CentOS Stream 9 を使った所、こんなメッセージが出てサーバサイドの暗号化ができなかったので調査しました。

multikeyencryption failed error:0308010C:digital envelope routines::unsupported

調べると Node.JS 関連の情報が出てきますが、多分違うだろうと考えて SSL 周りを調査。

• https://www.openssl.org/docs/manmaster/man7/OSSL_PROVIDER-legacy.html
• legacy
• fips
• OSSL_PROVIDER-legacy
• NODE_OPTIONS=--openssl-legacy-provider
• https://github.com/nodejs/node/issues/40455

これらの文字列からたどり着いたのは openss.cnf の以下の部分。

修正したらサーバサイドの暗号化が動く様になりました。

ただ、occ preview:pre-generate が動かなくなり、バックグラウンドでのプレビュー画像生成ができなくなります。これが意外と被害でかいんだよね。

当然ですがレガシー対応した形なので、OSとしては少しセキュア度が下がりました。

--- openssl.cnf.orig    2022-01-21 23:28:48.000000000 +0900
+++ openssl.cnf 2022-01-27 13:49:37.335117079 +0900
@@ -58,13 +58,13 @@
 [provider_sect]
 default = default_sect
-##legacy = legacy_sect
+legacy = legacy_sect
 ##
 [default_sect]
 activate = 1
-##[legacy_sect]
-##activate = 1
+[legacy_sect]
+activate = 1
 [ ssl_module ]

変更したあとは php-fpm を再起動して openssl.cnf の設定変更を反映させます。

systemctl restart php-fpm
systemctl restart httpd

無事 サーバサイドの暗号化が動きました。一気に全ファイルを暗号化します。一応解除も試します。

# 暗号化
sudo -u apache php occ maintenance:mode --off
sudo -u apache php occ encryption:enable
sudo -u apache php occ encryption:encrypt-all
sudo -u apache php occ encryption:status

# 暗号化解除
sudo -u apache php occ maintenance:mode --off
sudo -u apache php occ encryption:decrypt-all
sudo -u apache php occ encryption:disable
sudo -u apache php occ encryption:status

使用容量は増えるけど、安心できるからやむを得ず。

CentOS 5.2 と Xen でいろいろ試したので、今度は、最近無償化された Citrix XenServer を hp ML115 G5 へインストールしてみました。

そもそも Xen なのであまり違いはないけどね。Xen の VMware ESXi 版のような感じで、リモートクライアントから操作します。慣れればコマンド操作の方が便利だけど、とっかかり易さは GUI だね。

CentOS/Xen HVM では設定が悪い為か動かなかった FreeBSD だけど、XenServer の HVM は動くのだろうか？ググっても FreeBSD と XenServer の情報が出てこないんだよね。なので FreeBSD 7.1-RELEASE をインストールしてみました。

結果、問題なくインストールが出来ました。ただ HVM だけどね。

XenServer で DomU したい場合はどうすれば良いのかな？

XenServer の Xen のバージョンの調べ方が分からないのだけど、xentop 出力結果はこんな感じ、3.2.1 ってことかな。

xentop - 00:56:42   Xen 3.2.1
2 domains: 1 running, 0 blocked, 0 paused, 0 crashed, 0 dying, 0 shutdown
Mem: 4715760k total, 1545552k used, 3170208k free    CPUs: 1 @ 2700MHz

• http://wiki.freebsd.org/FreeBSD/Xen

8-CURRENT ではなんだか楽しそうなんだけど。今のところテスト的に 8-CURRENT にするか、6.3-RELEASE なのかな。ここのブログの自宅サーバも 6.3-RELEASE なのでそれでもいいんだけど、なんとなく。

サーバは格安で手に入れた hp ML115 G5で、メモリーを 4GB 増設したマシンです。FreeBSD は i386 版、dmesg はこんな感じ。まだインストールしただけなので運用に耐えられるのかは分からないけど、気になるのは LAN インタフェースが re というところ。

