資訊專欄INFORMATION COLUMN
摘要:正好最近有一臺空閑的于是來搭建一個玩玩。因此我們可以申請免費的證書,這個證書不但免費,而且操作非常簡單,雖然每次只有天的有效期,但可以通過腳本配置定期更新。這個驗證服務以后更新證書還要用到,要一直保留。創建一個并通過賦予執行權限。
0x00 前言
????????WordPress是世界上最受歡迎的CMS系統,它是基于php和MySQL技術棧的,并且還有很多插件,可擴展性非常強。正好最近有一臺空閑的ECS,于是來搭建一個玩玩。本教程是基于LEMP技術棧來搭建的,各個版本如下:
L版本為CentOS7.6版本,
E版本為nginx1.12.2版本
M版本為Distrib 5.5.60-MariaDB
P版本為php7.2
此外,現在全面https已經是趨勢了,自然我們也不能落后,所以還會使用Let"s Encrypt來生成免費的SSL證書進行配置
0x01 前置條件有一個域名,我自己的域名為nomansky.xyz
一臺VPS或者云主機,如果是國內的IP需要備案
具有sudo權限或root權限的用戶,這里我新建一個wordpress用戶來運行程序,并且使用下列命令設置為nologin
a. sudo useradd -s /sbin/nologin wordpress
使用sudo yum install -y epel-release安裝了epel源
關閉firewalld,我更喜歡用iptables來做安全加固
a. sudo systemctl stop firewalld
b. sudo systemctl disable firewalld
執行sudo yum install nginx安裝nginx
啟動nginx守護進程并設置為開機自啟
a. sudo systemctl start nginx
b. sudo systemctl enable nginx
將wordpress用戶加入到nginx組usermod -a -G nginx wordpress,同時設置目錄權限chmod 770 -R /var/lib/nginx/
此時訪問 http://nomansky.xyz 即可看到如下頁面,則說明nginx安裝成功了
????????Mariadb作為MySQL的一個開源的分支,已經成為了CentOS用來替換MySQL的默認的數據庫,所以我這里也使用Mariadb作為數據庫。
執行sudo yum install mariadb-server -y來安裝mariadb
啟動Mariadb并設置為開機自啟
a. sudo systemctl start mariadb
b. sudo systemctl enable mariadb
執行sudo mysql_secure_installation來加固Mariadb。你會看到要求設置數據庫root密碼、移除匿名用戶、限制只能通過localhost登陸數據庫root用戶和移除test數據庫,這里推薦全部選Y(YES),如下圖所示,默認的數據庫root密碼為空
除此之外,還要把mariadb監聽的地址改為127.0.0.1:3306
a. vim /etc/my.cnf.d/server.cnf打開Mariadb的配置文件
b. 在[mysqld]下面加上bind=127.0.0.1,如下圖所示
c. 執行systemctl restart mariadb重啟數據庫
d. 執行netstat -lntp可以看到已經監聽為本地回環地址了
在安裝完mariadb數據庫,并對其進行加固后,我們自然需要新建一個數據庫來存放數據,這里首先我們用之前設置的root賬號密碼來登陸數據庫mysql -uroot -p,并執行以下幾條語句
CREATE DATABASE wordpress CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci; # 創建數據庫 GRANT ALL ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "你的密碼"; # 創建用戶 FLUSH PRIVILEGES; # 刷新數據庫權限 EXIT;0x05 安裝PHP
CentOS的PHP默認版本為5.4,但是WordPress推薦的版本為7.2,所以我們這里安裝php7.2的版本
執行下列命令安裝php和所有需要的php擴展
sudo yum install yum-utils sudo yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm sudo yum-config-manager --enable remi-php72 sudo yum install php-cli php-fpm php-mysql php-json php-opcache php-mbstring php-xml php-gd php-curl
我們安裝PHP FPM是因為我們是用Nginx作為web server,而Nginx并沒有自帶這個組件。此外,PHP FPM 默認是以apache用戶運行在9000端口,我們把這個用戶改為wordpress并且把它從TCP Socket改為Unix Socket,具體怎么修改查看下面的步驟
打開/etc/php-fpm.d/www.conf,并修改如下地方
... user = wordpress ... group = wordpress ... listen = /run/php-fpm/www.sock ... listen.owner = wordpress listen.group = wordpress
