Kaip įdiegti ir konfigūruoti „Caddy“ „CentOS 7“.

Įvadas

„Caddy“ yra nauja žiniatinklio serverio programa, turinti vietinį HTTP/2 ir automatinio HTTPS palaikymą. Atsižvelgiant į naudojimo paprastumą ir saugumą, „Caddy“ gali būti naudojamas greitai įdiegti svetainę, kurioje įgalintas HTTPS, naudojant vieną konfigūracijos failą.

Būtinos sąlygos

• Naujas Vultr CentOS 7 x64 serverio egzempliorius. Mes naudosime 203.0.113.1kaip pavyzdį.
• Sudo vartotojas .
• Serverio egzempliorius buvo atnaujintas į naujausią stabilią būseną naudojant EPEL YUM repo .
• Domenas example.comsukonfigūruotas nukreipti į 203.0.113.1serverio egzempliorių. Išsamią informaciją žiūrėkite kitame „ Vultr“ vadove .

1 veiksmas: įdiekite naujausią stabilų „Caddy“ laidą

„Linux“, „Mac“ arba BSD operacinėje sistemoje naudokite šią komandą, kad įdiegtumėte naujausią stabilią sistemai būdingą „Caddy“ leidimą:

curl https://getcaddy.com | bash

Kai būsite paraginti, įveskite sudo slaptažodį, kad užbaigtumėte diegimą.

„Caddy“ dvejetainis failas bus įdiegtas į /usr/local/binkatalogą. Norėdami patvirtinti, naudokite šią komandą:

which caddy

Išvestis turėtų būti:

/usr/local/bin/caddy

Saugumo sumetimais NIEKADA nepaleiskite Caddy dvejetainio failo kaip root. Kad Caddy galėtų prisijungti prie privilegijuotų prievadų (pvz., 80, 443) kaip ne root naudotojui, turite paleisti setcapkomandą taip:

sudo setcap 'cap_net_bind_service=+ep' /usr/local/bin/caddy

2 veiksmas: sukonfigūruokite „Caddy“.

Sukurkite skirtą sistemos vartotoją: caddy ir to paties pavadinimo grupę Caddy:

sudo useradd -r -d /var/www -M -s /sbin/nologin caddy

Pastaba : čia sukurtas vartotojas caddygali būti naudojamas tik Caddy paslaugai valdyti ir negali būti naudojamas prisijungimui.

Sukurkite „ /var/wwwCaddy“ žiniatinklio serverio pagrindinį katalogą /var/www/example.comir savo svetainės pagrindinį katalogą :

sudo mkdir -p /var/www/example.com
sudo chown -R caddy:caddy /var/www

Sukurkite katalogą SSL sertifikatams saugoti:

sudo mkdir /etc/ssl/caddy
sudo chown -R caddy:root /etc/ssl/caddy
sudo chmod 0770 /etc/ssl/caddy

Sukurkite specialų katalogą Caddy konfigūracijos failui saugoti Caddyfile:

sudo mkdir /etc/caddy
sudo chown -R root:caddy /etc/caddy

Sukurkite „Caddy“ konfigūracijos failą pavadinimu Caddyfile:

sudo touch /etc/caddy/Caddyfile
sudo chown caddy:caddy /etc/caddy/Caddyfile
sudo chmod 444 /etc/caddy/Caddyfile
cat <<EOF | sudo tee -a /etc/caddy/Caddyfile
example.com {
    root /var/www/example.com
    gzip
    tls admin@example.com
}
EOF

Pastaba : aukščiau sukurtas failas yra tik pagrindinė konfigūracija veikia statinis svetainę. Daugiau apie tai, kaip parašyti Caddyfile, galite sužinoti čia .Caddyfile

Kad palengvintumėte „Caddy“ operacijas, galite nustatyti systemd„Caddy“ įrenginio failą ir naudoti „ systemdCaddy“ tvarkymui.

Naudokite viredaktorių, kad sukurtumėte Caddy systemdvieneto failą:

sudo vi /etc/systemd/system/caddy.service

Užpildykite failą:

[Unit]
Description=Caddy HTTP/2 web server
Documentation=https://caddyserver.com/docs
After=network-online.target
Wants=network-online.target systemd-networkd-wait-online.service

[Service]
Restart=on-abnormal

; User and group the process will run as.
User=caddy
Group=caddy

; Letsencrypt-issued certificates will be written to this directory.
Environment=CADDYPATH=/etc/ssl/caddy

; Always set "-root" to something safe in case it gets forgotten in the Caddyfile.
ExecStart=/usr/local/bin/caddy -log stdout -agree=true -conf=/etc/caddy/Caddyfile -root=/var/tmp
ExecReload=/bin/kill -USR1 $MAINPID

; Use graceful shutdown with a reasonable timeout
KillMode=mixed
KillSignal=SIGQUIT
TimeoutStopSec=5s

; Limit the number of file descriptors; see `man systemd.exec` for more limit settings.
LimitNOFILE=1048576
; Unmodified caddy is not expected to use more than that.
LimitNPROC=512

; Use private /tmp and /var/tmp, which are discarded after caddy stops.
PrivateTmp=true
; Use a minimal /dev
PrivateDevices=true
; Hide /home, /root, and /run/user. Nobody will steal your SSH-keys.
ProtectHome=true
; Make /usr, /boot, /etc and possibly some more folders read-only.
ProtectSystem=full
; … except /etc/ssl/caddy, because we want Letsencrypt-certificates there.
;   This merely retains r/w access rights, it does not add any new. Must still be writable on the host!
ReadWriteDirectories=/etc/ssl/caddy

; The following additional security directives only work with systemd v229 or later.
; They further retrict privileges that can be gained by caddy. Uncomment if you like.
; Note that you may have to add capabilities required by any plugins in use.
;CapabilityBoundingSet=CAP_NET_BIND_SERVICE
;AmbientCapabilities=CAP_NET_BIND_SERVICE
;NoNewPrivileges=true

[Install]
WantedBy=multi-user.target

Išsaugoti ir išeiti:

:wq!

Paleiskite „Caddy“ paslaugą ir paleiskite ją automatiškai paleidžiant sistemą:

sudo systemctl daemon-reload
sudo systemctl start caddy.service
sudo systemctl enable caddy.service

3 veiksmas: pakeiskite ugniasienės taisykles

Kad lankytojai galėtų pasiekti jūsų „Caddy“ svetainę, turite atidaryti 80 ir 443 prievadus:

sudo firewall-cmd --permanent --zone=public --add-service=http 
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

4 veiksmas: sukurkite savo svetainės bandomąjį puslapį

Naudokite šią komandą, kad sukurtumėte failą, pavadintą index.htmljūsų Caddy svetainės pagrindiniame kataloge:

echo '<h1>Hello World!</h1>' | sudo tee /var/www/example.com/index.html

Iš naujo paleiskite „Caddy“ paslaugą, kad įkeltumėte naują turinį:

sudo systemctl restart caddy.service

Galiausiai nukreipkite žiniatinklio naršyklę į http://example.comarba https://example.com. Turėtumėte pamatyti pranešimą, Hello World!kaip tikėjotės.