CentOSからRocky Linuxに乗り換えました。
さくらのVPSを使っているので、ところどころ www????.sakura.ne.jp として入力しています。
ユーザ作成 まずはrootのパスワードを変更します。
# passwd
作業用アカウントを作成します。
ユーザーhoge作成# useradd hoge
hogeのパスワード設定 # passwd hoge
hogeをwheelグループに入れる# usermod -G wheel hoge
作業用アカウント(wheelグループ)以外ではrootになれないように制限します。元から設定済みでしたが念のため。
# visudo
この行を有効化 %wheel ALL=(ALL) ALL
suできるユーザを指定。
# vi /etc/pam.d/su
この行を有効化 auth required pam_wheel.so use_uid
rootはパスワードでログインできないようにします。
# vi /etc/ssh/sshd_config
この行を有効化 PermitRootLogin prohibit-password
鍵なしログイン可にする(コメントアウトのままでOK?) PasswordAuthentication yes
SSH再起動。
# systemctl restart sshd
Rocky LinuxでのSSHのアクセス制限はfirewalldでやる必要があります。未対応。
パッケージ管理 必要なリポジトリを追加します。
# dnf upgrade # dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm # dnf install https://rpms.remirepo.net/enterprise/remi-release-9.rpm
Remiを指定してインストールする場合には以下のように記述します。
# dnf --enablerepo=remi install (パッケージ名)
全部のアプリをアップデートする。
# dnf --enablerepo=remi update
ファイアウォール さくらのVPSはコントロールパネルからポート制限できるので設定不要?
起動# systemctl enable firewalld # systemctl start firewalld
設定追加# firewall-cmd --add-service=http --zone=public --permanent # firewall-cmd --add-service=https --zone=public --permanent # firewall-cmd --add-service=smtp --zone=public --permanent # firewall-cmd --add-port=110/tcp --zone=public --permanent # firewall-cmd --add-port=587/tcp --zone=public --permanent # firewall-cmd --reload
現在の設定は以下で確認できます。
# firewall-cmd --list-all --zone=public
繋がらない時は一旦firewalld止めて試してみる。終わったらfirewalld起動。
PHP PHP8.2とそれに関係するものをインストール。
# dnf module enable php:remi-8.2 # dnf install php-fpm php-mysqlnd php-pear php-mbstring php-pdo php-gd php-json ImageMagick ImageMagick-devel php-devel # pecl install imagick
各種設定。
# vi /etc/php.ini
post_max_size = 128M upload_max_filesize = 128M memory_limit = 128M date.timezone = "Asia/Tokyo" display_errors = On error_reporting = E_ALL & ~E_NOTICE extension = imagick.so
起動。
# chown nginx /var/log /php-fpm/ # systemctl start php-fpm # systemctl enable php-fpm
Composerインストール
# curl -sS https://getcomposer.org/installer | php # sudo mv composer.phar /usr/local /bin/composer
webサーバ Apacheからnginxに変えました。
# dnf install nginx
ログの保持期間変更
# sudo vi /etc/logrotate.d/nginx
rotate 10 を 30とかに増やす
起動
# systemctl start nginx # systemctl enable nginx
PHP-FPMの権限をapacheからnginxに変更
# vi /etc/php-fpm.d/www.conf
user = nginx group = nginx
# systemctl restart php-fpm
ドメインごとに管理するユーザを分けます。普通にユーザを作成すると自分のホームディレクトリより上の階層に行けてしまうので、chrootを使って行けないようにします。
グループ作成。
# groupadd sftpgroup
グループに所属するユーザにchrootを適用します。
# vi /etc/ssh/sshd_config
サブシステム変更 Subsystem sftp internal-sftp -u 0022
グループと行ける範囲を末尾に追加 Match group sftpgroup ChrootDirectory ~ ForceCommand internal-sftp -u 0022
sshdを再起動します。設定間違うとサーバにアクセスできなくなるので、念の為ターミナルをもう1つ開いておいたり。
# systemctl restart sshd
あとはユーザを作成していけば /home/hoge/ がsshのルートディレクトリになります。
ユーザ作成# useradd -g sftpgroup hoge # passwd hoge
ホームディレクトリの所有者をrootにする # chown root:root /home/hoge # chmod 755 /home/hoge
