さくらのVPSを使っているので、ところどころ www????.sakura.ne.jp として入力しています。
ユーザ作成
まずはrootのパスワードを変更します。
# passwd
作業用アカウントを作成します。
ユーザーhoge作成
# useradd hoge
hogeのパスワード設定
# passwd hoge
hogeをwheelグループに入れる
# usermod -G wheel hoge
作業用アカウント(wheelグループ)以外ではrootになれないように制限します。元から設定済みでしたが念のため。
# visudo
この行を有効化
%wheel ALL=(ALL) ALL
suできるユーザを指定。
# vi /etc/pam.d/su
この行を有効化
auth required pam_wheel.so use_uid
rootはパスワードでログインできないようにします。
# vi /etc/ssh/sshd_config
この行を有効化
PermitRootLogin prohibit-password
鍵なしログイン可にする(コメントアウトのままでOK?)
PasswordAuthentication yes
SSH再起動。
# systemctl restart sshd
Rocky LinuxでのSSHのアクセス制限はfirewalldでやる必要があります。未対応。
パッケージ管理
必要なリポジトリを追加します。
# dnf upgrade
# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
# dnf install https://rpms.remirepo.net/enterprise/remi-release-9.rpm
Remiを指定してインストールする場合には以下のように記述します。
# dnf --enablerepo=remi install (パッケージ名)
全部のアプリをアップデートする。
# dnf --enablerepo=remi update
ファイアウォール
さくらのVPSはコントロールパネルからポート制限できるので設定不要?
起動
# systemctl enable firewalld
# systemctl start firewalld
設定追加
# firewall-cmd --add-service=http --zone=public --permanent
# firewall-cmd --add-service=https --zone=public --permanent
# firewall-cmd --add-service=smtp --zone=public --permanent
# firewall-cmd --add-port=110/tcp --zone=public --permanent
# firewall-cmd --add-port=587/tcp --zone=public --permanent
# firewall-cmd --reload
現在の設定は以下で確認できます。
# firewall-cmd --list-all --zone=public
繋がらない時は一旦firewalld止めて試してみる。終わったらfirewalld起動。
PHP
PHP8.2とそれに関係するものをインストール。
# dnf module enable php:remi-8.2
# dnf install php-fpm php-mysqlnd php-pear php-mbstring php-pdo php-gd php-json ImageMagick ImageMagick-devel php-devel
# pecl install imagick
各種設定。
# vi /etc/php.ini
post_max_size = 128M
upload_max_filesize = 128M
date.timezone = "Asia/Tokyo"
display_errors = On
error_reporting = E_ALL & ~E_NOTICE
extension = imagick.so
起動。
# chown nginx /var/log/php-fpm/
# systemctl start php-fpm
# systemctl enable php-fpm
Composerインストール
# curl -sS https://getcomposer.org/installer | php
# sudo mv composer.phar /usr/local/bin/composer
webサーバ
Apacheからnginxに変えました。
# dnf install nginx
ログの保持期間変更
# sudo vi /etc/logrotate.d/nginx
rotate 10 を 30とかに増やす
起動
# systemctl start nginx
# systemctl enable nginx
PHP-FPMの権限をapacheからnginxに変更
# vi /etc/php-fpm.d/www.conf
user = nginx
group = nginx
# systemctl restart php-fpm
ドメインごとに管理するユーザを分けます。普通にユーザを作成すると自分のホームディレクトリより上の階層に行けてしまうので、chrootを使って行けないようにします。
グループ作成。
# groupadd sftpgroup
グループに所属するユーザにchrootを適用します。
# vi /etc/ssh/sshd_config
サブシステム変更
#Subsystem sftp /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp -u 0022
グループと行ける範囲を末尾に追加
Match group sftpgroup
ChrootDirectory ~
ForceCommand internal-sftp -u 0022
sshdを再起動します。設定間違うとサーバにアクセスできなくなるので、念の為ターミナルをもう1つ開いておいたり。
# systemctl restart sshd
あとはユーザを作成していけば /home/hoge/ がsshのルートディレクトリになります。
ユーザ作成
# useradd -g sftpgroup hoge
# passwd hoge
ホームディレクトリの所有者をrootにする
