私事ですが、本日および明日行われるハッキングコンテスト「SECCON CTF 2012年度全国大会」に、チームifconfigとして参加してきます。

Ураааааа!!!!

大学や仕事のこと、私的なことなどといったプライベートなあれこれもチケット管理しようといった考えから、公開用であるこのTracプロジェクトとは別に、認証もかけて自分専用のプロジェクトをホストしようと思いました。

同じホスト(同じサーバ)で2つのTracをホストした理由は、単にSSL証明書を節約するためです。

準備

例によって、任意のパスにTrac用のディレクトリを作成し、Trac化します。
詳細は以前の投稿を参照のほど。

[email protected] ~:$ mkdir another_project
[email protected] ~:$ trac-admin another_project initenv
[email protected] ~:$ chown -R trac:www-data another_project
[email protected] ~:$ chmod -R 775 another_project

失敗例

nginxの設定で、location /privateを設定し、パスを変える方法は失敗でした。
なぜかというと、Tracにprivateというハンドラがないからです。

それから、uwsgiのSocketポートを変えただけでも、同様にだめでした。

そんなにたくさん試行錯誤はしていません。エンジニアたるものもっと失敗にぶち当たるべき。

成功例

結局、私的に使うやつなのでポート番号くらい非defaultでもいいだろということで、別のポートでlistenすることにしました。

/etc/nginx/sites-available/trac_private

server {
    listen 55555 ssl;
    server_name x86-64.jp;
    ssl_certificate /path/to/your/ssl/cert.pem;
    ssl_certificate_key /path/to/your/ssl/key.key;
    root /home/trac/another_project;
    
    location /favicon.ico { }
    location /robots.txt { }

    if ($scheme = http) {
    	return 301 https://$server_name$request_uri;
    }
    
    location / {
    	include uwsgi_params;
    	uwsgi_param REMOTE_USER $remote_user;
        uwsgi_param HTTPS on; # リクエストが勝手にHTTPになる現象をこの行で解決
    	include uwsgi_params;
    	uwsgi_pass 127.0.0.1:7778;
    	auth_basic "Trac";
    	auth_basic_user_file "/path/to/your/.htpasswd";
    }
}

uwsgi_passのSocketポート番号は、ほかに走っているuwsgiアプリケーションと違うのに気をつけてください。同じだと破滅が起こります。

このconfをsites-enabledにシンボリックリンク張って、uwsgiとnginxを再起動して完了。

自分のアカウントでhttp-basic認証でログインしていても、どうもAdminメニューからTracの一般設定ができないと思っていました。

結局何が問題だったかというと、自分のアカウントにTRAC_ADMINが設定されていなかっただけでした。凡ミス。
次のコマンドにて解決。

[email protected] ~:$ trac-admin ~/your_trac_project permission add foo TRAC_ADMIN

先日のブログエントリに記載したコマンドを、自分で実行するのを忘れていたとは。

さらに検証してみると、TRAC_ADMINでなかったのにAdminメニューが選択できたのは、自分がBLOG_ADMINだったからでした。

あれ？と思ったら、まずは設定から見なおしてみると十中八九なんか見つかります。

それはそうと、​SharingButtonsPluginを導入してみました。
Wikiにはボタンが設置されたことを確認しましたが、Blogはどうやら外部プラグインを使っているため非対応なのか、表示されません。
暇があったら、様々なプラグインにも対応できるようにこれを改造してみてもいいかもしれませんね。

このTracをセットアップするのに多くの時間を費やし、文献を読みあさったのでここに手順やハマりどころをまとめておきます。

そこらの文献というのはなぜかコマンドをどの権限やパスで実行するか明記していないケースがあるので、この記事ではコマンドの説明をするときはbashっぽくプロンプトの部分から記述します。

1. なんかサーバを用意します(当サーバはAmazon EC2上のUbuntu 12.04.2)
   以降、ホスト名はreimuと表します(このホストがreimu.x86-64.jpだから)

2. 必要なものをパッケージマネージャなり公式サイトなりから引っ張ってきます。
   わたしはaptを使って手を抜きました。依存環境などもまるまる降ってくるし、アップデートの適用もシステムと一緒にできるという恩恵にあずかれます。
   

   [email protected] ~:# apt-get install nginx uwsgi uwsgi-plugin-python trac trac-git
   

   trac-gitはTracでgit使いたいから入れておいたもので、必須ではありません。
   で、uwsgiって結局なんなん: Uwsgi?

