Як налаштувати сервер Leanote на CentOS 7

Leanote — це безкоштовна, легка альтернатива Evernote з відкритим вихідним кодом, написана на Голанг. З огляду на користувацький досвід, Leanote надає користувачам безліч практичних функцій, включаючи міжплатформну підтримку, написання в синтаксисі MarkDown, публічний або приватний блог, збір і обмін знаннями, а також командну співпрацю.

У цій статті я розповім вам про налаштування сервера Leanote на екземплярі сервера CentOS 7. З міркувань безпеки ввімкнення HTTPS supportвикористання сертифіката Let's Encrypt SSL і Nginx також буде покрито.

Передумови

• Нещодавно розгорнутий екземпляр сервера Vultr CentOS 7. Скажімо, його адреса IPv4: 203.0.113.1.
• Користувач sudo з ім'ям leanote.
• Усі пакети програмного забезпечення на машині були оновлені до останнього стабільного стану за допомогою репозиторії EPEL YUM. Подробиці дивіться тут .
• Домен, leanote.example.comякий вказує на згаданий вище екземпляр сервера.

Крок 1: Створіть файл підкачки

Під час запуску нового екземпляра сервера Vultr CentOS 7 завжди рекомендується налаштувати файл підкачки, щоб забезпечити безперебійну роботу системи. Наприклад, створення файлу підкачки розміром 2048 МБ підходить для машини з 2 Гб пам’яті.

sudo dd if=/dev/zero of=/swapfile count=2048 bs=1M
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile   none    swap    sw    0   0' | sudo tee -a /etc/fstab
free -m

Примітка: якщо ви використовуєте інший розмір сервера, вам може знадобитися змінити розмір файлу підкачки.

Крок 2. Отримайте двійкові файли Leanote 2.6.1

Завантажте та розпакуйте останню стабільну версію Leanote для 64-розрядної системи Linux:

cd
wget https://sourceforge.net/projects/leanote-bin/files/2.6.1/leanote-linux-amd64-v2.6.1.bin.tar.gz
tar -zxvf leanote-linux-amd64-v2.6.1.bin.tar.gz

Крок 3: Установіть MongoDB Community Edition 4.0

Відповідно до вимог Leanote, СУБД MongoDB NoSQL має бути на місці, перш ніж ви зможете успішно налаштувати сервер Leanote.

Налаштуйте репозиторію MongoDB 4.0 YUM

Створіть репозиторію MongoDB 4.0 YUM наступним чином:

cat <<EOF | sudo tee /etc/yum.repos.d/mongodb-org-4.0.repo
[mongodb-org-4.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/\$releasever/mongodb-org/4.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.0.asc
EOF

Встановіть пакунки MongoDB 4.0 за допомогою YUM

Встановіть усі компоненти та інструменти MongoDB за допомогою створеного раніше репозиторію MongoDB 4.0 YUM:

sudo yum install -y mongodb-org

Налаштуйте SELinux для MongoDB 4.0

За замовчуванням MongoDB буде використовувати 27017порт під час роботи, що не дозволено, якщо SELinux перебуває в enforcingрежимі на машині CentOS 7. Використовуйте таку команду, щоб підтвердити поточний режим SELinux:

sudo getenforce

На сервері Vultr CentOS 7 SELinux вимкнено за замовчуванням. Отже, результат вищевказаної команди буде:

Disabled

У цьому випадку ви можете пропустити наступні інструкції щодо налаштування SELinux і рухатися далі.

Однак, якщо ви використовуєте оригінальний екземпляр сервера CentOS 7, вихід команди вище буде Enforcing. Вам потрібно виконати будь-який з трьох наведених нижче варіантів, перш ніж ви зможете запустити та включити службу MongoDB.

• Варіант 1: Дозволити MongoDB використовувати 27017порт

  sudo semanage port -a -t mongod_port_t -p tcp 27017
  

• Варіант 2: Вимкніть SELinux

  sudo sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
  sudo shutdown -r now
  

• Варіант 3: Змініть SELinux на permissiveрежим

  sudo sed -i 's/SELINUX=enforcing/SELINUX=permissive/' /etc/selinux/config
  sudo shutdown -r now
  

Запустіть службу MongoDB і запустіть її після перезавантаження системи:

sudo systemctl start mongod.service
sudo systemctl enable mongod.service

Крок 4: Імпорт початкових даних Leanote в MongoDB

Використовуйте наведені нижче команди, щоб імпортувати початкові дані Leanote в MongoDB:

rm /home/leanote/leanote/mongodb_backup/leanote_install_data/.DS_Store
mongorestore --host localhost -d leanote --dir /home/leanote/leanote/mongodb_backup/leanote_install_data/

Крок 5. Увімкніть автентифікацію MongoDB

З міркувань безпеки вам потрібно ввімкнути контроль доступу до MongoDB відразу після запуску служби MongoDB. Для цього вам потрібно створити щонайменше два облікові записи користувачів MongoDB: обліковий запис адміністратора користувача та обліковий запис адміністратора бази даних. Вам також потрібно буде змінити конфігурацію MongoDB.