ディレクトリ作成とパーミッション変更# mkdir /home/hoge/public_html # chmod 777 /home/hoge/public_html
バーチャルホスト ドメインごとにconfファイルを作成します。以下はhoge.com用です。
# vi /etc/nginx/conf.d/hoge.com.conf
server { listen 80; server_name hoge.com; root /home/hoge/public_html; index index.php index.html index.htm;
access_log /var/log/nginx/hoge.com.access.log; error_log /var/log/nginx/hoge.com.error.log;
client_max_body_size 128M;
# BASIC認証(必要なら) auth_basic "Restricted area" ; auth_basic_user_file /etc/nginx/.htpasswd;
# WordPress用 location ~ /.well-known { auth_basic off ; allow all ; } location / { try_files $uri $uri/ /index.php?$args; }
location ~ \.php$ { try_files $uri =404; fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } }
公開前にサイトを確認できるようにします。こんなURLで見れるようになります。 http://www????.sakura.ne.jp/hoge/
# vi /etc/nginx/conf.d/default.conf
server { listen 80; server_name www????.sakura.ne.jp; root /var/www/html; index index.php index.html index.htm;
access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log;
client_max_body_size 128M;
# BASIC認証(必要なら) auth_basic "Restricted area" ; auth_basic_user_file /etc/nginx/.htpasswd;
# WordPress用 location ~ /.well-known { auth_basic off ; allow all ; } location / { try_files $uri $uri/ /index.php?$args; }
location /hoge { alias /home/hoge/public_html; index index.php index.html index.htm; location ~ \.php$ { fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $request_filename; include fastcgi_params; } try_files $uri $uri/ /index.php?$args; } }
再起動
# systemctl restart nginx
WordPress 公式サイト からダウンロードしたzipを解凍してアップロードし設定を記述。
# cp wp-config-sample.php wp-config.php # vi wp-config.php
データベース情報define ( 'DB_NAME', 'database_name_here' );define ( 'DB_USER', 'username_here' );define ( 'DB_PASSWORD', 'password_here' );
ファイル内に書かれたurl で秘密鍵を生成して設定define ( 'AUTH_KEY', 'put your unique phrase here' );define ( 'SECURE_AUTH_KEY', 'put your unique phrase here' );define ( 'LOGGED_IN_KEY', 'put your unique phrase here' );define ( 'NONCE_KEY', 'put your unique phrase here' );define ( 'AUTH_SALT', 'put your unique phrase here' );define ( 'SECURE_AUTH_SALT', 'put your unique phrase here' );define ( 'LOGGED_IN_SALT', 'put your unique phrase here' );define ( 'NONCE_SALT', 'put your unique phrase here' );
SSH接続するためSSH SFTP Updater Supportプラグイン をダウンロード、解凍してから以下にアップロード。
/wp-content/plugins
設定ファイルに追記。
# vi wp-config.php
define('FS_METHOD', 'ssh2');
所有者の変更。WordPressのあるディレクトリで実行。
# chown -R nginx:sftpgroup ./
うまく行かない場合は開き直ってパーミッション変更。危険なので後で戻す。
# find ./ -type d -exec chmod 775 {} + # find ./ -type f -exec chmod 664 {} +
おまけ:urlを変更する場合はMySQLで以下実行。
UPDATE wp_options SET option_value='http://hoge.com' WHERE option_name IN ('home','siteurl');
SSL OpenSSLは既に入っているので、mod_sslをインストールします。
# dnf --enablerepo=remi install mod_ssl
証明書は無料のLet’s Encryptを使います。
インストール# dnf install certbot
ドメイン追加# certbot certonly --webroot -w /home/hoge/public_html -d hoge.com メールアドレス入力 規約に同意:y メールでお知らせ:n