# chown root:root /home/hoge
# chmod 755 /home/hoge
ディレクトリ作成とパーミッション変更
# mkdir /home/hoge/public_html
# chmod 777 /home/hoge/public_html
バーチャルホスト
ドメインごとにconfファイルを作成します。以下はhoge.com用です。
# vi /etc/nginx/conf.d/hoge.com.conf
server {
listen 80;
server_name hoge.com;
root /home/hoge/public_html;
index index.php index.html index.htm;
access_log /var/log/nginx/hoge.com.access.log;
error_log /var/log/nginx/hoge.com.error.log;
client_max_body_size 128M;
# BASIC認証(必要なら)
auth_basic "Restricted area";
auth_basic_user_file /etc/nginx/.htpasswd;
# WordPress用
location ~ /.well-known {
auth_basic off;
allow all;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
try_files $uri =404;
fastcgi_pass unix:/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
公開前にサイトを確認できるようにします。こんなURLで見れるようになります。
http://www????.sakura.ne.jp/hoge/
# vi /etc/nginx/conf.d/default.conf
server {
listen 80;
server_name www????.sakura.ne.jp;
root /var/www/html;
index index.php index.html index.htm;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
client_max_body_size 128M;
# BASIC認証(必要なら)
auth_basic "Restricted area";
auth_basic_user_file /etc/nginx/.htpasswd;
# WordPress用
location ~ /.well-known {
auth_basic off;
allow all;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
# サブディレクトリで閲覧
location /hoge {
alias /home/hoge/public_html;
index index.php index.html index.htm;
location ~ \.php$ {
fastcgi_pass unix:/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $request_filename;
include fastcgi_params;
}
# WordPress用
try_files $uri $uri/ /index.php?$args;
}
}
再起動
# systemctl restart nginx
WordPress
公式サイトからダウンロードしたzipを解凍してアップロードし設定を記述。
# cp wp-config-sample.php wp-config.php
# vi wp-config.php
データベース情報
define( 'DB_NAME', 'database_name_here' );
define( 'DB_USER', 'username_here' );
define( 'DB_PASSWORD', 'password_here' );
ファイル内に書かれたurlで秘密鍵を生成して設定
define( 'AUTH_KEY', 'put your unique phrase here' );
define( 'SECURE_AUTH_KEY', 'put your unique phrase here' );
define( 'LOGGED_IN_KEY', 'put your unique phrase here' );
define( 'NONCE_KEY', 'put your unique phrase here' );
define( 'AUTH_SALT', 'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT', 'put your unique phrase here' );
define( 'NONCE_SALT', 'put your unique phrase here' );
SSH接続するためSSH SFTP Updater Supportプラグインをダウンロード、解凍してから以下にアップロード。
/wp-content/plugins
設定ファイルに追記。
# vi wp-config.php
define('FS_METHOD', 'ssh2');
所有者の変更。WordPressのあるディレクトリで実行。
# chown -R nginx:sftpgroup ./
うまく行かない場合は開き直ってパーミッション変更。危険なので後で戻す。
# find ./ -type d -exec chmod 775 {} +
# find ./ -type f -exec chmod 664 {} +
おまけ:urlを変更する場合はMySQLで以下実行。
UPDATE wp_options SET option_value='http://hoge.com' WHERE option_name IN ('home','siteurl');
SSL
OpenSSLは既に入っているので、mod_sslをインストールします。
# dnf --enablerepo=remi install mod_ssl
証明書は無料のLet’s Encryptを使います。
インストール
# dnf install certbot
ドメイン追加
