Як зібрати Nginx з вихідного коду в Ubuntu 16.04

NGINX можна використовувати як сервер HTTP/HTTPS, зворотний проксі-сервер, поштовий проксі-сервер, балансувальник навантаження, термінатор TLS або сервер кешування. За своєю конструкцією він досить модульний. Він має власні модулі та модулі сторонніх розробників, створені спільнотою. Написана мовою програмування C, це дуже швидке та легке програмне забезпечення.

NOTE: NGINX has two version streams that run in parallel - stable and mainline. Both versions can be used on a production server. It is recommended to use the mainline version in production.

Встановлення NGINX з вихідного коду є відносно «простим» - завантажте останню версію вихідного коду NGINX, налаштуйте, побудуйте та встановіть його.

У цьому підручнику я буду використовувати основну версію, яка на момент написання була 1.13.1. Оновіть номери версій відповідно, коли нові версії стануть доступними.

Вимоги до створення NGINX з вихідного коду

Обов'язкові вимоги:

• Версія бібліотеки OpenSSL від 1.0.2 до 1.1.0
• Версія бібліотеки Zlib від 1.1.3 до 1.2.11
• Версія бібліотеки PCRE від 4.4 до 8.40
• Компілятор GCC

Додаткові вимоги:

• PERL
• LIBATOMIC_OPS
• LibGD
• MaxMind GeoIP
• libxml2
• libxslt

Перед тим як ти почнеш

1. Створити звичайного користувача з sudoдоступом .

2. Перейти до нового користувача:

   su - <username>
   

3. Система оновлення:

   sudo apt update && sudo apt upgrade -y
   

Створіть NGINX з вихідного коду

1. NGINX - це програма, написана на C, тому нам потрібно встановити компілятор C (GCC).

   sudo apt install build-essential -y
   

2. Завантажте останню версію вихідного коду NGINX та розпакуйте його:

   wget https://nginx.org/download/nginx-1.13.1.tar.gz && tar zxvf nginx-1.13.1.tar.gz
   

3. Завантажте вихідний код залежностей NGINX та розпакуйте їх:

   NGINX depends on 3 libraries: PCRE, zlib and OpenSSL:

   # PCRE version 4.4 - 8.40
   wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz && tar xzvf pcre-8.40.tar.gz
   
   # zlib version 1.1.3 - 1.2.11
   wget http://www.zlib.net/zlib-1.2.11.tar.gz && tar xzvf zlib-1.2.11.tar.gz
   
   # OpenSSL version 1.0.2 - 1.1.0
   wget https://www.openssl.org/source/openssl-1.1.0f.tar.gz && tar xzvf openssl-1.1.0f.tar.gz
   

4. Видалити всі .tar.gzфайли. Вони нам більше не потрібні:

   rm -rf *.tar.gz
   

5. Перейдіть до вихідного каталогу NGINX:

   cd ~/nginx-1.13.1
   

6. Щоб отримати довідку, ви можете перерахувати доступні перемикачі конфігурації, виконавши:

   ./configure --help
   

7. Налаштуйте, скомпілюйте та встановіть NGINX:

   ./configure --prefix=/usr/share/nginx \
               --sbin-path=/usr/sbin/nginx \
               --modules-path=/usr/lib/nginx/modules \
               --conf-path=/etc/nginx/nginx.conf \
               --error-log-path=/var/log/nginx/error.log \
               --http-log-path=/var/log/nginx/access.log \
               --pid-path=/run/nginx.pid \
               --lock-path=/var/lock/nginx.lock \
               --user=www-data \
               --group=www-data \
               --build=Ubuntu \
               --http-client-body-temp-path=/var/lib/nginx/body \
               --http-fastcgi-temp-path=/var/lib/nginx/fastcgi \
               --http-proxy-temp-path=/var/lib/nginx/proxy \
               --http-scgi-temp-path=/var/lib/nginx/scgi \
               --http-uwsgi-temp-path=/var/lib/nginx/uwsgi \
               --with-openssl=../openssl-1.1.0f \
               --with-openssl-opt=enable-ec_nistp_64_gcc_128 \
               --with-openssl-opt=no-nextprotoneg \
               --with-openssl-opt=no-weak-ssl-ciphers \
               --with-openssl-opt=no-ssl3 \
               --with-pcre=../pcre-8.40 \
               --with-pcre-jit \
               --with-zlib=../zlib-1.2.11 \
               --with-compat \
               --with-file-aio \
               --with-threads \
               --with-http_addition_module \
               --with-http_auth_request_module \
               --with-http_dav_module \
               --with-http_flv_module \
               --with-http_gunzip_module \
               --with-http_gzip_static_module \
               --with-http_mp4_module \
               --with-http_random_index_module \
               --with-http_realip_module \
               --with-http_slice_module \
               --with-http_ssl_module \
               --with-http_sub_module \
               --with-http_stub_status_module \
               --with-http_v2_module \
               --with-http_secure_link_module \
               --with-mail \
               --with-mail_ssl_module \
               --with-stream \
               --with-stream_realip_module \
               --with-stream_ssl_module \
               --with-stream_ssl_preread_module \
               --with-debug \
               --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' \
               --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now'
   make 
   sudo make install
   

