Spuštění WordPressu na OpenBSD 6.5 s OpenBSDs HTTPD

Úvod

Čím blíže ponecháte svou instalaci OpenBSD výchozímu nastavení a bez tolika přidaných balíčků, tím bude bezpečnější. Zatímco běžnějším nastavením pro WordPress je použití Apache a PHP, rozhodně je možné (a preferováno) použít vestavěný httpd OpenBSD. Tento tutoriál vám pomůže začít s kompletním nastavením certifikátu Let's Encrypt, webového serveru a WordPressu. Abyste to mohli udělat, budete potřebovat přístup root.

Počáteční konfigurace

Pokud jste tak ještě neučinili, budete muset vytvořit /etc/doas.confsoubor. doasPříkaz je OpenBSD snadno náhrada sudo.

su -
echo "permit nopass keepenv :wheel" > /etc/doas.conf

Musíme OpenBSD sdělit, kde se balíčky nacházejí. To se děje v /etc/installurlsouboru.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Nyní musíme přidat PHP a některé extra moduly, které bude WordPress potřebovat, aby zvládl věci jako obrázky a šifrování. Po zobrazení výzvy zvolte instalaci nejnovějšího balíčku PHP. Jedna věc, kterou musíte udělat, je zkopírovat inisoubory modulu z ukázkového adresáře do hlavního. To je nutné provést, aby bylo možné povolit další moduly PHP.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli pecl73-mcrypt pecl73-imagick 
doas su -
cp /etc/php-7.3.sample/* /etc/php-7.3/.

Získejte certifikáty Let's Encrypt

OpenBSD má skvělou aplikaci s názvem acme-client. Tato malá inovace vám vygeneruje klíč k účtu, soukromý klíč a získá certifikát. Acme-client závisí na tom, zda má webový server na svém místě, takže definujeme rychlou výchozí definici serveru.

Pomocí svého oblíbeného editoru vytvořte /etc/httpd.conf. Ostatní definice serveru přidáme do souboru později. Nyní musíme připravit httpd, aby provedl výzvu-odpověď a získal bezplatný platný certifikát SSL.

prefork 5
types { include "/usr/share/misc/mime.types" }

server "default" {
    listen on egress port 80
    root "/htdocs"
    directory index "index.html"

    location "/.well-known/acme-challenge/*" {
        request strip 2
        root "/acme"
    }
}

Také pomocí svého oblíbeného editoru vytvořte /etc/acme-client.conf.

authority letsencrypt {
    api url "https://acme-v01.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-privkey.pem"
}

authority letsencrypt-staging {
    api url "https://acme-staging.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-staging-privkey.pem"
}

domain example.com {
    alternative names { www.example.com }
    domain key "/etc/ssl/private/example.com.key"
    domain full chain certificate "/etc/ssl/example.com.fullchain.pem"
    sign with letsencrypt
}

Povolte a spusťte httpd, poté si nechte vystavit certifikát. Uvidíte, že byl vydán certifikát.

doas rcctl enable httpd php73_fpm
doas rcctl start httpd
doas acme-client -ADFv example.com
doas rcctl stop httpd

Přidání definic serveru

Přidejte následující konfigurační řádky do /etc/httpd.conf, hned za definice Let's Encrypt. Nastavte httpd, abyste provedli přesměrování z http na https, protože máte bezplatný certifikát SSL a nikdy nechcete riskovat odeslání přihlašovacího jména a hesla přes nezabezpečený odkaz. Všimněte si řádku, location "/posts/*"Toto je kousek, díky kterému vypadají permalinky WordPressu pěkně. Tato konfigurace také obsahuje způsob, jak zabránit pokusům o přihlášení k webu správce WordPress hrubou silou.

