摘要:正好最近有一臺(tái)空閑的于是來(lái)搭建一個(gè)玩玩��。因此我們可以申請(qǐng)免費(fèi)的證書���,這個(gè)證書不但免費(fèi),而且操作非常簡(jiǎn)單���,雖然每次只有天的有效期��,但可以通過(guò)腳本配置定期更新���。這個(gè)驗(yàn)證服務(wù)以后更新證書還要用到,要一直保留���。創(chuàng)建一個(gè)并通過(guò)賦予執(zhí)行權(quán)限�。
0x00 前言
????????WordPress是世界上最受歡迎的CMS系統(tǒng),它是基于php和MySQL技術(shù)棧的��,并且還有很多插件�,可擴(kuò)展性非常強(qiáng)。正好最近有一臺(tái)空閑的ECS,于是來(lái)搭建一個(gè)玩玩�。本教程是基于LEMP技術(shù)棧來(lái)搭建的,各個(gè)版本如下:
L版本為CentOS7.6版本�,
E版本為nginx1.12.2版本
M版本為Distrib 5.5.60-MariaDB
P版本為php7.2
此外,現(xiàn)在全面https已經(jīng)是趨勢(shì)了�,自然我們也不能落后,所以還會(huì)使用Let"s Encrypt來(lái)生成免費(fèi)的SSL證書進(jìn)行配置
0x01 前置條件
有一個(gè)域名�����,我自己的域名為nomansky.xyz
一臺(tái)VPS或者云主機(jī)�,如果是國(guó)內(nèi)的IP需要備案
具有sudo權(quán)限或root權(quán)限的用戶,這里我新建一個(gè)wordpress用戶來(lái)運(yùn)行程序���,并且使用下列命令設(shè)置為nologin
a. sudo useradd -s /sbin/nologin wordpress
使用sudo yum install -y epel-release安裝了epel源
關(guān)閉firewalld���,我更喜歡用iptables來(lái)做安全加固
a. sudo systemctl stop firewalld
b. sudo systemctl disable firewalld
0x02 安裝nginx
執(zhí)行sudo yum install nginx安裝nginx
啟動(dòng)nginx守護(hù)進(jìn)程并設(shè)置為開(kāi)機(jī)自啟
a. sudo systemctl start nginx
b. sudo systemctl enable nginx
將wordpress用戶加入到nginx組usermod -a -G nginx wordpress,同時(shí)設(shè)置目錄權(quán)限chmod 770 -R /var/lib/nginx/
此時(shí)訪問(wèn) http://nomansky.xyz 即可看到如下頁(yè)面,則說(shuō)明nginx安裝成功了
0x03 安裝Mariadb
????????Mariadb作為MySQL的一個(gè)開(kāi)源的分支���,已經(jīng)成為了CentOS用來(lái)替換MySQL的默認(rèn)的數(shù)據(jù)庫(kù)���,所以我這里也使用Mariadb作為數(shù)據(jù)庫(kù)。
執(zhí)行sudo yum install mariadb-server -y來(lái)安裝mariadb
啟動(dòng)Mariadb并設(shè)置為開(kāi)機(jī)自啟
a. sudo systemctl start mariadb
b. sudo systemctl enable mariadb
執(zhí)行sudo mysql_secure_installation來(lái)加固Mariadb�����。你會(huì)看到要求設(shè)置數(shù)據(jù)庫(kù)root密碼�����、移除匿名用戶�����、限制只能通過(guò)localhost登陸數(shù)據(jù)庫(kù)root用戶和移除test數(shù)據(jù)庫(kù)���,這里推薦全部選Y(YES)��,如下圖所示��,默認(rèn)的數(shù)據(jù)庫(kù)root密碼為空
除此之外��,還要把mariadb監(jiān)聽(tīng)的地址改為127.0.0.1:3306
a. vim /etc/my.cnf.d/server.cnf打開(kāi)Mariadb的配置文件
b. 在[mysqld]下面加上bind=127.0.0.1,如下圖所示
c. 執(zhí)行systemctl restart mariadb重啟數(shù)據(jù)庫(kù)
d. 執(zhí)行netstat -lntp可以看到已經(jīng)監(jiān)聽(tīng)為本地回環(huán)地址了
0x04 創(chuàng)建數(shù)據(jù)庫(kù)
在安裝完mariadb數(shù)據(jù)庫(kù)��,并對(duì)其進(jìn)行加固后�,我們自然需要新建一個(gè)數(shù)據(jù)庫(kù)來(lái)存放數(shù)據(jù),這里首先我們用之前設(shè)置的root賬號(hào)密碼來(lái)登陸數(shù)據(jù)庫(kù)mysql -uroot -p���,并執(zhí)行以下幾條語(yǔ)句
CREATE DATABASE wordpress CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci; # 創(chuàng)建數(shù)據(jù)庫(kù)
