Nagios – Instalacja na Debian 9

Jeżeli potrzebujesz oprogramowania do monitorowania sieci, wspaniałym rozwiązaniem jest Nagios, poniżej krok po kroku jak go zainstalować:

1.Instalacja Apache2 + PHP (Pomiń, jeżeli już posiadasz):

apt-get install apache2 libapache2-mod-php7.0 php7.0
# włącz cgi
a2enmod rewrite headers cgi
systemctl restart apache2

# ustaw poprawną strefę czasową in php
mcedit /etc/php/7.0/apache2/php.ini
# ustaw date.timezone zgodnie z http://php.net/manual/en/timezones.php
systemctl restart apache2

# info.php
echo '<?php phpinfo(); ?>' >/var/www/html/info.php

# otwórz preglądarkę i wejdź na apache_server_ip/info.php następnie sprawdź 'default timezone'

apt-get install apache2 libapache2-mod-php7.0 php7.0

# włącz cgi

a2enmod rewrite headers cgi

systemctl restart apache2

# ustaw poprawną strefę czasową in php

mcedit /etc/php/7.0/apache2/php.ini

# ustaw date.timezone zgodnie z http://php.net/manual/en/timezones.php

systemctl restart apache2

# info.php

echo '<?php phpinfo(); ?>' >/var/www/html/info.php

# otwórz preglądarkę i wejdź na apache_server_ip/info.php następnie sprawdź 'default timezone'

2.Instalacja Nagios core:

# przygotowanie do kompilacji:
apt-get install autoconf gcc libc6 make apache2-utils libgd-dev

# ściągnij źródło z https://www.nagios.org/downloads/nagios-core/
wget https://assets.nagios.com/downloads/nagioscore/releases/nagios-4.3.4.tar.gz
tar xzf nagios-4.3.4.tar.gz
cd nagios-4.3.4/
./configure --with-httpd-conf=/etc/apache2/sites-enabled

# W rezultacie powinniśmy zobaczyć coś takiego:
*** Configuration summary for nagios 4.3.4 2017-08-24 ***:

 General Options:
 -------------------------
        Nagios executable:  nagios
        Nagios user/group:  nagios,nagios
       Command user/group:  nagios,nagios
             Event Broker:  yes
        Install ${prefix}:  /usr/local/nagios
    Install ${includedir}:  /usr/local/nagios/include/nagios
                Lock file:  /run/nagios.lock
   Check result directory:  ${prefix}/var/spool/checkresults
           Init directory:  /etc/init.d
  Apache conf.d directory:  /etc/apache2/sites-enabled
             Mail program:  /usr/bin/mail
                  Host OS:  linux-gnu
          IOBroker Method:  epoll

 Web Interface Options:
 ------------------------
                 HTML URL:  http://localhost/nagios/
                  CGI URL:  http://localhost/nagios/cgi-bin/
 Traceroute (used by WAP):  /usr/sbin/traceroute


Review the options above for accuracy.  If they look okay,
type 'make all' to compile the main program and CGIs.

##################

# następnie uruchamiamy 'make' ;-)
make all

# Rezultat make powinien wyglądać tak:
Enjoy.

# stwórzmy użytkownika nagios
useradd nagios
# dodajmy go do grupy apacha (najczęściej www-data)
usermod -a -G nagios www-data

# na koniec 'przeprowadź instalację'
make install

# Na zakończenie zobaczymy:

/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/libexec
/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/var
/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/var/archives
/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/var/spool/checkresults
chmod g+s /usr/local/nagios/var/spool/checkresults

*** Main program, CGIs and HTML files installed ***

You can continue with installing Nagios as follows (type 'make'
without any arguments for a list of all possible options):

  make install-init
     - This installs the init script in /etc/init.d

  make install-commandmode
     - This installs and configures permissions on the
       directory for holding the external command file

  make install-config
     - This installs sample config files in /usr/local/nagios/etc