server "example.com" {
    listen on egress port 80
    alias "www.example.com"
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "example.com" {
    listen on egress tls port 443
    alias "www.example.com"
    root "/htdocs/example.com
    directory index "index.php"

     location "/posts/*" {
        fastcgi {
             param SCRIPT_FILENAME "/htdocs/example.com/index.php"
             socket "/run/php-fpm.sock"
        }
     }

     location "/wp-json/*" {
        fastcgi {
           param SCRIPT_FILENAME "/htdocs/example.com/index.php"
            socket "/run/php-fpm.sock"
        }
     }

    location "/wp-login.php*" {
        authenticate "WordPress" with "/htdocs/htpasswd"
        fastcgi socket "/run/php-fpm.sock"
     }

    #Uncomment the following lines to disable xmlrpc. You increase security 
    #at the expense of being able to use to use 
    #the Android and iPhone WordPress App.
    #location "xmlrpc.php*" {
    #    block return 404
    #}        

    location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
     }

    tls {
        certificate "/etc/ssl/example.com.fullchain.pem"
        key "/etc/ssl/private/example.com.key"
    }
}

Vytvořte soubor s uživatelským jménem a heslem pro další úroveň zabezpečení webu správce WordPress. Vyberte si dobré heslo. To vás vyzve k zadání uživatelského jména a hesla, abyste mohli wp-login.phpskript spustit .

doas su
cd /var/www/htdocs
htpasswd htpasswd wp_user
chown www:www htpasswd
chmod 0640 htpasswd

Připravte a nakonfigurujte MariaDB

MariaDB je drop-in náhradní vidlice MySQL. Potřebujeme provést počáteční konfiguraci a přípravu databáze pro WordPress.

Než budeme moci efektivně používat MariaDB, musíme povolit démonu mysql používat více zdrojů, než je výchozí. Chcete-li to provést, proveďte následující změny /etc/login.confpřidáním této položky do spodní části.

mysqld:\
    :openfiles-cur=1024:\
    :openfiles-max=2048:\
    :tc=daemon:

Povolte a spusťte MariaDB. Tento postup nastaví heslo uživatele root a volitelně zruší testovací databázi. Ve fázi bezpečné instalace je dobré postupovat podle doporučení.

 doas mysql_install_db
 doas rcctl enable mysqld
 doas rcctl start mysqld
 doas mysql_secure_installation

Vytvořte databázi WordPress a uživatele databáze.

mysql -u root -p 
CREATE DATABASE wordpress;
GRANT ALL PRIVILEGES ON wordpress.* TO 'wp_user'@'localhost' IDENTIFIED BY '<password>';
FLUSH PRIVILEGES;
EXIT

Nainstalujte a nakonfigurujte WordPress

WordPress už nějakou dobu nemá oficiální port OpenBSD, protože v podstatě funguje hned po vybalení. Stáhněte, extrahujte a přesuňte instalační složku WordPress.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xvfz latest.tar.gz
doas mv wordpress /var/www/htdocs/example.com
chown -R www:www /var/www/htdocs/example.com

Musíme zkopírovat /etc/resolve.confa /etc/hostsdo /var/www/etc. Je to proto, aby se WordPress mohl úspěšně dostat na trh. Budete to potřebovat, abyste si mohli stáhnout pluginy a motivy přes web správce WordPress.

doas mkdir /var/www/etc
doas cp /etc/hosts /var/www/etc/.
doas cp /etc/resolv.conf /var/www/etc/.

Spusťte httpd a php73_fpm.

doas rcctl start httpd php73_fpm

Přejděte na adresu URL, kterou jste použili v definici serveru. Zobrazí se průvodce instalací WordPress. Pro volbu Databázový server nahraďte localhost za 127.0.0.1.

Jakmile je WordPress nainstalován, je čas nastavit permalinky tak, aby vypadaly lépe pro SEO. Na obrazovce správce WordPress přejděte na Settings -> Permalinks. Klikněte na Custom Structurea napište /posts/%postname%. Po provedení této změny klikněte na Save Changestlačítko. Nyní máte mnohem hezčí odkazy. Trvalý odkaz bude vypadat například takto:https://example.com/posts/example-blog-post