В этом посту я расскажу, как быстро настроить секьюрный доступ к вашему сайту по https с помощью самоподписанного сертификата. Минус такого подхода заключается в том, что пользователю придется постоянно добавлять в браузере в исключения ошибку "Ваше подключение не защищено". Но потом вы можете приобрести за деньги нормальный SSL-сертификат.
В общем, к делу. Создаем самоподписанный сертификат:
sudo mkdir /etc/apache2/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
После этого Вам будет задана порция вопросов, на которые надо бы ответить:
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Saint-Petersburg
Locality Name (eg, city) []:Saint-Petersburg
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Your Company
Organizational Unit Name (eg, section) []:RnD
Common Name (e.g. server FQDN or YOUR name) []:example.com
Email Address []:email@example.com
Затем надо подредактировать виртуальный хост апача, отдельный для SSL
sudo vim /etc/apache2/sites-available/default-ssl.conf
Туда накидать что-то вроде
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerAdmin admin@example.com
ServerName example.com
ServerAlias www.example.com
DocumentRoot /var/www/example.com/
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
<Directory /var/www/example.com/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>
Ну и в конце концов добавить новый виртуальный хост, активировать модуль ssl и перезапустить апаче
sudo a2ensite default-ssl.conf
sudo a2enmod ssl
sudo service apache2 restart
Ну и все, набираем https://ваш_домен.ру, подтверждаем исключение безопасности в браузере и наслаждаемся секурным транспортом. Лично мне это понадобилось для взаимодействия апи мерчанта, который передает в callback "особо важные данные" об оплате только по https.
Доне.
Бывает, что настает такой момент, когда мы начинаем понимать, что нам не хватает ограничений, наложенных виртуальным хостингом, и, наконец, собравшись духом, мы приобретаем выделенных виртуальный сервер на Linux, на котором, хм, кроме ssh-доступа на данный момент нет ничего. В этой статье я ничего не расскажу нового или сверхестественного, я ее просто помечу для себя, чтобы быстро настраивать очередной сервер, на случай переезда (предыдущий кстати очень дико тормозил, отвечал 2-3 секунды после запроса, частенько заканчивалась память сама по себе, либо он лежал). Кстати один раз они (2servers.ru) потеряли все данные на диске просто так и дико извинялись, благо я делал недавно бекап, так что обошлось.
Что ж, смелее, приступим. Речь пойдет про выделенный сервер на основе Ubuntu 12.04 LTS.
Чем будем редактировать
Многие инвалиды пользуются нано, но я таки советую использовать vim, тк не буду скрывать, что в нем настолько удобно работать, в том числе и создавать сайты прямо там, на удаленном сервере, не держа никаких локальных копий. Он может поначалу показаться сложным, но потом вы просто жить без него не сможете. Ставим:
# apt-get install vim
Чтобы выйти из вима, напишите :q
. Ура! У вас получилось) Чтобы начать пользоваться - загуглите что нибудь на тему "vim basics" и я думаю уже через 10 минут вы запросто сможете начать править конфиги на лету. Чуть правее мне припомнилась довольно забавная шутка про emacs.
Меняем ssh-порт сервера по умолчанию
Немножко повышает безопасность вашего сервера от взлома злоумышленника. Но пока он не просканирует открытые порты на нем. Тем не менее я не оставляю 22 порт по умолчанию, чтобы лишний раз туда не долбились нежданные гости.
# vim /etc/ssh/sshd_config
Меняем параметр Port вместо 22 на любой свой перезапускаем
# service ssh restart
Также, чтобы потом не вводить постоянно порт при подключении, нужно поправить конфиг ssh на локальной машине
$ vim ~/.ssh/config
Этого файла может и не быть у вас, даже папки .ssh, но тем не менее туда нужно написать
Host yourServerIp
Port yourPort
Делаем авторизацию на сервер без ввода пароля по RSA ключу
Постоянно вводить пароль надоедает. Можно сгенерировать ключ на своей машине и заходить туда без ввода пароля. Для этого на своей машине делаем
$ ssh-keygen
Соглашаемся со всем, если машиной пользуетесь не только вы, то рекомендуется ввести какой-нибудь пароль, который будет запрашиваться при попытке использования ключа, на вашей машине. Затем копируем ваш паблик кей на сервер
$ ssh-copy-id root@yourserver
В последний раз вводим пароль от сервера, после этого можно подключится как обычно:
ssh root@yourserver
Устанавливаем Apache2 и PHP5
Ставим веб сервер вместе с PHP.