##############

# stwórzmy init script
make install-init
# włączmy init script
systemctl enable nagios.service

# utwórzmy i ustawmy odpowiednie prawa dla komend:
make install-commandmode

# dodajmy przykładowy konfig, żeby Nagios wystartował:
make install-config

# dodajmy ustawienia nagiosa dla apacha:
make install-webconf

# stwórzmy konto administratora nagiosa
htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

# szybki restart apacha i odpalenie nagiosa:
systemctl restart apache2
systemctl start nagios

# otwórz przeglądarke i wejdź na: nagios_adres_ip/nagios/

100

101

102

# przygotowanie do kompilacji:

apt-get install autoconf gcc libc6 make apache2-utils libgd-dev

# ściągnij źródło z https://www.nagios.org/downloads/nagios-core/

wget https://assets.nagios.com/downloads/nagioscore/releases/nagios-4.3.4.tar.gz

tar xzf nagios-4.3.4.tar.gz

cd nagios-4.3.4/

./configure --with-httpd-conf=/etc/apache2/sites-enabled

# W rezultacie powinniśmy zobaczyć coś takiego:

*** Configuration summary for nagios 4.3.4 2017-08-24 ***:

General Options:

-------------------------

Nagios executable: nagios

Nagios user/group: nagios,nagios

Command user/group: nagios,nagios

Event Broker: yes

Install ${prefix}: /usr/local/nagios

Install ${includedir}: /usr/local/nagios/include/nagios

Lock file: /run/nagios.lock

Check result directory: ${prefix}/var/spool/checkresults

Init directory: /etc/init.d

Apache conf.d directory: /etc/apache2/sites-enabled

Mail program: /usr/bin/mail

Host OS: linux-gnu

IOBroker Method: epoll

Web Interface Options:

------------------------

HTML URL: http://localhost/nagios/

CGI URL: http://localhost/nagios/cgi-bin/

Traceroute (used by WAP): /usr/sbin/traceroute

Review the options above for accuracy. If they look okay,

type 'make all' to compile the main program and CGIs.

##################

# następnie uruchamiamy 'make' ;-)

make all

# Rezultat make powinien wyglądać tak:

Enjoy.

# stwórzmy użytkownika nagios

useradd nagios

# dodajmy go do grupy apacha (najczęściej www-data)

usermod -a -G nagios www-data

# na koniec 'przeprowadź instalację'

make install

# Na zakończenie zobaczymy:

/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/libexec

/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/var

/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/var/archives

/usr/bin/install -c -m 775 -o nagios -g nagios -d /usr/local/nagios/var/spool/checkresults

chmod g+s /usr/local/nagios/var/spool/checkresults

*** Main program, CGIs and HTML files installed ***

You can continue with installing Nagios as follows (type 'make'

without any arguments for a list of all possible options):

make install-init

- This installs the init script in /etc/init.d

make install-commandmode

- This installs and configures permissions on the

directory for holding the external command file

make install-config

- This installs sample config files in /usr/local/nagios/etc

##############

# stwórzmy init script

make install-init

# włączmy init script

systemctl enable nagios.service

# utwórzmy i ustawmy odpowiednie prawa dla komend:

make install-commandmode

# dodajmy przykładowy konfig, żeby Nagios wystartował:

make install-config

# dodajmy ustawienia nagiosa dla apacha:

make install-webconf

# stwórzmy konto administratora nagiosa

htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

# szybki restart apacha i odpalenie nagiosa:

systemctl restart apache2

systemctl start nagios

# otwórz przeglądarke i wejdź na: nagios_adres_ip/nagios/

3.Instalacja Nagios Plugins (potrzebne, nie ignoruj !)

# pre-require
apt-get install libmcrypt-dev make libssl-dev bc gawk dc build-essential snmp libnet-snmp-perl gettext libldap2-dev smbclient fping default-libmysqlclient-dev

# pobierz źródła z https://github.com/nagios-plugins/nagios-plugins/releases
wget https://github.com/nagios-plugins/nagios-plugins/archive/release-2.2.1.tar.gz
tar zxvf release-2.2.1.tar.gz
cd nagios-plugins-release-2.2.1/
./tools/setup
./configure
make
make install

# wszystkie komendy zainstalują się tutaj: /usr/local/nagios/libexec/
ls /usr/local/nagios/libexec/

# zrestatujmy nagiosa, żeby wczytał wtyczki:
systemctl restart nagios.service

# pre-require

apt-get install libmcrypt-dev make libssl-dev bc gawk dc build-essential snmp libnet-snmp-perl gettext libldap2-dev smbclient fping default-libmysqlclient-dev