Введіть оболонку MongoDB:

mongo --host 127.0.0.1:27017

Перейти до adminбази даних:

use admin

Створіть адміністратора користувача, useradminякий використовує пароль useradminpassword:

db.createUser({ user: "useradmin", pwd: "useradminpassword", roles: [{ role: "userAdminAnyDatabase", db: "admin" }] })

Примітка. Адміністратор користувачів useradminповинен керувати всіма користувачами MongoDB, тому буде розумно вибрати надійний пароль. Звичайно, більш надійна порада — замінити useradminім’я користувача, яке важко вгадати.

Перейти до leanoteбази даних:

use leanote

Створіть адміністратора бази даних, leanoteadminякий використовує пароль leanoteadminpassword:

db.createUser({ user: "leanoteadmin", pwd: "leanoteadminpassword", roles: [{ role: "dbOwner", db: "leanote" }] })

Примітка . Знову ж таки, рекомендується вибрати менш відоме ім’я користувача та пароль, який важко вгадати.

Після створення користувачів MongoDB ви можете підтвердити результати:

use admin
db.auth("useradmin", "useradminpassword")

Підтвердьте адміністратора бази даних:

use leanote
db.auth("leanoteadmin", "leanoteadminpassword")

Обидва будуть виведені 1як підтвердження.

Вийдіть з оболонки MongoDB:

exit

Щоб увімкнути контроль доступу до MongoDB, вам також потрібно додати два рядки до файлу конфігурації MongoDB /etc/mongod.conf, як показано нижче:

sudo bash -c "echo 'security:' >> /etc/mongod.conf"
sudo bash -c "echo '  authorization: enabled' >> /etc/mongod.conf"

Перезапустіть службу MongoDB, щоб зміни набули чинності:

sudo systemctl restart mongod.service

Відтепер ви можете використовувати лише два облікові записи користувачів для доступу та керування MongoDB, useradminдля керування всіма користувачами MongoDB та лише leanoteadminдля керування leanoteбазою даних.

Крок 6: Налаштуйте Leanote

Скопіюйте файл конфігурації Leanote /home/leanote/leanote/conf/app.conf:

cd /home/leanote/leanote/conf/
cp app.conf app.conf.bak

Використовуйте viредактор, щоб відкрити файл конфігурації Leanote:

vi app.conf

Find the following lines one by one:

site.url=http://localhost:9000
db.username= # if not exists, please leave it blank
db.password= # if not exists, please leave it blank
app.secret=V85ZzBeTnzpsHyjQX4zukbQ8qqtju9y2aDM55VWxAH9Qop19poekx3xkcDVvrD0y

Replace them, respectively, as shown below:

site.url=http://leanote.example.com:9000
db.username=leanoteadmin
db.password=leanoteadminpassword
app.secret=E52tyCDBRk39HmhdGYJLBS3etXpnz7DymmxkgHBYxd7Y9muWVVJ5QZNdDEaHV2sA

Note: For security purposes, the value of the app.secret parameter MUST be a 64-bit random string that is different from the original one. Make sure to replace the value E52tyCDBRk39HmhdGYJLBS3etXpnz7DymmxkgHBYxd7Y9muWVVJ5QZNdDEaHV2sA with your own 64-bit random value.

Save and quit:

:wq!

Step 7: Start Leanote

Modify firewall rules in order to allow inbound TCP traffic on port 9000:

sudo firewall-cmd --permanent --add-port=9000/tcp
sudo systemctl reload firewalld.service

Start Leanote using the official script:

cd /home/leanote/leanote/bin
bash run.sh

Upon seeing Listening on.. 0.0.0.0:9000, point your favorite web browser to http://leanote.example.com:9000 to start using the Leanote site.

Use the default Leanote admin account to sign in:

• Username: admin
• Password: abc123

For security purposes, you should change the default password immediately after signing in.

Step 8: Enable HTTPS access

For now, you can already access the Leanote server using the HTTP protocol, a less secure protocol. In order to improve system security, you can enable HTTPS by deploying both a Let's Encrypt SSL certificate and the Nginx reverse proxy on your machine.

Properly setup a hostname and fully qualified domain name (FQDN)

Before you can obtain the Let's Encrypt SSL certificate, you need to properly setup the hostname and FQDN on your machine.

First, press CTRL+C to stop the Leanote script run.sh.

