Installatie webserver (2018)
Dit artikel is geschreven nav. de installatie van een TransIP-VPS in de lente van 2018. Daarnaast bevat het vrijwel alle informatie omtrent eerdere installaties, in zoverre die nu nog relevant is.
- De betreffende VPS is een LAMP-webserver met virtuele hosts. Er wordt geen email gehost
- Primaire handleiding: https://www.linode.com/docs/getting-started#ubuntu--debian-1
- Deze handleiding kan lineair doorlopen worden, maar ik vond het handiger om het als referentie te gebruiken. Bv. eerst een basis-Apache-server, gevolgd door MySQL en PHP, en daarna pas diverse finishing touches, waaronder diverse Apache-instellingen.
Basis-installatie
Systeemeisen
Configuratie:
- 4GB geheugen
- 2 XEON-processors
Zo ver ik kan nagaan, is dat voldoende voor deze toepassing. Wat gebeugen betreft: Deze handleiding geeft aan dat je de configuratie van Apache moet aanpassen als 1GB of 2GB geheugen hebt. Daarboven wordt niet genoemd, plus dat ik de huidige servers met free -g de indruk heb, dat 4GB meer dan genoeg is.
OS
- Operating system: Ubuntu 18.04 - Net een dag uit!
- Installatietaal: Engels
- Location: Europe » Netherlands
- Locales: De keuze voor Engels in combinatie met Nederland, levert een probleem op: Er is geen combinatie bekend van Engels + Nederland. Oplossing: en_US.utf8. Zie ook Locale verderop in dit hoofdstuk
- Keyboard-configuratie: Handmatig: Country of origin: English (US) » English (US) - English (US, euro on 5) - Nogal irrelevant, want dit is een server zonder eigen toetsenbord
- Hostname: Deze wordt gevraagd tijdens installatie. Later kun je deze aanpassen middels
sudo vim /etc/hostname. Bekijk je hostname middelshostname - Geen HTTP proxy-server
- Gebruikers-accounts: Vermoedelijk zullen meerdere mensen deze server bedienen en onderhouden. Waarschijnlijk zullen ze dat allemaal vanuit een eigen account-met-admin-rechten doen
- Partitionering: Guided - use entire disk
- Install security updates automatically: Voor de eerste keer dit geactiveerd: Problemen die ontstaan door zero-day hacks zouden voor mij veel moeilijker zijn om op te lossen, dan eventuele problemen die onstaan door fouten met updates. Plus dat ik nog nooit heb meegemaakt dat ik een update weiger, omdat ik de inhoud niet vertrouw. Zie ook [1][2]
- Software selection: Alleen Ubuntu Basic Server. Zie afbeelding
- Installatie Grub (uiteraard).
SSH-toegang
Zie SSH
Hosts-file-alias aanmaken
Ik refereer liever aan een computer met een code dan met een IP-nummer. Daarom op m'n werkstation aan bestand /etc/hosts een regel toevoegen zoals
148.210.167.215 dvb2
Nu kan ik inloggen met alleen
ssh dvb2
omdat de inlognaam op m'n werkstation hetzelfde is als op deze server.
Inlog-alias aanmaken
Maar het kan nóg mooier, met deze toevoeging aan .bashrc:
alias dvb2="ssh dvb2"
SSH key pair-authenticatie
In plaats van in te loggen met een inlognaam en wachtwoord, wil ik gebruik maken van key pair authentication. Implementatie:
Sleutelpaar aanmaken
Indien je nog geen SSH-sleutelpaar hebt: Maak deze op je werkstation aan middels ssh-keygen. Deze sleutels staan in de map ~/.ssh, met:
id_rsa- Privésleutelid_rsa.pub- Publieke sleutel.
Publieke sleutel uploaden
Eenvoudig:
ssh-copy-id example_user@203.0.113.10
SSHd configureren
Toegevoegd aan /etc/ssh/sshd_config:
# Strompf - April 2018 ################################# # PermitRootLogin no PubkeyAuthentication yes PasswordAuthentication no
en daarna sshd herstart middels
sudo service ssh restart
Test
Login middels
ssh inlognaam@ip-adres
of middels de eerder gedefineerde alias:
dvb2
Locale bijwerken
- De keuze voor Engels in combinatie met Nederland, levert een probleem op: Er is geen combinatie bekend van Engels + Nederland. Oplossing: en_US.utf8
- Om waarschuwingen rondom locale zoals Cannot set LC_ALL to default locale: No such file or directory te voorkomen:
sudo dpkg-reconfigure locales.
Time-zone instellen
[3]:
Specificeer de timezone met deze routine:
sudo dpkg-reconfigure tzdata
Controleer het resultaat:
date
Firewall
In het verleden gebruikte ik UFW, en dat blijkt nog altijd een prima keuze te zijn. Je installeert 'm middels [4]:
sudo apt-get install ufw
en hij bleek al geïnstalleerd te zijn.
Configuratie
- Al het uitgaande verkeer is toegestaan
- Alleen specifiek inkomend verkeer is toegestaan
- Dit betreft een webserver, dus inkomend verkeer op poort 80 moeten open staan
- Geen mailserver
- Websites functionereen regelmatig als SMTP-client, maar daarvoor hoeft er niet geconfigureerd te worden qua binnenkomend verkeer.