# pobierz źródła z https://github.com/nagios-plugins/nagios-plugins/releases

wget https://github.com/nagios-plugins/nagios-plugins/archive/release-2.2.1.tar.gz

tar zxvf release-2.2.1.tar.gz

cd nagios-plugins-release-2.2.1/

./tools/setup

./configure

make

make install

# wszystkie komendy zainstalują się tutaj: /usr/local/nagios/libexec/

ls /usr/local/nagios/libexec/

# zrestatujmy nagiosa, żeby wczytał wtyczki:

systemctl restart nagios.service

4.Włączanie SSL dla Nagios-a (i nie tylko)

# włącz moduł
a2enmod ssl
systemctl restart apache2

# przekieruj ruch http do ssl-a
mcedit /etc/apache2/sites-enabled/000-default.conf
# do VirtualHost dodaj:
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*) https://%{HTTP_HOST}/$1

# po modyfikacji plik wygląd tak:
<VirtualHost *:80>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html

        RewriteEngine on
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*) https://%{HTTP_HOST}/$1

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

# włączmy plik konfiguracyjny, bez niego będziemy wiedzieć SSL_ERROR_RX_RECORD_TOO_LONG error
a2ensite default-ssl.conf

# szybki restart apache
systemctl restart apache2.service

# włącz moduł

a2enmod ssl

systemctl restart apache2

# przekieruj ruch http do ssl-a

mcedit /etc/apache2/sites-enabled/000-default.conf

# do VirtualHost dodaj:

RewriteEngine on

RewriteCond %{HTTPS} off

RewriteRule ^(.*) https://%{HTTP_HOST}/$1

# po modyfikacji plik wygląd tak:

ServerAdmin webmaster@localhost

DocumentRoot /var/www/html

RewriteEngine on

RewriteCond %{HTTPS} off

RewriteRule ^(.*) https://%{HTTP_HOST}/$1

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

# włączmy plik konfiguracyjny, bez niego będziemy wiedzieć SSL_ERROR_RX_RECORD_TOO_LONG error

a2ensite default-ssl.conf

# szybki restart apache

systemctl restart apache2.service

Osobne ustawienia PHP-FPM dla każdej strony serwowanej za pomocą Apache

Zainstaluj wymagane pakiety:

apt-get install libapache2-mod-fastcgi php5-fpm

1	apt-get install libapache2-mod-fastcgi php5-fpm

Włącz wymagane moduły apacha:

a2enmod actions alias fastcgi

1	a2enmod actions alias fastcgi

Dodaj konfigurację fpm configuration dla wybranej strony (/etc/php5/fpm/pool.d/nazwa.strony.conf)

[nazwa.strony]

user = użytkownik_strony
group = grupa_strony

listen = /var/run/php5-fpm_nazwa.strony.sock

listen.owner = www-data
listen.group = www-data
;listen.mode = 0660
pm = dynamic

pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
;chroot =
chdir = /

[nazwa.strony]

user = użytkownik_strony

group = grupa_strony

listen = /var/run/php5-fpm_nazwa.strony.sock

listen.owner = www-data

listen.group = www-data

;listen.mode = 0660

pm = dynamic

pm.max_children = 5

pm.start_servers = 2

pm.min_spare_servers = 1

pm.max_spare_servers = 3

;chroot =

chdir = /

Dodaj poniżą konfigurację do pliku z ustawieniami strony dla apacha:

<IfModule mod_fastcgi.c>
    AddType application/x-httpd-fastphp5 .php
    Action application/x-httpd-fastphp5 /php5-fcgi
    Alias /php5-fcgi /usr/lib/cgi-bin/php5-fcgi_nazwa.strony
    FastCgiExternalServer /usr/lib/cgi-bin/php5-fcgi_nazwa.strony -socket /var/run/php5-fpm_nazwa.strony.sock -pass-header Authorization
</IfModule>

AddType application/x-httpd-fastphp5 .php

Action application/x-httpd-fastphp5 /php5-fcgi

Alias /php5-fcgi /usr/lib/cgi-bin/php5-fcgi_nazwa.strony

FastCgiExternalServer /usr/lib/cgi-bin/php5-fcgi_nazwa.strony -socket /var/run/php5-fpm_nazwa.strony.sock -pass-header Authorization