# certbot certonly --webroot -w /home/hoge/public_html -d hoge.com
メールアドレス入力
規約に同意:y
メールでお知らせ:n
バッチで証明書を自動更新します。
# crontab -e
PATH=/sbin:/bin:/usr/sbin:/usr/bin
0 4 1,15 * * certbot renew && systemctl restart nginx
もしくは
PATH=/sbin:/bin:/usr/sbin:/usr/bin
0 4 1,15 * * certbot renew && systemctl restart nginx && postmap -F /etc/postfix/tls_server_sni_maps && systemctl reload postfix dovecot
SSLサーバの設定はドメインの設定ファイルに追加します。
# vi /etc/httpd/conf.d/hoge.conf
server {
listen 443 ssl;
server_name hoge.com;
root /home/hoge/public_html;
index index.php index.html index.htm;
access_log /var/log/nginx/hoge.com.access.log;
error_log /var/log/nginx/hoge.com.error.log;
client_max_body_size 128M;
# BASIC認証(必要なら)
auth_basic "Restricted area";
auth_basic_user_file /etc/nginx/.htpasswd;
# WordPress用
location ~ /.well-known {
auth_basic off;
allow all;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
try_files $uri =404;
fastcgi_pass unix:/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
ssl_certificate /etc/letsencrypt/live/hoge.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hoge.com/privkey.pem;
}
ちなみにlisten 80の方に以下のreturn行を入れるとhttpsにリダイレクトする
server {
listen 80;
server_name hoge.com;
return 301 https://$host$request_uri;
}
設定できたら再起動。
# systemctl restart nginx
MySQL
# dnf install mysql mysql-server
起動
# systemctl enable mysqld
# systemctl start mysqld
初期設定
# mysql_secure_installation
出てくる質問は以下の通り(英語)。
・VALIDATE PASSWORD利用:y
・パスワード検証ポリシー:0
・rootのパスワード:
・rootのパスワード確認用:
・いいですか?:y
・匿名ユーザの削除:y
・リモートからrootユーザ接続禁止:y
・テスト用データベースの削除:y
・変更を有効にする:y
デフォルト文字コードはutf8mb4だったので、そのままにしておきます。
終わったら再起動。
# systemctl restart mysqld
パスワードの制限をゆるくする。
# mysql -uroot -p
mysql> SET GLOBAL validate_password.policy=LOW;
mysql> set global validate_password.length=8;
データベースhogeとそのDBに紐づいたユーザhogeを作成します。
mysql> CREATE DATABASE `hoge`;
mysql> CREATE USER `hoge`@`localhost` IDENTIFIED BY 'パスワード';
mysql> GRANT ALL PRIVILEGES ON `hoge`.* TO `hoge`@`localhost`;
mysql> FLUSH PRIVILEGES;
phpMyAdmin
せっかくなのでMySQLの管理ページを入れる。
# dnf install --enablerepo=remi phpmyadmin
こんなURLで見れるようになります。
http://www????.sakura.ne.jp/phpMyAdmin/
# vi /etc/nginx/conf.d/default.conf
server {}の中に以下を追加
location /phpMyAdmin {
root /usr/share;
index index.php;
# BASIC認証(必要なら)
auth_basic "Restricted area";
auth_basic_user_file /etc/nginx/.htpasswd;
location ~ \.php$ {
fastcgi_pass unix:/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name;
include fastcgi_params;
}
}
あとはnginx再起動。
メールサーバ(送信)
Postfixの設定。
# dnf install postfix cyrus-sasl cyrus-sasl-md5 cyrus-sasl-plain
# vi /etc/postfix/main.cf
以下のように修正
myhostname = www????.sakura.ne.jp
mydomain = www????.sakura.ne.jp
myorigin = $mydomain
inet_interfaces = all
#inet_interfaces = localhost
inet_protocols = ipv4
home_mailbox = Maildir/
smtpd_banner = $myhostname ESMTP unknown
以下を追加(スパム対策)
disable_vrfy_command = yes
