Spustenie WordPress na OpenBSD 6.5 s OpenBSDs HTTPD

Úvod

Čím bližšie ponecháte svoju inštaláciu OpenBSD na predvolenú hodnotu a bez toľkých pridaných balíkov, tým bude bezpečnejšia. Zatiaľ čo bežnejším nastavením pre WordPress je použitie Apache a PHP, určite je možné (a vhodnejšie) použiť vstavaný httpd OpenBSD. Tento tutoriál vám pomôže začať s kompletným nastavením certifikátu Let's Encrypt, webového servera a WordPress. Aby ste to mohli urobiť, budete potrebovať root prístup.

Počiatočná konfigurácia

Ak ste tak ešte neurobili, budete musieť vytvoriť /etc/doas.confsúbor. doasPríkaz je OpenBSD ľahko náhrada sudo.

su -
echo "permit nopass keepenv :wheel" > /etc/doas.conf

Musíme OpenBSD povedať, kde sa balíky nachádzajú. Toto sa deje v /etc/installurlsúbore.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Teraz musíme pridať PHP a niektoré extra moduly, ktoré bude WordPress potrebovať, aby si mohol poradiť s vecami, ako sú obrázky a šifrovanie. Po zobrazení výzvy vyberte inštaláciu najnovšieho balíka PHP. Jedna vec, ktorú musíte urobiť, je skopírovať inisúbory modulu zo vzorového adresára do hlavného. Toto je potrebné urobiť, aby ste povolili dodatočné moduly PHP.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli pecl73-mcrypt pecl73-imagick 
doas su -
cp /etc/php-7.3.sample/* /etc/php-7.3/.

Získajte certifikáty Let's Encrypt

OpenBSD má skvelú aplikáciu s názvom acme-client. Táto malá inovácia vám vygeneruje kľúč účtu, súkromný kľúč a získa certifikát. Acme-klient závisí od toho, či má webový server na svojom mieste, takže definujeme rýchlu predvolenú definíciu servera.

Pomocou svojho obľúbeného editora vytvorte /etc/httpd.conf. Ostatné definície servera pridáme do súboru neskôr. Teraz musíme pripraviť httpd na vykonanie výzvy a odpovede na získanie bezplatného platného certifikátu SSL.

prefork 5
types { include "/usr/share/misc/mime.types" }

server "default" {
    listen on egress port 80
    root "/htdocs"
    directory index "index.html"

    location "/.well-known/acme-challenge/*" {
        request strip 2
        root "/acme"
    }
}

Tiež pomocou svojho obľúbeného editora vytvorte /etc/acme-client.conf.

authority letsencrypt {
    api url "https://acme-v01.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-privkey.pem"
}

authority letsencrypt-staging {
    api url "https://acme-staging.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-staging-privkey.pem"
}

domain example.com {
    alternative names { www.example.com }
    domain key "/etc/ssl/private/example.com.key"
    domain full chain certificate "/etc/ssl/example.com.fullchain.pem"
    sign with letsencrypt
}

Povoľte a spustite httpd, potom si nechajte vystaviť certifikát. Uvidíte, že certifikát bol vydaný.

doas rcctl enable httpd php73_fpm
doas rcctl start httpd
doas acme-client -ADFv example.com
doas rcctl stop httpd

Pridanie definícií servera

Pridajte nasledujúce konfiguračné riadky do /etc/httpd.conf, hneď za definície Let's Encrypt. Nastavte httpd na vykonanie presmerovania z http na https, pretože máte bezplatný certifikát SSL a nikdy nechcete riskovať odoslanie prihlasovacieho mena a hesla cez nezabezpečený odkaz. Všimnite si riadok, location "/posts/*"toto je kúsok, vďaka ktorému vyzerajú trvalé odkazy WordPress pekne. Táto konfigurácia tiež obsahuje spôsob, ako zabrániť pokusom o prihlásenie hrubej sily na stránku správcu WordPress.