バッチで証明書を自動更新します。
# crontab -e
PATH=/sbin:/bin:/usr/sbin:/usr/bin 0 4 1,15 * * certbot renew && systemctl restart nginx
もしくは
PATH=/sbin:/bin:/usr/sbin:/usr/bin 0 4 1,15 * * certbot renew && systemctl restart nginx && postmap -F /etc/postfix/tls_server_sni_maps && systemctl reload postfix dovecot
SSLサーバの設定はドメインの設定ファイルに追加します。
# vi /etc/httpd/conf.d/hoge.conf
server { listen 443 ssl; server_name hoge.com; root /home/hoge/public_html; index index.php index.html index.htm;
access_log /var/log/nginx/hoge.com.access.log; error_log /var/log/nginx/hoge.com.error.log;
client_max_body_size 128M;
# BASIC認証(必要なら) auth_basic "Restricted area" ; auth_basic_user_file /etc/nginx/.htpasswd;
# WordPress用 location ~ /.well-known { auth_basic off ; allow all ; } location / { try_files $uri $uri/ /index.php?$args; }
location ~ \.php$ { try_files $uri =404; fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; }
ssl_certificate /etc/letsencrypt/live/hoge.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hoge.com/privkey.pem; }
ちなみにlisten 80の方に以下のreturn行を入れるとhttpsにリダイレクトするserver { listen 80; server_name hoge.com; return 301 https://$host$request_uri; }
設定できたら再起動。
# systemctl restart nginx
MySQL # dnf install mysql mysql-server
起動
# systemctl enable mysqld # systemctl start mysqld
初期設定
# mysql_secure_installation 出てくる質問は以下の通り(英語)。 ・VALIDATE PASSWORD利用:y ・パスワード検証ポリシー:0 ・rootのパスワード: ・rootのパスワード確認用: ・いいですか?:y ・匿名ユーザの削除:y ・リモートからrootユーザ接続禁止:y ・テスト用データベースの削除:y ・変更を有効にする:y
デフォルト文字コードはutf8mb4だったので、そのままにしておきます。
終わったら再起動。
# systemctl restart mysqld
パスワードの制限をゆるくする。
# mysql -uroot -p
mysql> SET GLOBAL validate_password.policy=LOW; mysql> set global validate_password.length=8;
データベースhogeとそのDBに紐づいたユーザhogeを作成します。
mysql> CREATE DATABASE `hoge`; mysql> CREATE USER `hoge`@`localhost` IDENTIFIED BY 'パスワード' ; mysql> GRANT ALL PRIVILEGES ON `hoge`.* TO `hoge`@`localhost`; mysql> FLUSH PRIVILEGES;
phpMyAdmin せっかくなのでMySQLの管理ページを入れる。
# dnf install --enablerepo=remi phpmyadmin
こんなURLで見れるようになります。 http://www????.sakura.ne.jp/phpMyAdmin/
# vi /etc/nginx/conf.d/default.conf
server {}の中に以下を追加
location /phpMyAdmin { root /usr/share; index index.php;
# BASIC認証(必要なら) auth_basic "Restricted area"; auth_basic_user_file /etc/nginx/.htpasswd;
location ~ \.php$ { fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root/$fastcgi_script_name; include fastcgi_params; } }
あとはnginx再起動。
メールサーバ(送信) Postfixの設定。
# dnf install postfix cyrus-sasl cyrus-sasl-md5 cyrus-sasl-plain
# vi /etc/postfix/main.cf
以下のように修正myhostname = www????.sakura.ne.jpmydomain = www????.sakura.ne.jpmyorigin = $mydomaininet_interfaces = all inet_protocols = ipv4home_mailbox = Maildir/smtpd_banner = $myhostname ESMTP unknown
以下を追加(スパム対策)disable_vrfy_command = yessmtpd_helo_required = yesanvil_rate_time_unit =60ssmtpd_client_message_rate_limit =200smtpd_soft_error_limit = 5smtpd_hard_error_limit = 8smtpd_error_sleep_time = 70smtpd_delay_reject = yes