用命令sudo chown -R root:wordpress /var/lib/php確保目錄的所有組權限為wordpress
重啟并開機自啟動PHP FPM
a. sudo systemctl restart php-fpm
b. sudo systemctl enable php-fpm
作為一個技(qiong)術(bi)宅,自然有免費的證書就肯定用免費的。因此我們可以申請免費的Let"s Encrypt證書,這個證書不但免費,而且操作非常簡單,雖然每次只有90天的有效期,但可以通過腳本配置crontab定期更新。
a. mkdir -p /etc/nginx/ssl目錄存放證書
b. openssl genrsa 4096 > account.key進入這個目錄,創建一個 RSA 私鑰用于 Let"s Encrypt 識別你的身份
c. openssl genrsa 4096 > domain.key創建域名RSA私鑰
d. openssl req -new -sha256 -key domain.key -out domain.csr有了私鑰文件,就可以生成 CSR 文件了。生成CSR會要求填入一些東西信息,這里Common Name為你的域名
我們知道,CA 在簽發 DV(Domain Validation)證書時,需要驗證域名所有權。傳統 CA 的驗證方式一般是往 admin@yoursite.com 發驗證郵件,而 Let"s Encrypt 是在你的服務器上生成一個隨機驗證文件,再通過創建 CSR 時指定的域名訪問,如果可以訪問則表明你對這個域名有控制權。所以首先創建用于存放驗證文件的目錄,例如:
mkdir /home/wordpress/challenges
然后配置一個HTTP服務,以Nginx為例:
server {
server_name www.nomansky.xyz nomansky.xyz;
location ^~ /.well-known/acme-challenge/ {
alias /home/wordpress/challenges/;
try_files $uri =404;
}
location / {
rewrite ^/(.*)$ https://nomansky.xyz/$1 permanent;
}
}
以上配置表示查找 /home/wordpress/challenges/ 目錄下的文件,如果找不到就重定向到 HTTPS 地址。這個驗證服務以后更新證書還要用到,要一直保留。
接下來把acme-tiny保存到ssl目錄wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
然后指定賬戶私鑰、CSR 以及驗證目錄,執行腳本python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/wordpress/challenges/ > ./signed.crt,看到如下圖所示,則說明生成成功了
最后還要下載Let"s Encrypt 的中間證書,配置HTTPS證書時既不要漏掉中間證書,也不要包含根證書。在 Nginx 配置中,需要把中間證書和網站證書合在一起:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem
為了后續能順利啟用OCSP Stapling,我們再把根證書和中間證書合在一起(此步也可省略)
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem cat intermediate.pem root.pem > full_chained.pem
Let"s Encrypt簽發的證書只有90天有效期,推薦使用腳本定期更新。創建一個renew_cert.sh并通過chmod a+x renew_cert.sh賦予執行權限。文件內容如下:
#!/bin/bash cd /etc/nginx/ssl/ python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/wordpress/challenges/ > signed.crt || exit wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem systemctl restart nginx
在crontabl中配置定時任務0 0 1 * * /etc/nginx/ssl/renew_cert.sh >/dev/null 2>&1
0x07 下載WordPress并配置Nginx將WordPress下載到/home/wordpress/目錄下wget https://wordpress.org/latest.tar.gz
tar zxvf latest.tar.gz解壓WordPress文件
chown -R wordpress:wordpress wordpress將wordpress目錄的所有者改為wordpress用戶
接著,打開vim /etc/nginx/nginx.conf將nginx的運行角色改為wordpress
··· user wordpress; worker_processes auto; ···
然后這里我把處于解耦合的目的,把主配置文件nginx.conf里的server配置塊注釋掉
新建sudo mkdir /etc/nginx/snippets目錄并vim letsencrypt.conf來將以下配置粘貼到里面
