OpenBSD som en e-handelslösning med PrestaShop och Apache

Introduktion

Denna handledning demonstrerar OpenBSD som en e-handelslösning med PrestaShop och Apache.

Apache krävs eftersom PrestaShop har komplexa URL-omskrivningskrav som inte stöds av OpenBSDs inbyggda webbserver, httpd. Denna handledning använder självsignerade certifikat. Använd ett verifierat certifikat för produktion.

Förberedande uppgifter

Skapa tillfälligt en vanlig användare som får använda doasutan lösenord. Denna åtkomst kommer att tas bort efter installationen.

user add -c "Example User" -m -G wheel -L staff auser
passwd auser
echo 'permit nopass keepenv :wheel' > /etc/doas.conf

Lägg till OpenBSD-paketförrådet.

echo 'https://cdn.openbsd.org/pub/OpenBSD' > /etc/installurl

Vidarebefordra dagliga status- och säkerhetse-postmeddelanden till din adress.

echo '[email protected]' > /root/.forward

Ställ in serverns värdnamn.

echo 'www.example.com' > /etc/myname
hostname www.example.com

Lägg till din servers FQDN och IP-adress till /etc/hosts.
Ersätt 192.0.2.1med din Vultr IP-adress.

127.0.0.1    localhost
::1          localhost
192.0.2.1    www.example.com

Lägg till de nödvändiga paketen för PrestaShop och Apache. Välj de senaste versionerna när du uppmanas.

doas su
pkg_add apache-httpd php php-curl php-gd php-intl php-pdo_mysql php-zip mariadb-client mariadb-server wget unzip

Skapat ett självsignerat SSL-certifikat för testning. Ställ in Common Name till FQDN för din server, t.ex. www.example.com.

openssl req -x509 -new -nodes -newkey rsa:4096 -keyout /etc/ssl/private/example.com.key -out /etc/ssl/example.com.crt -days 3650 -sha256
chmod 0600 /etc/ssl/private/example.com.key

Ladda ner och extrahera PrestaShop

Leta reda på URL:en för den senaste versionen av PrestaShop , ladda ner till /tmpoch extrahera till /var/www/htdocs/prestashop.

cd /tmp
wget <https://download.prestashop.com/download/releases/prestashop_1.7.6.4.zip>
unzip prestashop_1.7.6.4.zip -d /var/www/htdocs/prestashop
chown -R www:www /var/www/htdocs/prestashop

Konfigurera OpenBSD:s (pf) brandvägg

Konfigurera brandväggen för att blockera all inkommande trafik förutom ssh , www och https .

Gör en säkerhetskopia av /etc/pf.conf.

cp /etc/pf.conf /etc/pf.conf.bak

Redigera /etc/pf.confsom visas.

set skip on lo

block in
pass out  

pass in on egress inet proto tcp to port {ssh, www, https} \
    flags S/SA keep state

Testa och aktivera brandväggsreglerna.

doas pfctl -nf /etc/pf.conf
doas pfctl -f /etc/pf.conf

Konfigurera OpenSMTPD som ett e-postrelä

Säkerhetskopiera din /etc/mail/smtpd.conffil.

cp /etc/mail/smtpd.conf /etc/mail/smtpd.conf.bak

Redigera /etc/mail/smtpd.confsom visas nedan.

Anmärkningar: * Tabelldefinitionen för hemligheter innehåller användarnamnet och lösenordet för e-postreläet. * Den utgående åtgärden letar upp användarnamnet och lösenordet under etiketten prestashopi /etc/mail/secretsoch vidarebefordrar e-postmeddelandet via din e-postserver.

    table aliases file:/etc/mail/aliases
    table secrets file:/etc/mail/secrets

    listen on lo0

    action "local_mail" mbox alias <aliases>
    action "outbound" relay host smtp+tls://[email protected]:587 \
        tls no-verify auth <secrets>

    match from local for local action "local_mail"
    match from local for any action "outbound"