GRANT ALL ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "你的密碼"; # 創(chuàng)建用戶
FLUSH PRIVILEGES; # 刷新數(shù)據(jù)庫(kù)權(quán)限
EXIT;
0x05 安裝PHP
CentOS的PHP默認(rèn)版本為5.4�����,但是WordPress推薦的版本為7.2���,所以我們這里安裝php7.2的版本
執(zhí)行下列命令安裝php和所有需要的php擴(kuò)展
sudo yum install yum-utils
sudo yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum-config-manager --enable remi-php72
sudo yum install php-cli php-fpm php-mysql php-json php-opcache php-mbstring php-xml php-gd php-curl
我們安裝PHP FPM是因?yàn)槲覀兪怯肗ginx作為web server,而Nginx并沒(méi)有自帶這個(gè)組件�����。此外��,PHP FPM 默認(rèn)是以apache用戶運(yùn)行在9000端口���,我們把這個(gè)用戶改為wordpress并且把它從TCP Socket改為Unix Socket��,具體怎么修改查看下面的步驟
打開(kāi)/etc/php-fpm.d/www.conf,并修改如下地方
...
user = wordpress
...
group = wordpress
...
listen = /run/php-fpm/www.sock
...
listen.owner = wordpress
listen.group = wordpress
用命令sudo chown -R root:wordpress /var/lib/php確保目錄的所有組權(quán)限為wordpress
重啟并開(kāi)機(jī)自啟動(dòng)PHP FPM
a. sudo systemctl restart php-fpm
b. sudo systemctl enable php-fpm
0x06 申請(qǐng)免費(fèi)證書
作為一個(gè)技(qiong)術(shù)(bi)宅�����,自然有免費(fèi)的證書就肯定用免費(fèi)的���。因此我們可以申請(qǐng)免費(fèi)的Let"s Encrypt證書,這個(gè)證書不但免費(fèi)���,而且操作非常簡(jiǎn)單�,雖然每次只有90天的有效期�����,但可以通過(guò)腳本配置crontab定期更新�����。
a. mkdir -p /etc/nginx/ssl目錄存放證書
b. openssl genrsa 4096 > account.key進(jìn)入這個(gè)目錄���,創(chuàng)建一個(gè) RSA 私鑰用于 Let"s Encrypt 識(shí)別你的身份
c. openssl genrsa 4096 > domain.key創(chuàng)建域名RSA私鑰
d. openssl req -new -sha256 -key domain.key -out domain.csr有了私鑰文件����,就可以生成 CSR 文件了��。生成CSR會(huì)要求填入一些東西信息���,這里Common Name為你的域名
我們知道����,CA 在簽發(fā) DV(Domain Validation)證書時(shí),需要驗(yàn)證域名所有權(quán)�。傳統(tǒng) CA 的驗(yàn)證方式一般是往 admin@yoursite.com 發(fā)驗(yàn)證郵件,而 Let"s Encrypt 是在你的服務(wù)器上生成一個(gè)隨機(jī)驗(yàn)證文件�����,再通過(guò)創(chuàng)建 CSR 時(shí)指定的域名訪問(wèn)���,如果可以訪問(wèn)則表明你對(duì)這個(gè)域名有控制權(quán)���。所以首先創(chuàng)建用于存放驗(yàn)證文件的目錄,例如:
mkdir /home/wordpress/challenges
然后配置一個(gè)HTTP服務(wù)�,以Nginx為例:
server {
server_name www.nomansky.xyz nomansky.xyz;
location ^~ /.well-known/acme-challenge/ {
alias /home/wordpress/challenges/;
try_files $uri =404;
}
location / {
rewrite ^/(.*)$ https://nomansky.xyz/$1 permanent;
}
}
以上配置表示查找 /home/wordpress/challenges/ 目錄下的文件,如果找不到就重定向到 HTTPS 地址����。這個(gè)驗(yàn)證服務(wù)以后更新證書還要用到,要一直保留�����。
接下來(lái)把a(bǔ)cme-tiny保存到ssl目錄wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
然后指定賬戶私鑰、CSR 以及驗(yàn)證目錄��,執(zhí)行腳本python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/wordpress/challenges/ > ./signed.crt,看到如下圖所示���,則說(shuō)明生成成功了