3. わたしはWebサイトごとにユーザを作るスタイルを採用しているので、Trac用にユーザを作っちゃいます。

   [email protected] ~:# adduser -G www-data trac
   

   nginxが走るグループは、環境によってはwww-dataではないかもしれません(httpdとか)
   ユーザ分けとかどうでもいい場合はwww-dataさんが参照できるディレクトリを用意するだけで大丈夫です。

4. Tracのプロジェクトが入るディレクトリを適当に作り、Tracに付属しているTrac-admin?コマンドでそのディレクトリをTrac化します。
   これは通常ユーザ(この記事の例ではtrac, Trac用のユーザを作らなかった場合はwww-data)で行います。

   [email protected] ~:$ mkdir your_trac_project
   [email protected] ~:$ trac-admin ~/your_trac_project initenv
   

   initenvを行っているときに、プロジェクトの名称とデータベースファイルのパスを決められます。
   これがTracのタイトルとして反映されます。たとえばこのTracなら真剣な悪ふざけになっています。 どうやらUTF-8なら2バイト文字でもいいみたいです。

5. このへんでTracの管理者アカウントを登録しておきましょう。

   [email protected] ~:$ trac-admin ~/your_trac_project permission add foo TRAC_ADMIN
   

   これで、ユーザfooが管理者になりましたので、fooとしてhttp-auth-basic(以下Basic認証と記述)でログインできるように設定します(後述)。

6. Tracについての、uwsgi用とnginx用のconfigを作ります。
   わたしはこうしました:

/etc/uwsgi/apps-available/trac.xml

<uwsgi>
    <socket>127.0.0.1:7777</socket>
    <plugin>python</plugin> <!--この行が意外と重要-->
    <env>TRAC_ENV=/home/trac/project-directory</env>
    <module>trac.web.main:dispatch_request</module>
</uwsgi>

/etc/nginx/sites-available/trac

server {
    listen 80;
    listen 443 ssl;
    server_name x86-64.jp;
    ssl_certificate /path/to/ssl-cert.pem;
    ssl_certificate_key /path/to/ssl-key.key;
    root /home/trac/your_trac_project;
    
    location /favicon.ico { }
    location /robots.txt { }

    if ($scheme = http) {
    	return 301 https://$server_name$request_uri;
    }
    
    location / {
    	include uwsgi_params;
    	uwsgi_pass 127.0.0.1:7777;
    }

    location /login {
    	include uwsgi_params;
    	uwsgi_param REMOTE_USER $remote_user;
    	uwsgi_pass 127.0.0.1:7777;
    	auth_basic "Trac";
    	auth_basic_user_file "/path/to/your/.htpasswd";
    }
}

uwsgi用のconfで書いたソケットはportが7777なので、こちらのconfでもuwsgi_passを7777に設定しておきます。
このようにして、nginxにアクセスがあったとき、uwsgiを通してTracのコンテンツを引っ張りにいく設定にします。 ちなみにこのTracはSSL-enabledなので、ところどころSSLに関する設定が入っています。

7. htpasswdを使って、Basic認証に使うアカウントを生成します。
   Apacheを入れていないUbuntuではそんなコマンドないかもしれないですが、apache-utilsをインストールすればOKです(記事は省略)

   [email protected] ~:$ htpasswd -c /path/to/your/.htpasswd foo
   [email protected] ~:$ chgrp www-data /path/to/your/.htpasswd
   [email protected] ~:$ chmod 750 /path/to/your/.htpasswd
   

   これによってユーザfooが含まれる.htpasswdが生成されたので、このユーザでログインすることでTracのWebインタフェースからの管理ができるようになりました。
   個人的にはここでroot以外が.htpasswdを読めるのがきもい。まあしょうがない。

8. 上で書いたconfigをenableします。

   [email protected] ~:# ln -s /etc/nginx/sites-available/trac /etc/nginx/sites-enabled/trac
   [email protected] ~:# ln -s /etc/uwsgi/apps-available/trac.xml /etc/uwsgi/apps-enabled/trac.xml
   

9. uwsgiとnginxをrestartして完成。

   [email protected] ~:# service uwsgi restart
   [email protected] ~:# service nginx restart
   

ああそういえば:

エラーが発生したときは、結構な確率でパーミッションがおかしいです。
とくにTracを運用するにあたってwww-dataが読み書きできなくてはいけないファイルは、

• your_trac_project/conf/trac.ini
• your_trac_project/db/trac.db

が大事です。これらのファイルについてwww-dataがrとwの権限を持っているかチェックしましょう。

それからハマりどころとして、uwsgiの設定にてPythonのプラグインを使うことを明記しないとちゃんと動かなかったのでメモ。

ざっとこんなところかしら。なんか抜けがある気がするので暇な時に検証します。

参考文献

1. ​TracInstallUbuntu
2. ​TracNginxRecipe
3. ​ラフなラボ: Nginx + uwsgi で Trac環境を作った時のメモ
4. ​Cookbook recipe for nginx/uwsgi woes

コメントはdisableしていますので、ご意見がありましたらTwitterにて​@x86_64までお願いします。