Wikipedia:ja:アメリカ国家安全保障局|NSA]] プロジェクトに基づいており、システムユーザーやロールとは完全に独立して MAC を実装しています。成長してオリジナルの設定が変わっていくシステムのコントロールを簡単に維持できる、極めて強固なマルチレベル MAC ポリシー実装を提供します。

=== アクセス制御リスト ===
[[Wikipedia:ja:アクセス制御リスト|アクセス制御リスト]] (Access Control List, ACL) は何らかの方法で直接ファイルシステムにルールを付加する代わりとなる手段です。ACL はプログラムの行動を許可された挙動のリストでチェックすることによりアクセス制御を実装しています。

*[[grsecurity]] はセキュリティを向上させるための完全なカーネルパッチセットだけでなく、ACL アクセス制御も実装しています。メモリ割り当てのコントロールを拡張し、chroot 制限を改良、特定のネットワーク挙動に関係するルールを定めます。

==カーネルの防御==

===カーネルログへのアクセスを制限する===

カーネルログにはカーネルの脆弱性を突こうとしている攻撃者にとって有益な情報、保護が必要なメモリーアドレスなどが含まれています。{{ic|kernel.dmesg_restrict}} フラグは (デフォルトで root として実行しているプロセスしか持たない) {{ic|CAP_SYS_ADMIN}} ケイパビリティのないログへのアクセスを禁止します。

{{hc|/etc/sysctl.d/50-dmesg-restrict.conf|2=kernel.dmesg_restrict = 1}}

===proc ファイルシステムのカーネルポインタへのアクセスを制限する===

{{ic|kernel.kptr_restrict}} を有効にすると {{ic|CAP_SYSLOG}} のない通常ユーザーから {{ic|/proc/kallsyms}} のカーネルシンボルのアドレスが秘匿され、動的にアドレス・シンボルを解決するカーネル exploit が難しくなります。これは事前にコンパイルされた Arch Linux カーネルではあまり意味がありません、周到な攻撃者はカーネルパッケージをダウンロードしてそこから手動でシンボルを取得することができるからです。しかしながら自分でカーネルをコンパイルする場合は、ローカルの root 攻撃を減らす効果があります。ただし root 以外のユーザーで使用する場合いくつかの {{Pkg|perf}} コマンドが破壊されます (メインの {{Pkg|perf}} 機能には結局 root アクセスが必要になりますが)。詳しくは {{Bug|34323}} を見て下さい。

{{hc|/etc/sysctl.d/50-kptr-restrict.conf|2=kernel.kptr_restrict = 1}}

===BPF JIT コンパイラを無効にする===

Linux カーネルにはパフォーマンス最適化のために BPF/Seccomp ルールセットをネイティブコードにコンパイルする機能が含まれています。最高レベルのセキュリティのために {{ic|net.core.bpf_jit_enable}} フラグは0にしておくべきです。

コンパイラは特定の領域では有用ですが、通常は役に立ちません。JIT コンパイラは攻撃者がヒープスプレー攻撃を行う機会を与え、カーネルのヒープが悪意のあるコードで満たされるかもしれません。このコードは不正な関数へのポインタの間接参照など、他の脆弱性攻撃によって実行される危険性があります。

{{note|[[grsecurity]] には BPF JIT コンパイラの JIT ハードニングが含まれており、攻撃のリスクを大幅に減らします。}}

===ptrace スコープ===

{{ic|kernel.yama.ptrace_scope}} フラグによって、Arch は Yama LSM をデフォルトで有効にしています。このフラグはプロセスが {{ic|CAP_SYS_PTRACE}} のないスコープの外で他のプロセスに {{ic|ptrace}} コールを実行するのを止めます。多くのデバッグツールがいくつかの機能を使うためにこれを必要としますが、セキュリティの面では飛躍的な改善になります。この機能がないと、名前空間のような外部レイヤーを適用しないかぎり同一ユーザーで動作するプロセスの分割は基本的に行われません。デバッガを既存プロセスにアタッチできることはこの欠点のデモンストレーションです。

{{note|[[grsecurity]] では、この防護は {{ic|kernel.grsecurity.harden_ptrace}} フラグによって切り替えます。}}

====破壊される機能の例====

{{Note|{{ic|sudo}} を使って特定のユーザーに、パスワード有り無しで許可を与えたりすることで、root で以下のコマンドを実行することは可能です。}}

* {{ic|gdb -p $PID}}
* {{ic|strace -p $PID}}
* {{ic|perf trace -p $PID}}
* {{ic|reptyr $PID}}

=== リンクの [[Wikipedia:TOCTOU|TOCTOU]] 攻撃を防止する ===

この機能が追加された日時や根拠についてはこの [https://git.kernel.org/?p=linux/kernel/git/torvalds/linux.git;a=commitdiff;h=800179c9b8a1e796e441674776d11cd4c05d61d7 commit メッセージ]を見て下さい。

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

{{Note|現在は {{ic|/usr/lib/sysctl.d/50-default.conf}} によってデフォルトで有効にされています。}}

===hidepid===

カーネルには権限がないユーザーから他のユーザーのプロセスを秘匿させる機能が存在し、{{ic|proc}} ファイルシステムを {{ic|1=hidepid=1}} または {{ic|1=hidepid=2}} でマウントすることで有効になります。ただし、[http://lists.freedesktop.org/archives/systemd-devel/2012-October/006859.html この機能は現在 systemd を破壊します]。カーネルによるコンテナの cgroups ファイルシステムの仮想化サポートが欠けているために、その対応策が必要だからです。

===grsecurity===

標準の Linux カーネルは機密情報へのアクセスを必要以上に許可しておりメモリーの脆弱性攻撃への保護は最低限しか提供していません。[https://grsecurity.net/ Grsecurity] はこれを修正することを目指しています。Grsecurity には PaX のメモリーパッチがバンドルされています。PaX は ALSR を発明しており、強力な保護を提供します。Grsecurity はファイルシステムを防護し、高度なロールベースアクセス制御を提供して、せっかくの PaX のメモリー保護を無駄にするような情報漏洩を防ぎます。

== アプリケーションのサンドボックス化 ==

=== Firejail ===

[[Firejail]] はアプリケーションやサーバーをサンドボックス化するためのシンプルで使いやすいツールです。Firejail はサーバーだけでなくブラウザなどのインターネットに接続するアプリケーションでも使うことができます。Grsecurity と一緒に使うことで Firejail はさらに強化することが可能です。

=== chroot ===

手動で [[chroot]] 監獄を構築する方法もあります。

=== Linux Containers ===

他の手段 (KVM や Virtualbox) よりも強力な分離が必要なときは [[Linux Containers]] を選択するのもよいでしょう。LXC は仮想ハードウェアを使って擬似的な chroot で既存のカーネル上で動作します。

=== 他の仮想化手段 ===

[[VirtualBox]], [[KVM]], [[Xen]] などの完全な仮想化マシンを使うことでもセキュリティを向上させることができます。危険なアプリケーションを実行したり危険なウェブサイトを開いたりするときに役に立つでしょう。

==ネットワークとファイアウォール==

===ファイアウォール===
標準の Arch カーネルは [[Wikipedia:ja:iptables|Netfilter]] の [[iptables]] を使用する能力がありますが、デフォルトでは有効になっていません。[[公式リポジトリ]]から {{Pkg|iptables}} をインストールして、有効にし、ファイアウォールを設定することが強く推奨されます。

*全般的な情報は [[iptables]] を見て下さい。
*iptables ファイアウォールを設定するガイドは[[シンプルなステートフルファイアウォール]]を見て下さい。
*netfilter を設定する他の方法は[[ファイアウォール]]を見て下さい。
*Bluetack などの IP アドレスのリストをブロックする方法は [[Ipset]] を見て下さい。

===カーネルパラメータ===
ネットワークに影響を与えるカーネルパラメータは [[sysctl]] を使って設定できます。設定方法は [[sysctl#TCP/IP スタックの防御]] を見て下さい。

===SSH===
[[SSH 鍵#パスワードログインの無効化|SSH 鍵を必要]]としない [[Secure Shell]] を使うのは避けましょう。これは[[Wikipedia:ja:総当たり攻撃|総当たり攻撃]]を防ぎます。また、[[Fail2ban]] や [[Sshguard]] はログを監視して [[iptables|iptables ルール]]を書き込む方式の保護を提供しますが、攻撃者がアドレスを識別して管理者からのパケットのように偽装することができるため、サービスの妨害が行われる危険性があります。

[[Secure Shell#root ログインを拒否する|root ログインを拒否する]]のは、侵入追跡と root アクセス前のセキュリティレイヤを追加するという両方の面でグッドプラクティスです。

===DNS===

[[en2:DNSSEC|DNSSEC]] や [[DNSCrypt]] を見て下さい。

==パッケージの認証==
パッケージの署名が適正に使われていないと [http://www.cs.arizona.edu/stork/packagemanagersecurity/attacks-on-package-managers.html#overview パッケージマネージャへの攻撃] が考えられ、さらに [http://www.cs.arizona.edu/stork/packagemanagersecurity/faq.html 適切な署名システム] を使っているパッケージマネージャにも影響を与える可能性があります。Arch はデフォルトでパッケージの署名を使用しており5つの信頼されたマスターキーによる web of trust を使っています。詳しくは [[Pacman-key]] を見て下さい。

==物理セキュリティ==
{{Note|リモート攻撃からコンピュータを守りたいだけの場合はこのセクションは無視してかまいません。}}

十分な時間とリソースさえあればコンピュータへの物理的なアクセスは root アクセスになります。しかしながら、十分な防御策を張ることで''実用的で''高いレベルのセキュリティを得ることができます。

攻撃者は悪意のある IEEE 1394 (FireWire), Thunderbolt, PCI Express デバイスを取り付けることでメモリーへの完全なアクセスを手に入れることができ、次に起動した時には簡単にコンピュータの完全なコントロールを手中に収めることができます [http://www.breaknenter.org/projects/inception/]。これを防ぐために出来ることは限られており、悪意のあるファームウェアをドライブに書き込むなどハードウェア自体の改変に対処することは不可能です。ただし、攻撃者の大部分にはこうした知識がなく実行されることはほとんどありません。

[[#ディスク暗号化|ディスク暗号化]]はコンピュータが盗まれた場合にデータへのアクセスを防止しますが、あなたが次にログインしたときにデータを取得するために悪意のあるファームウェアが能力のある攻撃者によってインストールされる可能性があります。

===BIOS をロックダウンする===

BIOS にパスワードを追加することによってリムーバルメディアから誰かが起動する (これはコンピュータへの root アクセスと基本的に同義です) のを予防します。使用しているドライブがブートの順番で一番最初に来ることを確認して、可能であれば他のドライブのブートを無効にしてください。

===ブートローダー===

ブートローダーの保護はとても重要です。{{ic|1=init=/bin/sh}} というたった一つのカーネルパラメータで、全てのユーザー・ログイン制限が全くの無に帰します。

====Syslinux====

Syslinux は[[Syslinux#セキュリティ|ブートローダーのパスワード保護]]をサポートしています。メニューのアイテムごとにパスワードを設定したり、ブートローダー全体にパスワードの保護を設定することが可能です。

====GRUB====

[[GRUB]] も同じくブートローダーのパスワードをサポートしています。詳しくは [[GRUB/Tips and tricks#GRUB メニューのパスワード保護]] を見て下さい。

===root でのコンソールログインを拒む===
コンソールからの root ログインを拒否するよう設定を変更すれば侵入者がシステムへのアクセスを取得するのを難しくすることができます。侵入者はシステムに存在するユーザーの名前とそのユーザーのパスワードを考えなくてはならなくなります。コンソールによって root がログインできるようになっている場合、侵入者が解き当てるのはパスワードだけで十分になります。
コンソールの root ログインのブロックは {{ic|/etc/securetty}} の tty 行をコメントアウトすることで行います。
{{hc|/etc/securetty|
#tty1
}}

ブロックしたい tty 全てで同じようにコメントアウトしてください。
変更の効果を確認するには、一つの行だけをコメントアウトしてから特定のコンソールに移って root でのログインを試行してみてください。{{ic|Login incorrect}} というメッセージが表示されるはずです。ブロックされたことを確認したら、戻ってから残りの tty 行をコメントアウトしてください。
{{Note|If you see {{ic|ttyS0}} this is for a serial console. Similarly, on Xen virtualized systems {{ic|hvc0}} is for the administrator.}}

=== 自動ログアウト ===
[[Bash]] または [[Zsh]] を使っている場合、{{ic|TMOUT}} によってタイムアウトによるシェルからの自動ログアウトを設定できます。

例えば、以下は仮想コンソールから自動でログアウトします (X11 のターミナルエミュレータからはログアウトしません):

{{hc|/etc/profile.d/shell-timeout.sh|<nowiki>
TMOUT="$(( 60*10 ))";
[ -z "$DISPLAY" ] && export TMOUT;
case $( /usr/bin/tty ) in
/dev/tty[0-9]*) export TMOUT;;
esac
</nowiki>}}

(X のコンソールも含めて) 全ての Bash/Zsh プロンプトでタイムアウトさせたい場合は、次を使って下さい:

$ export TMOUT="$(( 60*10 ))";

シェルで何かコマンドが動作している間はこのタイムアウトは動作しないので注意してください (例: SSH セッションや {{ic|TMOUT}} をサポートしていない他のシェル)。しかしながら固まった GDM/Xorg を root で再起動するのに VC を使っているような場合は、とても有用です。

== 参照 ==

* ArchWiki のセキュリティアプリケーションのリスト: [[アプリケーション一覧/セキュリティ]]
* [http://www.puschitz.com/SecuringLinux.shtml Securing and Hardening Red Hat Linux Production Systems]
* [http://www.ibm.com/developerworks/linux/tutorials/l-harden-desktop/index.html Hardening the linux desktop]
* [http://www.ibm.com/developerworks/linux/tutorials/l-harden-server/index.html Hardening the linux server]
* [http://www.faqs.org/docs/securing/index.html Securing and Optimizing Linux]
* [http://www.auscert.org.au/5816 UNIX and Linux Security Checklist v3.0]
* [http://wiki.centos.org/HowTos/OS_Protection CentOS Wiki: OS Protection]
* [http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.en.pdf Hardening Debian (pdf)]
* [http://crunchbang.org/forums/viewtopic.php?id=24722 The paranoid #! Security Guide]
* [https://github.com/lfit/itpol/blob/master/linux-workstation-security.md Linux Foundation's Linux workstation security checklist]
* [https://www.privacytools.io/ privacytools.io]

セキュリティ

2016-04-09T13:26:14Z

Fragment: /* パスワード */ 英語wikiに倣い，節を追加

[[Category:セキュリティ]]
[[Category:ファイルシステム]]
[[Category:ネットワーク]]
[[en:Security]]
[[ru:Security]]
{{Related articles start}}
{{Related|アプリケーション一覧/セキュリティ}}
{{Related|:カテゴリ:セキュリティ}}
{{Related articles end}}
この記事では Arch Linux システムを防御するための推奨事項とベストプラクティスを並べています。

==概念==
*セキュリティを厳しくするあまりシステムが使い物にならなくなってしまう可能性があります。うまいやり方は度を越さない程度にセキュリティを強化します。
*セキュリティを高めるために出来ることは数多く存在しますが、一番の脅威はいつだってユーザー自身です。セキュリティを考える時は、多層防御を考える必要があります。ある層が突破されたとしても、他の層が攻撃を防御しなくてはなりません。ただし全てのネットワークからマシンを切断して、金庫にしまって決して使わないかぎり、システムを100%セキュアにすることは不可能です。
*少しだけ病的なまでの心配性 (パラノイド) になりましょう。それは役に立ちます。そして疑り深くなってください。話がうますぎるように聞こえたら、おそらくその通りです。
*[[Wikipedia:ja:最小権限の原則|最小権限の原則]]: システムの各部位は使用に必要なことにだけしかアクセスできないようにするべきで、それ以上は必要ありません。

==パスワード==
パスワードは安全な linux システムのかぎです。パスワードは[[ユーザーとグループ|ユーザーアカウント]], [[ディスク暗号化|暗号化されたファイルシステム]], [[SSH 鍵|SSH]]/[[GPG]] 鍵などを守ります。コンピュータを使用する人を信頼するのに使う主要な手段なので、安全なパスワードを選んでそれを保護するというのがセキュリティの大部分と言っても過言ではありません。

===強力なパスワードの選び方===

パスワードは簡単に[[Wikipedia:ja:パスワードクラック|割り出されたり]]または個人情報から類推されないようにすることが重要です。そういうわけで、辞書に載っている単語やあなたの飼っている犬の名前などは使わないようにしましょう。パスワードは出来るだけ8文字以上で、小文字と大文字を混ぜてください。さらに数字や特殊文字も1文字以上含めると良いでしょう。当たり前ですが、長くて複雑なパスワードが基本的に良いパスワードとされます。

{{Pkg|pwgen}} や {{Pkg|apg}} などのツールは安全なパスワードを生成するのに役立ちます。

また、ある文章の各単語の一番最初を取ってパスワードを作ることもできます。
例えば “the girl is walking down the rainy street” なら “t6!WdtR5” とパスワードにすることができます。この方法はパスワードを覚えるのをずっと簡単にしてくれます。さらに、入力するのが面倒くさくなりますがパスワードを “The girl is walking down the rainy street" にすることも可能です。

===パスワードの管理===
強固なパスワードを選び出したら、それを安全に保管してください。[[Wikipedia:ja:ソーシャル・エンジニアリング|心理操作]]や[[Wikipedia:Shoulder surfing (computer security)|ショルダーサーフィン]]に注意したり、セキュアでないサーバーから必要以上に情報が流出するのをふせぐためにパスワードを再利用しないようにしてください。{{Pkg|pass}}, {{Pkg|keepassx}}, {{Pkg|gnome-keyring}} などのツールは大量の複雑なパスワードを管理するのに役立ちます。[[Wikipedia:ja:LastPass|Lastpass]] はデバイス間で同期するためにオンラインで暗号化されたパスワードを保存するサービスですが、クローズドソースのコードと外部の企業の両方を信頼する必要があります。

概して、安全なパスワードは覚えにくいからといって安全でないパスワードを使ってはいけません。パスワードはバランスを取る必要があります。弱いパスワードをたくさん作るよりは、安全なパスワードの暗号化されたデータベースを作り、一つの強いマスターパスワードで守るほうが良いでしょう。パスワードを紙に書くのも、物理的なセキュリティを必要としますがソフトウェアの脆弱性を防ぐ点では同じくらい有効です [https://www.schneier.com/blog/archives/2005/06/write_down_your.html]。

===パスワードのハッシュ===
{{Warning|SHA512 は高速なハッシュ関数として設計されており、パスワードのハッシュ用には作られていません。bcrypt や scrypt などに比べて SHA512 によってハッシュ化されたパスワードには攻撃者は''はるかに''高速にブルートフォース攻撃をすることができます。}}

デフォルトの Arch のハッシュ [[en2:SHA password hashes|sha512]] はとても強固で変更する必要はありません。デフォルトでは、{{ic|/etc/shadow}} にパスワードがハッシュ化されて保存され、root にだけ読み取り許可を与え、{{ic|/etc/passwd}} にはユーザー識別子だけが保存されます。従って、[[#root の制限|root ユーザーが安全]]である限り、ファイルが外部システムにコピーされたり解読されることはありえません。

[http://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils How are passwords stored in Linux (Understanding hashing with shadow utils)] も参照してください。

==パーティション==

現在カーネルは {{ic|fs.protected_hardlinks}} や {{ic|fs.protected_symlinks}} sysctl スイッチが有効になっていればハードリンクやシンボリックリンクに関するセキュリティの問題を解決するので、world-writable なディレクトリを分離させるセキュリティ的な利点はもはや存在しません。

それでもディスク容量が消耗したときのダメージを低減させる荒っぽい方法として world-writable なディレクトリを含むパーティションが分割されることがあります。しかしながら、サービスを落とすには {{ic|/var}} や {{ic|/tmp}} などのパーティションを一杯にするだけで十分です。この問題の対処についてはもっと柔軟性のある方法が存在します (クォータなど)、またファイルシステムによっては関連する機能を持っていることがあります (btrfs はサブボリュームにクォータを設定できます)。

===マウントオプション===

最小権限の原則に従って、パーティションは (機能性を失わない限りで) 最も制限的なマウントオプションを使ってマウントすると良いでしょう。

====関連するマウントオプション====

*{{ic|nodev}}: ファイルシステム上のキャラクタ・ブロック特殊デバイスを解釈しない。
*{{ic|nosuid}}: set-user-identifier や set-group-identifier ビットの効果を許可しない。
*{{ic|noexec}}: マウントされたファイルシステム上の全てのバイナリの直接実行を許可しない。

