A Caddy telepítése és konfigurálása CentOS 7 rendszeren

Bevezetés

A Caddy egy feltörekvő webkiszolgáló program, amely támogatja a HTTP/2-t és az automatikus HTTPS-t. A könnyű használat és a biztonság szem előtt tartásával a Caddy használható HTTPS-kompatibilis webhelyek gyors üzembe helyezésére egyetlen konfigurációs fájl segítségével.

Előfeltételek

• Egy friss Vultr CentOS 7 x64 szerverpéldány. 203.0.113.1Példaként fogjuk használni .
• Egy sudo felhasználó .
• A kiszolgálópéldány frissült a legújabb stabil állapotra az EPEL YUM repo használatával .
• Egy tartomány example.comúgy van konfigurálva, hogy a 203.0.113.1kiszolgálópéldányra mutasson . Lásd a részleteket egy másik Vultr oktatóanyagban .

1. lépés: Telepítse a Caddy legújabb stabil kiadását

Linux, Mac vagy BSD operációs rendszeren használja a következő parancsot a Caddy legújabb stabil rendszerspecifikus kiadásának telepítéséhez:

curl https://getcaddy.com | bash

Amikor a rendszer kéri, adja meg sudo jelszavát a telepítés befejezéséhez.

A Caddy bináris fájl telepítésre kerül a /usr/local/binkönyvtárba. A megerősítéshez használja a következő parancsot:

which caddy

A kimenetnek a következőnek kell lennie:

/usr/local/bin/caddy

Biztonsági okokból SOHA ne futtassa a Caddy bináris fájlt root felhasználóként. Annak érdekében, hogy a Caddy képes legyen a privilegizált portokhoz (pl. 80, 443) kapcsolódni nem root felhasználóként, setcapa következőképpen kell futtatnia a parancsot:

sudo setcap 'cap_net_bind_service=+ep' /usr/local/bin/caddy

2. lépés: A Caddy konfigurálása

Hozzon létre egy dedikált rendszerfelhasználót: caddy és egy azonos nevű csoportot a Caddy számára:

sudo useradd -r -d /var/www -M -s /sbin/nologin caddy

Megjegyzés : Az caddyitt létrehozott felhasználó csak a Caddy szolgáltatás kezelésére használható, bejelentkezésre nem használható.

Hozd létre a /var/wwwCaddy webszerver kezdőkönyvtárát /var/www/example.comés a webhelyed kezdőkönyvtárát :

sudo mkdir -p /var/www/example.com
sudo chown -R caddy:caddy /var/www

Hozzon létre egy könyvtárat az SSL-tanúsítványok tárolására:

sudo mkdir /etc/ssl/caddy
sudo chown -R caddy:root /etc/ssl/caddy
sudo chmod 0770 /etc/ssl/caddy

Hozzon létre egy dedikált könyvtárat a Caddy konfigurációs fájl tárolására Caddyfile:

sudo mkdir /etc/caddy
sudo chown -R root:caddy /etc/caddy

Hozd létre a Caddy konfigurációs fájlt, melynek neve Caddyfile:

sudo touch /etc/caddy/Caddyfile
sudo chown caddy:caddy /etc/caddy/Caddyfile
sudo chmod 444 /etc/caddy/Caddyfile
cat <<EOF | sudo tee -a /etc/caddy/Caddyfile
example.com {
    root /var/www/example.com
    gzip
    tls admin@example.com
}
EOF

Megjegyzés : A Caddyfilefent létrehozott fájl csak egy alapkonfiguráció egy statikus webhely futtatásához. Akkor többet arról, hogyan kell írni egy Caddyfile itt .

A Caddy működésének megkönnyítése érdekében beállíthat egy systemdegységfájlt a Caddy számára, majd használhatja systemda Caddy kezelésére.

Használja a viszerkesztőt a Caddy systemdegység fájl létrehozásához:

sudo vi /etc/systemd/system/caddy.service

Töltse fel a fájlt:

[Unit]
Description=Caddy HTTP/2 web server
Documentation=https://caddyserver.com/docs
After=network-online.target
Wants=network-online.target systemd-networkd-wait-online.service

[Service]
Restart=on-abnormal

; User and group the process will run as.
User=caddy
Group=caddy

; Letsencrypt-issued certificates will be written to this directory.
Environment=CADDYPATH=/etc/ssl/caddy

; Always set "-root" to something safe in case it gets forgotten in the Caddyfile.
ExecStart=/usr/local/bin/caddy -log stdout -agree=true -conf=/etc/caddy/Caddyfile -root=/var/tmp
ExecReload=/bin/kill -USR1 $MAINPID

; Use graceful shutdown with a reasonable timeout
KillMode=mixed
KillSignal=SIGQUIT
TimeoutStopSec=5s

; Limit the number of file descriptors; see `man systemd.exec` for more limit settings.
LimitNOFILE=1048576
; Unmodified caddy is not expected to use more than that.
LimitNPROC=512

; Use private /tmp and /var/tmp, which are discarded after caddy stops.
PrivateTmp=true
; Use a minimal /dev
PrivateDevices=true
; Hide /home, /root, and /run/user. Nobody will steal your SSH-keys.
ProtectHome=true
; Make /usr, /boot, /etc and possibly some more folders read-only.
ProtectSystem=full
; … except /etc/ssl/caddy, because we want Letsencrypt-certificates there.
;   This merely retains r/w access rights, it does not add any new. Must still be writable on the host!
ReadWriteDirectories=/etc/ssl/caddy

; The following additional security directives only work with systemd v229 or later.
; They further retrict privileges that can be gained by caddy. Uncomment if you like.
; Note that you may have to add capabilities required by any plugins in use.
;CapabilityBoundingSet=CAP_NET_BIND_SERVICE
;AmbientCapabilities=CAP_NET_BIND_SERVICE
;NoNewPrivileges=true

[Install]
WantedBy=multi-user.target

Mentés és kilépés:

:wq!

Indítsa el a Caddy szolgáltatást, és indítsa el automatikusan a rendszerindításkor:

sudo systemctl daemon-reload
sudo systemctl start caddy.service
sudo systemctl enable caddy.service

3. lépés: Módosítsa a tűzfalszabályokat

Ahhoz, hogy a látogatók hozzáférhessenek Caddy webhelyéhez, meg kell nyitnia a 80-as és a 443-as portot:

sudo firewall-cmd --permanent --zone=public --add-service=http 
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

4. lépés: Hozzon létre egy tesztoldalt webhelyéhez

A következő paranccsal hozzon létre egy fájlt index.htmla Caddy webhely kezdőkönyvtárában:

echo '<h1>Hello World!</h1>' | sudo tee /var/www/example.com/index.html

Indítsa újra a Caddy szolgáltatást az új tartalom betöltéséhez:

sudo systemctl restart caddy.service

Végül mutasson webböngészőjében a http://example.comvagy ikonra https://example.com. Az üzenetet Hello World!a várt módon kell látnia .