Skapa /etc/mail/secrets

Byt ut e-postadressen och lösenordet med de referenser som du använder för din e-postserver.

echo "prestashop [email protected]:password" > /etc/mail/secrets

Ställ in behörigheter för att säkra /etc/mail/secrets

chmod 0600 /etc/secrets

Testa konfigurationsfilen för fel och starta om smtpd-demonen.

smtpd -n
rcctl restart smtpd

Konfigurera PHP- och PHP-FPM-miljön

Konfigurera PHP-FPM-processen för att lyssna på en TCP-socket istället för en UNIX-domänsocket.

Gör följande ändring nedan för /etc/php-fpm.conffilen.

...
; If using a TCP port, never expose this to a public network.
;listen = /var/www/run/php-fpm.sock
listen = 127.0.0.1:9000

Gör några ytterligare ändringar i PHP-miljön i /etc/php-7.3.ini. Detta filnamn kan ändras något om versionen är nyare än 7.3. Dessa förändringar:

• Tillåt att större filer laddas upp.
• Inaktivera den chrootade miljön.

• Konfigurera PHP för att skicka e-post via sendmail.

  ; Default Value: not set
  ;chroot = /var/www
  ...
  ; Maximum allowed size for uploaded files.
  ; <http://php.net/upload-max-filesize>
  upload_max_filesize = 6M
  ...
  ; For Unix only.  You may supply arguments as well (default: "sendmail -t -i").
  ; <http://php.net/sendmail-path>
  ;sendmail_path =
  sendmail_path = /usr/sbin/sendmail -t -i
  ...
  ; Whether to allow the treatment of URLs (like <http://> or <ftp://)> as files.
  ; <http://php.net/allow-url-fopen>
  allow_url_fopen = On
  ...
  ; Maximum size of POST data that PHP will accept.
  ; Its value may be 0 to disable the limit. It is ignored if POST data reading
  ; is disabled through enable_post_data_reading.
  ; <http://php.net/post-max-size>
  post_max_size = 12M
  

  Aktivera PHP-plugins.

  cp /etc/php-7.3.sample/* /etc/php-7.3/.

Aktivera och starta PHP-FPM-demonen. Demonnamnet kan vara något annorlunda om versionen är nyare.

rcctl enable php73_fpm
rcctl start php73_fpm

Konfigurera MariaDB

MariaDB tillhandahåller databasens backend för PrestaShop. Eftersom MariaDB behöver fler öppna filer än standardklassen tillåter, skapa en specialklass i /etc/login.conf.

Lägg till följande rader längst ned i filen:

mysqld:\
      :openfiles-cur=1024:\
      :openfiles-max=2048:\
      :tc=daemon:

Installera MariaDB.

 doas su
 mysql_install_db
 rcctl enable mysqld
 rcctl start mysqld

Konfigurera MariaDB-säkerhet.

 mysql_secure_installation

Skapa PrestaShop-databasen. Använd ett starkt lösenord.

mysql -u root
CREATE DATABASE prestashop;
GRANT ALL PRIVILEGES ON prestashop.* TO 'prestashop'@'localhost' IDENTIFIED BY 'password123';
FLUSH PRIVILEGES;
EXIT

Konfigurera Apache

Backa upp /etc/apache2/httpd2.conf

cp /etc/apache2/httpd2.conf /etc/apache2/httpd2.conf.bak

Gör följande ändringar i /etc/apache2/httpd2.conf, använd för #att aktivera och inaktivera moduler.

Listen 443
...
LoadModule mpm_event_module /usr/local/lib/apache2/mod_mpm_event.so
#LoadModule mpm_prefork_module /usr/local/lib/apache2/mod_mpm_prefork.so
LoadModule proxy_module /usr/local/lib/apache2/mod_proxy.so
LoadModule proxy_fcgi_module /usr/local/lib/apache2/mod_proxy_fcgi.so
LoadModule ssl_module /usr/local/lib/apache2/mod_ssl.so
LoadModule rewrite_module /usr/local/lib/apache2/mod_rewrite.so
...
ServerAdmin [email protected]
ServerName 192.0.2.1:80

• Flera ändringar /etc/apache2/httpd2.confsker längst ner i filen. Ta bort #från de angivna inkluderingssatserna.