====使用例====

{{Note|データパーティションはいつでも {{ic|nodev}}, {{ic|nosuid}}, {{ic|noexec}} でマウントするべきです。}}

{| class="wikitable"
| align="center" |'''パーティション'''
| align="center" |{{ic|nodev}}
| align="center" |{{ic|nosuid}}
| align="center" |{{ic|noexec}}
|-
| {{ic|/var}}||yes||yes||yes <sup>[1]</sup>
|-
| {{ic|/home}}||yes||yes||yes, if you do not code, use wine or steam
|-
| {{ic|/dev/shm}}||yes||yes||yes
|-
| {{ic|/tmp}}||yes||yes||maybe, breaks compiling packages and various other things
|-
| {{ic|/boot}}||yes||yes||yes
|-
|}

<sup>[1]</sup> パッケージによっては (例えば {{Pkg|nvidia-dkms}}) {{ic|/var}} で {{ic|exec}} を必要とすることがあるので注意してください。

==ファイルシステムのパーミッション==
デフォルトのファイルシステムのパーミッションはほぼ全ての読み取りアクセスが許可されているため、パーミッションを変更することで http や nobody ユーザーなど root 以外のアカウントへのアクセスを手に入れた攻撃者から重要な情報を隠すことができます。

例えば:

# chmod 700 /boot /etc/{iptables,arptables}

デフォルトの [[Umask]] を変更することで新しく作成したファイルのセキュリティを向上させることができます。[http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf NSA RHEL5 Security Guide] はセキュリティを最大化させるために {{ic|077}} の umask を提案しています、これは新しいファイルの所有者以外のユーザーによる読み取りを出来なくします。umask を変更するには、[[Umask#マスクの値を設定]] を参照してください。

==ディスク暗号化==

[[ディスク暗号化]]、特に[[#パスワード|強固なパスフレーズ]]による完全ディスク暗号化は、物理的なリカバリからデータを守る唯一の方法です。コンピュータの電源がオフになっていて問題のディスクがアンマウントされている時は完璧なセキュリティを提供します。

しかしながら、コンピュータの電源が入れられてドライブがマウントされると、そのデータは暗号化されていないドライブと同じように無防備になります。そのためデータが必要なくなったときはすぐにデータのパーティションをアンマウントするのが最善です。

[[Dm-crypt]] など特定のプログラムでは、ループファイルを物理ボリュームとして暗号化することができます。これはシステムの特定部分だけを守りたいときに完全なディスク暗号化の代わりの選択肢となりえます。

==ユーザー設定==
インストールした後は日常の使用のために通常ユーザーを作成してください。root ユーザーを常用してはいけません。

===3回ログインを失敗したユーザーをロックアウトする===
セキュリティをさらに高めるために、指定した回数ログインを失敗したユーザーをログインできなくすることが可能です。root ユーザーがロックを解除するまでそのユーザーアカウントにロックをかけるか、または設定した時間が経つと自動でロックが解除されるように設定できます。
3回ログインを失敗したユーザーを10分間ログインできないようにするには {{ic|/etc/pam.d/system-login}} を変更する必要があります:

{{hc|/etc/pam.d/system-login|
2=auth required pam_tally.so deny=2 unlock_time=600 onerr=succeed file=/var/log/faillog
#auth required pam_tally.so onerr=succeed file=/var/log/faillog
}}

2行目のコメントを消すとログインの失敗ごとに2度カウントされるようになります。これだけです。冒険心を味わいたければ、ログインを3回失敗してみてください。それで何が起こるか分かるはずです。手動でユーザーのロックを解除するには次を実行してください:

# pam_tally --user ''username'' --reset

3回ログインが失敗したユーザーを永遠にログインできないようにしたい場合 {{ic|unlock_time}} の部分を削除してください。こうすると root がアカウントをアンロックするまでログインできなくなります。

=== プロセスの数を制限する ===

信頼できないユーザーが大量に存在するシステムでは、一度に実行できるプロセスの数を制限して、[[Wikipedia:ja:Fork爆弾|フォーク爆弾]]などのサービス拒否攻撃を予防することが重要です。ユーザーやグループごとに実行できるプロセスの数は {{ic|/etc/security/limits.conf}} で定義することができ、デフォルトでは空になっています。以下の値をファイルに追加すると、実行できるプロセスが100個までに制限されます。ulimit コマンドを使って一時的に上げられる最大数も200個までに制限します。ユーザーが普段実行するプロセスの数や、管理するハードウェアにあわせて適切な値に変更してください。

* soft nproc 100
* hard nproc 200

== root の制限 ==
root ユーザーは、定義上、システムで最も強力なユーザーです。このため、root ユーザーの権限を維持しながら害を及ぼす力を制限する、もしくは root ユーザーの行動をもっと追跡できるようにする方法が多数存在します。

===su の代わりに sudo を使う===
[[Su#セキュリティ|色々な理由]]から特権アクセスには [[su]] よりも [[sudo]] を使うほうが好ましいとされます。

* 通常の権限しか持たないユーザーが実行した特権コマンドのログを保持します。
* root アクセスを必要とする各ユーザーに root ユーザーのパスワードを与える必要がありません。
* 完全な root ターミナルは作成されないため、{{ic|sudo}} は root アクセスが必要ないコマンドを偶発的に ''root'' で実行してしまうことを防止します。これは[[Wikipedia:ja:最小権限の原則|最小権限の原則]]と合っています。
* 一つのコマンドを実行するためだけに完全な root アクセスを与える代わりに、ユーザーごとに個々のプログラムを有効にすることができます。例えば、ユーザー ''alice'' に特定のプログラムへのアクセス権限を与えるには:

# visudo

{{hc|/etc/sudoers|
alice ALL = NOPASSWD: /path/to/program}}

また、全てのユーザーに個別のコマンドを許可することも可能です。通常ユーザーでサーバーから Samba 共有をマウントするには:

%users ALL=/sbin/mount.cifs,/sbin/umount.cifs

これによって users グループのメンバーである全てのユーザーが全てのマシン (ALL) から {{ic|/sbin/mount.cifs}} や {{ic|/sbin/umount.cifs}} コマンドを実行できるようになります。

{{Tip|{{ic|visudo}} で {{ic|vi}} の代わりに {{ic|nano}} を使うには:

{{hc|/etc/sudoers|
2=Defaults editor=/usr/bin/rnano
}}
{{ic|1=# EDITOR=nano visudo}} のエクスポートは何にでも {{ic|EDITOR}} として使うことができるためにセキュリティリスクとされています。
}}

====sudo を使ってファイルを編集する====
root で {{ic|vim}} などのテキストエディタを使用するのはセキュリティ上の脆弱性になりえます。ユーザーは任意のシェルコマンドを実行でき、コマンドを実行したユーザーのログが残らないからです。これを解決するには、以下をシェルの設定ファイルに追加してください:

export SUDO_EDITOR=rvim

ファイルの編集には {{ic|sudoedit filename}} または {{ic|sudo -e filename}} を使って下さい。自動的に {{ic|rvim}} によって {{ic|filename}} が編集されるようになり、テキストエディタからのシェルコマンドが無効になります。

===root ログインの制限===
[[sudo]] を適切に設定することで、ユーザビリティをあまり下げることなく完全な root アクセスを大分制限することが可能です。

====特定のユーザーだけに許可を与える====
[[Wikipedia:Pluggable authentication module|PAM]] の {{ic|pam_wheel.so}} は {{ic|wheel}} グループに入っているユーザーだけに {{ic|su}} を使用したログインを許可します。{{ic|/etc/pam.d/su}} と {{ic|/etc/pam.d/su-l}} の両方を編集して次の行をアンコメントしてください:
{{bc|<nowiki>
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid
</nowiki>}}
特権コマンドを実行できる既存のユーザーだけが root でログインできるようになります。

====ssh ログインを拒否する====
ローカルユーザーの root ログインを拒否したくない場合でも、[[SSH#root ログインを拒否する|SSH による root ログインを拒否]]するのがグッドプラクティスです。この目的は、ユーザーがリモートでシステムを完全に手にかける前にセキュリティ層を追加することにあります。

==強制アクセス制御==

[[Wikipedia:ja:強制アクセス制御|強制アクセス制御]] (Mandatory Access Control, MAC) は Arch やほとんどの Linux ディストリビューションで使われている[[Wikipedia:ja:任意アクセス制御|任意アクセス制御]] (Discretionary Access Control, DAC) とは大きく異なるタイプのセキュリティポリシーです。原則的に MAC ではシステムに影響を与えるプログラムの行動は全てセキュリティルールセットによってチェックを受けます。このルールセットは、DAC とは対照的に、ユーザーが変更することは不可能です。実装方法は色々と異なるタイプが存在しますが、強制アクセス制御を使うことで実質的にコンピュータのセキュリティを著しく向上させることになります。

===パス名 MAC===
パス名ベースのアクセス制御は指定されたファイルのパスに基づいてパーミッションを与えるというシンプルな形式のアクセス制御です。この形式のアクセス制御の欠点としてはファイルが移動されてもパーミッションはファイルと一緒に付いていかないということが挙げられます。プラス面となるのは、パス名ベースの MAC はラベルベースの MAC と異なり、幅広いファイルシステムに実装できることです。

*[[AppArmor]] は [[Wikipedia:ja:カノニカル|Canonical]] によって開発されている MAC 実装で SELinux に比べて"簡単"になっています。
*[[TOMOYO Linux|Tomoyo]] はもうひとつのシンプルで、使いやすい強制アクセス制御を提供するシステムです。利用と実装の両面でシンプルになるように設計されており、依存するライブラリがとても少なくなっています。

===ロールベースアクセス制御===
grsecurity がサポートしている MAC 実装はロールベースアクセス制御と呼ばれています。RBAC はユーザーごとにロールを割り当てます。それぞれのロールには特定のオブジェクトで実行できる操作を定義します。上手く記述されたロールと操作を使うことでユーザーに指定した作業しかできないように制限をかけることができます。デフォルトの "deny-all" では管理者が想定していない行動をユーザーは出来ません。

*[[Grsecurity#RBAC|Grsecurity RBAC]] には設定を楽にするため AppArmor のような学習モードが備わっています。
*[[Grsecurity#RBAC|Grsecurity RBAC]] は SELinux のように付加的なメタデータを使いません。RBAC は SELinux よりもずっと高速です。

===ラベル MAC===
ラベルベースのアクセス制御ではファイルの拡張属性を使ってセキュリティパーミッションを管理します。このシステムはセキュリティの機能においてパス名ベースの MAC よりも間違いなく柔軟性が高い一方、拡張属性をサポートしているファイルシステムでしか動作しません。

*[[SELinux]] は、Linux セキュリティを向上させる [[Wikipedia:ja:アメリカ国家安全保障局|NSA]] プロジェクトに基づいており、システムユーザーやロールとは完全に独立して MAC を実装しています。成長してオリジナルの設定が変わっていくシステムのコントロールを簡単に維持できる、極めて強固なマルチレベル MAC ポリシー実装を提供します。

=== アクセス制御リスト ===
[[Wikipedia:ja:アクセス制御リスト|アクセス制御リスト]] (Access Control List, ACL) は何らかの方法で直接ファイルシステムにルールを付加する代わりとなる手段です。ACL はプログラムの行動を許可された挙動のリストでチェックすることによりアクセス制御を実装しています。

*[[grsecurity]] はセキュリティを向上させるための完全なカーネルパッチセットだけでなく、ACL アクセス制御も実装しています。メモリ割り当てのコントロールを拡張し、chroot 制限を改良、特定のネットワーク挙動に関係するルールを定めます。

==カーネルの防御==

===カーネルログへのアクセスを制限する===

カーネルログにはカーネルの脆弱性を突こうとしている攻撃者にとって有益な情報、保護が必要なメモリーアドレスなどが含まれています。{{ic|kernel.dmesg_restrict}} フラグは (デフォルトで root として実行しているプロセスしか持たない) {{ic|CAP_SYS_ADMIN}} ケイパビリティのないログへのアクセスを禁止します。

{{hc|/etc/sysctl.d/50-dmesg-restrict.conf|2=kernel.dmesg_restrict = 1}}

===proc ファイルシステムのカーネルポインタへのアクセスを制限する===

{{ic|kernel.kptr_restrict}} を有効にすると {{ic|CAP_SYSLOG}} のない通常ユーザーから {{ic|/proc/kallsyms}} のカーネルシンボルのアドレスが秘匿され、動的にアドレス・シンボルを解決するカーネル exploit が難しくなります。これは事前にコンパイルされた Arch Linux カーネルではあまり意味がありません、周到な攻撃者はカーネルパッケージをダウンロードしてそこから手動でシンボルを取得することができるからです。しかしながら自分でカーネルをコンパイルする場合は、ローカルの root 攻撃を減らす効果があります。ただし root 以外のユーザーで使用する場合いくつかの {{Pkg|perf}} コマンドが破壊されます (メインの {{Pkg|perf}} 機能には結局 root アクセスが必要になりますが)。詳しくは {{Bug|34323}} を見て下さい。

{{hc|/etc/sysctl.d/50-kptr-restrict.conf|2=kernel.kptr_restrict = 1}}

===BPF JIT コンパイラを無効にする===

Linux カーネルにはパフォーマンス最適化のために BPF/Seccomp ルールセットをネイティブコードにコンパイルする機能が含まれています。最高レベルのセキュリティのために {{ic|net.core.bpf_jit_enable}} フラグは0にしておくべきです。

コンパイラは特定の領域では有用ですが、通常は役に立ちません。JIT コンパイラは攻撃者がヒープスプレー攻撃を行う機会を与え、カーネルのヒープが悪意のあるコードで満たされるかもしれません。このコードは不正な関数へのポインタの間接参照など、他の脆弱性攻撃によって実行される危険性があります。

{{note|[[grsecurity]] には BPF JIT コンパイラの JIT ハードニングが含まれており、攻撃のリスクを大幅に減らします。}}

===ptrace スコープ===

{{ic|kernel.yama.ptrace_scope}} フラグによって、Arch は Yama LSM をデフォルトで有効にしています。このフラグはプロセスが {{ic|CAP_SYS_PTRACE}} のないスコープの外で他のプロセスに {{ic|ptrace}} コールを実行するのを止めます。多くのデバッグツールがいくつかの機能を使うためにこれを必要としますが、セキュリティの面では飛躍的な改善になります。この機能がないと、名前空間のような外部レイヤーを適用しないかぎり同一ユーザーで動作するプロセスの分割は基本的に行われません。デバッガを既存プロセスにアタッチできることはこの欠点のデモンストレーションです。

{{note|[[grsecurity]] では、この防護は {{ic|kernel.grsecurity.harden_ptrace}} フラグによって切り替えます。}}

====破壊される機能の例====

{{Note|{{ic|sudo}} を使って特定のユーザーに、パスワード有り無しで許可を与えたりすることで、root で以下のコマンドを実行することは可能です。}}

* {{ic|gdb -p $PID}}
* {{ic|strace -p $PID}}
* {{ic|perf trace -p $PID}}
* {{ic|reptyr $PID}}

=== リンクの [[Wikipedia:TOCTOU|TOCTOU]] 攻撃を防止する ===

この機能が追加された日時や根拠についてはこの [https://git.kernel.org/?p=linux/kernel/git/torvalds/linux.git;a=commitdiff;h=800179c9b8a1e796e441674776d11cd4c05d61d7 commit メッセージ]を見て下さい。

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

{{Note|現在は {{ic|/usr/lib/sysctl.d/50-default.conf}} によってデフォルトで有効にされています。}}

===hidepid===

カーネルには権限がないユーザーから他のユーザーのプロセスを秘匿させる機能が存在し、{{ic|proc}} ファイルシステムを {{ic|1=hidepid=1}} または {{ic|1=hidepid=2}} でマウントすることで有効になります。ただし、[http://lists.freedesktop.org/archives/systemd-devel/2012-October/006859.html この機能は現在 systemd を破壊します]。カーネルによるコンテナの cgroups ファイルシステムの仮想化サポートが欠けているために、その対応策が必要だからです。

===grsecurity===

標準の Linux カーネルは機密情報へのアクセスを必要以上に許可しておりメモリーの脆弱性攻撃への保護は最低限しか提供していません。[https://grsecurity.net/ Grsecurity] はこれを修正することを目指しています。Grsecurity には PaX のメモリーパッチがバンドルされています。PaX は ALSR を発明しており、強力な保護を提供します。Grsecurity はファイルシステムを防護し、高度なロールベースアクセス制御を提供して、せっかくの PaX のメモリー保護を無駄にするような情報漏洩を防ぎます。

== アプリケーションのサンドボックス化 ==

=== Firejail ===

[[Firejail]] はアプリケーションやサーバーをサンドボックス化するためのシンプルで使いやすいツールです。Firejail はサーバーだけでなくブラウザなどのインターネットに接続するアプリケーションでも使うことができます。Grsecurity と一緒に使うことで Firejail はさらに強化することが可能です。

=== chroot ===

手動で [[chroot]] 監獄を構築する方法もあります。

=== Linux Containers ===

他の手段 (KVM や Virtualbox) よりも強力な分離が必要なときは [[Linux Containers]] を選択するのもよいでしょう。LXC は仮想ハードウェアを使って擬似的な chroot で既存のカーネル上で動作します。

=== 他の仮想化手段 ===

[[VirtualBox]], [[KVM]], [[Xen]] などの完全な仮想化マシンを使うことでもセキュリティを向上させることができます。危険なアプリケーションを実行したり危険なウェブサイトを開いたりするときに役に立つでしょう。

==ネットワークとファイアウォール==

===ファイアウォール===
標準の Arch カーネルは [[Wikipedia:ja:iptables|Netfilter]] の [[iptables]] を使用する能力がありますが、デフォルトでは有効になっていません。[[公式リポジトリ]]から {{Pkg|iptables}} をインストールして、有効にし、ファイアウォールを設定することが強く推奨されます。

*全般的な情報は [[iptables]] を見て下さい。
*iptables ファイアウォールを設定するガイドは[[シンプルなステートフルファイアウォール]]を見て下さい。
*netfilter を設定する他の方法は[[ファイアウォール]]を見て下さい。
*Bluetack などの IP アドレスのリストをブロックする方法は [[Ipset]] を見て下さい。

===カーネルパラメータ===
ネットワークに影響を与えるカーネルパラメータは [[sysctl]] を使って設定できます。設定方法は [[sysctl#TCP/IP スタックの防御]] を見て下さい。

===SSH===
[[SSH 鍵#パスワードログインの無効化|SSH 鍵を必要]]としない [[Secure Shell]] を使うのは避けましょう。これは[[Wikipedia:ja:総当たり攻撃|総当たり攻撃]]を防ぎます。また、[[Fail2ban]] や [[Sshguard]] はログを監視して [[iptables|iptables ルール]]を書き込む方式の保護を提供しますが、攻撃者がアドレスを識別して管理者からのパケットのように偽装することができるため、サービスの妨害が行われる危険性があります。

[[Secure Shell#root ログインを拒否する|root ログインを拒否する]]のは、侵入追跡と root アクセス前のセキュリティレイヤを追加するという両方の面でグッドプラクティスです。

===DNS===

[[en2:DNSSEC|DNSSEC]] や [[DNSCrypt]] を見て下さい。

==パッケージの認証==
パッケージの署名が適正に使われていないと [http://www.cs.arizona.edu/stork/packagemanagersecurity/attacks-on-package-managers.html#overview パッケージマネージャへの攻撃] が考えられ、さらに [http://www.cs.arizona.edu/stork/packagemanagersecurity/faq.html 適切な署名システム] を使っているパッケージマネージャにも影響を与える可能性があります。Arch はデフォルトでパッケージの署名を使用しており5つの信頼されたマスターキーによる web of trust を使っています。詳しくは [[Pacman-key]] を見て下さい。

==物理セキュリティ==
{{Note|リモート攻撃からコンピュータを守りたいだけの場合はこのセクションは無視してかまいません。}}

十分な時間とリソースさえあればコンピュータへの物理的なアクセスは root アクセスになります。しかしながら、十分な防御策を張ることで''実用的で''高いレベルのセキュリティを得ることができます。

攻撃者は悪意のある IEEE 1394 (FireWire), Thunderbolt, PCI Express デバイスを取り付けることでメモリーへの完全なアクセスを手に入れることができ、次に起動した時には簡単にコンピュータの完全なコントロールを手中に収めることができます [http://www.breaknenter.org/projects/inception/]。これを防ぐために出来ることは限られており、悪意のあるファームウェアをドライブに書き込むなどハードウェア自体の改変に対処することは不可能です。ただし、攻撃者の大部分にはこうした知識がなく実行されることはほとんどありません。

[[#ディスク暗号化|ディスク暗号化]]はコンピュータが盗まれた場合にデータへのアクセスを防止しますが、あなたが次にログインしたときにデータを取得するために悪意のあるファームウェアが能力のある攻撃者によってインストールされる可能性があります。

===BIOS をロックダウンする===

BIOS にパスワードを追加することによってリムーバルメディアから誰かが起動する (これはコンピュータへの root アクセスと基本的に同義です) のを予防します。使用しているドライブがブートの順番で一番最初に来ることを確認して、可能であれば他のドライブのブートを無効にしてください。