Next, setup the hostname and FQDN as follows:

sudo hostnamectl set-hostname leanote
cat <<EOF | sudo tee /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
203.0.113.1 leanote.example.com leanote
EOF

You can confirm the results, as well:

hostname
hostname -f

Modify firewall rules

Block inbound traffic on port 9000 and allow inbound traffic on ports for HTTP and HTTPS services:

sudo firewall-cmd --permanent --remove-port=9000/tcp
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo systemctl reload firewalld.service

Apply for a Let's Encrypt SSL certificate

Install the Certbot utility:

sudo yum -y install yum-utils
sudo yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
sudo yum install -y certbot

Подайте заявку на отримання сертифіката Let's Encrypt SSL для домену leanote.example.com:

sudo certbot certonly --standalone --agree-tos --no-eff-email -m [email protected] -d leanote.example.com

Сертифікат і ланцюжок будуть збережені таким чином:

/etc/letsencrypt/live/leanote.example.com/fullchain.pem

Файл приватного ключа буде збережено наступним чином:

/etc/letsencrypt/live/leanote.example.com/privkey.pem

За замовчуванням термін дії сертифіката Let's Encrypt SSL закінчується через три місяці. Ви можете налаштувати завдання cron, як показано нижче, для автоматичного поновлення ваших сертифікатів Let's Encrypt:

sudo crontab -e

Натисніть, Iщоб увійти в insertрежим, а потім введіть наступний рядок:

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

Збережіть і вийдіть:

:wq!

Це завдання cron намагатиметься поновити сертифікат Let's Encrypt щодня опівдні.

Встановіть Nginx як зворотний проксі-сервер

Встановіть Nginx за допомогою репозиторії EPEL YUM:

sudo yum install -y nginx

Створіть файл конфігурації для Leanote:

cat <<EOF | sudo tee /etc/nginx/conf.d/leanote.conf
# Redirect HTTP to HTTPS
server {
    listen      80;
    server_name leanote.example.com;
    return      301 https://\$server_name\$request_uri;
}

server {

    # Setup HTTPS certificates
    listen       443 default ssl;
    server_name  leanote.example.com;
    ssl_certificate      /etc/letsencrypt/live/leanote.example.com/fullchain.pem;
    ssl_certificate_key  /etc/letsencrypt/live/leanote.example.com/privkey.pem;

    # Proxy to the Leanote server
    location / {
        proxy_set_header X-Real-IP         \$remote_addr;
        proxy_set_header X-Forwarded-For   \$proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-Host  \$http_host;
        proxy_set_header Host              \$http_host;
        proxy_max_temp_file_size           0;
        proxy_pass                         http://127.0.0.1:9000;
        proxy_redirect                     http:// https://;
    }
}
EOF

Перезапустіть Nginx, щоб ваші зміни запрацювали:

sudo systemctl daemon-reload
sudo systemctl restart nginx.service
sudo systemctl enable nginx.service

Змініть site.urlналаштування у файлі конфігурації Leanote:

cd /home/leanote/leanote/conf/
vi app.conf

Знайдіть такий рядок:

site.url=http://leanote.example.com:9000

Замініть його:

site.url=https://leanote.example.com

Збережіть і вийдіть:

:wq!

Знову запустіть сценарій Leanote:

cd /home/leanote/leanote/bin
bash run.sh

Тепер наведіть свій улюблений веб-браузер на http://leanote.example.com/, і ви побачите, що HTTPSпротокол активується автоматично. Просто увійдіть як adminкористувач з новим паролем, який ви встановили раніше, або зареєструйте нові облікові записи користувачів для спільної роботи в команді.

Знову натисніть CTRL+, Cщоб зупинити сценарій Leanote. Ми демонізуємо цей сценарій пізніше.

Крок 9: Встановіть wkhtmltopdfпрограму

Leanote вирішує використовувати wkhtmltopdfпрограму для експорту сторінок HTML як файлів PDF. Встановити wkhtmltopdf:

cd
wget https://downloads.wkhtmltopdf.org/0.12/0.12.5/wkhtmltox-0.12.5-1.centos7.x86_64.rpm
sudo yum localinstall -y wkhtmltox-0.12.5-1.centos7.x86_64.rpm
which wkhtmltopdf

Не забудьте вказати wkhtmltopdfдвійковий шлях /usr/local/bin/wkhtmltopdfу Export PDFрозділі інформаційної панелі веб-адміністратора Leanote, коли Leanote знову запуститься.

Примітка. Якщо ви знайшли нечитані символи в експортованих PDF-файлах, спробуйте вирішити проблему, додавши потрібні файли шрифтів до /usr/share/fonts/каталогу.

Крок 10. Використовуйте Supervisor, щоб підтримувати скрипт Leanote у справі

Щоб підтримувати свій сайт Leanote в режимі онлайн, ви можете використовувати утиліту Supervisor для автоматичного запуску сценарію Leanote у разі його збою.

Установіть Supervisor за допомогою YUM:

sudo yum install -y supervisor

Створіть простий .iniфайл Supervisor для Leanote:

cat <<EOF | sudo tee /etc/supervisord.d/leanote.ini
[program:leanote]
command=bash /home/leanote/leanote/bin/run.sh
directory=/home/leanote/leanote/bin/
priority=999
autostart=true
autorestart=true
user=leanote
redirect_stderr=true
EOF

Запустіть службу Supervisor, а також службу Leanote:

sudo supervisord -c /etc/supervisord.conf

Підтвердьте статус служби Leanote:

sudo supervisorctl status leanote

Вихід буде нагадувати наступне:

leanote                          RUNNING   pid 3707, uptime 0:02:36