8. Видаліть усі завантажені файли з домашнього каталогу, у цьому випадку /home/username:

   cd ~
   rm -r nginx-1.13.1/ openssl-1.1.0f/ pcre-8.40/ zlib-1.2.11/
   

9. Перевірте версію NGINX і параметри часу компіляції:

   sudo nginx -v && sudo nginx -V
   
   # nginx version: nginx/1.13.0 (Ubuntu)
   # built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.4)
   # built with OpenSSL 1.1.0f  25 May 2017
   # TLS SNI support enabled
   # configure arguments: --prefix=/etc/nginx . . .
   # . . .
   # . . .
   

10. Перевірте синтаксис і можливі помилки:

    sudo nginx -t
    # Will throw this error nginx: [emerg] mkdir() "/var/lib/nginx/body" failed (2: No such file or directory)
    # Just create directory
    mkdir -p /var/lib/nginx && sudo nginx -t
    

11. Створіть файл модуля systemd для NGINX:

    sudo vim /etc/systemd/system/nginx.service
    

12. Скопіюйте/вставте такий вміст:

    NOTE: The location of the PID file and the NGINX binary may be different depending on how NGINX was compiled.

    [Unit]
    Description=A high performance web server and a reverse proxy server
    After=network.target
    
    [Service]
    Type=forking
    PIDFile=/run/nginx.pid
    ExecStartPre=/usr/sbin/nginx -t -q -g 'daemon on; master_process on;'
    ExecStart=/usr/sbin/nginx -g 'daemon on; master_process on;'
    ExecReload=/usr/sbin/nginx -g 'daemon on; master_process on;' -s reload
    ExecStop=-/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid
    TimeoutStopSec=5
    KillMode=mixed
    
    [Install]
    WantedBy=multi-user.target
    

13. Запустіть і ввімкніть службу NGINX:

    sudo systemctl start nginx.service && sudo systemctl enable nginx.service
    

14. Перевірте, чи запуститься NGINX після перезавантаження:

    sudo systemctl is-enabled nginx.service
    # enabled
    

15. Перевірте, чи запущено NGINX:

    sudo systemctl status nginx.service
    ps aux | grep nginx
    curl -I 127.0.0.1
    

16. Перезавантажте Ubuntu VPS, щоб переконатися, що NGINX запускається автоматично:

    sudo shutdown -r now
    

17. Створіть профіль програми UFW NGINX:

    sudo vim /etc/ufw/applications.d/nginx
    

18. Скопіюйте/вставте такий вміст:

    [Nginx HTTP]
    title=Web Server (Nginx, HTTP)
    description=Small, but very powerful and efficient web server
    ports=80/tcp
    
    [Nginx HTTPS]
    title=Web Server (Nginx, HTTPS)
    description=Small, but very powerful and efficient web server
    ports=443/tcp
    
    [Nginx Full]
    title=Web Server (Nginx, HTTP + HTTPS)
    description=Small, but very powerful and efficient web server
    ports=80,443/tcp
    

19. Тепер переконайтеся, що профілі програми UFW створені та розпізнані:

    sudo ufw app list
    
    # Available applications:
      # Nginx Full
      # Nginx HTTP
      # Nginx HTTPS
      # OpenSSH
    

Висновок

Це воно. Тепер у вас встановлена ​​найновіша версія NGINX. Він зібраний статично з деякими важливими бібліотеками, такими як OpenSSL. Часто версія OpenSSL системи застаріла. Використовуючи цей метод встановлення з новішою версією OpenSSL, ви можете скористатися перевагами нових шифрів, таких CHACHA20_POLY1305як TLS 1.3, які будуть доступні в OpenSSL 1.1.1(який не був випущений).