最后還要下載Let"s Encrypt 的中間證書����,配置HTTPS證書時(shí)既不要漏掉中間證書���,也不要包含根證書。在 Nginx 配置中�,需要把中間證書和網(wǎng)站證書合在一起:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
為了后續(xù)能順利啟用OCSP Stapling,我們?cè)侔迅C書和中間證書合在一起(此步也可省略)
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem
Let"s Encrypt簽發(fā)的證書只有90天有效期�,推薦使用腳本定期更新。創(chuàng)建一個(gè)renew_cert.sh并通過(guò)chmod a+x renew_cert.sh賦予執(zhí)行權(quán)限�。文件內(nèi)容如下:
#!/bin/bash
cd /etc/nginx/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/wordpress/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
systemctl restart nginx
在crontabl中配置定時(shí)任務(wù)0 0 1 * * /etc/nginx/ssl/renew_cert.sh >/dev/null 2>&1
0x07 下載WordPress并配置Nginx
將WordPress下載到/home/wordpress/目錄下wget https://wordpress.org/latest.tar.gz
tar zxvf latest.tar.gz解壓WordPress文件
chown -R wordpress:wordpress wordpress將wordpress目錄的所有者改為wordpress用戶
接著,打開(kāi)vim /etc/nginx/nginx.conf將nginx的運(yùn)行角色改為wordpress
···
user wordpress;
worker_processes auto;
···
然后這里我把處于解耦合的目的����,把主配置文件nginx.conf里的server配置塊注釋掉
新建sudo mkdir /etc/nginx/snippets目錄并vim letsencrypt.conf來(lái)將以下配置粘貼到里面
location ^~ /.well-known/acme-challenge/ {
alias /home/wordpress/challenges/;
try_files $uri =404;
}
接下來(lái)新建vim /etc/nginx/conf.d/wordpress.conf配置文件,修改成如下配置
# Redirect HTTP -> HTTPS
server {
listen 80;
server_name www.nomansky.xyz nomansky.xyz;
include snippets/letsencrypt.conf;
return 301 https://nomansky.xyz$request_uri;
}
# Redirect WWW -> NON WWW
server {
listen 443 ssl http2;
server_name www.nomansky.xyz;
ssl_certificate /etc/nginx/ssl/chained.pem;
ssl_certificate_key /etc/nginx/ssl/domain.key;
return 301 https://nomansky.com$request_uri;
}
server {
listen 443 ssl http2;
server_name nomansky.com;
root /home/wordpress/wordpress;
index index.php;
# SSL parameters
ssl_certificate /etc/nginx/ssl/chained.pem;
ssl_certificate_key /etc/nginx/ssl/domain.key;
# log files
access_log /home/wordpress/log/nomansky.xyz.access.log;
error_log /home/wordpress/log/nomansky.xyz.error.log;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ .php$ {
try_files $uri =404;
fastcgi_pass unix:/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
location ~* .(js|css|png|jpg|jpeg|gif|ico|svg)$ {
expires max;
log_not_found off;
}
創(chuàng)建日志目錄mkdir -p /home/wordpress/log,并設(shè)置權(quán)限chown -R wordpress:wordpress /home/wordpress/log
nginx -t查看是否是否語(yǔ)法檢查正常����,如正常則nginx -s reload重載nginx
接下來(lái)看到WordPress頁(yè)面成功打開(kāi)了���,就此大功告成啦
References:
How to install WordPress with Nginx on CentOS 7
免費(fèi)好用的HTTPS證書