===ブートローダー===

ブートローダーの保護はとても重要です。{{ic|1=init=/bin/sh}} というたった一つのカーネルパラメータで、全てのユーザー・ログイン制限が全くの無に帰します。

====Syslinux====

Syslinux は[[Syslinux#セキュリティ|ブートローダーのパスワード保護]]をサポートしています。メニューのアイテムごとにパスワードを設定したり、ブートローダー全体にパスワードの保護を設定することが可能です。

====GRUB====

[[GRUB]] も同じくブートローダーのパスワードをサポートしています。詳しくは [[GRUB/Tips and tricks#GRUB メニューのパスワード保護]] を見て下さい。

===root でのコンソールログインを拒む===
コンソールからの root ログインを拒否するよう設定を変更すれば侵入者がシステムへのアクセスを取得するのを難しくすることができます。侵入者はシステムに存在するユーザーの名前とそのユーザーのパスワードを考えなくてはならなくなります。コンソールによって root がログインできるようになっている場合、侵入者が解き当てるのはパスワードだけで十分になります。
コンソールの root ログインのブロックは {{ic|/etc/securetty}} の tty 行をコメントアウトすることで行います。
{{hc|/etc/securetty|
#tty1
}}

ブロックしたい tty 全てで同じようにコメントアウトしてください。
変更の効果を確認するには、一つの行だけをコメントアウトしてから特定のコンソールに移って root でのログインを試行してみてください。{{ic|Login incorrect}} というメッセージが表示されるはずです。ブロックされたことを確認したら、戻ってから残りの tty 行をコメントアウトしてください。
{{Note|If you see {{ic|ttyS0}} this is for a serial console. Similarly, on Xen virtualized systems {{ic|hvc0}} is for the administrator.}}

=== 自動ログアウト ===
[[Bash]] または [[Zsh]] を使っている場合、{{ic|TMOUT}} によってタイムアウトによるシェルからの自動ログアウトを設定できます。

例えば、以下は仮想コンソールから自動でログアウトします (X11 のターミナルエミュレータからはログアウトしません):

{{hc|/etc/profile.d/shell-timeout.sh|<nowiki>
TMOUT="$(( 60*10 ))";
[ -z "$DISPLAY" ] && export TMOUT;
case $( /usr/bin/tty ) in
/dev/tty[0-9]*) export TMOUT;;
esac
</nowiki>}}

(X のコンソールも含めて) 全ての Bash/Zsh プロンプトでタイムアウトさせたい場合は、次を使って下さい:

$ export TMOUT="$(( 60*10 ))";

シェルで何かコマンドが動作している間はこのタイムアウトは動作しないので注意してください (例: SSH セッションや {{ic|TMOUT}} をサポートしていない他のシェル)。しかしながら固まった GDM/Xorg を root で再起動するのに VC を使っているような場合は、とても有用です。

== 参照 ==

* ArchWiki のセキュリティアプリケーションのリスト: [[アプリケーション一覧/セキュリティ]]
* [http://www.puschitz.com/SecuringLinux.shtml Securing and Hardening Red Hat Linux Production Systems]
* [http://www.ibm.com/developerworks/linux/tutorials/l-harden-desktop/index.html Hardening the linux desktop]
* [http://www.ibm.com/developerworks/linux/tutorials/l-harden-server/index.html Hardening the linux server]
* [http://www.faqs.org/docs/securing/index.html Securing and Optimizing Linux]
* [http://www.auscert.org.au/5816 UNIX and Linux Security Checklist v3.0]
* [http://wiki.centos.org/HowTos/OS_Protection CentOS Wiki: OS Protection]
* [http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.en.pdf Hardening Debian (pdf)]
* [http://crunchbang.org/forums/viewtopic.php?id=24722 The paranoid #! Security Guide]
* [https://github.com/lfit/itpol/blob/master/linux-workstation-security.md Linux Foundation's Linux workstation security checklist]
* [https://www.privacytools.io/ privacytools.io]

Certbot

2016-04-08T15:26:09Z

Fragment: /* 自動更新 */

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:Let’s Encrypt]]
[https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオープンな認証局です。コマンドラインから有効な ssl 証明書を取得できるツールが提供されています。

== インストール ==

{{Pkg|letsencrypt}} パッケージを[[インストール]]してください。

A minimal client with manual CSR creation is available at {{AUR|acme-tiny}}. More integrated clients suitable for scripts are e.g. {{AUR|simp_le-git}} and {{AUR|letsencrypt-cli}}.

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
* [[Nginx]] 用の実験的なプラグインは {{Pkg|letsencrypt-nginx}} パッケージに入っています。
* {{Pkg|letsencrypt-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

== 設定 ==

証明を作成・インストールする方法は [https://letsencrypt.readthedocs.org/en/latest/ Let’s Encrypt クライアントのドキュメント] を参照してください。証明書の作成方法がはっきりしたら、この wiki にも記載します。

=== 手動 ===

{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
# letsencrypt certonly --manual

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

=== Webroot ===

webroot を使うことでウェブサーバー (例: Apache/nginx) を止めることなく証明書を取得・更新できます。

# letsencrypt certonly --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''

サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。

==== 自動更新 ====

{{ic|letsencrypt certonly}} を実行するとき、letsencryptはドメインとwebrootディレクトリを {{ic|/etc/letsencrypt/renewal}} に記録します。次回からは {{ic|letsencrypt renew}} を実行することで証明書を自動更新することができます。

以下の {{ic|.service}} ファイルを作成することで完全に自動化することが可能です:

{{hc|1=/etc/systemd/system/letsencrypt.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/letsencrypt renew}}

[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで毎月証明書を更新できます。

{{hc|1=/etc/systemd/system/letsencrypt.timer|
2=[Unit]
Description=Monthly renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=monthly
Persistent=true

[Install]
WantedBy=timers.target}}

{{ic|letsencrypt.timer}} を[[起動]]・[[有効化]]してください。また、証明書をいますぐ更新したい場合は {{ic|letsencrypt.service}} を[[起動]]してください。

証明書を更新するたびにウェブサーバーを再起動させることもできます。{{ic|letsencrypt.service}} ファイルに以下のどちらかの行を追加してください:

* Apache: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart httpd.service}}
* nginx: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart nginx.service}}

== 参照 ==

* [https://community.letsencrypt.org/t/list-of-client-implementations/2103 List of ACME clients]

Certbot

2016-04-08T15:19:12Z

Fragment: 「参照」項目追加

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:Let’s Encrypt]]
[https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオープンな認証局です。コマンドラインから有効な ssl 証明書を取得できるツールが提供されています。

== インストール ==

{{Pkg|letsencrypt}} パッケージを[[インストール]]してください。

A minimal client with manual CSR creation is available at {{AUR|acme-tiny}}. More integrated clients suitable for scripts are e.g. {{AUR|simp_le-git}} and {{AUR|letsencrypt-cli}}.

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
* [[Nginx]] 用の実験的なプラグインは {{Pkg|letsencrypt-nginx}} パッケージに入っています。
* {{Pkg|letsencrypt-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

== 設定 ==

証明を作成・インストールする方法は [https://letsencrypt.readthedocs.org/en/latest/ Let’s Encrypt クライアントのドキュメント] を参照してください。証明書の作成方法がはっきりしたら、この wiki にも記載します。

=== 手動 ===

{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
# letsencrypt certonly --manual

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

=== Webroot ===

webroot を使うことでウェブサーバー (例: Apache/nginx) を止めることなく証明書を取得・更新できます。

# letsencrypt certonly --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''

サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。

==== 自動更新 ====

{{ic|letsencrypt certonly}} を実行するとき、letsencryptはドメインとwebrootディレクトリを {{ic|/etc/letsencrypt/renewal}} に記録します。なので次回からは {{ic|letsencrypt renew}} を実行することで証明書を自動更新することができます。

以下の {{ic|.service}} ファイルを作成することで完全に自動化することが可能です:

{{hc|1=/etc/systemd/system/letsencrypt.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/letsencrypt renew}}

[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで毎月証明書を更新できます。

{{hc|1=/etc/systemd/system/letsencrypt.timer|
2=[Unit]
Description=Monthly renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=monthly
Persistent=true

[Install]
WantedBy=timers.target}}

{{ic|letsencrypt.timer}} を[[起動]]・[[有効化]]してください。また、証明書をいますぐ更新したい場合は {{ic|letsencrypt.service}} を[[起動]]してください。

証明書を更新するたびにウェブサーバーを再起動させることもできます。{{ic|letsencrypt.service}} ファイルに以下のどちらかの行を追加してください:

* Apache: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart httpd.service}}
* nginx: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart nginx.service}}

== 参照 ==

* [https://community.letsencrypt.org/t/list-of-client-implementations/2103 List of ACME clients]

Certbot

2016-04-08T15:16:05Z

Fragment: /* Webroot */ インポートと翻訳

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:Let’s Encrypt]]
[https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオープンな認証局です。コマンドラインから有効な ssl 証明書を取得できるツールが提供されています。

== インストール ==

{{Pkg|letsencrypt}} パッケージを[[インストール]]してください。

A minimal client with manual CSR creation is available at {{AUR|acme-tiny}}. More integrated clients suitable for scripts are e.g. {{AUR|simp_le-git}} and {{AUR|letsencrypt-cli}}.

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
* [[Nginx]] 用の実験的なプラグインは {{Pkg|letsencrypt-nginx}} パッケージに入っています。
* {{Pkg|letsencrypt-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

== 設定 ==

証明を作成・インストールする方法は [https://letsencrypt.readthedocs.org/en/latest/ Let’s Encrypt クライアントのドキュメント] を参照してください。証明書の作成方法がはっきりしたら、この wiki にも記載します。

=== 手動 ===

{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
# letsencrypt certonly --manual

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

=== Webroot ===

webroot を使うことでウェブサーバー (例: Apache/nginx) を止めることなく証明書を取得・更新できます。

# letsencrypt certonly --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''

サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。

==== 自動更新 ====

{{ic|letsencrypt certonly}} を実行するとき、letsencryptはドメインとwebrootディレクトリを {{ic|/etc/letsencrypt/renewal}} に記録します。なので次回からは {{ic|letsencrypt renew}} を実行することで証明書を自動更新することができます。

以下の {{ic|.service}} ファイルを作成することで完全に自動化することが可能です:

{{hc|1=/etc/systemd/system/letsencrypt.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/letsencrypt renew}}

[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで毎月証明書を更新できます。

{{hc|1=/etc/systemd/system/letsencrypt.timer|
2=[Unit]
Description=Monthly renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=monthly
Persistent=true

[Install]
WantedBy=timers.target}}

{{ic|letsencrypt.timer}} を[[起動]]・[[有効化]]してください。また、証明書をいますぐ更新したい場合は {{ic|letsencrypt.service}} を[[起動]]してください。

証明書を更新するたびにウェブサーバーを再起動させることもできます。{{ic|letsencrypt.service}} ファイルに以下のどちらかの行を追加してください:

* Apache: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart httpd.service}}
* nginx: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart nginx.service}}

Certbot

2016-04-08T15:05:05Z

Fragment: /* インストール */ インポートとそれに伴う細部の変更

[[Category:ネットワーク]]
[[Category:セキュリティ]]
[[en:Let’s Encrypt]]
[https://letsencrypt.org/ Let’s Encrypt] はフリーかつ自動化されたオープンな認証局です。コマンドラインから有効な ssl 証明書を取得できるツールが提供されています。

== インストール ==

{{Pkg|letsencrypt}} パッケージを[[インストール]]してください。

A minimal client with manual CSR creation is available at {{AUR|acme-tiny}}. More integrated clients suitable for scripts are e.g. {{AUR|simp_le-git}} and {{AUR|letsencrypt-cli}}.

公式クライアントを用いて発行された証明書はプラグインを使ってウェブサーバーに自動的に設定・インストールできます:
* [[Nginx]] 用の実験的なプラグインは {{Pkg|letsencrypt-nginx}} パッケージに入っています。
* {{Pkg|letsencrypt-apache}} パッケージも存在していますが、[[Apache HTTP Server]] を使っている場合の自動インストールは現在 Debian の派生ディストリビューションでしかサポートされていません。

== 設定 ==

証明を作成・インストールする方法は [https://letsencrypt.readthedocs.org/en/latest/ Let’s Encrypt クライアントのドキュメント] を参照してください。証明書の作成方法がはっきりしたら、この wiki にも記載します。

=== 手動 ===

{{Note|この方法では、一時的にウェブサーバーを停止する必要があります。[[#Webroot]] の方法ではウェブサーバーを実行しながらでも認証が行えます。}}

ウェブサーバーのプラグインが存在しない場合、次のコマンドを使って下さい:
# letsencrypt certonly --manual

上記のコマンドで自動的にドメインが認証されて秘密鍵と証明書のペアが作成されます。秘密鍵と証明書は {{ic|/etc/letsencrypt/live/''your.domain''/}} に保存されます。

上記のディレクトリに入っている秘密鍵と証明書を使用するように手動でウェブサーバーを設定します。

=== Webroot ===

webroot を使うことでウェブサーバー (例: Apache/nginx) を止めることなく証明書を取得・更新できます。

{{hc|1=/etc/systemd/system/letsencrypt.service|
2=[Unit]
Description=Let's Encrypt renewal

[Service]
Type=oneshot
ExecStart=/usr/bin/letsencrypt certonly --agree-tos --renew-by-default --email ''email@example.com'' --webroot -w ''/path/to/html/'' -d ''your.domain''}}

サーバーの設定で {{ic|/etc/letsencrypt/live/''your.domain''/}} の証明書を使うようにしてください。

[[systemd/タイマー|タイマー]]を追加する前に、サービスが正しく動作すること、何も入力が要求されないことを確認してください。

それから、タイマーを追加することで毎月証明書を更新できます。

{{hc|1=/etc/systemd/system/letsencrypt.timer|
2=[Unit]
Description=Monthly renewal of Let's Encrypt's certificates

[Timer]
OnCalendar=monthly
Persistent=true

[Install]
WantedBy=timers.target}}

{{ic|letsencrypt.timer}} を[[起動]]・[[有効化]]してください。また、証明書をいますぐ更新したい場合は {{ic|letsencrypt.service}} を[[起動]]してください。

証明書を更新するたびにウェブサーバーを再起動させることもできます。{{ic|letsencrypt.service}} ファイルに以下のどちらかの行を追加してください:

* Apache: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart httpd.service}}
* nginx: {{ic|1=ExecStartPost=/usr/sbin/systemctl restart nginx.service}}

Nginx

2016-04-08T15:00:20Z

Fragment: /* TLS/SSL */ 翻訳進行

{{Lowercase title}}
[[Category:ウェブサーバー]]
[[de:Nginx]]
[[en:Nginx]]
[[ru:Nginx]]
[[zh-CN:Nginx]]
[[Wikipedia:ja:nginx|nginx]] ("エンジンエックス"と発音します)は2005年から Igor Sysoev（ロシア）によって開発されている、フリーでオープンソースかつハイパフォーマンスな HTTP サーバーかつリバースプロクシで、IMAP/POP3 プロクシサーバーとしても機能します。Netcraft の [http://news.netcraft.com/archives/2014/01/03/january-2014-web-server-survey.html January 2014 Web Server Survey] によると、世界中の全てのドメインのうち 14.4% は Nginx によってホストされています。一方、[[Apache]] は41.64%をホストしています。Nginx は主に、その安定性・多機能・単純な設定・低リソース消費によって知られています。

== インストール ==

[[公式リポジトリ]]から {{Pkg|nginx}} パッケージを[[Pacman|インストール]]できます。

''Ruby on Rails'' のためにインストールするには、[[Ruby on Rails#Rails パーフェクトセットアップ]]を参照してください。

セキュリティを向上させるために chroot によるインストールをするには、[[#chroot でインストール]] を参照してください。

== サービスの開始 ==

Nginx サービスを走らせるには:
# systemctl start nginx

スタートアップ時に Nginx サービスを起動するには:
# systemctl enable nginx

http://127.0.0.1 にデフォルトで表示されるページは:
/usr/share/nginx/html/index.html

== 設定 ==

nginx における最初の手順は [http://nginx.org/en/docs/beginners_guide.html 公式のビギナーズガイド] で説明されています。{{ic|/etc/nginx/}} にあるファイルを編集することで Nginx の設定ができます。メインの設定ファイルは {{ic|/etc/nginx/nginx.conf}} です。

より詳しい解説はこちら: 公式の [http://nginx.org/en/docs/ ドキュメント] にある [http://wiki.nginx.org/Configuration Nginx Configuration Examples]。

=== 一般設定 ===

{{ic|worker_processes}} の適当な値を探って下さい。この設定は最終的に nginx が受け入れる接続の数と利用できるプロセスの数を定義します。通常、システムのハードウェアのスレッド数にすると良いでしょう。また、バージョン 1.3.8 と 1.2.5 から {{ic|worker_processes}} には {{ic|auto}} と設定することができ、最適な値を自動的に検出します ([http://nginx.org/en/docs/ngx_core_module.html#worker_processes ソース])。

nginx が受け入れる最大接続数は {{ic|1=max_clients = worker_processes * worker_connections}} で計算できます。

==== サーバーブロック ====

{{ic|server}} ブロックを使うことで複数のドメインを利用することができます。"バーチャルホスト"とも呼ばれますが、これは [[Apache]] の用語です。{{ic|server}} ブロックの利用方法は [http://wiki.nginx.org/ServerBlockExample Apache] とは異なっています。

以下の例では2つのドメインの接続をサーバーが待機します: {{ic|domainname1.dom}} と {{ic|domainname2.dom}}:
{{hc|/etc/nginx/nginx.conf|<nowiki>
...
server {
listen 80;
server_name domainname1.dom;
root /usr/share/nginx/domainname1.dom/html;
location / {
index index.php index.html index.htm;
}
}

server {
listen 80;
server_name domainname2.dom;
root /usr/share/nginx/domainname2.dom/html;
...
}
...
}</nowiki>}}

{{ic|nginx.service}} を[[再起動]]して変更を適用します。

クライアントからの接続時にこれらのドメイン名を解決するには、[[BIND]] や [[dnsmasq]] などのDNSサーバーを設定する必要があります。

ローカルマシンでバーチャルホストをテストするには、{{ic|/etc/hosts}} ファイルにバーチャルネームを追加してください:
127.0.0.1 domainname1.dom
127.0.0.1 domainname2.dom

==== TLS/SSL ====
SSL を使用するには、{{pkg|openssl}} をインストールする必要があります。

{{Tip|You may want to read the [http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate ngx_http_ssl_module] docs first before configuring SSL}}

{{Tip|[[Let’s Encrypt]] is a free, automated, and open certificate authority. A nginx plugin is available by installing {{Pkg|letsencrypt-nginx}} to request valid ssl certificates straight from the command line and automatic configuration.}}

自己署名証明書を作成してください (キーのサイズや効力の日数は変更できます):
# cd /etc/nginx/
# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out cert.key
# chmod 600 cert.key
# openssl req -new -key cert.key -out cert.csr
# openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

{{Note|その他の ''openssl'' オプションに関しては、 OpenSSLの [https://www.openssl.org/docs/apps/openssl.html man page] か [https://www.openssl.org/docs/ extensive documentation] を参照してください。}}

{{Warning|If you plan on implementing SSL/TLS, know that some variations and implementations are [https://weakdh.org/#affected still] [[wikipedia:Transport_Layer_Security#Attacks_against_TLS.2FSSL|vulnerable to attack]]. For details on these current vulnerabilities within SSL/TLS and how to apply appropriate changes to nginx, visit http://disablessl3.com/ and https://weakdh.org/sysadmin.html}}

TLS/SSLを用いる場合の {{ic|nginx.conf}} 設定サンプル:

{{hc|/etc/nginx/nginx.conf|<nowiki>
http {
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s; # Google DNS Servers
resolver_timeout 5s;
}

server {
#listen 80; # Uncomment to also listen for HTTP requests
listen 443 ssl;
server_name localhost;

ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.key;

root /usr/share/nginx/html;
location / {
index index.html index.htm;
}
}
</nowiki>}}

{{Tip|
* Mozilla has a useful [https://wiki.mozilla.org/Security/Server_Side_TLS SSL/TLS article] which includes [https://wiki.mozilla.org/Security/Server_Side_TLS#Nginx nginx specific] configuration guidelines as well as an [https://mozilla.github.io/server-side-tls/ssl-config-generator/ automated tool] to help create a more secure configuration.
* [https://cipherli.st Cipherli.st] は大半のモダンなサーバーに対して強力なSSL実装例とチュートリアルを提供します。
}}

{{ic|nginx.service}} を再起動して変更を適用します。

=== FastCGI ===

FastCGI、または FCGI はウェブサーバーでインタラクティブなプログラムを動作させるためのプロトコルです。FastCGI は Common Gateway Interface (CGI) の変種で、ウェブサーバーと CGI プログラムのオーバーヘッドを減らすよう設計されていて、サーバーはより多くのウェブページのリクエストを一度に捌くことができます。