</IfModule>

Zrestartuj oba procesy: fpm, apache2

Let’s Encrypt – Błąd podczas używania starej wersji klienta

Używanie starego klienta do odnawiania certyfikatów czasami kończy się poniższym błędem (lub podobnym):

warning:certbot.renewal:attempting to renew cert from produce an unexpected error: the apache plugin is not working; noinstallerror()

1	warning:certbot.renewal:attempting to renew cert from produce an unexpected error: the apache plugin is not working; noinstallerror()

Wynika to prawdopodobnie z dwóch rzeczy:

Let’s Encrypt wymusiło limity na ilości zgłoszeń oraz domen w zgłoszeniu
oficjalny klient letsencrypt został zastąpiony certbot-em i został przeportowany na różne dystrybucje do repozytoriów

Jeżeli korzystanie z Debian-a 8 i apache, oto rekomendowany sposób odnawiania certyfikatów:

sudo apt-get install python-certbot-apache -t jessie-backports

#crontab dwa razy dziennie
certbot renew --quiet

sudo apt-get install python-certbot-apache -t jessie-backports

#crontab dwa razy dziennie

certbot renew --quiet

Rekomendowane sposoby dla innych konfiguracji znajdują sie na https://certbot.eff.org/

GoGS wraz z Apachem

Musimy uruchomić odpowiednie moduły proxy dla apache:

a2enmod proxy
a2enmod proxy_http

1 2	a2enmod proxy a2enmod proxy_http

Przykładowy plik konfiguracyjny vhosta apache2:

<Directory /var/www/git.example.com>
        AllowOverride None
        Require all denied
</Directory>

<VirtualHost *:80>
        ServerName git.example.com
        Redirect permanent / https://git.example.com/
</VirtualHost>


<IfModule mod_ssl.c>
        <VirtualHost IPADDRESS:443>
                ServerAdmin webmaster@example.com
                ServerName git.example.com:443
                SSLProxyEngine On
                ProxyPass / http://example.com:3000/
                ProxyPassReverse / http://example.com:3000/
                ErrorLog /var/www/example.com/error.log
                CustomLog /var/www/example.com/access.log combined
                SSLEngine on
                SSLCertificateFile      /etc/ssl/certs/example.com.crt
                SSLCertificateKeyFile /etc/ssl/private/example.com.key
                <FilesMatch "\.(cgi|shtml|phtml|php)$">
                                SSLOptions +StdEnvVars
                </FilesMatch>
                <Directory /usr/lib/cgi-bin>
                                SSLOptions +StdEnvVars
                </Directory>

                BrowserMatch "MSIE [2-6]" \
                                nokeepalive ssl-unclean-shutdown \
                                downgrade-1.0 force-response-1.0
                # MSIE 7 and newer should be able to use keepalive
                BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
        </VirtualHost>
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

AllowOverride None

Require all denied

</Directory>

ServerName git.example.com

Redirect permanent / https://git.example.com/

</VirtualHost>

ServerAdmin webmaster@example.com

ServerName git.example.com:443

SSLProxyEngine On

ProxyPass / http://example.com:3000/

ProxyPassReverse / http://example.com:3000/

ErrorLog /var/www/example.com/error.log

CustomLog /var/www/example.com/access.log combined

SSLEngine on

SSLCertificateFile /etc/ssl/certs/example.com.crt

SSLCertificateKeyFile /etc/ssl/private/example.com.key

SSLOptions +StdEnvVars

</FilesMatch>

SSLOptions +StdEnvVars

</Directory>

BrowserMatch "MSIE [2-6]" \

nokeepalive ssl-unclean-shutdown \

downgrade-1.0 force-response-1.0

# MSIE 7 and newer should be able to use keepalive

BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

</VirtualHost>

</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Upewnijmy się, że gogs jest uruchomiony i zrestartujmy apache

service apache2 restart

1	service apache2 restart

Zainstalujmy gogs jako usług i uruchommy ją:

cp /home/git/goes/scripts/systemd/gogs.service /etc/systemd/system/gogs.service
systemctl enable gogs.service
systemctl start gogs.service

cp /home/git/goes/scripts/systemd/gogs.service /etc/systemd/system/gogs.service

systemctl enable gogs.service

systemctl start gogs.service

Let’s encrypt – Zielona ‚kłódka’ dla naszej strony www czyli darmowy certyfikat SSL