• Lägg till Virtual Hosting-raderna sist.

  # Server-pool management (MPM specific)
  Include /etc/apache2/extra/httpd-mpm.conf
  ...
  # Virtual Hosts
  IncludeOptional /etc/apache2/sites/*.conf
  

Skapa /etc/apache2/siteskatalogen.

mkdir /etc/apache2/sites

Skapa /etc/apache2/sites/example.confmed följande information:

<VirtualHost *:80>
  ServerName example.com
  ServerAlias www.example.com
  ServerAdmin [email protected]
  DocumentRoot "/var/www/htdocs/prestashop"

  <Directory "/var/www/htdocs/prestashop">
    Options -Indexes +Multiviews +FollowSymLinks
    AllowOverride All
    <Limit GET POST OPTIONS>
    </Limit>
    Require all granted
  </Directory>

</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com
  ServerAdmin [email protected]
  DocumentRoot "/var/www/htdocs/prestashop"

  <Directory "/var/www/htdocs/prestashop">
    Options -Indexes +Multiviews +FollowSymLinks
    AllowOverride All
    <Limit GET POST OPTIONS>
    </Limit>
    Require all granted
  </Directory>

  SSLEngine On
  SSLCertificateFile "/etc/ssl/example.com.crt"
  SSLCertificateKeyFile "/etc/ssl/private/example.com.key"
  SSLCipherSuite HIGH:!aNULL

</VirtualHost>

Konfigurera Apaches proxymodul genom att lägga till följande till /etc/apache2/sites/example.conf

<IfModule proxy_module>
  <IfModule dir_module>
    DirectoryIndex index.php
  </IfModule>
  <FilesMatch "\.php$">
    SetHandler "proxy:fcgi://127.0.0.1:9000"
  </FilesMatch>
</IfModule>

Testa konfigurationen, aktivera och starta sedan Apache.

apachectl configtest
rcctl enable apache2
rcctl start apache2

Se till att Apache lyssnar på portarna 80 och 443.

netstat -ln -finet

Active Internet connections (only servers)
Proto   Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp          0      0  *.443                  *.*                    LISTEN
tcp          0      0  127.0.0.1.25           *.*                    LISTEN
tcp          0      0  *.22                   *.*                    LISTEN
tcp          0      0  *.80                   *.*                    LISTEN
tcp          0      0  127.0.0.1.3306         *.*                    LISTEN
tcp          0      0  127.0.0.1.9000         *.*                    LISTEN

Installera PrestaShop

Bläddra till din webbplats på http://www.example.com. Installationsguiden för PrestaShop kommer att starta.

När du har slutfört installationen, notera butiksfronten och administrativa länkar och ta bort katalogen /var/www/htdocs/prestashop/install.

Aktivera SSL.

• Klicka på Handla parametrar
• Klicka på Allmänt
• Aktivera SSL för alla delar av din butik

Ändra ditt administrativa lösenord.

• Klicka på Avancerade parametrar
• Klicka på Team
• Ändra ditt lösenord.

Några sista uppgifter

Säkerhetskopiera din butik och dess databas:

cd /var/www/htdocs
doas tar cvfz /home/auser/prestashop.tar.gz prestashop/
doas mysqldump -u prestashop -p prestashop | gzip -4 > /home/auser/prestashop.sql.tar.gz
doas chown auser:auser /home/auser/prestashop*

Ta bort doas-åtkomst för ditt användarkonto genom att återskapa doas.conffilen.

echo 'permit keepenv :wheel' > /etc/doas.conf