smtpd_helo_required = yes
anvil_rate_time_unit=60s
smtpd_client_message_rate_limit=200
smtpd_soft_error_limit = 5
smtpd_hard_error_limit = 8
smtpd_error_sleep_time = 70
smtpd_delay_reject = yes
以下を追加(スパムをメールアドレス単位で拒否する場合。reject_senderに記述。正規表現を使う場合はhashをregexpにする)
smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender hash:/etc/postfix/reject_sender
以下を追加(バーチャルドメイン用)
virtual_alias_maps = hash:/etc/postfix/virtual
以下を追加(SMTP-Auth用)
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = cyrus
smtpd_sasl_path = smtpd
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
以下を追加(メールへの添付可能サイズを無制限にする)
message_size_limit = 0
mailbox_size_limit = 0
以下を追加(SSL化する場合)
tls_server_sni_maps=hash:/etc/postfix/tls_server_sni_maps
smtp_tls_security_level = may
スパムを登録して反映。ドメインかメールアドレスで指定できる。
# vi /etc/postfix/reject_sender
example.com REJECT
spam@example.com REJECT
正規表現(regexp)の場合は以下のようになる。
/@example\.com$/ REJECT
/spam@example\.com$/ REJECT
/.*@example\.com$/ REJECT
# postmap /etc/postfix/reject_sender
メール送信時にサブミッションポート(587)を使用します。
# vi /etc/postfix/master.cf
以下の行のコメントアウトを外す
submission inet n - n - - smtpd
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
SSL化する場合以下の行のコメントアウトも外す
-o smtpd_tls_security_level=may
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
SSL化する場合証明書を記述、再起動。
# vi /etc/postfix/tls_server_sni_maps
hoge.com /etc/letsencrypt/live/hoge.com/privkey.pem /etc/letsencrypt/live/hoge.com/fullchain.pem
# postmap -F /etc/postfix/tls_server_sni_maps
# systemctl restart postfix
起動。
# systemctl start postfix
# systemctl enable postfix
SMTP認証のためにSaslauthdを使用します。アプリと認証処理を分離してくれるものらしい。
# vi /etc/sysconfig/saslauthd
Linuxユーザのパスワード(/etc/shadow)を使う
MECH=shadow
起動します。
# systemctl enable saslauthd
# systemctl start saslauthd
メールサーバ(受信)
Dovecotの設定。
# dnf install dovecot
# vi /etc/dovecot/conf.d/10-mail.conf
以下の行のコメントアウトを外す
mail_location = maildir:~/Maildir
# vi /etc/dovecot/dovecot.conf
protocols = imap pop3 lmtp
listen = *
# vi /etc/dovecot/conf.d/10-auth.conf
パスワードを平文にする
disable_plaintext_auth = no
# vi /etc/dovecot/conf.d/10-ssl.conf
SSL有り無し両方対応
ssl = yes
SSL化する場合以下追加
local_name hoge.com {
ssl_cert = </etc/letsencrypt/live/hoge.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/hoge.com/privkey.pem
}
Dovecotを起動します。
# systemctl enable dovecot
# systemctl start dovecot
useradd時にメールボックス用のディレクトリを自動で作成されるようにします。
# mkdir -p /etc/skel/Maildir/{new,cur,tmp}
# chmod -R 700 /etc/skel/Maildir/
こんな感じで作られる。
/home/hoge-info/Maildir/new/
/home/hoge-info/Maildir/cur/
/home/hoge-info/Maildir/tmp/
メールアドレス作成
メールアカウント用のユーザをシェルログイン不可で作成します。
# useradd -s /sbin/nologin hoge-info
# passwd hoge-info
メールアドレスとその振り分け処理を作成します。ドメインごとにanythingの行を入れないとメールが使用できません。
# vi /etc/postfix/virtual
hoge.com anything
info@hoge.com hoge-info
web@hoge.com hoge-web
振り分けを反映させます。
# postmap /etc/postfix/virtual
まとめ
WordPressの設定は毎回忘れる…