Let’s encrypt to inicjatywa, której celem jest stworzenie platformy pozwalającej na wystawianie poprawnych certyfikatów, dzięki, którym nasza strona może oferować szyfrowane połączenie SSL, a przy tym certyfikat wystawiającego jest certyfikatem zaufanym przez co nie grozi nam i odwiedzającym naszą stronę komunikat o niezaufanym certyfikacje (jak ma to miejsce w przypadku generowania certyfikatu podpisanego przez samego siebie)

Na wstępie zaznaczę, że wpis ukierunkowany jest jako kontynuacja wpisu: Apache Część 2: Włącz SSL dlatego jeżeli interesuje Ciebie uruchomienie SSL na swoim serwerze Apache zachęcam do przeczytania poprzedniego wpisu.

Na dzień 18.03.2016 letsencrypt pozwala na automatyzację instalacji certyfikatów na platformie debian/ubuntu z serwerem Apache2, dla pozostałych platform czynność instalacji wymaga konfiguracji ręcznej.

Przygotowanie

Pierwszym krokiem jest zainstalowanie clienta git, jeżeli takowego nie posiadamy:

#debian/ubuntu
apt-get install git

1 2	#debian/ubuntu apt-get install git

Kolejnym krokiem jest pobranie najnowszego klienta letsencrypt, którzy przeprowadzi nas przez proces generowania i podpisywania kluczy:

cd /opt
git clone https://github.com/letsencrypt/letsencrypt

1 2	cd /opt git clone https://github.com/letsencrypt/letsencrypt

W przyszłości możemy aktualizować klienta letsencrypt poprzez komendę ‚pull’:

cd /opt/letsencrypt
git pull

1 2	cd /opt/letsencrypt git pull

Podczas aktualizacji może pojawić się komunikat o tym, iż zmodyfikowaliśmy naszą wersję aplikacji, ale jest na to bardzo łatwy fix:

cd /opt/letsencrypt
git stash

1 2	cd /opt/letsencrypt git stash

Do dzieła!

Metoda 1: Automatyczna konfiguracja Apache2 + Debian/Ubuntu

./letsencrypt-auto --apache -d example.com

1	./letsencrypt-auto --apache -d example.com

Metoda 2: Otrzymanie certyfikatów dla dowolnego serwera www (moduł webroot)

./letsencrypt-auto certonly --webroot -w /var/www/example -d example.com -d www.example.com -w 
/var/www/example2 -d example2.com

1 2	./letsencrypt-auto certonly --webroot -w /var/www/example -d example.com -d www.example.com -w /var/www/example2 -d example2.com

Metoda 3: Otrzymanie certyfikatów korzystając z wbudowanego serwera www (moduł standalone)

#należy wyłączyć usługę www jeżeli takowy posiadamy
./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

1 2	#należy wyłączyć usługę www jeżeli takowy posiadamy ./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

Jeżeli korzystaliśmy z modułu ‚apache’ wszystko powinno już działać, w innym wypadku należy ręcznie dodać certyfikaty do plików konfiguracyjnych.

Certyfikaty zapisywane są w: /etc/letsencrypt/archive jednak najwygodniej korzystać z linków utworzonych w: /etc/letsencrypt/live/

Odświeżanie certyfikatów!?

Jako, że stan dzisiejszy (18.03.2016), certyfikaty wystawiane przez Let’s Encrypt mają termin ważności 90 dni. Odświeżenie certyfikatów czyli defacto wygenerowanie nowych można wykonać ręcznie. Można też poprzez skrypt zaproponowany przez samych twórców letsencrypt.

Na wstępie warto przeprowadzić tzw. próbne uruchomienie (en. ‚dry run’):

/opt/letsencrypt/letsencrypt-auto renew --dry-run

1	/opt/letsencrypt/letsencrypt-auto renew --dry-run

Jeżeli próbne uruchomienie przejdzie pomyślnie, możemy bez obaw uruchomić aplikację bez –dry-run:

/opt/letsencrypt/letsencrypt-auto renew

1	/opt/letsencrypt/letsencrypt-auto renew

Komenda ‚renew’ korzysta z ostatnio ustawień dla poszczególnych domen, dlatego jeżeli zechcemy np. zmienić wielkość klucza RSA podczas generowania go możemy użyć komendy:

#4096bit
/opt/letsencrypt/letsencrypt-auto renew --rsa-key-size 4096

1 2	#4096bit /opt/letsencrypt/letsencrypt-auto renew --rsa-key-size 4096

Aplikacja podczas odnawiania certyfikatów sprawdza czy dane certyfikaty są ważne, jeżeli tak nie odnawia ich bez potrzebny, zachowanie to można ominąć poprzez parametr ‚--force-renew':

/opt/letsencrypt/letsencrypt-auto renew --force-renew

1	/opt/letsencrypt/letsencrypt-auto renew --force-renew

Automatyzacja odświeżania certyfikatów 🙂

Jest to kopia skryptu ze strony https://letsencrypt.org

# le-renew
#!/bin/sh
if ! /opt/letsencrypt/letsencrypt-auto renew > /var/log/letsencrypt/renew.log 2>&1 ; then
    echo Automated renewal failed:
    cat /var/log/letsencrypt/renew.log
    exit 1
fi

# le-renew

#!/bin/sh

if ! /opt/letsencrypt/letsencrypt-auto renew > /var/log/letsencrypt/renew.log 2>&1 ; then

echo Automated renewal failed:

cat /var/log/letsencrypt/renew.log

exit 1

Dodajmy jeszcze wykonywanie skryptu do cron-a, tak by nie zapomnieć o naszych certyfikatach

#crontab -e
0 * * * * le-renew

1 2	#crontab -e 0 * * * * le-renew

Uzyskany przez to próbe odnowienia certyfikatów co godzinę.

Oczywiście możemy pominąć skrypt i dodać wpis do cron-a bezpośrednio bez logowania z wymuszeniem podpisania certyfikatu:

#crontab -e
0 0 1 * * /opt/letsencrypt/letsencrypt-auto renew --force-renewal

1 2	#crontab -e 0 0 1 * * /opt/letsencrypt/letsencrypt-auto renew --force-renewal

W ten sposób każdego pierwszego dnia miesiąc wygeneruj się nowy certyfikat dla naszych stron, a biorąc pod uwagę fakt, iż mają one ważność 90 dni, mamy teoretycznie max 3 próby, aby przed ich wygaśnięciem je odnowić.

Odwołanie certyfikatu:

/opt/letsencrypt/letsencrypt-auto revoke --cert-path example-cert.pem

1	/opt/letsencrypt/letsencrypt-auto revoke --cert-path example-cert.pem

Aktualizacja 11/06/2016:

Aby zaktualizować klienta letsencrypt należy w katalogu aplikacji uruchomić gita

git pull

git pull

Może się zdarzyć, że podczas że git będzie usilnie twierdził, że nasza wersja jest zmodyfikowana i bez commitu nie zrobić komendy pull, lekarstwem jest wyresetowanie git repo:

git reset --hard

1	git reset --hard

Aktualizacja 03/09/2017

letsencrypt zmieniło nazwę na certbot

Linux – Apache Część 4: Bazadanych MySQL i MariaDB

MariaDB i MySQL są kompatybilne względem siebie, decyzja, którą zainstalować spoczywa na administratorze system.

Instalacja MariaDB:

apt-get install mariadb-server mariadb-client 
apt-get install php5-mysqlnd php5-apcu
service apache2 restart

apt-get install mariadb-server mariadb-client

apt-get install php5-mysqlnd php5-apcu

service apache2 restart

Instalacja MySQL:

apt-get install mysql-server mysql-client
apt-get install php5-mysql php5-apcu
service apache2 restart

apt-get install mysql-server mysql-client

apt-get install php5-mysql php5-apcu

service apache2 restart

Oczywiście zawsze możesz wrócić do kroków poprzednich:

Linux – Apache Część 1: Instalacja i konfiguracja

Linux – Apache Część 2: Włącz SSL

Linux – Apache Część 3: PHP

Serwer powinien być już gotowy to korzystania 🙂

Linux – Apache Część 3: PHP

Włączenie PHP dla serwera Apache jest trywialne.

apt-get install php5 libapache2-mod-php5
service apache2 restart

1 2	apt-get install php5 libapache2-mod-php5 service apache2 restart

Sprawdźmy czy PHP faktycznie działa:

#w katalogu głównym naszej strony stwórzmy plik
vim /var/www/example.com/public_html/info.php

<?php
phpinfo();
?>

#w katalogu głównym naszej strony stwórzmy plik

vim /var/www/example.com/public_html/info.php

<?php

phpinfo();

Wyświetlmy stronę info.php by potwierdzić, że php działa pod kontrolą apacha 🙂

Oczywiście zawsze możesz wrócić do kroków poprzednich:

Linux – Apache Część 1: Instalacja i konfiguracja

Linux – Apache Część 2: Włącz SSL

Istnieje wiele powodów dla, których chcielibyśmy uruchomiś ssl dla naszego http i uzyskać https.