Nginx には FastCGI が組み込まれており多くの外部ツールが動きます、例えば Perl、[[PHP]]、[[Python]] など。これらを使うためにはまず FastCGI サーバーを動かす必要があります。

==== PHP を動かす ====

PHP のために FastCGI サーバーを動かす方法は複数あります。ここでは推奨方法として php-fpm を使う方法を記載しています。

===== 手順1: PHP の設定 =====

{{Pkg|php}} をインストールしてください。{{ic|/etc/php/php.ini}} の中にある {{Ic|open_basedir}} に PHP ファイルが含まれているベースディレクトリを（{{ic|/srv/http/}} や {{ic|/usr/share/webapps/}} のような感じで）指定しなくてはなりません:
open_basedir = /usr/share/webapps/:/srv/http/:/home/:/tmp/:/usr/share/pear/

そうしたら必要なモジュールを設定しましょう。例えば sqlite3 を使うなら {{Pkg|php-sqlite}} をインストールして、{{ic|/etc/php/php.ini}} の次の行をアンコメントして有効にします:
extension=sqlite3.so

{{Note|chroot 環境で nginx を動かしている場合 (chroot は {{ic|/srv/nginx-jail}} で、ウェブページは {{ic|/srv/nginx-jail/www}}) です。{{ic|/etc/php/php-fpm.conf}} ファイルを編集して {{ic|chroot /srv/nginx-jail}} と {{ic|1=listen = /srv/nginx-jail/run/php-fpm/php-fpm.sock}} ディレクティブを pool セクション (デフォルトは {{ic|[www]}}) の中に記述する必要があります。ソケットファイルのディレクトリが存在しない場合は作成してください。}}

====== MariaDB ======
[[MariaDB]] で説明されているようにして MySQL/MariaDB を設定してください。

{{ic|/etc/php/php.ini}} の以下の行の [http://www.php.net/manual/en/mysqlinfo.api.choosing.php 少なくともどれか一つ] をアンコメント:
extension=pdo_mysql.so
extension=mysqli.so
{{Warning|PHP 5.5 から、{{ic|mysql.so}} は [http://www.php.net/manual/de/migration55.deprecated.php 廃止] されログファイルにエラーが表示されます。}}

ウェブスクリプトのために最小権限の MySQL ユーザーを追加することができます。また、{{ic|/etc/mysql/my.cnf}} を編集して {{ic|skip-networking}} 行をアンコメントすると MySQL サーバーはローカルホストからしかアクセスできなくなります。変更を適用するには MySQL を再起動する必要があります。

{{Tip|データベースを利用するために [[phpMyAdmin]], [[Adminer]], {{Pkg|mysql-workbench}} などのツールをインストールしても良いでしょう。}}

===== 手順2: php-fpm =====

* http://php-fpm.org

{{Pkg|php-fpm}} をインストールします:
# pacman -S php-fpm

設定ファイルは {{ic|/etc/php/php-fpm.conf}} です。

サービスを動かします:
# systemctl start php-fpm

{{Ic|php-fpm}} をスタートアップ時に有効にします:
# systemctl enable php-fpm.service

===== 手順3: Nginx の設定 =====

それぞれの {{ic|server}} ブロックの中の {{ic|location}} ブロックに PHP アプリケーションを次のように記述します:

location ~ \.php$ {
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}

{{Ic|/etc/nginx/php.conf}} を作って設定をそこに書く場合、このファイルを {{Ic|server}} ブロックに入れて下さい。
server = {
...
include php.conf;
...
}

.html や .htm ファイルを PHP として処理したい場合は、以下のようにしてください:
location ~ \.(php'''|html|htm''')$ {
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}

拡張子が .php でないファイルを php-fpm で動かすことを {{Ic|/etc/php/php-fpm.conf}} で有効にする必要があります:
security.limit_extensions = .php .html .htm

設定を変えた後は php-fpm デーモンを再起動してください。
# systemctl restart php-fpm

{{Note|{{Ic|fastcgi_pass}} 引数に'''注意を払って下さい'''、FastCGI サーバーの設定ファイルで定義された TCP や Unix ソケットでなくてはなりません。'''デフォルトの''' {{Ic|php-fpm}} (Unix) ソケットは
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
'''デフォルトの代わりに'''、通常の TCP ソケットを使うこともできます
fastcgi_pass 127.0.0.1:9000;
ただし Unix ドメインソケットの方が高速です。}}

Nginx のための FastCGI 設定がある {{Ic|fastcgi.conf}} か {{Ic|fastcgi_params}} が含まれていますが、後者は使われなくなりました。これらのファイルは Nginx をインストールしたときに作られます。

最後に、Nginx が動作している場合は再起動してください:
# systemctl restart nginx

FastCGI をテストしたい場合は、{{ic|/usr/share/nginx/html/index.php}} を次の内容で作成して
<?php
phpinfo();
?>
ブラウザで http://127.0.0.1/index.php を開いて下さい。

以下は実際の設定例です。例の中では {{ic|root}} パスは {{ic|server}} の下に直接指定されており (デフォルト設定のように) {{ic|location}} の中には置いていません。

server {
listen 80;
server_name localhost;
root /usr/share/nginx/html;
location / {
index index.html index.htm index.php;
}

location ~ \.php$ {
#fastcgi_pass 127.0.0.1:9000; (depending on your php-fpm socket configuration)
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
}

==== CGI を動かす ====

この実装は CGI アプリケーションに必要です。

===== 手順1: fcgiwrap =====

{{Pkg|fcgiwrap}} をインストールしてください。
設定ファイルは {{ic|/usr/lib/systemd/system/fcgiwrap.socket}} です。
[[systemd]] の ''fcgiwrap.socket'' を有効化・起動します。

この systemd ユニットファイルは現在 [https://bugs.archlinux.org/task/31696 ArchLinux のタスクページ]で議論されています。思い通りに動くか確認するためにユニットファイルを自分で検査すると良いでしょう。

====== マルチワーカースレッド ======

複数のワーカースレッドを生成したい場合は、{{AUR|multiwatch}} を使用するのが推奨されています。これはクラッシュした子スレッドの再起動の面倒をみてくれます。multiwatch は systemd が作成したソケットを管理できないため、unix ソケットを作成するには {{ic|spawn-fcgi}} を使う必要がありますが、ユニットファイルから直接実行した場合は fcgiwrap には問題が生じません。

{{ic|/usr/lib/systemd/system/fcgiwrap.service}} から {{ic|/etc/systemd/system/fcgiwrap.service}} にユニットファイルをコピーして (存在する場合は {{ic|fcgiwrap.socket}} ユニットも)、{{ic|ExecStart}} 行を必要に応じて修正してください。以下は {{AUR|multiwatch}} を使用するユニットファイルです。{{ic|fcgiwrap.socket}} が実行中だったり有効になっていないことを確認してください、このユニットと衝突してしまうからです:

{{hc|/etc/systemd/system/fcgiwrap.service|2=
[Unit]
Description=Simple CGI Server
After=nss-user-lookup.target

[Service]
ExecStartPre=/bin/rm -f /run/fcgiwrap.socket
ExecStart=/usr/bin/spawn-fcgi -u http -g http -s /run/fcgiwrap.sock -n -- /usr/bin/multiwatch -f 10 -- /usr/sbin/fcgiwrap
ExecStartPost=/usr/bin/chmod 660 /run/fcgiwrap.sock
PrivateTmp=true
Restart=on-failure

[Install]
WantedBy=multi-user.target
}}

{{ic|-f 10}} は生成する子スレッドの数に変更してください。

{{Warning|The ExecStartPost line is required because of strange behaviour I'm seeing when I use the {{ic|-M 660}} option for {{ic|spawn-fcgi}}. The wrong mode is set. This may be a bug?}}

===== 手順2: Nginx の設定 =====

CGI ウェブアプリケーションを置くそれぞれの {{Ic|server}} ブロックには以下のような {{Ic|location}} ブロックを記述します:

location ~ \.cgi$ {
root /path/to/server/cgi-bin;
fastcgi_pass unix:/run/fcgiwrap.sock;
include fastcgi.conf;
}

{{Ic|fcgiwrap}} の'''デフォルト''' (Unix) ソケットは ''/run/fcgiwrap.sock'' です。

== chroot でインストール ==

[[chroot]] に Nginx をインストールすることでセキュリティレイヤーを追加することができます。セキュリティを最大限に高めるために、Nginx サーバーを動かすのに必要なファイルだけを入れて、全てのファイルは出来る限り最小限の権限にします。例えば、なるべく root が所有するようにして、{{ic|/usr/bin}} などのディレクトリは読み書きできないようにするなど。

Arch はデフォルトでサーバーを実行するための {{ic|http}} ユーザーとグループが設定されています。chroot は {{ic|/srv/http}} で動作させます。

この牢獄を作るための perl スクリプトが [https://gist.github.com/4365696 jail.pl gist] にあります。このスクリプトを使用するか、またはこの記事の指示に従って作成するか選ぶことができます。スクリプトは root で実行してください。変更を適用する前に行をアンコメントする必要があります。

=== 必要なデバイスを作成 ===

Nginx には {{ic|/dev/null}}, {{ic|/dev/random}}, {{ic|/dev/urandom}} が必要です。これらを chroot にインストールするために {{ic|/dev/}} フォルダを作成してデバイスを mknod で追加します。chroot が危険になったときでも、攻撃者が {{ic|/dev/sda1}} などの重要なデバイスにアクセスするには chroot から脱出しなくてはならないようにするために、{{ic|/dev/}} を全てマウントはしません。

{{Tip|mknod の引数については {{ic|man mknod}} や {{ic|<nowiki>ls -l /dev/{null,random,urandom}</nowiki>}} を見て下さい。}}

# export JAIL=/srv/http
# mkdir $JAIL/dev
# mknod -m 0666 $JAIL/dev/null c 1 3
# mknod -m 0666 $JAIL/dev/random c 1 8
# mknod -m 0444 $JAIL/dev/urandom c 1 9

=== 必要なフォルダを作成 ===

Nginx を適切に実行するためにはたくさんのファイルが必要になります。それらをコピーする前に、ファイルを保存するためのフォルダを作成してください。ここでは Nginx のドキュメントルートが {{ic|/srv/http/www}} であると仮定します。

# mkdir -p $JAIL/etc/nginx/logs
# mkdir -p $JAIL/usr/{lib,bin}
# mkdir -p $JAIL/usr/share/nginx
# mkdir -p $JAIL/var/{log,lib}/nginx
# mkdir -p $JAIL/www/cgi-bin
# mkdir -p $JAIL/{run,tmp}
# cd $JAIL; ln -s usr/lib lib

{{Note|64ビットのカーネルを使っている場合 {{ic|usr/lib}} に {{ic|lib64}} と {{ic|usr/lib64}} のシンボリックリンクを作成する必要があります: {{ic|cd $JAIL; ln -s usr/lib lib64}} と {{ic|cd $JAIL/usr; ln -s lib lib64}}。}}

そして {{ic|$JAIL/tmp}} と {{ic|$JAIL/run}} を tmpfs でマウントします。攻撃者が RAM を全て喰いつくせないようにサイズを制限すると良いでしょう。

# mount -t tmpfs none $JAIL/run -o 'noexec,size=1M'
# mount -t tmpfs none $JAIL/tmp -o 'noexec,size=100M'

再起動してもマウントが維持されるように、以下のエントリを {{ic|/etc/fstab}} に追加します:

{{hc|/etc/fstab|<nowiki>
tmpfs /srv/http/run tmpfs rw,noexec,relatime,size=1024k 0 0
tmpfs /srv/http/tmp tmpfs rw,noexec,relatime,size=102400k 0 0
</nowiki>}}

=== chroot に移住 ===

まず平易なファイルをコピーします。

# cp -r /usr/share/nginx/* $JAIL/usr/share/nginx
# cp -r /usr/share/nginx/html/* $JAIL/www
# cp /usr/bin/nginx $JAIL/usr/bin/
# cp -r /var/lib/nginx $JAIL/var/lib/nginx

そして必要なライブラリをコピーします。ldd を使ってライブラリを確認して適当な場所にコピーして下さい。ハードリンクよりはコピーが推奨されます。攻撃者が書き込み権限を得たときに本当のシステムファイルが破壊されたり改変される可能性があるためです。

{{hc|$ ldd /usr/bin/nginx|<nowiki>
linux-vdso.so.1 (0x00007fffc41fe000)
libpthread.so.0 => /usr/lib/libpthread.so.0 (0x00007f57ec3e8000)
libcrypt.so.1 => /usr/lib/libcrypt.so.1 (0x00007f57ec1b1000)
libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00007f57ebead000)
libm.so.6 => /usr/lib/libm.so.6 (0x00007f57ebbaf000)
libpcre.so.1 => /usr/lib/libpcre.so.1 (0x00007f57eb94c000)
libssl.so.1.0.0 => /usr/lib/libssl.so.1.0.0 (0x00007f57eb6e0000)
libcrypto.so.1.0.0 => /usr/lib/libcrypto.so.1.0.0 (0x00007f57eb2d6000)
libdl.so.2 => /usr/lib/libdl.so.2 (0x00007f57eb0d2000)
libz.so.1 => /usr/lib/libz.so.1 (0x00007f57eaebc000)
libGeoIP.so.1 => /usr/lib/libGeoIP.so.1 (0x00007f57eac8d000)
libgcc_s.so.1 => /usr/lib/libgcc_s.so.1 (0x00007f57eaa77000)
libc.so.6 => /usr/lib/libc.so.6 (0x00007f57ea6ca000)
/lib64/ld-linux-x86-64.so.2 (0x00007f57ec604000)</nowiki>}}

# cp /lib64/ld-linux-x86-64.so.2 $JAIL/lib

{{ic|/usr/lib}} の中にあるファイルについては次のワンライナーが使えます:
{{bc|<nowiki># cp $(ldd /usr/bin/nginx | grep /usr/lib | sed -sre 's/(.+)(\/usr\/lib\/\S+).+/\2/g') $JAIL/usr/lib</nowiki>}}

{{Note|{{ic|linux-vdso.so}} をコピーしないでください – 実際のライブラリではなく {{ic|/usr/lib}} には存在しません。64ビット環境の場合 {{ic|ld-linux-x86-64.so}} も {{ic|/lib64}} にあるように表示されます。}}

必要なライブラリとシステムファイル以外のファイルをコピーします。

{{bc|# cp /usr/lib/libnss_* $JAIL/usr/lib
# cp -rfvL /etc/{services,localtime,nsswitch.conf,nscd.conf,protocols,hosts,ld.so.cache,ld.so.conf,resolv.conf,host.conf,nginx} $JAIL/etc}}

Create restricted user/group files for the chroot. This way only the
users needed for the chroot to function exist as far as the chroot
knows, and none of the system users/groups are leaked to attackers
should they gain access to the chroot.

{{hc|$JAIL/etc/group|
http:x:33:
nobody:x:99:
}}

{{hc|$JAIL/etc/passwd|
http:x:33:33:http:/:/bin/false
nobody:x:99:99:nobody:/:/bin/false
}}

{{hc|$JAIL/etc/shadow|
http:x:14871::::::
nobody:x:14871::::::
}}

{{hc|$JAIL/etc/gshadow|
http:::
nobody:::
}}

# touch $JAIL/etc/shells
# touch $JAIL/run/nginx.pid

Finally make set very restrictive permissions. As much as possible
should be owned by root and set unwritable.

# chown -R root:root $JAIL/

# chown -R http:http $JAIL/www
# chown -R http:http $JAIL/etc/nginx
# chown -R http:http $JAIL/var/{log,lib}/nginx
# chown http:http $JAIL/run/nginx.pid

# find $JAIL/ -gid 0 -uid 0 -type d -print | xargs sudo chmod -rw
# find $JAIL/ -gid 0 -uid 0 -type d -print | xargs sudo chmod +x
# find $JAIL/etc -gid 0 -uid 0 -type f -print | xargs sudo chmod -x
# find $JAIL/usr/bin -type f -print | xargs sudo chmod ug+rx
# find $JAIL/ -group http -user http -print | xargs sudo chmod o-rwx
# chmod +rw $JAIL/tmp
# chmod +rw $JAIL/run

If your server will bind port 80 (or any port 0-1024), give the
chrooted executable permission to bind these ports without root.

# setcap 'cap_net_bind_service=+ep' $JAIL/usr/bin/nginx

=== nginx.service を変更して chroot を起動 ===

Before modifying the nginx.service unit file, it may be a good idea to copy it to
{{ic|/etc/systemd/system/}} since the unit files there take priority over those in {{ic|/usr/lib/systemd/system/}}.
This means upgrading nginx would not modify your custom .service file.
# cp /usr/lib/systemd/system/nginx.service /etc/systemd/system/nginx.service

The systemd unit must be changed to start up Nginx in the chroot, as
the http user, and store the pid file in the chroot
{{Note|I'm not sure if the pid file needs to be stored in the chroot jail.}}

{{hc|/etc/systemd/system/nginx.service|<nowiki>
[Unit]
Description=A high performance web server and a reverse proxy server
After=syslog.target network.target

[Service]
Type=forking
PIDFile=/srv/http/run/nginx.pid
ExecStartPre=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -t -q -g 'pid /run/nginx.pid; daemon on; master_process on;'
ExecStart=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid; daemon on; master_process on;'
ExecReload=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid; daemon on; master_process on;' -s reload
ExecStop=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid;' -s quit

[Install]
WantedBy=multi-user.target</nowiki>}}

{{Note|Upgrading nginx with pacman will not upgrade the chrooted nginx installation. You have to take care of the updates manually by repeating some of the steps above. Do not forget to also update the libraries it links against. }}

You can now safely get rid of the non-chrooted nginx installation.
# pacman -Rsc nginx

If you do not remove the non-chrooted nginx installation, you may want to make sure that the running nginx process is in fact the chrooted one. You can do so by checking where {{ic|/proc/{PID}/root}} symmlinks to. If should link to {{ic|/srv/http}} instead of {{ic|/}}.
# ps -C nginx | awk '{print $1}' | sed 1d | while read -r PID; do ls -l /proc/$PID/root; done

== トラブルシューティング ==

=== 設定の確認 ===
# nginx -t

結果:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

=== ローカル IP へのアクセスが localhost にリダイレクトされる ===

Arch Linux [https://bbs.archlinux.org/viewtopic.php?pid=780561#p780561 フォーラム]からの解決法があります。

{{ic|/etc/nginx/nginx.conf}} を開き、"server_name localhost" の前の # を取り除き、以下を付け加えます:
server_name_in_redirect off;

デフォルトでは、nginx は設定にある server_name へのリクエストをすべてリダイレクトします。

=== Error: 403 (Permission error) ===

This is most likely a permission error. Are you sure whatever user configured in the Nginx configuration is able to read the correct files?

If the files are located within a home directory, (e.g. {{ic|/home/arch/public/webapp}}) and you are sure the user running Nginx has the right permissions (you can temporarily chmod all the files to 777 in order to determine this), {{ic|/home/arch}} might be '''chmod 750''', simply {{Ic|chmod}} it to ''751'', and it should work.

'''If you have changed your document root'''

If you are sure that permissions are as they should be, make sure that your document root directory is not empty. Try creating index.html in there.

=== Error: 404 (Pathinfo error) ===

いくつかのフレームワーク（thinkphp、cakephp など）や CMS では pathinfo が必要です。

1. {{ic|/etc/php/php.ini}} ファイルを開き、次のように付け加えます
cgi.fix_pathinfo=1
2. {{ic|/etc/nginx/nginx.conf}} を開き、次の部分をコメントアウトします

location ~ \.php$ {
...
}

を

#location ~ \.php$ {
#...
#}

そして以下を加えます
location ~ ^(.+\.php)(.*)$ {
root /srv/http/nginx;
fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
#fastcgi_pass 127.0.0.1:9000; #Un-comment this and comment "fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;" if you are not using php-fpm.
fastcgi_index index.php;
set $document_root2 $document_root;
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_param SCRIPT_FILENAME $document_root2$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root2$fastcgi_path_info;
include fastcgi_params;
fastcgi_param DOCUMENT_ROOT $document_root2;
}

try_files を使う方法もあります:
server {
..
root /usr/share/nginx/html;
index index.php;
location / {
try_files $uri $uri/ /index.php?$args;
}
}

=== Error: The page you are looking for is temporarily unavailable. Please try again later. ===

FastCGI サーバーが動作していないか、ソケットが間違ったパーミッションに設定されています。

=== Error: No input file specified ===

おそらくスクリプトのフルパスを含んだ SCRIPT_FILENAME がありません。
nginx の設定 (fastcgi_param SCRIPT_FILENAME) が完全でも、このエラーは php が requestd スクリプトをロードできないことを意味しています。これは単純にパーミッションの問題であることが普通で、root で php-cgi を実行するか
# spawn-fcgi -a 127.0.0.1 -p 9000 -f /usr/bin/php-cgi
php-cgi を起動するグループとユーザーを作成する必要があります。例えば:
# groupadd www
# useradd -g www www
# chmod +w /srv/www/nginx/html
# chown -R www:www /srv/www/nginx/html
# spawn-fcgi -a 127.0.0.1 -p 9000 -u www -g www -f /usr/bin/php-cgi

他の可能性としては、{{ic|nginx.conf}} 内の "location ~ \.php$" セクションの "root" 引数が間違っていることがありえます。"root" が同じサーバーの "location /" と同じディレクトリを示しているか確認してください。もしくは root をグローバルに設定するには、location セクションで定義しないでください。

Also keep in mind that your php script path was defined as {{ic|/srv/http}} by default using the variable "open_basedir" in {{ic|/etc/php/php.ini}}; you can change them if you need.