# apt-get install apache2 libapache2-mod-php5 php5 php5-curl php5-gd php5-mcrypt
После установки убедимся, что все работает
# cd /var/www
# rm index.html
# vim index.php
В открывшемся новом файле напишем
<?php phpinfo(); ?>
Сохраняем файл в виме, нажав :wq
. Теперь можно открыть браузер и написать айпишник вашего сервера. На нем вы увидите информацию о php :)
Устанавливаем MySQL
# apt-get install mysql-server mysql-client php5-mysql
В процессе установки вас попросят ввести новый пароль для доступа рута к серверу БД
Перенос баз данных со старого сервера
Если необходимо импортировать базы данных с предыдущего хостинга, необходимо сделать на нем дамп:
# mysqldump -uroot -p --all-databases | gzip > databases.sql.gz
Затем можно напрямую скачать файл со старого хотсинга на новый через wget или scp. После этого для импорта необходимо написать уже на новом сервере
# gunzip < databases.sql.gz | mysql -uroot -p
Кстати, если на предыдущем хостинге mysql сервер доступен извне, то mysqldump можно выполнять сразу на новом сервере, всего лишь указав удаленный адрес сервера, используя параметр --host="remoteIp"
Отправка почты с сервера для сайтов
Обычно большинство php скриптов отправляют почту, испозуя простую функцию mail
. В свою очередь php использует утилиту sendmail. Но мы не собираемся устанавливать свой почтовый сервер, это не выгодно по ресурсам, будем использовать яндекс-почту к примеру для отправки писем. Для этого установим:
# apt-get install sendmail ssmtp
Подредактируем конфиг /etc/ssmtp/ssmtp.conf
root=postmaster
# The place where the mail goes. The actual machine name is required no
# MX records are consulted. Commonly mailhosts are named mail.domain.com
mailhub=smtp.yandex.ru:465
# Where will the mail seem to come from?
#rewriteDomain=
# The full hostname
hostname=example.com
# Are users allowed to set their own From: address?
# YES - Allow the user to specify their own From: address
# NO - Use the system generated From: address
FromLineOverride=YES
UseTLS=YES
AuthUser=email
AuthPass=password
Если желаете, чтобы почта отправлялась от имени вашего домена, то для этого вам необходимо зарегистрировать свой домен и прикрутить к нему почтовый ящик на pdd.yandex.ru, тк яндекс не разрешает отправлять почту с несуществующих адресов.
Настраиваем виртуальные хосты в apache
Все сайты, как правило, хранятся по папочкам с точным названием домена в директории /var/www/
. Положим, у нас есть сайт test.ru, создадим для него виртуальный хост в настройках apache:
# vim /etc/apache2/sites-available/test.ru
В новом файле напишем конфиг:
<VirtualHost *:8080>
ServerAdmin bingo@bingosoft.info
ServerName test.ru www.test.ru
DocumentRoot /var/www/test.ru/
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
<Directory /var/www/test.ru/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
</VirtualHost>
Сохраним файл и расскажем apache про новый сайт
# a2ensite test.ru
# service apache2 restart
Все, после того, как вы пропишите у DNS-серверов, на который указывает ваш домен, IP адрес вашего сервера, то можно смело набирать адрес вашего домена - и вуаля, сайт работает! По такой же аналогии настраиваются и остальные домены. Кстати, в качестве бесплатного днс-хостинга рекоммендую namecheap.com, там есть раздел Free DNS. И ни в коем случае не используйте днс-хостинг freedns.afraid.org, тк все внешние ссылки из ВКонтакте, ведущие на ваш домен в этом случае будут считаться якобы ПОТЕНЦИАЛЬНО ОПАСТНЫМИ!!111
Разруливаем статику и динамику с помощью nginx
При большой посещаемости на ваши домены имеет смысл распределить нагрузку для разного отдаваемого контента. Поговаривают, что статические файлы (картинки, скрипты, архивчики и тд) nginx отдает очень резво, по сравнению с apache, и при этом не отжирает так много памяти. А если запрашивается динамический контент, например скрипт, то он перенаправляет свой запрос к apache и работает как прокси-сервер.
Что ж, ставим nginx
# apt-get install nginx
В итоге nginx будет слушать 80ый порт, тогда апач стоит повесить на какой-нибудь другой, например 8080. Поправим это в конфиге:
# vim /etc/apache2/ports.conf
Заменяем параметры портов на свои:
NameVirtualHost *:8080
Listen 8080
Теперь настраиваем конфиг nginx
server {
listen 80 default; # этот конфиг - умолчательный для 80 порта
server_name _; # хитрый ключик, обозначающий, что этот конфиг применим для любого сайта
set $sathost $host; # В sathost будет лежать имя сайта. Так же должна называться директрия с сайтом
# убираем www
if ( $host ~ ^(www\.)?(.+)$ ) {
set $sathost $2;
}
if (!-d /var/www/sites/$sathost) { # если не нашли директорию с именем запрошенного сайта
set $sathost default-site-foler;
}
root /var/www/sites/$sathost; # конень сайта определяем автоматически
index index.php index.html index.htm; # в каком порядке искать индексные файлы
location / { # правила ниже применяются для любых запросов
proxy_pass http://serverIp:88;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_connect_timeout 120;
proxy_send_timeout 120;
proxy_read_timeout 180;
}
location ~ \.(png|jpg|exe|deb|js|css)$ { # static
expires 1d;
break;
}
location ~ /\.ht { # в файлах, начинающихся на «.ht» могут лежать пароли или оставшиеся настройки от Апача - отдавать это ни к чему.
deny all;
}
}
После правки этого конфига не забудьте поменять в настройках каждого сайта в /etc/apache2/sites-available
порт на 8080 в ноде VirtualHost
Все, теперь можно перезапустить nginx и apache и проверить работу ваших сайтов.
# service apache2 restart
# service nginx restart
Вроде бы это все из базовой настройки сервера. Казалось бы, ничего сложного и нет, даже не нужно покупать никаких дибильных ISP-манагер панелей за 10баксов в месяц, которая делает те же комманды))