以下を追加(スパムをメールアドレス単位で拒否する場合。reject_senderに記述。正規表現を使う場合はhashをregexpにする)smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender hash:/etc/postfix/reject_sender
以下を追加(バーチャルドメイン用)virtual_alias_maps = hash:/etc/postfix/virtual
以下を追加(SMTP-Auth用)smtpd_sasl_auth_enable = yessmtpd_sasl_type = cyrussmtpd_sasl_path = smtpdsmtpd_sasl_local_domain = $myhostnamesmtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destinationsmtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
以下を追加(メールへの添付可能サイズを無制限にする)message_size_limit = 0mailbox_size_limit = 0
以下を追加(SSL 化する場合)tls_server_sni_maps =hash:/etc/postfix/tls_server_sni_mapssmtp_tls_security_level = may
スパムを登録して反映。ドメインかメールアドレスで指定できる。
# vi /etc/postfix/reject_sender
example.com REJECT spam@example.com REJECT
正規表現(regexp)の場合は以下のようになる。
/@example\.com$/ REJECT /spam@example\.com$/ REJECT /.*@example\.com$/ REJECT
# postmap /etc/postfix/reject_sender
メール送信時にサブミッションポート(587)を使用します。
# vi /etc/postfix/master.cf
以下の行のコメントアウトを外すsubmission inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_relay_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
SSL 化する場合以下の行のコメントアウトも外す -o smtpd_tls_security_level=maysmtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_relay_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
SSL化する場合証明書を記述、再起動。
# vi /etc/postfix/tls_server_sni_maps
hoge.com /etc/letsencrypt/live/hoge.com/privkey.pem /etc/letsencrypt/live/hoge.com/fullchain.pem
# postmap -F /etc/postfix/tls_server_sni_maps # systemctl restart postfix
起動。
# systemctl start postfix # systemctl enable postfix
SMTP認証のためにSaslauthdを使用します。アプリと認証処理を分離してくれるものらしい。
# vi /etc/sysconfig/saslauthd
Linuxユーザのパスワード(/etc/shadow)を使うMECH =shadow
起動します。
# systemctl enable saslauthd # systemctl start saslauthd
メールサーバ(受信) Dovecotの設定。
# dnf install dovecot
# vi /etc/dovecot/conf.d/10-mail.conf
以下の行のコメントアウトを外すmail_location = maildir:~/Maildir
# vi /etc/dovecot/dovecot.conf
protocols = imap pop3 lmtp listen = *
# vi /etc/dovecot/conf.d/10-auth.conf
パスワードを平文にするdisable_plaintext_auth = no
# vi /etc/dovecot/conf.d/10-ssl.conf
SSL有り無し両方対応ssl = yes
SSL化する場合以下追加 local_name hoge.com { ssl_cert = </etc/letsencrypt/live/hoge.com/fullchain.pem ssl_key = </etc/letsencrypt/live/hoge.com/privkey.pem }
Dovecotを起動します。
# systemctl enable dovecot # systemctl start dovecot
useradd時にメールボックス用のディレクトリを自動で作成されるようにします。
# mkdir -p /etc/skel/Maildir/{new,cur,tmp} # chmod -R 700 /etc/skel/Maildir/
こんな感じで作られる。
/home/hoge-info/Maildir/new/ /home/hoge-info/Maildir/cur/ /home/hoge-info/Maildir/tmp/
メールアドレス作成 メールアカウント用のユーザをシェルログイン不可で作成します。
# useradd -s /sbin/nologin hoge-info # passwd hoge-info
メールアドレスとその振り分け処理を作成します。ドメインごとにanythingの行を入れないとメールが使用できません。
# vi /etc/postfix/virtual
hoge.com anything info@hoge.com hoge-info web@hoge.com hoge-web
振り分けを反映させます。
# postmap /etc/postfix/virtual
まとめ WordPressの設定は毎回忘れる…