Also notice that not only php script should have read permission, but also the entire directory structure should have execute permission so that PHP user can traverse the path.

=== Error: FastCGI で空のページが表示される ===

access.log にエラーが表示されず、コード200が返されるのに以下のような空のページが表示される場合:

<html>
<head></head>
<body></body>
</html>

[http://beutelevision.com/blog2/2013/08/26/nginx-with-php-fpm-generating-blank-page/ Thomas Beutel のブログ] に書かれた解決方法:

{{ic|/etc/nginx/nginx.conf}} を編集して php の {{ic|location}} セクションに {{ic|fastcgi_param}} という行を追加:

location ~ \.php$ {
...
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
...
}

php_fpm では PHP ファイルのパスを認識するために以上のように設定する必要があります。

== 参照 ==
* [http://nginx.org/ Nginx 公式サイト]
* [http://calomel.org/nginx.html Nginx HowTo]
* [http://wiki.gotux.net/config:nginx Easy Config Files]
* [http://www.tecmint.com/install-nginx-php-mysql-with-mariadb-engine-and-phpmyadmin-in-arch-linux/ Installing LEMP (Nginx, PHP, MySQL with MariaDB engine and PhpMyAdmin) in Arch Linux]

Nginx

2016-04-08T14:49:01Z

Fragment: /* SSL */ 英語wikiよりインポート

{{Lowercase title}}
[[Category:ウェブサーバー]]
[[de:Nginx]]
[[en:Nginx]]
[[ru:Nginx]]
[[zh-CN:Nginx]]
[[Wikipedia:ja:nginx|nginx]] ("エンジンエックス"と発音します)は2005年から Igor Sysoev（ロシア）によって開発されている、フリーでオープンソースかつハイパフォーマンスな HTTP サーバーかつリバースプロクシで、IMAP/POP3 プロクシサーバーとしても機能します。Netcraft の [http://news.netcraft.com/archives/2014/01/03/january-2014-web-server-survey.html January 2014 Web Server Survey] によると、世界中の全てのドメインのうち 14.4% は Nginx によってホストされています。一方、[[Apache]] は41.64%をホストしています。Nginx は主に、その安定性・多機能・単純な設定・低リソース消費によって知られています。

== インストール ==

[[公式リポジトリ]]から {{Pkg|nginx}} パッケージを[[Pacman|インストール]]できます。

''Ruby on Rails'' のためにインストールするには、[[Ruby on Rails#Rails パーフェクトセットアップ]]を参照してください。

セキュリティを向上させるために chroot によるインストールをするには、[[#chroot でインストール]] を参照してください。

== サービスの開始 ==

Nginx サービスを走らせるには:
# systemctl start nginx

スタートアップ時に Nginx サービスを起動するには:
# systemctl enable nginx

http://127.0.0.1 にデフォルトで表示されるページは:
/usr/share/nginx/html/index.html

== 設定 ==

nginx における最初の手順は [http://nginx.org/en/docs/beginners_guide.html 公式のビギナーズガイド] で説明されています。{{ic|/etc/nginx/}} にあるファイルを編集することで Nginx の設定ができます。メインの設定ファイルは {{ic|/etc/nginx/nginx.conf}} です。

より詳しい解説はこちら: 公式の [http://nginx.org/en/docs/ ドキュメント] にある [http://wiki.nginx.org/Configuration Nginx Configuration Examples]。

=== 一般設定 ===

{{ic|worker_processes}} の適当な値を探って下さい。この設定は最終的に nginx が受け入れる接続の数と利用できるプロセスの数を定義します。通常、システムのハードウェアのスレッド数にすると良いでしょう。また、バージョン 1.3.8 と 1.2.5 から {{ic|worker_processes}} には {{ic|auto}} と設定することができ、最適な値を自動的に検出します ([http://nginx.org/en/docs/ngx_core_module.html#worker_processes ソース])。

nginx が受け入れる最大接続数は {{ic|1=max_clients = worker_processes * worker_connections}} で計算できます。

==== サーバーブロック ====

{{ic|server}} ブロックを使うことで複数のドメインを利用することができます。"バーチャルホスト"とも呼ばれますが、これは [[Apache]] の用語です。{{ic|server}} ブロックの利用方法は [http://wiki.nginx.org/ServerBlockExample Apache] とは異なっています。

以下の例では2つのドメインの接続をサーバーが待機します: {{ic|domainname1.dom}} と {{ic|domainname2.dom}}:
{{hc|/etc/nginx/nginx.conf|<nowiki>
...
server {
listen 80;
server_name domainname1.dom;
root /usr/share/nginx/domainname1.dom/html;
location / {
index index.php index.html index.htm;
}
}

server {
listen 80;
server_name domainname2.dom;
root /usr/share/nginx/domainname2.dom/html;
...
}
...
}</nowiki>}}

{{ic|nginx.service}} を[[再起動]]して変更を適用します。

クライアントからの接続時にこれらのドメイン名を解決するには、[[BIND]] や [[dnsmasq]] などのDNSサーバーを設定する必要があります。

ローカルマシンでバーチャルホストをテストするには、{{ic|/etc/hosts}} ファイルにバーチャルネームを追加してください:
127.0.0.1 domainname1.dom
127.0.0.1 domainname2.dom

==== TLS/SSL ====
SSL を使用するには、{{pkg|openssl}} をインストールする必要があります。

{{Tip|You may want to read the [http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate ngx_http_ssl_module] docs first before configuring SSL}}

{{Tip|[[Let’s Encrypt]] is a free, automated, and open certificate authority. A nginx plugin is available by installing {{Pkg|letsencrypt-nginx}} to request valid ssl certificates straight from the command line and automatic configuration.}}

自己署名証明書を作成してください (キーのサイズや効力の日数は変更できます):
# cd /etc/nginx/
# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out cert.key
# chmod 600 cert.key
# openssl req -new -key cert.key -out cert.csr
# openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

{{Note|For more ''openssl'' options, read its [https://www.openssl.org/docs/apps/openssl.html man page] or peruse its [https://www.openssl.org/docs/ extensive documentation].}}

{{Warning|If you plan on implementing SSL/TLS, know that some variations and implementations are [https://weakdh.org/#affected still] [[wikipedia:Transport_Layer_Security#Attacks_against_TLS.2FSSL|vulnerable to attack]]. For details on these current vulnerabilities within SSL/TLS and how to apply appropriate changes to nginx, visit http://disablessl3.com/ and https://weakdh.org/sysadmin.html}}

Example of a {{ic|nginx.conf}} using SSL:

{{hc|/etc/nginx/nginx.conf|<nowiki>
http {
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s; # Google DNS Servers
resolver_timeout 5s;
}

server {
#listen 80; # Uncomment to also listen for HTTP requests
listen 443 ssl;
server_name localhost;

ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.key;

root /usr/share/nginx/html;
location / {
index index.html index.htm;
}
}
</nowiki>}}

{{Tip|
* Mozilla has a useful [https://wiki.mozilla.org/Security/Server_Side_TLS SSL/TLS article] which includes [https://wiki.mozilla.org/Security/Server_Side_TLS#Nginx nginx specific] configuration guidelines as well as an [https://mozilla.github.io/server-side-tls/ssl-config-generator/ automated tool] to help create a more secure configuration.
* [https://cipherli.st Cipherli.st] provides strong SSL implementation examples and tutorial for most modern webservers.
}}

{{ic|nginx.service}} を再起動して変更を適用します。

=== FastCGI ===

FastCGI、または FCGI はウェブサーバーでインタラクティブなプログラムを動作させるためのプロトコルです。FastCGI は Common Gateway Interface (CGI) の変種で、ウェブサーバーと CGI プログラムのオーバーヘッドを減らすよう設計されていて、サーバーはより多くのウェブページのリクエストを一度に捌くことができます。

Nginx には FastCGI が組み込まれており多くの外部ツールが動きます、例えば Perl、[[PHP]]、[[Python]] など。これらを使うためにはまず FastCGI サーバーを動かす必要があります。

==== PHP を動かす ====

PHP のために FastCGI サーバーを動かす方法は複数あります。ここでは推奨方法として php-fpm を使う方法を記載しています。

===== 手順1: PHP の設定 =====

{{Pkg|php}} をインストールしてください。{{ic|/etc/php/php.ini}} の中にある {{Ic|open_basedir}} に PHP ファイルが含まれているベースディレクトリを（{{ic|/srv/http/}} や {{ic|/usr/share/webapps/}} のような感じで）指定しなくてはなりません:
open_basedir = /usr/share/webapps/:/srv/http/:/home/:/tmp/:/usr/share/pear/

そうしたら必要なモジュールを設定しましょう。例えば sqlite3 を使うなら {{Pkg|php-sqlite}} をインストールして、{{ic|/etc/php/php.ini}} の次の行をアンコメントして有効にします:
extension=sqlite3.so

{{Note|chroot 環境で nginx を動かしている場合 (chroot は {{ic|/srv/nginx-jail}} で、ウェブページは {{ic|/srv/nginx-jail/www}}) です。{{ic|/etc/php/php-fpm.conf}} ファイルを編集して {{ic|chroot /srv/nginx-jail}} と {{ic|1=listen = /srv/nginx-jail/run/php-fpm/php-fpm.sock}} ディレクティブを pool セクション (デフォルトは {{ic|[www]}}) の中に記述する必要があります。ソケットファイルのディレクトリが存在しない場合は作成してください。}}

====== MariaDB ======
[[MariaDB]] で説明されているようにして MySQL/MariaDB を設定してください。

{{ic|/etc/php/php.ini}} の以下の行の [http://www.php.net/manual/en/mysqlinfo.api.choosing.php 少なくともどれか一つ] をアンコメント:
extension=pdo_mysql.so
extension=mysqli.so
{{Warning|PHP 5.5 から、{{ic|mysql.so}} は [http://www.php.net/manual/de/migration55.deprecated.php 廃止] されログファイルにエラーが表示されます。}}

ウェブスクリプトのために最小権限の MySQL ユーザーを追加することができます。また、{{ic|/etc/mysql/my.cnf}} を編集して {{ic|skip-networking}} 行をアンコメントすると MySQL サーバーはローカルホストからしかアクセスできなくなります。変更を適用するには MySQL を再起動する必要があります。

{{Tip|データベースを利用するために [[phpMyAdmin]], [[Adminer]], {{Pkg|mysql-workbench}} などのツールをインストールしても良いでしょう。}}

===== 手順2: php-fpm =====

* http://php-fpm.org

{{Pkg|php-fpm}} をインストールします:
# pacman -S php-fpm

設定ファイルは {{ic|/etc/php/php-fpm.conf}} です。

サービスを動かします:
# systemctl start php-fpm

{{Ic|php-fpm}} をスタートアップ時に有効にします:
# systemctl enable php-fpm.service

===== 手順3: Nginx の設定 =====

それぞれの {{ic|server}} ブロックの中の {{ic|location}} ブロックに PHP アプリケーションを次のように記述します:

location ~ \.php$ {
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}

{{Ic|/etc/nginx/php.conf}} を作って設定をそこに書く場合、このファイルを {{Ic|server}} ブロックに入れて下さい。
server = {
...
include php.conf;
...
}

.html や .htm ファイルを PHP として処理したい場合は、以下のようにしてください:
location ~ \.(php'''|html|htm''')$ {
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}

拡張子が .php でないファイルを php-fpm で動かすことを {{Ic|/etc/php/php-fpm.conf}} で有効にする必要があります:
security.limit_extensions = .php .html .htm

設定を変えた後は php-fpm デーモンを再起動してください。
# systemctl restart php-fpm

{{Note|{{Ic|fastcgi_pass}} 引数に'''注意を払って下さい'''、FastCGI サーバーの設定ファイルで定義された TCP や Unix ソケットでなくてはなりません。'''デフォルトの''' {{Ic|php-fpm}} (Unix) ソケットは
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
'''デフォルトの代わりに'''、通常の TCP ソケットを使うこともできます
fastcgi_pass 127.0.0.1:9000;
ただし Unix ドメインソケットの方が高速です。}}

Nginx のための FastCGI 設定がある {{Ic|fastcgi.conf}} か {{Ic|fastcgi_params}} が含まれていますが、後者は使われなくなりました。これらのファイルは Nginx をインストールしたときに作られます。

最後に、Nginx が動作している場合は再起動してください:
# systemctl restart nginx

FastCGI をテストしたい場合は、{{ic|/usr/share/nginx/html/index.php}} を次の内容で作成して
<?php
phpinfo();
?>
ブラウザで http://127.0.0.1/index.php を開いて下さい。

以下は実際の設定例です。例の中では {{ic|root}} パスは {{ic|server}} の下に直接指定されており (デフォルト設定のように) {{ic|location}} の中には置いていません。

server {
listen 80;
server_name localhost;
root /usr/share/nginx/html;
location / {
index index.html index.htm index.php;
}

location ~ \.php$ {
#fastcgi_pass 127.0.0.1:9000; (depending on your php-fpm socket configuration)
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
}

==== CGI を動かす ====

この実装は CGI アプリケーションに必要です。

===== 手順1: fcgiwrap =====

{{Pkg|fcgiwrap}} をインストールしてください。
設定ファイルは {{ic|/usr/lib/systemd/system/fcgiwrap.socket}} です。
[[systemd]] の ''fcgiwrap.socket'' を有効化・起動します。

この systemd ユニットファイルは現在 [https://bugs.archlinux.org/task/31696 ArchLinux のタスクページ]で議論されています。思い通りに動くか確認するためにユニットファイルを自分で検査すると良いでしょう。

====== マルチワーカースレッド ======

複数のワーカースレッドを生成したい場合は、{{AUR|multiwatch}} を使用するのが推奨されています。これはクラッシュした子スレッドの再起動の面倒をみてくれます。multiwatch は systemd が作成したソケットを管理できないため、unix ソケットを作成するには {{ic|spawn-fcgi}} を使う必要がありますが、ユニットファイルから直接実行した場合は fcgiwrap には問題が生じません。

{{ic|/usr/lib/systemd/system/fcgiwrap.service}} から {{ic|/etc/systemd/system/fcgiwrap.service}} にユニットファイルをコピーして (存在する場合は {{ic|fcgiwrap.socket}} ユニットも)、{{ic|ExecStart}} 行を必要に応じて修正してください。以下は {{AUR|multiwatch}} を使用するユニットファイルです。{{ic|fcgiwrap.socket}} が実行中だったり有効になっていないことを確認してください、このユニットと衝突してしまうからです:

{{hc|/etc/systemd/system/fcgiwrap.service|2=
[Unit]
Description=Simple CGI Server
After=nss-user-lookup.target

[Service]
ExecStartPre=/bin/rm -f /run/fcgiwrap.socket
ExecStart=/usr/bin/spawn-fcgi -u http -g http -s /run/fcgiwrap.sock -n -- /usr/bin/multiwatch -f 10 -- /usr/sbin/fcgiwrap
ExecStartPost=/usr/bin/chmod 660 /run/fcgiwrap.sock
PrivateTmp=true
Restart=on-failure

[Install]
WantedBy=multi-user.target
}}

{{ic|-f 10}} は生成する子スレッドの数に変更してください。

{{Warning|The ExecStartPost line is required because of strange behaviour I'm seeing when I use the {{ic|-M 660}} option for {{ic|spawn-fcgi}}. The wrong mode is set. This may be a bug?}}

===== 手順2: Nginx の設定 =====

CGI ウェブアプリケーションを置くそれぞれの {{Ic|server}} ブロックには以下のような {{Ic|location}} ブロックを記述します:

location ~ \.cgi$ {
root /path/to/server/cgi-bin;
fastcgi_pass unix:/run/fcgiwrap.sock;
include fastcgi.conf;
}

{{Ic|fcgiwrap}} の'''デフォルト''' (Unix) ソケットは ''/run/fcgiwrap.sock'' です。

== chroot でインストール ==

[[chroot]] に Nginx をインストールすることでセキュリティレイヤーを追加することができます。セキュリティを最大限に高めるために、Nginx サーバーを動かすのに必要なファイルだけを入れて、全てのファイルは出来る限り最小限の権限にします。例えば、なるべく root が所有するようにして、{{ic|/usr/bin}} などのディレクトリは読み書きできないようにするなど。

Arch はデフォルトでサーバーを実行するための {{ic|http}} ユーザーとグループが設定されています。chroot は {{ic|/srv/http}} で動作させます。

この牢獄を作るための perl スクリプトが [https://gist.github.com/4365696 jail.pl gist] にあります。このスクリプトを使用するか、またはこの記事の指示に従って作成するか選ぶことができます。スクリプトは root で実行してください。変更を適用する前に行をアンコメントする必要があります。

=== 必要なデバイスを作成 ===

Nginx には {{ic|/dev/null}}, {{ic|/dev/random}}, {{ic|/dev/urandom}} が必要です。これらを chroot にインストールするために {{ic|/dev/}} フォルダを作成してデバイスを mknod で追加します。chroot が危険になったときでも、攻撃者が {{ic|/dev/sda1}} などの重要なデバイスにアクセスするには chroot から脱出しなくてはならないようにするために、{{ic|/dev/}} を全てマウントはしません。

{{Tip|mknod の引数については {{ic|man mknod}} や {{ic|<nowiki>ls -l /dev/{null,random,urandom}</nowiki>}} を見て下さい。}}

# export JAIL=/srv/http
# mkdir $JAIL/dev
# mknod -m 0666 $JAIL/dev/null c 1 3
# mknod -m 0666 $JAIL/dev/random c 1 8
# mknod -m 0444 $JAIL/dev/urandom c 1 9

=== 必要なフォルダを作成 ===

Nginx を適切に実行するためにはたくさんのファイルが必要になります。それらをコピーする前に、ファイルを保存するためのフォルダを作成してください。ここでは Nginx のドキュメントルートが {{ic|/srv/http/www}} であると仮定します。

# mkdir -p $JAIL/etc/nginx/logs
# mkdir -p $JAIL/usr/{lib,bin}
# mkdir -p $JAIL/usr/share/nginx
# mkdir -p $JAIL/var/{log,lib}/nginx
# mkdir -p $JAIL/www/cgi-bin
# mkdir -p $JAIL/{run,tmp}
# cd $JAIL; ln -s usr/lib lib

{{Note|64ビットのカーネルを使っている場合 {{ic|usr/lib}} に {{ic|lib64}} と {{ic|usr/lib64}} のシンボリックリンクを作成する必要があります: {{ic|cd $JAIL; ln -s usr/lib lib64}} と {{ic|cd $JAIL/usr; ln -s lib lib64}}。}}

そして {{ic|$JAIL/tmp}} と {{ic|$JAIL/run}} を tmpfs でマウントします。攻撃者が RAM を全て喰いつくせないようにサイズを制限すると良いでしょう。

# mount -t tmpfs none $JAIL/run -o 'noexec,size=1M'
# mount -t tmpfs none $JAIL/tmp -o 'noexec,size=100M'

再起動してもマウントが維持されるように、以下のエントリを {{ic|/etc/fstab}} に追加します:

{{hc|/etc/fstab|<nowiki>
tmpfs /srv/http/run tmpfs rw,noexec,relatime,size=1024k 0 0
tmpfs /srv/http/tmp tmpfs rw,noexec,relatime,size=102400k 0 0
</nowiki>}}

=== chroot に移住 ===

まず平易なファイルをコピーします。

# cp -r /usr/share/nginx/* $JAIL/usr/share/nginx
# cp -r /usr/share/nginx/html/* $JAIL/www
# cp /usr/bin/nginx $JAIL/usr/bin/
# cp -r /var/lib/nginx $JAIL/var/lib/nginx

そして必要なライブラリをコピーします。ldd を使ってライブラリを確認して適当な場所にコピーして下さい。ハードリンクよりはコピーが推奨されます。攻撃者が書き込み権限を得たときに本当のシステムファイルが破壊されたり改変される可能性があるためです。

{{hc|$ ldd /usr/bin/nginx|<nowiki>
linux-vdso.so.1 (0x00007fffc41fe000)
libpthread.so.0 => /usr/lib/libpthread.so.0 (0x00007f57ec3e8000)
libcrypt.so.1 => /usr/lib/libcrypt.so.1 (0x00007f57ec1b1000)
libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00007f57ebead000)
libm.so.6 => /usr/lib/libm.so.6 (0x00007f57ebbaf000)
libpcre.so.1 => /usr/lib/libpcre.so.1 (0x00007f57eb94c000)
libssl.so.1.0.0 => /usr/lib/libssl.so.1.0.0 (0x00007f57eb6e0000)
libcrypto.so.1.0.0 => /usr/lib/libcrypto.so.1.0.0 (0x00007f57eb2d6000)
libdl.so.2 => /usr/lib/libdl.so.2 (0x00007f57eb0d2000)
libz.so.1 => /usr/lib/libz.so.1 (0x00007f57eaebc000)
libGeoIP.so.1 => /usr/lib/libGeoIP.so.1 (0x00007f57eac8d000)
libgcc_s.so.1 => /usr/lib/libgcc_s.so.1 (0x00007f57eaa77000)
libc.so.6 => /usr/lib/libc.so.6 (0x00007f57ea6ca000)
/lib64/ld-linux-x86-64.so.2 (0x00007f57ec604000)</nowiki>}}

# cp /lib64/ld-linux-x86-64.so.2 $JAIL/lib

{{ic|/usr/lib}} の中にあるファイルについては次のワンライナーが使えます:
{{bc|<nowiki># cp $(ldd /usr/bin/nginx | grep /usr/lib | sed -sre 's/(.+)(\/usr\/lib\/\S+).+/\2/g') $JAIL/usr/lib</nowiki>}}

{{Note|{{ic|linux-vdso.so}} をコピーしないでください – 実際のライブラリではなく {{ic|/usr/lib}} には存在しません。64ビット環境の場合 {{ic|ld-linux-x86-64.so}} も {{ic|/lib64}} にあるように表示されます。}}

必要なライブラリとシステムファイル以外のファイルをコピーします。

{{bc|# cp /usr/lib/libnss_* $JAIL/usr/lib
# cp -rfvL /etc/{services,localtime,nsswitch.conf,nscd.conf,protocols,hosts,ld.so.cache,ld.so.conf,resolv.conf,host.conf,nginx} $JAIL/etc}}

Create restricted user/group files for the chroot. This way only the
users needed for the chroot to function exist as far as the chroot
knows, and none of the system users/groups are leaked to attackers
should they gain access to the chroot.