Wpis ten dotyczy konfiguracji SSL dla już działającego serwera www. Jeżeli jeszcze nie uruchomiłeś swojego Apacha, skorzystaj z tego wpisu: Instalacja i konfiguracja Apache 2

Zaczynajmny:

#zainstalujmy aplikację, która pomoże wygenerować nam certyfikaty dla każdego vhosta
apt-get install ssl-cert
#jeżeli zostaniemy zapytani o hostname, wpiszmy tam adres domeny, dla której generujemy certyfikaty
make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/private/www.example.com
cp /etc/ssl/private/www.example.com /etc/ssl/certs/www.example.com.pem
mv /etc/ssl/private/www.example.com /etc/ssl/private/www.example.com.key
#edytujmy oba pliku, w private musi znajdować się część dotycząca klucza
#w pliku w katalogu certs tylko klucz publiczny
vim /etc/ssl/private/www.example.com.key
vim /etc/ssl/certs/www.example.com.pem
#zabezpieczmy klucz prywatny na serwerze
chmod 600 /etc/ssl/private/www.example.com.key

#teraz uruchamiamy moduł ssl
a2enmod ssl
cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/example.com-ssl.conf
vim /etc/apache2/sites-available/example.com-ssl.conf

#początek pliku example.com-ssl.conf
<IfModule mod_ssl.c>
        <VirtualHost adres.ip:443>
                ServerAdmin webmaster@example.com
                ServerName example.com:443
                DocumentRoot /var/www/example.com/public_html
                ErrorLog ${APACHE_LOG_DIR}/error.log
                CustomLog ${APACHE_LOG_DIR}/access.log combined
                SSLEngine on
                SSLCertificateFile      /etc/ssl/certs/example.pem
                SSLCertificateKeyFile /etc/ssl/private/example.key
                <FilesMatch "\.(cgi|shtml|phtml|php)$">
                                SSLOptions +StdEnvVars
                </FilesMatch>
                <Directory /usr/lib/cgi-bin>
                                SSLOptions +StdEnvVars
                </Directory>

                BrowserMatch "MSIE [2-6]" \
                                nokeepalive ssl-unclean-shutdown \
                                downgrade-1.0 force-response-1.0
                # MSIE 7 and newer should be able to use keepalive
                BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

        </VirtualHost>
</IfModule>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
#koniec pliku example.com-ssl.conf
a2ensite example.com-ssl.conf
service apache2 restart

#zainstalujmy aplikację, która pomoże wygenerować nam certyfikaty dla każdego vhosta

apt-get install ssl-cert

#jeżeli zostaniemy zapytani o hostname, wpiszmy tam adres domeny, dla której generujemy certyfikaty

make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/private/www.example.com

cp /etc/ssl/private/www.example.com /etc/ssl/certs/www.example.com.pem

mv /etc/ssl/private/www.example.com /etc/ssl/private/www.example.com.key

#edytujmy oba pliku, w private musi znajdować się część dotycząca klucza

#w pliku w katalogu certs tylko klucz publiczny

vim /etc/ssl/private/www.example.com.key

vim /etc/ssl/certs/www.example.com.pem

#zabezpieczmy klucz prywatny na serwerze

chmod 600 /etc/ssl/private/www.example.com.key

#teraz uruchamiamy moduł ssl

a2enmod ssl

cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/example.com-ssl.conf

vim /etc/apache2/sites-available/example.com-ssl.conf

#początek pliku example.com-ssl.conf

ServerAdmin webmaster@example.com

ServerName example.com:443

DocumentRoot /var/www/example.com/public_html

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

SSLEngine on

SSLCertificateFile /etc/ssl/certs/example.pem

SSLCertificateKeyFile /etc/ssl/private/example.key

SSLOptions +StdEnvVars

</FilesMatch>

SSLOptions +StdEnvVars

</Directory>

BrowserMatch "MSIE [2-6]" \

nokeepalive ssl-unclean-shutdown \

downgrade-1.0 force-response-1.0

# MSIE 7 and newer should be able to use keepalive

BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

</VirtualHost>

</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

#koniec pliku example.com-ssl.conf

a2ensite example.com-ssl.conf

service apache2 restart

Oczywiście zawsze możesz wrócić do kroków poprzednich:

Linux – Apache Część 1: Instalacja i konfiguracja

Możesz pominać ten krok i przejść naprzód:

Linux – Apache Część 3: PHP

Linux – Apache Część 4: Bazadanych MySQL i MariaDB

Linux – Apache Część 1: Instalacja i konfiguracja

Własny serwer www przydaje się w budowaniu web-aplikacji, korzystaniu w sieci lokalnej jak i w internecie.

Oto prosty przepis na start:

#ustawmy odpowiedni hostname
hostnamectl set-hostname nasz_hostname

vim /etc/hosts
#dopiszmy dane do pliku
ip.adres hostname.domain hostname

apt-get install apache2 apache2-doc apache2-utils

#wyłączmy stronę domyślną
a2dissite 000-default.conf

#stwórzmy własny profil vhost
vim /etc/apache2/sites-available/example.com.conf
<VirtualHost *:80> 
     ServerAdmin webmaster@example.com
     ServerName example.com
     ServerAlias www.example.com
     DocumentRoot /var/www/example.com/public_html/
     ErrorLog /var/www/example.com/logs/error.log 
     CustomLog /var/www/example.com/logs/access.log combined
</VirtualHost>

mkdir -p /var/www/example.net/public_html
mkdir /var/www/example.net/logs
a2ensite example.com.conf
service apache2 reload

#ustawmy odpowiedni hostname

hostnamectl set-hostname nasz_hostname

vim /etc/hosts

#dopiszmy dane do pliku

ip.adres hostname.domain hostname

apt-get install apache2 apache2-doc apache2-utils

#wyłączmy stronę domyślną

a2dissite 000-default.conf

#stwórzmy własny profil vhost

vim /etc/apache2/sites-available/example.com.conf

ServerAdmin webmaster@example.com

ServerName example.com

ServerAlias www.example.com

DocumentRoot /var/www/example.com/public_html/

ErrorLog /var/www/example.com/logs/error.log

CustomLog /var/www/example.com/logs/access.log combined

</VirtualHost>

mkdir -p /var/www/example.net/public_html

mkdir /var/www/example.net/logs

a2ensite example.com.conf

service apache2 reload

Ta konfiguracja jest wystarczająca dla zastosowań w sieci lokalnej

Jeżeli serwer będzie używany na zewnątrz sieci lokalnej warto podjąć następujące kroki:

vim /etc/apache2/conf-enabled/security.conf
#wyłącz sygnatury serwera
ServerSignature Off
ServerTokens Prod

vim /etc/apache2/conf-enabled/security.conf

#wyłącz sygnatury serwera

ServerSignature Off

ServerTokens Prod

vim /etc/apache2/apache2.conf
#wyłączmy listowanie plików i podążanie za symlinkami
<Directory /var/www/>
        #Options Indexes FollowSymLinks
        Options -Indexes
        AllowOverride All
        Require all granted
</Directory>

vim /etc/apache2/apache2.conf

#wyłączmy listowanie plików i podążanie za symlinkami

#Options Indexes FollowSymLinks

Options -Indexes

AllowOverride All

Require all granted

</Directory>

#dodajmy moduł bezpieczeństwa
apt-get install libapache2-modsecurity
/etc/init.d/apache2 restart

#pamiętajmy, że to dopiero początek, a sam moduł należy osobno skonfigurować.

#dodajmy moduł bezpieczeństwa

apt-get install libapache2-modsecurity

/etc/init.d/apache2 restart

#pamiętajmy, że to dopiero początek, a sam moduł należy osobno skonfigurować.

Pozostałe części:

Linux – Apache Część 2: Włącz SSL

Linux – Apache Część 3: PHP

Linux – Apache Część 4: Bazadanych MySQL i MariaDB

P	W	Ś	C	P	S	N
« Gru
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28