Copyright (c) 1992-2009 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
        The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 7.1-RELEASE #0: Thu Jan  1 14:37:25 UTC 2009
    root@logan.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: AMD Athlon(tm) Processor 1640B (2708.15-MHz 686-class CPU)
  Origin = "AuthenticAMD"  Id = 0x70ff2  Stepping = 2
  Features=0x789fbff
  Features2=0x80002001>
  AMD Features=0x22400800
  AMD Features2=0x111
real memory  = 536842240 (511 MB)
avail memory = 511336448 (487 MB)
ACPI APIC Table: 
ioapic0: Changing APIC ID to 1
MADT: Forcing active-low polarity and level trigger for SCI
ioapic0  irqs 0-47 on motherboard
kbd1 at kbdmux0
ath_hal: 0.9.20.3 (AR5210, AR5211, AR5212, RF5111, RF5112, RF2413, RF5413)
acpi0:  on motherboard
acpi0: [ITHREAD]
Timecounter "ACPI-safe" frequency 3579545 Hz quality 850
acpi_timer0: <32-bit timer at 3.579545MHz> port 0x1f48-0x1f4b on acpi0
pcib0:  port 0xcf8-0xcff iomem 0xf0000000-0xf4ffffff on acpi0
pci0:  on pcib0
isab0:  at device 1.0 on pci0
isa0:  on isab0
atapci0:  port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0xc000-0xc00f at device 1.1 on pci0
ata0:  on atapci0
ata0: [ITHREAD]
ata1:  on atapci0
ata1: [ITHREAD]
pci0:  at device 1.2 (no driver attached)
uhci0:  port 0xc020-0xc03f irq 23 at device 1.3 on pci0
uhci0: [GIANT-LOCKED]
uhci0: [ITHREAD]
usb0:  on uhci0
usb0: USB revision 1.0
uhub0:  on usb0
uhub0: 2 ports with 2 removable, self powered
vgapci0:  mem 0xf0000000-0xf1ffffff,0xf2000000-0xf2000fff at device 2.0 on pci0
pci0:  at device 3.0 (no driver attached)
re0:  port 0xc200-0xc2ff mem 0xf4000000-0xf40000ff irq 32 at device 4.0 on pci0
re0: Chip rev. 0x74800000
re0: MAC rev. 0x00000000
miibus0:  on re0
rlphy0:  PHY 0 on miibus0
rlphy0:  10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
re0: Ethernet address: a6:af:2f:55:d4:ff
re0: [FILTER]
atkbdc0:  port 0x60,0x64 irq 1 on acpi0
atkbd0:  irq 1 on atkbdc0
kbd0 at atkbd0
atkbd0: [GIANT-LOCKED]
atkbd0: [ITHREAD]
psm0:  irq 12 on atkbdc0
psm0: [GIANT-LOCKED]
psm0: [ITHREAD]
psm0: model IntelliMouse Explorer, device ID 4
sio0: <16550A-compatible COM port> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
sio0: type 16450
sio0: [FILTER]
cpu0:  on acpi0
pmtimer0 on isa0
orm0:  at iomem 0xd0000-0xd7fff pnpid ORM0000 on isa0
ppc0:  at port 0x378-0x37f irq 7 on isa0
ppc0: Generic chipset (EPP/NIBBLE) in COMPATIBLE mode
ppbus0:  on ppc0
ppbus0: [ITHREAD]
plip0:  on ppbus0
plip0: WARNING: using obsoleted IFF_NEEDSGIANT flag
lpt0:  on ppbus0
lpt0: Interrupt-driven port
ppi0:  on ppbus0
ppc0: [GIANT-LOCKED]
ppc0: [ITHREAD]
sc0:  at flags 0x100 on isa0
sc0: VGA <16 virtual consoles, flags=0x300>
sio1: configured irq 3 not in bitmap of probed irqs 0
sio1: port may not be enabled
vga0:  at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
ums0:  on uhub0
ums0: X report 0x0002 not supported
device_attach: ums0 attach returned 6
Timecounter "TSC" frequency 2708153351 Hz quality 800
Timecounters tick every 1.000 msec
ad0: 16384MB  at ata0-master WDMA2
acd0: CDROM  at ata1-slave PIO3
Trying to mount root from ufs:/dev/ad0s1a

参考サイト:

• 先週～週末のXENと私 - Yoichi's diary
• Re: FreeBSD 7.0 + Xen 3.1 + HVM: Success!
• FreeBSD/Xen port

また NTT-X Store で 4000 円割引やってたんで1台ゲット。金曜日に4000円引き情報をとある方のブログで知った時は在庫180台、日曜日の購入時点で100個の在庫。一人で何台も買ってるんだろうね。

• ML115 G5 スタートダッシュ3 キャンペーン(S) 4577670-ADRP
  • お？今(2008/1/26 12:20)見たら 2000 円割引に変わってる。4000円割引でゲットできたのでラッキー！
  • (2008/1/28 21:05) お、また 4000 円引きになったかな。http://nttxstore.jp/_II_HP12697443

この格安のは去年もやってたんだけど、AMD CPU は過去 1 度しか使ったことがなかったんで手を出さなかったんだよね、今回は他に人柱になってくれた方がたくさんいたので買いました。

クライアントとしても、もう一台買っちゃいそうだったけど電源いれた時のあの爆音はかなわないからね。あくまでもサーバ用途でね。クライアントは、今サーバとして使ってる ATX のケースと電源が余るし、W数が足りればそのまま使って自作でどうにかするつもり。もう販売停止品だから、抱えすぎても捨てるの困るしね。

購入に踏み切った理由はこんな感じ。

• 今の最新 AMD Phenom II が unkown 認識ながら動いたという情報があってしばらく楽しめそう
• メモリーは 16 GB まで対応しているから、とりあえず格安 non-ECC 2GB x 2 で 4GB
• VMware ESXi が USB ブートで動くから
• ESXi でも Smart Array e200 でハード RAID が組めるから。でも遅いらしい。
  • オンボード RAID コントローラーが動けば安上がりなんだけどな。
• ホストは Xen ベースのどれかを使う予定。最終的には、オンボード RAID も使えるLinux OS としても、自由に使える CentOS かな。
  • Citrix XenServer Express Edition
  • Oracle VM
  • CentOS Xen
• ホスト OS はファイルサーバ iSCSI, NFS, DNLA, SMB としても兼ねる
• ゲスト OS に FreeBSD で公開サーバ
  • Xen で仮想化用のイメージじゃなく、物理的ディスクを直接マウント出来るらしいからそれを試す

こんな計画でい行けそうだったからです。気になるのがケースファン、がかなりの爆音らしいです。どうやって静音化をしようかな。とりあえず超格安な non-ECC メモリー、SATA ディスク、E200 128 BBWCC をゲットしなくては。 着払い限定 15,750 円が 11,750 円です。送料と代引き手数料つけて 12,170 円、これを2回の分割払い。

昨日見たときは30個くらいまで在庫が減ってたけど、今は2000円割引の在庫が80個。あともう一台を ESXi ディスクレス化のiSCSI ターゲット用として欲しいな。悩み中。