{{hc|$JAIL/etc/group|
http:x:33:
nobody:x:99:
}}

{{hc|$JAIL/etc/passwd|
http:x:33:33:http:/:/bin/false
nobody:x:99:99:nobody:/:/bin/false
}}

{{hc|$JAIL/etc/shadow|
http:x:14871::::::
nobody:x:14871::::::
}}

{{hc|$JAIL/etc/gshadow|
http:::
nobody:::
}}

# touch $JAIL/etc/shells
# touch $JAIL/run/nginx.pid

Finally make set very restrictive permissions. As much as possible
should be owned by root and set unwritable.

# chown -R root:root $JAIL/

# chown -R http:http $JAIL/www
# chown -R http:http $JAIL/etc/nginx
# chown -R http:http $JAIL/var/{log,lib}/nginx
# chown http:http $JAIL/run/nginx.pid

# find $JAIL/ -gid 0 -uid 0 -type d -print | xargs sudo chmod -rw
# find $JAIL/ -gid 0 -uid 0 -type d -print | xargs sudo chmod +x
# find $JAIL/etc -gid 0 -uid 0 -type f -print | xargs sudo chmod -x
# find $JAIL/usr/bin -type f -print | xargs sudo chmod ug+rx
# find $JAIL/ -group http -user http -print | xargs sudo chmod o-rwx
# chmod +rw $JAIL/tmp
# chmod +rw $JAIL/run

If your server will bind port 80 (or any port 0-1024), give the
chrooted executable permission to bind these ports without root.

# setcap 'cap_net_bind_service=+ep' $JAIL/usr/bin/nginx

=== nginx.service を変更して chroot を起動 ===

Before modifying the nginx.service unit file, it may be a good idea to copy it to
{{ic|/etc/systemd/system/}} since the unit files there take priority over those in {{ic|/usr/lib/systemd/system/}}.
This means upgrading nginx would not modify your custom .service file.
# cp /usr/lib/systemd/system/nginx.service /etc/systemd/system/nginx.service

The systemd unit must be changed to start up Nginx in the chroot, as
the http user, and store the pid file in the chroot
{{Note|I'm not sure if the pid file needs to be stored in the chroot jail.}}

{{hc|/etc/systemd/system/nginx.service|<nowiki>
[Unit]
Description=A high performance web server and a reverse proxy server
After=syslog.target network.target

[Service]
Type=forking
PIDFile=/srv/http/run/nginx.pid
ExecStartPre=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -t -q -g 'pid /run/nginx.pid; daemon on; master_process on;'
ExecStart=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid; daemon on; master_process on;'
ExecReload=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid; daemon on; master_process on;' -s reload
ExecStop=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid;' -s quit

[Install]
WantedBy=multi-user.target</nowiki>}}

{{Note|Upgrading nginx with pacman will not upgrade the chrooted nginx installation. You have to take care of the updates manually by repeating some of the steps above. Do not forget to also update the libraries it links against. }}

You can now safely get rid of the non-chrooted nginx installation.
# pacman -Rsc nginx

If you do not remove the non-chrooted nginx installation, you may want to make sure that the running nginx process is in fact the chrooted one. You can do so by checking where {{ic|/proc/{PID}/root}} symmlinks to. If should link to {{ic|/srv/http}} instead of {{ic|/}}.
# ps -C nginx | awk '{print $1}' | sed 1d | while read -r PID; do ls -l /proc/$PID/root; done

== トラブルシューティング ==

=== 設定の確認 ===
# nginx -t

結果:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

=== ローカル IP へのアクセスが localhost にリダイレクトされる ===

Arch Linux [https://bbs.archlinux.org/viewtopic.php?pid=780561#p780561 フォーラム]からの解決法があります。

{{ic|/etc/nginx/nginx.conf}} を開き、"server_name localhost" の前の # を取り除き、以下を付け加えます:
server_name_in_redirect off;

デフォルトでは、nginx は設定にある server_name へのリクエストをすべてリダイレクトします。

=== Error: 403 (Permission error) ===

This is most likely a permission error. Are you sure whatever user configured in the Nginx configuration is able to read the correct files?

If the files are located within a home directory, (e.g. {{ic|/home/arch/public/webapp}}) and you are sure the user running Nginx has the right permissions (you can temporarily chmod all the files to 777 in order to determine this), {{ic|/home/arch}} might be '''chmod 750''', simply {{Ic|chmod}} it to ''751'', and it should work.

'''If you have changed your document root'''

If you are sure that permissions are as they should be, make sure that your document root directory is not empty. Try creating index.html in there.

=== Error: 404 (Pathinfo error) ===

いくつかのフレームワーク（thinkphp、cakephp など）や CMS では pathinfo が必要です。

1. {{ic|/etc/php/php.ini}} ファイルを開き、次のように付け加えます
cgi.fix_pathinfo=1
2. {{ic|/etc/nginx/nginx.conf}} を開き、次の部分をコメントアウトします

location ~ \.php$ {
...
}

を

#location ~ \.php$ {
#...
#}

そして以下を加えます
location ~ ^(.+\.php)(.*)$ {
root /srv/http/nginx;
fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
#fastcgi_pass 127.0.0.1:9000; #Un-comment this and comment "fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;" if you are not using php-fpm.
fastcgi_index index.php;
set $document_root2 $document_root;
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_param SCRIPT_FILENAME $document_root2$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root2$fastcgi_path_info;
include fastcgi_params;
fastcgi_param DOCUMENT_ROOT $document_root2;
}

try_files を使う方法もあります:
server {
..
root /usr/share/nginx/html;
index index.php;
location / {
try_files $uri $uri/ /index.php?$args;
}
}

=== Error: The page you are looking for is temporarily unavailable. Please try again later. ===

FastCGI サーバーが動作していないか、ソケットが間違ったパーミッションに設定されています。

=== Error: No input file specified ===

おそらくスクリプトのフルパスを含んだ SCRIPT_FILENAME がありません。
nginx の設定 (fastcgi_param SCRIPT_FILENAME) が完全でも、このエラーは php が requestd スクリプトをロードできないことを意味しています。これは単純にパーミッションの問題であることが普通で、root で php-cgi を実行するか
# spawn-fcgi -a 127.0.0.1 -p 9000 -f /usr/bin/php-cgi
php-cgi を起動するグループとユーザーを作成する必要があります。例えば:
# groupadd www
# useradd -g www www
# chmod +w /srv/www/nginx/html
# chown -R www:www /srv/www/nginx/html
# spawn-fcgi -a 127.0.0.1 -p 9000 -u www -g www -f /usr/bin/php-cgi

他の可能性としては、{{ic|nginx.conf}} 内の "location ~ \.php$" セクションの "root" 引数が間違っていることがありえます。"root" が同じサーバーの "location /" と同じディレクトリを示しているか確認してください。もしくは root をグローバルに設定するには、location セクションで定義しないでください。

Also keep in mind that your php script path was defined as {{ic|/srv/http}} by default using the variable "open_basedir" in {{ic|/etc/php/php.ini}}; you can change them if you need.

Also notice that not only php script should have read permission, but also the entire directory structure should have execute permission so that PHP user can traverse the path.

=== Error: FastCGI で空のページが表示される ===

access.log にエラーが表示されず、コード200が返されるのに以下のような空のページが表示される場合:

<html>
<head></head>
<body></body>
</html>

[http://beutelevision.com/blog2/2013/08/26/nginx-with-php-fpm-generating-blank-page/ Thomas Beutel のブログ] に書かれた解決方法:

{{ic|/etc/nginx/nginx.conf}} を編集して php の {{ic|location}} セクションに {{ic|fastcgi_param}} という行を追加:

location ~ \.php$ {
...
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
...
}

php_fpm では PHP ファイルのパスを認識するために以上のように設定する必要があります。

== 参照 ==
* [http://nginx.org/ Nginx 公式サイト]
* [http://calomel.org/nginx.html Nginx HowTo]
* [http://wiki.gotux.net/config:nginx Easy Config Files]
* [http://www.tecmint.com/install-nginx-php-mysql-with-mariadb-engine-and-phpmyadmin-in-arch-linux/ Installing LEMP (Nginx, PHP, MySQL with MariaDB engine and PhpMyAdmin) in Arch Linux]

OpenLDAP

2016-04-08T14:37:11Z

Fragment: /* SSL を使うように slapd を設定 */ 署名済み証明書について追加

[[Category:ネットワーク]]
[[en:OpenLDAP]]
[[ru:OpenLDAP]]
[[zh-cn:OpenLDAP]]
{{Related articles start}}
{{Related|LDAP 認証}}
{{Related3|LDAP Hosts|LDAP ホスト}}
{{Related articles end}}
OpenLDAP は LDAP プロトコルのオープンソースの実装です。LDAP サーバーは基本的に、データの書き込みではなくアクセスに最適化されたリレーショナルでないデータベースです。主として (メールクライアントなどの) アドレス帳や様々なサービス (ドメインコントローラをエミュレートするのに使われる Samba や、{{ic|/etc/passwd}} を置き換える [[LDAP 認証|Linux システム認証]]など) の認証バックエンドとして使われ、ユーザーデータを保持します。

{{note|{{ic|ldap}} で始まる OpenLDAP のコマンド ({{ic|ldapsearch}} など) はクライアント側のユーティリティであり、{{ic|slap}} で始まるコマンド ({{ic|slapcat}} など) はサーバー側のユーティリティです。}}

このページではその入り口として基本的な OpenLDAP をインストールしてサニティチェックを行います。

{{Tip|ディレクトリサービスは範囲がとても広いテーマであり、設定は複雑です。初めてディレクトリサービスに接する場合は、[http://www.brennan.id.au/20-Shared_Address_Book_LDAP.html ここ] を読めば簡単に理解でき、LDAP の全てを知らなかったとしても始めることができると思います。}}

== インストール ==

OpenLDAP には LDAP サーバーとクライアントの両方が含まれています。[[公式リポジトリ]]の {{Pkg|openldap}} パッケージでインストールしてください。

== 設定 ==

=== サーバー ===

{{Note|既にマシン上に OpenLDAP データベースが存在する場合は、{{ic|/var/lib/openldap/openldap-data/}} 内の全てのファイルを削除してください。}}

サーバーの設定ファイルは {{ic|/etc/openldap/slapd.conf}} です。

suffix と rootdn を編集してください。suffix は基本的にドメイン名を使いますが、そうである必要はありません。ディレクトリは使い様です。ここではドメイン名には ''example'' を、tld には ''com'' を使うこととします。rootdn は LDAP の管理者の名前です (ここでは ''root'' を使います)。
{{bc|<nowiki>
suffix "dc=example,dc=com"
rootdn "cn=root,dc=example,dc=com"
</nowiki>}}

そしてデフォルトの root パスワードを削除して強固なパスワードを作成します:
# sed -i "/rootpw/ d" /etc/openldap/slapd.conf #find the line with rootpw and delete it
# echo "rootpw $(slappasswd)" >> /etc/openldap/slapd.conf #add a line which includes the hashed password output from slappasswd

よく使われる [http://www.openldap.org/doc/admin24/schema.html schema] を {{ic|slapd.conf}} の一番上に追加すると良いでしょう:
# cp /usr/share/doc/samba/examples/LDAP/samba.schema /etc/openldap/schema
{{bc|
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
}}

よく使われる [http://www.openldap.org/doc/admin24/tuning.html#Indexes index] を {{ic|slapd.conf}} の一番下に追加すると良いでしょう:
{{bc|
index uid pres,eq
index mail pres,sub,eq
index cn pres,sub,eq
index sn pres,sub,eq
index dc eq
}}

データベースディレクトリを準備します。デフォルトの設定ファイルをコピーして適切な所有権を設定してください:
# cp /etc/openldap/DB_CONFIG.example /var/lib/openldap/openldap-data/DB_CONFIG
# chown ldap:ldap /var/lib/openldap/openldap-data/DB_CONFIG

{{Note|OpenLDAP 2.4 から {{ic|slapd.conf}} の設定は非推奨になりました。このバージョンから全ての設定は {{ic|/etc/openldap/slapd.d/}} に保存されることになっています。}}

{{ic|slapd.conf}} の変更を新しい {{ic|/etc/openldap/slapd.d/}} の設定に保存するには、まず古い設定ファイルを削除する必要があります。設定を変更するたびに実行してください:

# rm -rf /etc/openldap/slapd.d/*

(データベースがまだない場合は、[[systemd#ユニットを使う|systemd]] を使って {{ic|slapd.service}} を起動・停止することでデータベースを作成してください。)

次のコマンドで新しい設定を生成します:

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

上のコマンドは {{ic|slapd.conf}} を変更する度に実行する必要があります。全てが問題ないか確認してください。"bdb_monitor_db_open: monitoring disabled; configure monitor database to enable" というメッセージは無視してください。

{{ic|/etc/openldap/slapd.d}} の新しいファイルとディレクトリの所有権を再帰的に変更:

# chown -R ldap:ldap /etc/openldap/slapd.d

{{note|ディレクトリを作成した後はインデックスを作成してください。インデックスは作成する前に slapd を停止する必要があります。
# slapindex
# chown ldap:ldap /var/lib/openldap/openldap-data/*
もしくは {{ic|$ sudo -u ldap slapindex}} を実行。
}}

最後に、systemd を使って {{ic|slapd.service}} で slapd デーモンを起動してください。

=== クライアント ===
クライアントの設定ファイルは {{ic|/etc/openldap/ldap.conf}} です。

設定はとてもシンプルです: {{ic|BASE}} をサーバーの suffix に、{{ic|URI}} をサーバーのアドレスに変更するだけです、例:

{{hc|/etc/openldap/ldap.conf|2=
BASE dc=example,dc=com
URI ldap://localhost
}}

SSL を使う場合は:

* {{ic|URI}} エントリのプロトコル (ldap または ldaps) は slapd の設定と一致しなくてはなりません。
* 自己署名証明書を使う場合は、{{ic|ldap.conf}} に {{ic|TLS_REQCERT allow}} という行を追加してください。

=== 最初のエントリを作成 ===
クライアントを設定したら、root の役割をするエントリである root エントリを作成することを推奨します:

$ ldapadd -x -D 'cn=root,dc=example,dc=com' -W
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
dc: example
o: Example
description: Example directory

dn: cn=root,dc=example,dc=com
objectClass: organizationalRole
cn: root
description: Directory Manager
^D

最初の行の後のテキストは標準入力で入力していますが、-f オプションやファイルリダイレクトを使うことでファイルから読み込むこともできます。

=== OpenLDAP をテストする ===

下のコマンドを実行するだけで、簡単にテストできます:
$ ldapsearch -x '(objectclass=*)'

もしくは、上記の設定例を使って、rootdn で認証するには ({{ic|-x}} を {{ic|-D <user> -W}} で置き換える):
$ ldapsearch -D "cn=root,dc=example,dc=com" -W '(objectclass=*)'

データベースに関する情報が表示されるはずです。

=== OpenLDAP over TLS ===
{{Note|[http://www.openldap.org/doc/admin24/ 上流のドキュメント] の方がこのセクションよりも情報が豊富です。}}

ネットワークを介して OpenLDAP サーバーにアクセスする場合、特にサーバー上に極秘のデータを保存するときは、クリアテキストで送られたデータを盗聴される恐れがあります。次のパートでは LDAP サーバーとクライアントの間に SSL 接続をセットアップしてデータを暗号化して送信する方法を説明します。

TLS を使うには、証明書が必要になります。テスト目的なら、''自己署名''証明書で足りるでしょう。証明書について詳しく知るには、[[OpenSSL]] を見て下さい。

{{Warning|OpenLDAP はパスワードが関連付けられた証明書を使うことができません。}}

==== 自己署名証明書の作成 ====
''自己署名''証明書を作成するには、次を入力:
$ openssl req -new -x509 -nodes -out slapdcert.pem -keyout slapdkey.pem -days 365

LDAP サーバーに関する情報の入力が求められます。ほとんどの情報は空のままでも大丈夫です。一番重要な情報はコモンネームです。コモンネームは LDAP サーバーの DNS 名に設定してください。LDAP サーバーの IP アドレスが example.org で解決できてもサーバーの証明書の CN が bad.example.org の場合、LDAP クライアントは証明書を拒否してしまうため TLS 接続をネゴシエートできなくなります (全く予期できない結果になります)。

それから、作成された証明書ファイルを {{ic|/etc/openldap/ssl/}} (ディレクトリが存在しない場合は作成してください) にコピーしてパーミッションを設定します。{{ic|slapdcert.pem}} は公開鍵なので誰からでも読み込めるようにしてください。逆に {{ic|slapdkey.pem}} は ldap ユーザーだけが読み込めるようにしてください:
# mv slapdcert.pem slapdkey.pem /etc/openldap/ssl/
# chmod -R 755 /etc/openldap/ssl/
# chmod 400 /etc/openldap/ssl/slapdkey.pem
# chmod 444 /etc/openldap/ssl/slapdcert.pem
# chown ldap /etc/openldap/ssl/slapdkey.pem

==== SSL を使うように slapd を設定 ====
デーモンの設定ファイル ({{ic|/etc/openldap/slapd.conf}}) を編集して以下の行を追加することで LDAP に証明書ファイルの場所を指定してください:
{{bc|
# Certificate/SSL Section
TLSCipherSuite DEFAULT
TLSCertificateFile /etc/openldap/ssl/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/ssl/slapdkey.pem
}}

[[Let’s Encrypt]] のような認証局により署名されたSSL証明書を用いる場合、ルート証明書データベースと中間証明書のパスを指定する必要があります。また、ユーザー {{ic|ldap}} が読み込めるように {{ic|.pem}} ファイルと途中のディレクトリの所有者情報を変更する必要もあるでしょう。:
{{bc|
# Certificate/SSL Section
TLSCipherSuite DEFAULT
TLSCertificateFile /etc/letsencrypt/live/ldap.my-domain.com/cert.pem
TLSCertificateKeyFile /etc/letsencrypt/live/ldap.my-domain.com/privkey.pem
TLSCACertificateFile /etc/letsencrypt/live/ldap.my-domain.com/chain.pem
TLSCACertificatePath /usr/share/ca-certificates/trust-source
}}

TLSCipherSuite は slapd が TLS 接続をネゴシエートするときに使用する OpenSSL の暗号方式のリストを指定します。優先度が高い順です。特定の暗号を指定するかわりに、OpenSSL によってサポートされているワイルドカードを使うことができます。

{{Note|
* DEFAULT はワイルドカードです。サポートされている暗号方式やワイルドカード、オプションについては {{ic|man ciphers}} の説明を読んでください。
* ローカルの OpenSSL によってサポートされている暗号を確認するには、次を実行: {{ic|openssl ciphers -v ALL:COMPLEMENTOFALL}}。OpenSSL コマンドを使えば実際に TLSCipherSuite によって有効になる暗号は何なのかテストできます: {{ic|openssl ciphers -v 'DEFAULT'}}。}}