location ^~ /.well-known/acme-challenge/ {
alias /home/wordpress/challenges/;
try_files $uri =404;
}
接下來新建vim /etc/nginx/conf.d/wordpress.conf配置文件,修改成如下配置
# Redirect HTTP -> HTTPS
server {
listen 80;
server_name www.nomansky.xyz nomansky.xyz;
include snippets/letsencrypt.conf;
return 301 https://nomansky.xyz$request_uri;
}
# Redirect WWW -> NON WWW
server {
listen 443 ssl http2;
server_name www.nomansky.xyz;
ssl_certificate /etc/nginx/ssl/chained.pem;
ssl_certificate_key /etc/nginx/ssl/domain.key;
return 301 https://nomansky.com$request_uri;
}
server {
listen 443 ssl http2;
server_name nomansky.com;
root /home/wordpress/wordpress;
index index.php;
# SSL parameters
ssl_certificate /etc/nginx/ssl/chained.pem;
ssl_certificate_key /etc/nginx/ssl/domain.key;
# log files
access_log /home/wordpress/log/nomansky.xyz.access.log;
error_log /home/wordpress/log/nomansky.xyz.error.log;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ .php$ {
try_files $uri =404;
fastcgi_pass unix:/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
location ~* .(js|css|png|jpg|jpeg|gif|ico|svg)$ {
expires max;
log_not_found off;
}
創建日志目錄mkdir -p /home/wordpress/log,并設置權限chown -R wordpress:wordpress /home/wordpress/log
nginx -t查看是否是否語法檢查正常,如正常則nginx -s reload重載nginx
接下來看到WordPress頁面成功打開了,就此大功告成啦
References:How to install WordPress with Nginx on CentOS 7
免費好用的HTTPS證書
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/40602.html
摘要:一步一步教你基于搭建自己的個人博客,作為成熟的框架,美觀,方便,插件多,更新頻繁,非常適合個人博客與網站的搭建,適合新手,無需太多的代碼基礎。原文鏈接手把手教你搭建自己的網站購買購買云服務器為了搭建個人網站,首先肯定需要一個云服務器。 一步一步教你基于WordPress搭建自己的個人博客,WordPress作為成熟的CMS框架,美觀,方便,插件多,更新頻繁,非常適合個人博客與網站的搭建...
摘要:聲明在任何云服務器上安裝網站都是異曲同工,操作系統分為和。如果你沒有購買阿里云,自然就不能申請服務號了。信息填完之后,阿里云那邊會進行初步審核,我當時不超過幾個小時就收到審核通過的郵件了。【聲明】 在任何云服務器上安裝wordpress網站都是異曲同工,操作系統分為window和Linux。在這里,我選擇linux操作系統來搭建wordpress網站。 如果要了解基本的網站搭建流程,請看文章...
摘要:最重要的就是找一個適合自己的主題了。事實上,免費主題也非常多,而且很多的免費主題在功能上和界面美觀上已經大大超過了付費的主題。加上這些主題都是開源的,基本上可以在上找得到源碼,安全性是沒有問題,主題的作者也在不斷更新當中。WordPress最重要的就是找一個適合自己的主題了。好一點的WordPress主題基本上都是要收費的,而且價格還不便宜,這導致了不少的新手朋友們很為難。而有時我們僅僅根據...
摘要:本文將展示如何使用巨杉分布式數據庫替換,成為博客系統的后臺關系型數據庫。通過閱讀本文,用戶可以了解到如何使用巨杉數據庫的實例無縫替換標準數據庫。通過使用巨杉數據庫,用戶可以在滿足標準與協議的基礎上,實現近無限的彈性擴展能力。 介紹很多互聯網應用程序開發人員第一個接觸到的網站項目就是博客系統。而全球使用最廣的Wordpress常常被用戶用來快速搭建個人博客網站。默認情況下,Wordpre...
閱讀 3372·2023-04-26 01:40
閱讀 3079·2021-11-24 09:39
閱讀 1393·2021-10-27 14:19
閱讀 2637·2021-10-12 10:11
閱讀 1297·2021-09-26 09:47
閱讀 1839·2021-09-22 15:21
閱讀 2677·2021-09-06 15:00
閱讀 878·2021-08-10 09:44