server "example.com" {
    listen on egress port 80
    alias "www.example.com"
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "example.com" {
    listen on egress tls port 443
    alias "www.example.com"
    root "/htdocs/example.com
    directory index "index.php"

     location "/posts/*" {
        fastcgi {
             param SCRIPT_FILENAME "/htdocs/example.com/index.php"
             socket "/run/php-fpm.sock"
        }
     }

     location "/wp-json/*" {
        fastcgi {
           param SCRIPT_FILENAME "/htdocs/example.com/index.php"
            socket "/run/php-fpm.sock"
        }
     }

    location "/wp-login.php*" {
        authenticate "WordPress" with "/htdocs/htpasswd"
        fastcgi socket "/run/php-fpm.sock"
     }

    #Uncomment the following lines to disable xmlrpc. You increase security 
    #at the expense of being able to use to use 
    #the Android and iPhone WordPress App.
    #location "xmlrpc.php*" {
    #    block return 404
    #}        

    location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
     }

    tls {
        certificate "/etc/ssl/example.com.fullchain.pem"
        key "/etc/ssl/private/example.com.key"
    }
}

Vytvorte súbor používateľského mena a hesla pre ďalšiu úroveň zabezpečenia na stránke správcu WordPress. Zvoľte si dobré heslo. Na spustenie wp-login.phpskriptu sa zobrazí výzva na zadanie používateľského mena a hesla .

doas su
cd /var/www/htdocs
htpasswd htpasswd wp_user
chown www:www htpasswd
chmod 0640 htpasswd

Pripravte a nakonfigurujte MariaDB

MariaDB je drop-in náhradný fork MySQL. Potrebujeme vykonať počiatočnú konfiguráciu a prípravu databázy pre WordPress.

Predtým, ako budeme môcť efektívne používať MariaDB, musíme démonovi mysql povoliť používať viac zdrojov, ako je predvolené. Ak to chcete urobiť, vykonajte nasledujúce zmeny /etc/login.confpridaním tohto záznamu do spodnej časti.

mysqld:\
    :openfiles-cur=1024:\
    :openfiles-max=2048:\
    :tc=daemon:

Povoľte a spustite MariaDB. Tento postup nastaví heslo používateľa root a voliteľne zruší testovaciu databázu. Vo fáze bezpečnej inštalácie je dobré postupovať podľa návrhov.

 doas mysql_install_db
 doas rcctl enable mysqld
 doas rcctl start mysqld
 doas mysql_secure_installation

Vytvorte databázu WordPress a používateľa databázy.

mysql -u root -p 
CREATE DATABASE wordpress;
GRANT ALL PRIVILEGES ON wordpress.* TO 'wp_user'@'localhost' IDENTIFIED BY '<password>';
FLUSH PRIVILEGES;
EXIT

Nainštalujte a nakonfigurujte WordPress

WordPress už nejaký čas nemá oficiálny port OpenBSD, pretože v podstate funguje hneď po vybalení. Stiahnite si, extrahujte a presuňte inštalačný priečinok WordPress.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xvfz latest.tar.gz
doas mv wordpress /var/www/htdocs/example.com
chown -R www:www /var/www/htdocs/example.com

Musíme skopírovať /etc/resolve.confa /etc/hostsdo /var/www/etc. Je to preto, aby sa WordPress mohol úspešne dostať na trh. Budete to potrebovať, aby ste si mohli stiahnuť doplnky a témy prostredníctvom stránky správcu WordPress.

doas mkdir /var/www/etc
doas cp /etc/hosts /var/www/etc/.
doas cp /etc/resolv.conf /var/www/etc/.

Spustite httpd a php73_fpm.

doas rcctl start httpd php73_fpm

Prejdite na adresu URL, ktorú ste použili v definícii servera. Zobrazí sa sprievodca inštaláciou WordPress. Pre voľbu Databázový server nahraďte localhost za 127.0.0.1.

Po nainštalovaní WordPress je čas nastaviť trvalé odkazy tak, aby vyzerali lepšie pre SEO. Na obrazovke správcu WordPress prejdite na Settings -> Permalinks. Kliknite Custom Structurea napíšte /posts/%postname%. Po vykonaní tejto zmeny kliknite na Save Changestlačidlo. Teraz máte oveľa krajšie odkazy. Napríklad trvalý odkaz bude vyzerať takto:https://example.com/posts/example-blog-post