設定ディレクトリを再生成:
# rm -rf /etc/openldap/slapd.d/* # erase old config settings
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ # generate new config directory from config file
# chown -R ldap:ldap /etc/openldap/slapd.d # Change ownership recursively to ldap on the config directory

==== SSL で slapd を起動 ====
{{ic|slapd.service}} を編集して slapd が使用するプロトコルを変更してください。

上書きユニットを作成:
{{hc|systemctl edit slapd.service|<nowiki>
[Service]
ExecStart=
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldaps:///"</nowiki>}}

ローカルホスト接続は SSL を使う必要がありません。ローカルのサーバーにアクセスしたいときは {{ic|ExecStart}} 行を以下のように変更してください:
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldap://127.0.0.1 ldaps:///"

そして {{ic|slapd.service}} を[[再起動]]してください。サービスを有効にしていた場合は、再有効化もしてください。

{{Note|上で書かれているように自己署名証明書を作成した場合は、{{ic|TLS_REQCERT allow}} をクライアント側の {{ic|/etc/openldap/ldap.conf}} に追加しないとサーバーに接続することができなくなります。}}

== 次のステップ ==

これで基本的な LDAP のインストールは完了です。次はディレクトリを自分で設計してください。LDAP を何のために使うのかによって大きく変わってきます。LDAP を初めて使う場合は、まずはディレクトリを使用するクライアントサービス (PAM や [[Postfix]] など) によって推奨されている設定から始めると良いでしょう。

システム認証の方法は [[LDAP 認証]]の記事に書かれています。

LDAP のフロントエンドとして [[phpLDAPadmin]] も存在します。

== トラブルシューティング ==

=== Client Authentication Checking ===
セキュアでない認証でサーバーに接続できない場合:

$ ldapsearch -x -H ldap://ldaservername:389 -D cn=Manager,dc=example,dc=exampledomain

TLS によって暗号化された認証で接続をする場合:

$ ldapsearch -x -H ldaps://ldaservername:636 -D cn=Manager,dc=example,dc=exampledomain

=== LDAP サーバーが突然停止する ===

slapd を起動しても停止してしまう場合、以下を実行して "ldap" ユーザーからデータディレクトリに書き込むことができるようにしてみてください:

# chown ldap:ldap /var/lib/openldap/openldap-data/*

=== LDAP サーバーを起動できない ===

コマンドラインからデバッグ出力を有効にしてLDAPサーバーを起動してみてください:

# slapd -u ldap -g ldap -h ldaps://ldaservername:636 -d Config,Stats

== 参照 ==
* [http://www.openldap.org/doc/admin24/ Official OpenLDAP Software 2.4 Administrator's Guide]
* [[phpLDAPadmin]] phpMyAdmin 風のウェブインターフェイスツール
* {{AUR|apachedirectorystudio}} Eclipse ベースの LDAP ビューア ([[AUR]])。OpenLDAP でも問題なく動作します

OpenLDAP

2016-04-08T14:34:36Z

Fragment: /* トラブルシューティング */ 項目の追加

[[Category:ネットワーク]]
[[en:OpenLDAP]]
[[ru:OpenLDAP]]
[[zh-cn:OpenLDAP]]
{{Related articles start}}
{{Related|LDAP 認証}}
{{Related3|LDAP Hosts|LDAP ホスト}}
{{Related articles end}}
OpenLDAP は LDAP プロトコルのオープンソースの実装です。LDAP サーバーは基本的に、データの書き込みではなくアクセスに最適化されたリレーショナルでないデータベースです。主として (メールクライアントなどの) アドレス帳や様々なサービス (ドメインコントローラをエミュレートするのに使われる Samba や、{{ic|/etc/passwd}} を置き換える [[LDAP 認証|Linux システム認証]]など) の認証バックエンドとして使われ、ユーザーデータを保持します。

{{note|{{ic|ldap}} で始まる OpenLDAP のコマンド ({{ic|ldapsearch}} など) はクライアント側のユーティリティであり、{{ic|slap}} で始まるコマンド ({{ic|slapcat}} など) はサーバー側のユーティリティです。}}

このページではその入り口として基本的な OpenLDAP をインストールしてサニティチェックを行います。

{{Tip|ディレクトリサービスは範囲がとても広いテーマであり、設定は複雑です。初めてディレクトリサービスに接する場合は、[http://www.brennan.id.au/20-Shared_Address_Book_LDAP.html ここ] を読めば簡単に理解でき、LDAP の全てを知らなかったとしても始めることができると思います。}}

== インストール ==

OpenLDAP には LDAP サーバーとクライアントの両方が含まれています。[[公式リポジトリ]]の {{Pkg|openldap}} パッケージでインストールしてください。

== 設定 ==

=== サーバー ===

{{Note|既にマシン上に OpenLDAP データベースが存在する場合は、{{ic|/var/lib/openldap/openldap-data/}} 内の全てのファイルを削除してください。}}

サーバーの設定ファイルは {{ic|/etc/openldap/slapd.conf}} です。

suffix と rootdn を編集してください。suffix は基本的にドメイン名を使いますが、そうである必要はありません。ディレクトリは使い様です。ここではドメイン名には ''example'' を、tld には ''com'' を使うこととします。rootdn は LDAP の管理者の名前です (ここでは ''root'' を使います)。
{{bc|<nowiki>
suffix "dc=example,dc=com"
rootdn "cn=root,dc=example,dc=com"
</nowiki>}}

そしてデフォルトの root パスワードを削除して強固なパスワードを作成します:
# sed -i "/rootpw/ d" /etc/openldap/slapd.conf #find the line with rootpw and delete it
# echo "rootpw $(slappasswd)" >> /etc/openldap/slapd.conf #add a line which includes the hashed password output from slappasswd

よく使われる [http://www.openldap.org/doc/admin24/schema.html schema] を {{ic|slapd.conf}} の一番上に追加すると良いでしょう:
# cp /usr/share/doc/samba/examples/LDAP/samba.schema /etc/openldap/schema
{{bc|
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
}}

よく使われる [http://www.openldap.org/doc/admin24/tuning.html#Indexes index] を {{ic|slapd.conf}} の一番下に追加すると良いでしょう:
{{bc|
index uid pres,eq
index mail pres,sub,eq
index cn pres,sub,eq
index sn pres,sub,eq
index dc eq
}}

データベースディレクトリを準備します。デフォルトの設定ファイルをコピーして適切な所有権を設定してください:
# cp /etc/openldap/DB_CONFIG.example /var/lib/openldap/openldap-data/DB_CONFIG
# chown ldap:ldap /var/lib/openldap/openldap-data/DB_CONFIG

{{Note|OpenLDAP 2.4 から {{ic|slapd.conf}} の設定は非推奨になりました。このバージョンから全ての設定は {{ic|/etc/openldap/slapd.d/}} に保存されることになっています。}}

{{ic|slapd.conf}} の変更を新しい {{ic|/etc/openldap/slapd.d/}} の設定に保存するには、まず古い設定ファイルを削除する必要があります。設定を変更するたびに実行してください:

# rm -rf /etc/openldap/slapd.d/*

(データベースがまだない場合は、[[systemd#ユニットを使う|systemd]] を使って {{ic|slapd.service}} を起動・停止することでデータベースを作成してください。)

次のコマンドで新しい設定を生成します:

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

上のコマンドは {{ic|slapd.conf}} を変更する度に実行する必要があります。全てが問題ないか確認してください。"bdb_monitor_db_open: monitoring disabled; configure monitor database to enable" というメッセージは無視してください。

{{ic|/etc/openldap/slapd.d}} の新しいファイルとディレクトリの所有権を再帰的に変更:

# chown -R ldap:ldap /etc/openldap/slapd.d

{{note|ディレクトリを作成した後はインデックスを作成してください。インデックスは作成する前に slapd を停止する必要があります。
# slapindex
# chown ldap:ldap /var/lib/openldap/openldap-data/*
もしくは {{ic|$ sudo -u ldap slapindex}} を実行。
}}

最後に、systemd を使って {{ic|slapd.service}} で slapd デーモンを起動してください。

=== クライアント ===
クライアントの設定ファイルは {{ic|/etc/openldap/ldap.conf}} です。

設定はとてもシンプルです: {{ic|BASE}} をサーバーの suffix に、{{ic|URI}} をサーバーのアドレスに変更するだけです、例:

{{hc|/etc/openldap/ldap.conf|2=
BASE dc=example,dc=com
URI ldap://localhost
}}

SSL を使う場合は:

* {{ic|URI}} エントリのプロトコル (ldap または ldaps) は slapd の設定と一致しなくてはなりません。
* 自己署名証明書を使う場合は、{{ic|ldap.conf}} に {{ic|TLS_REQCERT allow}} という行を追加してください。

=== 最初のエントリを作成 ===
クライアントを設定したら、root の役割をするエントリである root エントリを作成することを推奨します:

$ ldapadd -x -D 'cn=root,dc=example,dc=com' -W
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
dc: example
o: Example
description: Example directory

dn: cn=root,dc=example,dc=com
objectClass: organizationalRole
cn: root
description: Directory Manager
^D

最初の行の後のテキストは標準入力で入力していますが、-f オプションやファイルリダイレクトを使うことでファイルから読み込むこともできます。

=== OpenLDAP をテストする ===

下のコマンドを実行するだけで、簡単にテストできます:
$ ldapsearch -x '(objectclass=*)'

もしくは、上記の設定例を使って、rootdn で認証するには ({{ic|-x}} を {{ic|-D <user> -W}} で置き換える):
$ ldapsearch -D "cn=root,dc=example,dc=com" -W '(objectclass=*)'

データベースに関する情報が表示されるはずです。

=== OpenLDAP over TLS ===
{{Note|[http://www.openldap.org/doc/admin24/ 上流のドキュメント] の方がこのセクションよりも情報が豊富です。}}

ネットワークを介して OpenLDAP サーバーにアクセスする場合、特にサーバー上に極秘のデータを保存するときは、クリアテキストで送られたデータを盗聴される恐れがあります。次のパートでは LDAP サーバーとクライアントの間に SSL 接続をセットアップしてデータを暗号化して送信する方法を説明します。

TLS を使うには、証明書が必要になります。テスト目的なら、''自己署名''証明書で足りるでしょう。証明書について詳しく知るには、[[OpenSSL]] を見て下さい。

{{Warning|OpenLDAP はパスワードが関連付けられた証明書を使うことができません。}}

==== 自己署名証明書の作成 ====
''自己署名''証明書を作成するには、次を入力:
$ openssl req -new -x509 -nodes -out slapdcert.pem -keyout slapdkey.pem -days 365

LDAP サーバーに関する情報の入力が求められます。ほとんどの情報は空のままでも大丈夫です。一番重要な情報はコモンネームです。コモンネームは LDAP サーバーの DNS 名に設定してください。LDAP サーバーの IP アドレスが example.org で解決できてもサーバーの証明書の CN が bad.example.org の場合、LDAP クライアントは証明書を拒否してしまうため TLS 接続をネゴシエートできなくなります (全く予期できない結果になります)。

それから、作成された証明書ファイルを {{ic|/etc/openldap/ssl/}} (ディレクトリが存在しない場合は作成してください) にコピーしてパーミッションを設定します。{{ic|slapdcert.pem}} は公開鍵なので誰からでも読み込めるようにしてください。逆に {{ic|slapdkey.pem}} は ldap ユーザーだけが読み込めるようにしてください:
# mv slapdcert.pem slapdkey.pem /etc/openldap/ssl/
# chmod -R 755 /etc/openldap/ssl/
# chmod 400 /etc/openldap/ssl/slapdkey.pem
# chmod 444 /etc/openldap/ssl/slapdcert.pem
# chown ldap /etc/openldap/ssl/slapdkey.pem

==== SSL を使うように slapd を設定 ====
デーモンの設定ファイル ({{ic|/etc/openldap/slapd.conf}}) を編集して以下の行を追加することで LDAP に証明書ファイルの場所を指定してください:
{{bc|
# Certificate/SSL Section
TLSCipherSuite DEFAULT
TLSCertificateFile /etc/openldap/ssl/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/ssl/slapdkey.pem
}}

TLSCipherSuite は slapd が TLS 接続をネゴシエートするときに使用する OpenSSL の暗号方式のリストを指定します。優先度が高い順です。特定の暗号を指定するかわりに、OpenSSL によってサポートされているワイルドカードを使うことができます。

{{Note|
* DEFAULT はワイルドカードです。サポートされている暗号方式やワイルドカード、オプションについては {{ic|man ciphers}} の説明を読んでください。
* ローカルの OpenSSL によってサポートされている暗号を確認するには、次を実行: {{ic|openssl ciphers -v ALL:COMPLEMENTOFALL}}。OpenSSL コマンドを使えば実際に TLSCipherSuite によって有効になる暗号は何なのかテストできます: {{ic|openssl ciphers -v 'DEFAULT'}}。}}

設定ディレクトリを再生成:
# rm -rf /etc/openldap/slapd.d/* # erase old config settings
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ # generate new config directory from config file
# chown -R ldap:ldap /etc/openldap/slapd.d # Change ownership recursively to ldap on the config directory

==== SSL で slapd を起動 ====
{{ic|slapd.service}} を編集して slapd が使用するプロトコルを変更してください。

上書きユニットを作成:
{{hc|systemctl edit slapd.service|<nowiki>
[Service]
ExecStart=
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldaps:///"</nowiki>}}

ローカルホスト接続は SSL を使う必要がありません。ローカルのサーバーにアクセスしたいときは {{ic|ExecStart}} 行を以下のように変更してください:
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldap://127.0.0.1 ldaps:///"

そして {{ic|slapd.service}} を[[再起動]]してください。サービスを有効にしていた場合は、再有効化もしてください。

{{Note|上で書かれているように自己署名証明書を作成した場合は、{{ic|TLS_REQCERT allow}} をクライアント側の {{ic|/etc/openldap/ldap.conf}} に追加しないとサーバーに接続することができなくなります。}}

== 次のステップ ==

これで基本的な LDAP のインストールは完了です。次はディレクトリを自分で設計してください。LDAP を何のために使うのかによって大きく変わってきます。LDAP を初めて使う場合は、まずはディレクトリを使用するクライアントサービス (PAM や [[Postfix]] など) によって推奨されている設定から始めると良いでしょう。

システム認証の方法は [[LDAP 認証]]の記事に書かれています。

LDAP のフロントエンドとして [[phpLDAPadmin]] も存在します。

== トラブルシューティング ==

=== Client Authentication Checking ===
セキュアでない認証でサーバーに接続できない場合:

$ ldapsearch -x -H ldap://ldaservername:389 -D cn=Manager,dc=example,dc=exampledomain

TLS によって暗号化された認証で接続をする場合:

$ ldapsearch -x -H ldaps://ldaservername:636 -D cn=Manager,dc=example,dc=exampledomain

=== LDAP サーバーが突然停止する ===

slapd を起動しても停止してしまう場合、以下を実行して "ldap" ユーザーからデータディレクトリに書き込むことができるようにしてみてください:

# chown ldap:ldap /var/lib/openldap/openldap-data/*

=== LDAP サーバーを起動できない ===

コマンドラインからデバッグ出力を有効にしてLDAPサーバーを起動してみてください:

# slapd -u ldap -g ldap -h ldaps://ldaservername:636 -d Config,Stats

== 参照 ==
* [http://www.openldap.org/doc/admin24/ Official OpenLDAP Software 2.4 Administrator's Guide]
* [[phpLDAPadmin]] phpMyAdmin 風のウェブインターフェイスツール
* {{AUR|apachedirectorystudio}} Eclipse ベースの LDAP ビューア ([[AUR]])。OpenLDAP でも問題なく動作します

OpenLDAP

2016-04-08T14:31:43Z

Fragment: 複数箇所の編集

[[Category:ネットワーク]]
[[en:OpenLDAP]]
[[ru:OpenLDAP]]
[[zh-cn:OpenLDAP]]
{{Related articles start}}
{{Related|LDAP 認証}}
{{Related3|LDAP Hosts|LDAP ホスト}}
{{Related articles end}}
OpenLDAP は LDAP プロトコルのオープンソースの実装です。LDAP サーバーは基本的に、データの書き込みではなくアクセスに最適化されたリレーショナルでないデータベースです。主として (メールクライアントなどの) アドレス帳や様々なサービス (ドメインコントローラをエミュレートするのに使われる Samba や、{{ic|/etc/passwd}} を置き換える [[LDAP 認証|Linux システム認証]]など) の認証バックエンドとして使われ、ユーザーデータを保持します。

{{note|{{ic|ldap}} で始まる OpenLDAP のコマンド ({{ic|ldapsearch}} など) はクライアント側のユーティリティであり、{{ic|slap}} で始まるコマンド ({{ic|slapcat}} など) はサーバー側のユーティリティです。}}

このページではその入り口として基本的な OpenLDAP をインストールしてサニティチェックを行います。

{{Tip|ディレクトリサービスは範囲がとても広いテーマであり、設定は複雑です。初めてディレクトリサービスに接する場合は、[http://www.brennan.id.au/20-Shared_Address_Book_LDAP.html ここ] を読めば簡単に理解でき、LDAP の全てを知らなかったとしても始めることができると思います。}}

== インストール ==

OpenLDAP には LDAP サーバーとクライアントの両方が含まれています。[[公式リポジトリ]]の {{Pkg|openldap}} パッケージでインストールしてください。

== 設定 ==

=== サーバー ===

{{Note|既にマシン上に OpenLDAP データベースが存在する場合は、{{ic|/var/lib/openldap/openldap-data/}} 内の全てのファイルを削除してください。}}

サーバーの設定ファイルは {{ic|/etc/openldap/slapd.conf}} です。

suffix と rootdn を編集してください。suffix は基本的にドメイン名を使いますが、そうである必要はありません。ディレクトリは使い様です。ここではドメイン名には ''example'' を、tld には ''com'' を使うこととします。rootdn は LDAP の管理者の名前です (ここでは ''root'' を使います)。
{{bc|<nowiki>
suffix "dc=example,dc=com"
rootdn "cn=root,dc=example,dc=com"
</nowiki>}}

そしてデフォルトの root パスワードを削除して強固なパスワードを作成します:
# sed -i "/rootpw/ d" /etc/openldap/slapd.conf #find the line with rootpw and delete it
# echo "rootpw $(slappasswd)" >> /etc/openldap/slapd.conf #add a line which includes the hashed password output from slappasswd

よく使われる [http://www.openldap.org/doc/admin24/schema.html schema] を {{ic|slapd.conf}} の一番上に追加すると良いでしょう:
# cp /usr/share/doc/samba/examples/LDAP/samba.schema /etc/openldap/schema
{{bc|
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
}}

よく使われる [http://www.openldap.org/doc/admin24/tuning.html#Indexes index] を {{ic|slapd.conf}} の一番下に追加すると良いでしょう:
{{bc|
index uid pres,eq
index mail pres,sub,eq
index cn pres,sub,eq
index sn pres,sub,eq
index dc eq
}}

データベースディレクトリを準備します。デフォルトの設定ファイルをコピーして適切な所有権を設定してください:
# cp /etc/openldap/DB_CONFIG.example /var/lib/openldap/openldap-data/DB_CONFIG
# chown ldap:ldap /var/lib/openldap/openldap-data/DB_CONFIG

{{Note|OpenLDAP 2.4 から {{ic|slapd.conf}} の設定は非推奨になりました。このバージョンから全ての設定は {{ic|/etc/openldap/slapd.d/}} に保存されることになっています。}}

{{ic|slapd.conf}} の変更を新しい {{ic|/etc/openldap/slapd.d/}} の設定に保存するには、まず古い設定ファイルを削除する必要があります。設定を変更するたびに実行してください:

# rm -rf /etc/openldap/slapd.d/*

(データベースがまだない場合は、[[systemd#ユニットを使う|systemd]] を使って {{ic|slapd.service}} を起動・停止することでデータベースを作成してください。)

次のコマンドで新しい設定を生成します:

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

上のコマンドは {{ic|slapd.conf}} を変更する度に実行する必要があります。全てが問題ないか確認してください。"bdb_monitor_db_open: monitoring disabled; configure monitor database to enable" というメッセージは無視してください。

{{ic|/etc/openldap/slapd.d}} の新しいファイルとディレクトリの所有権を再帰的に変更:

# chown -R ldap:ldap /etc/openldap/slapd.d

{{note|ディレクトリを作成した後はインデックスを作成してください。インデックスは作成する前に slapd を停止する必要があります。
# slapindex
# chown ldap:ldap /var/lib/openldap/openldap-data/*
もしくは {{ic|$ sudo -u ldap slapindex}} を実行。
}}

最後に、systemd を使って {{ic|slapd.service}} で slapd デーモンを起動してください。

=== クライアント ===
クライアントの設定ファイルは {{ic|/etc/openldap/ldap.conf}} です。

設定はとてもシンプルです: {{ic|BASE}} をサーバーの suffix に、{{ic|URI}} をサーバーのアドレスに変更するだけです、例:

