2014年6月にUbuntu 14.04 (Trusty)にアップデートしたbravotouring.comのサーバ。
Hugo乗り換えを大義名分に先送りにしていたアップデートを、気の迷いで1月13日未明にうっかり実施。大胆にもdo-release-upgradeを3回繰り返し、LTS最新版のUbuntu 20.04 (Focal Fossa)という荒業にチャレンジしたメモ。
まず、spamassassinが起動に失敗。うん、CPANが追いついてないので無理だよね、というわけでひとまずuninstallして首絞め。
続いて、DKIMとNSDも起動に失敗していて、メールが送受信できない事に気づいて軽く慌てはじめる。/var/log/syslogの
Jan 13 03:59:56 vps nsd[2349728]: Error in SSL_CTX use_certificate_fileというエラーに気づいた。ググってみると
crypto error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small
![[External]](/~yano/parts/extlink.png)
OpenSSL 1.1.1/changelog[28 May 2019]で
Change the default RSA, DSA and DH size to 2048 bit instead of 1024. This changes the size when using the genpkey command when no size is given. It fixes an omission in earlier changes that changed all RSA, DSA and DH generation commands to use 2048 bits by default.と、鍵長が2048ビット以上でないとダメになったようなので、nsd-control-setupで鍵を作り直してみた。
root@vps:/etc/nsd# nsd-control-setup…もののエラーは変わらず。結局、スクリプトを読んでみたところ1536→3072と生成する鍵長の設定は強化されていたもののnsd_server.key existsという事で作成されていなかったというオチだったので、
setup in directory /etc/nsd
nsd_server.key exists
nsd_control.key exists
create nsd_server.pem (self signed certificate)
create nsd_control.pem (signed client certificate)
Signature ok
subject=CN = nsd-control
Getting CA Private Key
Setup success. Certificates created.
root@vps:/etc/nsd#
root@vps:~# cd /etc/nsdとして復活。
root@vps:~# mv nsd_control.key nsd_control.key.2014
root@vps:~# mv nsd_server.key nsd_server.key.2014
root@vps:~# nsd-control-setup
root@vps:~# systemctl start nsd.service
dovecotも同様に
DH_KEY_TOO_SMALLというSSLのエラーだったので、
root@vps:~# cd /etc/dovecot/で解決し、
root@vps:~# openssl dhparam 4096 > dh.pem
root@vps:~# systemctl start dkim.serviceでDKMIまでやっと復旧。
しかし、サービスは立ち上がったものの相変わらずメールは不通。Webアクセスはできるので大丈夫と思いきや、DNSで名前解決ができてない事が判明。地道に調べてみると肝心のzoneファイルの書き方がいい加減でエラーになっていた事がわかり、これも真面目に改修してWebとメールが開通したのは明け方だった。
数日置いてspamassassinもCPANではなくaptで再インストール。育ててきた自前のルールがなかなか適用されずしばらく試行錯誤していたのだが、判定スコアのしきい値として/etc/spamassassin/local.cfのrequired_hitsよりも.spamassassin/user_prefsのrequired_scoreが優先されていただけで、自前のルール自体は効くようになっていたようだ。
話は戻って、肝心要のRnote。phpが5.5.9から7.4.3に上がり
Uncaught exception: Call to undefined function ereg()という事になり、Rnoteが動かなくなりこちらも地道に対応していたのだが、10日かかってようやく改修完了となった。 ereg、eregi、ereg_replaceをmbereg、mberegi、mbereg_replaceに置き換えるのはなんてことなかったのだが、変数を文字列で初期化していた
function SkinTagChk($tag,&$str,&$opt){と
/* $opt = ''; // php5.x */
$opt = []; // php7.x
if(! preg_match('/<%=\$'.$tag.'\s*(.*?)%>/s',$str,$optstr)) return '';
$tagstr = $optstr[0];
$tmp = $optstr[1];
function Plugin($name,$func,$opt){の2箇所に手こずった。
/* static $g_plugin = ''; // php5.x */
static $g_plugin; // php7.x
require_once(DIR_PLUGINS.$name.'.php');
if(!isset($g_plugin[$name])){
$g_plugin[$name] = new $name;
}
return $g_plugin[$name]->$func($opt);
}
あとは2001年5月から、かれこれ20年も使い続けている「CGIでも使えるPNG式画像カウンタ」(pngcntr)が動かなくなっているな…
【参照】
●Qiita https://qiita.com/
┣OpenSSL 0.9.8で作成した鍵をOpenSSL 1.1.1 でも使う方法
┗Ubuntu 18.04(LTS)→20.04(LTS)アップグレード方法 2020年5月7日
●OpenSSL https://www.openssl.org/
┗OpenSSL 1.1.1/changelog
●GitHub https://github.com/
┗SSL routines:SSL_CTX_use_certificate:ee key too small #33 2019年9月26日
●Ask Ubuntu https://askubuntu.com/
┗dovecot - imap-login: Error: Failed to initialize SSL server context: Can't load SSL certificate ee key too mall 2020年10月14日
●Ubuntu Wiki https://wiki.ubuntu.com/
┗FocalFossa/ReleaseNotes/Ja
●Wikipedia http://ja.wikipedia.org/wiki/
┣Ubuntu
┣Ubuntuのバージョン履歴
┗DKIM