{{hc|/etc/openldap/ldap.conf|2=
BASE dc=example,dc=com
URI ldap://localhost
}}

SSL を使う場合は:

* {{ic|URI}} エントリのプロトコル (ldap または ldaps) は slapd の設定と一致しなくてはなりません。
* 自己署名証明書を使う場合は、{{ic|ldap.conf}} に {{ic|TLS_REQCERT allow}} という行を追加してください。

=== 最初のエントリを作成 ===
クライアントを設定したら、root の役割をするエントリである root エントリを作成することを推奨します:

$ ldapadd -x -D 'cn=root,dc=example,dc=com' -W
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
dc: example
o: Example
description: Example directory

dn: cn=root,dc=example,dc=com
objectClass: organizationalRole
cn: root
description: Directory Manager
^D

最初の行の後のテキストは標準入力で入力していますが、-f オプションやファイルリダイレクトを使うことでファイルから読み込むこともできます。

=== OpenLDAP をテストする ===

下のコマンドを実行するだけで、簡単にテストできます:
$ ldapsearch -x '(objectclass=*)'

もしくは、上記の設定例を使って、rootdn で認証するには ({{ic|-x}} を {{ic|-D <user> -W}} で置き換える):
$ ldapsearch -D "cn=root,dc=example,dc=com" -W '(objectclass=*)'

データベースに関する情報が表示されるはずです。

=== OpenLDAP over TLS ===
{{Note|[http://www.openldap.org/doc/admin24/ 上流のドキュメント] の方がこのセクションよりも情報が豊富です。}}

ネットワークを介して OpenLDAP サーバーにアクセスする場合、特にサーバー上に極秘のデータを保存するときは、クリアテキストで送られたデータを盗聴される恐れがあります。次のパートでは LDAP サーバーとクライアントの間に SSL 接続をセットアップしてデータを暗号化して送信する方法を説明します。

TLS を使うには、証明書が必要になります。テスト目的なら、''自己署名''証明書で足りるでしょう。証明書について詳しく知るには、[[OpenSSL]] を見て下さい。

{{Warning|OpenLDAP はパスワードが関連付けられた証明書を使うことができません。}}

==== 自己署名証明書の作成 ====
''自己署名''証明書を作成するには、次を入力:
$ openssl req -new -x509 -nodes -out slapdcert.pem -keyout slapdkey.pem -days 365

LDAP サーバーに関する情報の入力が求められます。ほとんどの情報は空のままでも大丈夫です。一番重要な情報はコモンネームです。コモンネームは LDAP サーバーの DNS 名に設定してください。LDAP サーバーの IP アドレスが example.org で解決できてもサーバーの証明書の CN が bad.example.org の場合、LDAP クライアントは証明書を拒否してしまうため TLS 接続をネゴシエートできなくなります (全く予期できない結果になります)。

それから、作成された証明書ファイルを {{ic|/etc/openldap/ssl/}} (ディレクトリが存在しない場合は作成してください) にコピーしてパーミッションを設定します。{{ic|slapdcert.pem}} は公開鍵なので誰からでも読み込めるようにしてください。逆に {{ic|slapdkey.pem}} は ldap ユーザーだけが読み込めるようにしてください:
# mv slapdcert.pem slapdkey.pem /etc/openldap/ssl/
# chmod -R 755 /etc/openldap/ssl/
# chmod 400 /etc/openldap/ssl/slapdkey.pem
# chmod 444 /etc/openldap/ssl/slapdcert.pem
# chown ldap /etc/openldap/ssl/slapdkey.pem

==== SSL を使うように slapd を設定 ====
デーモンの設定ファイル ({{ic|/etc/openldap/slapd.conf}}) を編集して以下の行を追加することで LDAP に証明書ファイルの場所を指定してください:
{{bc|
# Certificate/SSL Section
TLSCipherSuite DEFAULT
TLSCertificateFile /etc/openldap/ssl/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/ssl/slapdkey.pem
}}

TLSCipherSuite は slapd が TLS 接続をネゴシエートするときに使用する OpenSSL の暗号方式のリストを指定します。優先度が高い順です。特定の暗号を指定するかわりに、OpenSSL によってサポートされているワイルドカードを使うことができます。

{{Note|
* DEFAULT はワイルドカードです。サポートされている暗号方式やワイルドカード、オプションについては {{ic|man ciphers}} の説明を読んでください。
* ローカルの OpenSSL によってサポートされている暗号を確認するには、次を実行: {{ic|openssl ciphers -v ALL:COMPLEMENTOFALL}}。OpenSSL コマンドを使えば実際に TLSCipherSuite によって有効になる暗号は何なのかテストできます: {{ic|openssl ciphers -v 'DEFAULT'}}。}}

設定ディレクトリを再生成:
# rm -rf /etc/openldap/slapd.d/* # erase old config settings
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ # generate new config directory from config file
# chown -R ldap:ldap /etc/openldap/slapd.d # Change ownership recursively to ldap on the config directory

==== SSL で slapd を起動 ====
{{ic|slapd.service}} を編集して slapd が使用するプロトコルを変更してください。

上書きユニットを作成:
{{hc|systemctl edit slapd.service|<nowiki>
[Service]
ExecStart=
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldaps:///"</nowiki>}}

ローカルホスト接続は SSL を使う必要がありません。ローカルのサーバーにアクセスしたいときは {{ic|ExecStart}} 行を以下のように変更してください:
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldap://127.0.0.1 ldaps:///"

そして {{ic|slapd.service}} を[[再起動]]してください。サービスを有効にしていた場合は、再有効化もしてください。

{{Note|上で書かれているように自己署名証明書を作成した場合は、{{ic|TLS_REQCERT allow}} をクライアント側の {{ic|/etc/openldap/ldap.conf}} に追加しないとサーバーに接続することができなくなります。}}

== 次のステップ ==

これで基本的な LDAP のインストールは完了です。次はディレクトリを自分で設計してください。LDAP を何のために使うのかによって大きく変わってきます。LDAP を初めて使う場合は、まずはディレクトリを使用するクライアントサービス (PAM や [[Postfix]] など) によって推奨されている設定から始めると良いでしょう。

システム認証の方法は [[LDAP 認証]]の記事に書かれています。

LDAP のフロントエンドとして [[phpLDAPadmin]] も存在します。

== トラブルシューティング ==

=== Client Authentication Checking ===
セキュアでない認証でサーバーに接続できない場合:

$ ldapsearch -x -H ldap://ldaservername:389 -D cn=Manager,dc=example,dc=exampledomain

TLS によって暗号化された認証で接続をする場合:

$ ldapsearch -x -H ldaps://ldaservername:636 -D cn=Manager,dc=example,dc=exampledomain

=== LDAP サーバーが突然停止する ===

slapd を起動しても停止してしまう場合、以下を実行して "ldap" ユーザーからデータディレクトリに書き込むことができるようにしてみてください:

# chown ldap:ldap /var/lib/openldap/openldap-data/*

== 参照 ==
* [http://www.openldap.org/doc/admin24/ Official OpenLDAP Software 2.4 Administrator's Guide]
* [[phpLDAPadmin]] phpMyAdmin 風のウェブインターフェイスツール
* {{AUR|apachedirectorystudio}} Eclipse ベースの LDAP ビューア ([[AUR]])。OpenLDAP でも問題なく動作します

OpenLDAP

2016-04-08T14:23:25Z

Fragment:

[[Category:ネットワーク]]
[[en:OpenLDAP]]
[[ru:OpenLDAP]]
[[zh-cn:OpenLDAP]]
{{Related articles start}}
{{Related|LDAP 認証}}
{{Related3|LDAP Hosts|LDAP ホスト}}
{{Related articles end}}
OpenLDAP は LDAP プロトコルのオープンソースの実装です。LDAP サーバーは基本的に、データの書き込みではなくアクセスに最適化されたリレーショナルでないデータベースです。主として (メールクライアントなどの) アドレス帳や様々なサービス (ドメインコントローラをエミュレートするのに使われる Samba や、{{ic|/etc/passwd}} を置き換える [[LDAP 認証|Linux システム認証]]など) の認証バックエンドとして使われ、ユーザーデータを保持します。

{{note|{{ic|ldap}} で始まる OpenLDAP のコマンド ({{ic|ldapsearch}} など) はクライアント側のユーティリティであり、{{ic|slap}} で始まるコマンド ({{ic|slapcat}} など) はサーバー側のユーティリティです。}}

このページではその入り口として基本的な OpenLDAP をインストールしてサニティチェックを行います。

{{Tip|ディレクトリサービスは範囲がとても広いテーマであり、設定は複雑です。初めてディレクトリサービスに接する場合は、[http://www.brennan.id.au/20-Shared_Address_Book_LDAP.html ここ] を読めば簡単に理解でき、LDAP の全てを知らなかったとしても始めることができると思います。}}

== インストール ==

OpenLDAP には LDAP サーバーとクライアントの両方が含まれています。[[公式リポジトリ]]の {{Pkg|openldap}} パッケージでインストールしてください。

== 設定 ==

=== サーバー ===

{{Note|既にマシン上に OpenLDAP データベースが存在する場合は、{{ic|/var/lib/openldap/openldap-data/}} 内の全てのファイルを削除してください。}}

サーバーの設定ファイルは {{ic|/etc/openldap/slapd.conf}} です。

suffix と rootdn を編集してください。suffix は基本的にドメイン名を使いますが、そうである必要はありません。ディレクトリは使い様です。ここではドメイン名には ''example'' を、tld には ''com'' を使うこととします。rootdn は LDAP の管理者の名前です (ここでは ''root'' を使います)。
{{bc|<nowiki>
suffix "dc=example,dc=com"
rootdn "cn=root,dc=example,dc=com"
</nowiki>}}

そしてデフォルトの root パスワードを削除して強固なパスワードを作成します:
# sed -i "/rootpw/ d" /etc/openldap/slapd.conf #find the line with rootpw and delete it
# echo "rootpw $(slappasswd)" >> /etc/openldap/slapd.conf #add a line which includes the hashed password output from slappasswd

よく使われる [http://www.openldap.org/doc/admin24/schema.html schema] を {{ic|slapd.conf}} の一番上に追加すると良いでしょう:
# cp /usr/share/doc/samba/examples/LDAP/samba.schema /etc/openldap/schema
{{bc|
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
}}

よく使われる [http://www.openldap.org/doc/admin24/tuning.html#Indexes index] を {{ic|slapd.conf}} の一番下に追加すると良いでしょう:
{{bc|
index uid pres,eq
index mail pres,sub,eq
index cn pres,sub,eq
index sn pres,sub,eq
index dc eq
}}

データベースディレクトリを準備します。デフォルトの設定ファイルをコピーして適切な所有権を設定してください:
# cp /etc/openldap/DB_CONFIG.example /var/lib/openldap/openldap-data/DB_CONFIG
# chown ldap:ldap /var/lib/openldap/openldap-data/DB_CONFIG

{{Note|OpenLDAP 2.4 から {{ic|slapd.conf}} の設定は非推奨になりました。このバージョンから全ての設定は {{ic|/etc/openldap/slapd.d/}} に保存されることになっています。}}

{{ic|slapd.conf}} の変更を新しい {{ic|/etc/openldap/slapd.d/}} の設定に保存するには、まず古い設定ファイルを削除する必要があります。設定を変更するたびに実行してください:

# rm -rf /etc/openldap/slapd.d/*

(データベースがまだない場合は、[[systemd#ユニットを使う|systemd]] を使って {{ic|slapd.service}} を起動・停止することでデータベースを作成してください。)

次のコマンドで新しい設定を生成します:

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

上のコマンドは {{ic|slapd.conf}} を変更する度に実行する必要があります。全てが問題ないか確認してください。"bdb_monitor_db_open: monitoring disabled; configure monitor database to enable" というメッセージは無視してください。

{{ic|/etc/openldap/slapd.d}} の新しいファイルとディレクトリの所有権を再帰的に変更:

# chown -R ldap:ldap /etc/openldap/slapd.d

{{note|ディレクトリを作成した後はインデックスを作成してください。インデックスは作成する前に slapd を停止する必要があります。
# slapindex
# chown ldap:ldap /var/lib/openldap/openldap-data/*
もしくは {{ic|$ sudo -u ldap slapindex}} を実行。
}}

最後に、systemd を使って {{ic|slapd.service}} で slapd デーモンを起動してください。

=== クライアント ===
クライアントの設定ファイルは {{ic|/etc/openldap/ldap.conf}} です。

設定はとてもシンプルです: {{ic|BASE}} をサーバーの suffix に、{{ic|URI}} をサーバーのアドレスに変更するだけです、例:

{{hc|/etc/openldap/ldap.conf|2=
BASE dc=example,dc=com
URI ldap://localhost
}}

SSL を使う場合は:

* {{ic|URI}} エントリのプロトコル (ldap または ldaps) は slapd の設定と一致しなくてはなりません。
* 自己署名証明書を使う場合は、{{ic|ldap.conf}} に {{ic|TLS_REQCERT allow}} という行を追加してください。

=== 最初のエントリを作成 ===
クライアントを設定したら、root の役割をするエントリである root エントリを作成することを推奨します:

$ ldapadd -x -D 'cn=root,dc=example,dc=com' -W
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
dc: example
o: Example
description: Example directory

dn: cn=root,dc=example,dc=com
objectClass: organizationalRole
cn: root
description: Directory Manager
^D

最初の行の後のテキストは標準入力で入力していますが、-f オプションやファイルリダイレクトを使うことでファイルから読み込むこともできます。

=== OpenLDAP をテストする ===

下のコマンドを実行するだけで、簡単にテストできます:
$ ldapsearch -x '(objectclass=*)'

もしくは、上記の設定例を使って、rootdn で認証するには ({{ic|-x}} を {{ic|-D <user> -W}} で置き換える):
$ ldapsearch -D "cn=root,dc=example,dc=com" -W '(objectclass=*)'

データベースに関する情報が表示されるはずです。

=== OpenLDAP over TLS ===
{{Note|[http://www.openldap.org/doc/admin24/ 上流のドキュメント] の方がこのセクションよりも情報が豊富です。}}

ネットワークを介して OpenLDAP サーバーにアクセスする場合、特にサーバー上に極秘のデータを保存するときは、クリアテキストで送られたデータを盗聴される恐れがあります。次のパートでは LDAP サーバーとクライアントの間に SSL 接続をセットアップしてデータを暗号化して送信する方法を説明します。

TLS を使うには、証明書が必要になります。テスト目的なら、''自己署名''証明書で足りるでしょう。証明書について詳しく知るには、[[OpenSSL]] を見て下さい。

{{Warning|OpenLDAP はパスワードが関連付けられた証明書を使うことができません。}}

==== 自己署名証明書の作成 ====
''自己署名''証明書を作成するには、次を入力:
$ openssl req -new -x509 -nodes -out slapdcert.pem -keyout slapdkey.pem -days 365

LDAP サーバーに関する情報の入力が求められます。ほとんどの情報は空のままでも大丈夫です。一番重要な情報はコモンネームです。コモンネームは LDAP サーバーの DNS 名に設定してください。LDAP サーバーの IP アドレスが example.org で解決できてもサーバーの証明書の CN が bad.example.org の場合、LDAP クライアントは証明書を拒否してしまうため TLS 接続をネゴシエートできなくなります (全く予期できない結果になります)。

それから、作成された証明書ファイルを {{ic|/etc/openldap/ssl/}} (ディレクトリが存在しない場合は作成してください) にコピーしてパーミッションを設定します。{{ic|slapdcert.pem}} は公開鍵なので誰からでも読み込めるようにしてください。逆に {{ic|slapdkey.pem}} は ldap ユーザーだけが読み込めるようにしてください:
# mv slapdcert.pem slapdkey.pem /etc/openldap/ssl/
# chmod -R 755 /etc/openldap/ssl/
# chmod 400 /etc/openldap/ssl/slapdkey.pem
# chmod 444 /etc/openldap/ssl/slapdcert.pem
# chown ldap /etc/openldap/ssl/slapdkey.pem

==== SSL を使うように slapd を設定 ====
デーモンの設定ファイル ({{ic|/etc/openldap/slapd.conf}}) を編集して以下の行を追加することで LDAP に証明書ファイルの場所を指定してください:
{{bc|
# Certificate/SSL Section
TLSCipherSuite DEFAULT
TLSCertificateFile /etc/openldap/ssl/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/ssl/slapdkey.pem
}}

[[Let’s Encrypt]] のような認証局により署名されたSSL証明書を用いる場合、ルート証明書データベースと中間証明書のパスを指定する必要があります。また、ユーザー {{ic|ldap}} が読み込めるように {{ic|.pem}} ファイルと途中のディレクトリの所有者情報を変更する必要もあるでしょう。:
{{bc|
# Certificate/SSL Section
TLSCipherSuite DEFAULT
TLSCertificateFile /etc/letsencrypt/live/ldap.my-domain.com/cert.pem
TLSCertificateKeyFile /etc/letsencrypt/live/ldap.my-domain.com/privkey.pem
TLSCACertificateFile /etc/letsencrypt/live/ldap.my-domain.com/chain.pem
TLSCACertificatePath /usr/share/ca-certificates/trust-source
}}

TLSCipherSuite は slapd が TLS 接続をネゴシエートするときに使用する OpenSSL の暗号方式のリストを指定します。優先度が高い順です。特定の暗号を指定するかわりに、OpenSSL によってサポートされているワイルドカードを使うことができます。

{{Note|
* DEFAULT はワイルドカードです。サポートされている暗号方式やワイルドカード、オプションについては {{ic|man ciphers}} の説明を読んでください。
* ローカルの OpenSSL によってサポートされている暗号を確認するには、次を実行: {{ic|openssl ciphers -v ALL:COMPLEMENTOFALL}}。OpenSSL コマンドを使えば実際に TLSCipherSuite によって有効になる暗号は何なのかテストできます: {{ic|openssl ciphers -v 'DEFAULT'}}。}}

設定ディレクトリを再生成:
# rm -rf /etc/openldap/slapd.d/* # erase old config settings
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ # generate new config directory from config file
# chown -R ldap:ldap /etc/openldap/slapd.d # Change ownership recursively to ldap on the config directory

==== SSL で slapd を起動 ====
{{ic|slapd.service}} を編集して slapd が使用するプロトコルを変更してください。

上書きユニットを作成:
{{hc|systemctl edit slapd.service|<nowiki>
[Service]
ExecStart=
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldaps:///"</nowiki>}}

ローカルホスト接続は SSL を使う必要がありません。ローカルのサーバーにアクセスしたいときは {{ic|ExecStart}} 行を以下のように変更してください:
ExecStart=/usr/bin/slapd -u ldap -g ldap -h "ldap://127.0.0.1 ldaps:///"

そして {{ic|slapd.service}} を[[再起動]]してください。サービスを有効にしていた場合は、再有効化もしてください。

{{Note|上で書かれているように自己署名証明書を作成した場合は、{{ic|TLS_REQCERT allow}} をクライアント側の {{ic|/etc/openldap/ldap.conf}} に追加しないとサーバーに接続することができなくなります。}}

== 次のステップ ==

これで基本的な LDAP のインストールは完了です。次はディレクトリを自分で設計してください。LDAP を何のために使うのかによって大きく変わってきます。LDAP を初めて使う場合は、まずはディレクトリを使用するクライアントサービス ([[PAM]] や [[Postfix]] など) によって推奨されている設定から始めると良いでしょう。

システム認証の方法は [[LDAP 認証]]の記事に書かれています。

LDAP のフロントエンドとして [[phpLDAPadmin]] も存在します。

== トラブルシューティング ==

=== Client Authentication Checking ===
セキュアでない認証でサーバーに接続できない場合:

$ ldapsearch -x -H ldap://ldaservername:389 -D cn=Manager,dc=example,dc=exampledomain

TLS によって暗号化された認証で接続をする場合:

$ ldapsearch -x -H ldaps://ldaservername:636 -D cn=Manager,dc=example,dc=exampledomain

=== LDAP サーバーが突然停止する ===

slapd を起動しても停止してしまう場合、以下を実行して "ldap" ユーザーからデータディレクトリに書き込むことができるようにしてみてください:

# chown ldap:ldap /var/lib/openldap/openldap-data/*

=== LDAP サーバーを起動できない ===

コマンドラインからデバッグ出力を有効にしてLDAPサーバーを起動してみてください:

# slapd -u ldap -g ldap -h ldaps://ldaservername:636 -d Config,Stats

== 参照 ==
* [http://www.openldap.org/doc/admin24/ Official OpenLDAP Software 2.4 Administrator's Guide]
* [[phpLDAPadmin]] phpMyAdmin 風のウェブインターフェイスツール
* {{AUR|apachedirectorystudio}} Eclipse ベースの LDAP ビューア ([[AUR]])。OpenLDAP でも問題なく動作します