Ik vermoed dat dit een aardige configuratie is:
sudo ufw default allow outgoing sudo ufw default deny incoming sudo ufw allow 22/tcp # ssh sudo ufw allow 80/tcp # http sudo ufw enable
Test
sudo ufw status geeft:
Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6)
Merk op
- De regels worden automatisch voor ipv4 en ipv6 toegevoegd
- Ik kan nog steeds inloggen via ssh :)
IPv6 addresses & binding
Standaard krijg ik 2^64 IP-adressen bij een VPS. Via DHCP wordt daarvan echter maar eentje toegewezen aan de VPS. Op Ubuntu 18.04 gaat de configuratie van netwerkinterfaces mbv. YAML. Ik heb het vermoeden dat dit script de complete reeks associëert met de VPS:
network:
version: 2
renderer: networkd
ethernets:
ens3:
dhcp4: yes
dhcp6: no
addresses: ['2a01:7c8:aab3:2aa::/64']
gateway6: 2a01:7c8:aab3::1
Eigen scripts
- Eigen scripts plaats ik in
/usr/local/bin. Deze map hoeft niet schrijfbaar voor mij te zijn. De script-bestanden moeten uiteraard wel executeerbaar zijn. Zie installatie Drush als voorbeeld./usr/local/binis doorgaans al opgenomen in$PATH. Scripts liever niet in submappen onderbrengen ivm. gedoe met $PATH - Op een dag hoop ik hier Git voor te gebruiken.
sudo timeout
Zie Sudo voor het aanpassen van de sudo timeout - Graag!
su
Ehm, su activeer ik toch maar niet op servers. Voor achtergrondinfo: Su.
Eigen inmappen
Gebruik ik als tijdelijke locaties voor heen- en weerfietsen van data naar en van de server:
mkdir ~/in1 mkdir ~/in2
Backup-time!
Zo vlak voor het installeren van Apache, is een mooi moment om via de TransIP-console een snapshot te maken.
Apache
- Dit betreft een installatie met virtuele hosts
- Websites worden geserveerd vanuit
/var/www. Da's weinig schokkend, want het is één van de standaardlocaties. Standaardinstellingen voor deze locatie vind je in het Apache configuratiebestand (/etc/apache2/apache2.conf, zie ook verderop). Daarnaast kun je per virtuele host de locatie + instellingen opgeven - Deze map + submappen moet voor mij leesbaar en schrijfbaar zijn: Ik word helemaal tureluurs als ik eindeloos met wachtwoorden moet stoeien
- Eén centraal logbestand. Géén aparte logbestanden of -mappen per domein!
Installatie
- 'Handmatige' installatie ipv. gebruik Tasksel
- Installatie Apache:
sudo apt-get install apache2
Configuratie - apache2.conf
Alle aanpassingen stop ik in één stuk dat ik toevoeg aan /etc/apache2/apache2.conf. Eerdere verwijzingen in dit bestand verwijder ik:
###########################################################################################
# Strompf - All changes in one place
###########################################################################################
#
# ServerName
################################
#
# * Gebruik het adres van een domeinnaam die daadwerkelijk gehost wordt op deze server.
# Zo snel ik zo'n domeinnaam heb: hier invullen!
# * Alternatief: Gebruik de TransIP-servernaam. Die zie je met apachectl -S
# * http://wiki.devliegendebrigade.nl/Could_not_reliably_determine_..._domain_name_(Apache)
#
# Voorbeeld:
#
# ServerName example.com
# Make directories non-browseable
#################################
#
# * Important!
# * http://wiki.devliegendebrigade.nl/Apache_-_Mappen_niet_browsable_maken
#
<Directory /var/www/>
Options FollowSymLinks
AllowOverride All
Require all granted
</Directory>
# KeepAlive Directive
#####################
#
# Actually already active by default
#
# See also:
#
# * https://httpd.apache.org/docs/2.4/mod/core.html#keepalive and
# * https://www.linode.com/docs/web-servers/lamp/install-lamp-stack-on-ubuntu-16-04/
# * http://wiki.devliegendebrigade.nl/Installatie_webserver#Apache
#
KeepAlive on
MaxKeepAliveRequests 50
KeepAliveTimeout 5
Configuratie - mpm_prefork.conf
Toegevoegd aan mods-available/mpm_prefork.conf [7]:
# Strompf - April 2018
##########################################################
#
# * Optimized for 4GB internal memory
# * Source: https://www.linode.com/docs/web-servers/lamp/install-lamp-stack-on-ubuntu-16-04/
#
<IfModule mpm_prefork_module>
StartServers 8
MinSpareServers 6
MaxSpareServers 40
MaxRequestWorkers 200
MaxConnectionsPerChild 10000
</IfModule>
Configuratie - Modules aan- & uitzetten
[8] + eigen toevoegingen
sudo a2dismod mpm_event sudo a2enmod mpm_prefork sudo a2enmod rewrite sudo systemctl restart apache2
Firewall bijwerken
Digital Ocean behandelt hier nog effe ufw. Interessant.
Bekijk de ufw app list met sudo ufw app list. Ik krijg
Available applications: Apache Apache Full Apache Secure OpenSSH
Bekijk de inhoud van Apache Full met sudo ufw app info "Apache Full". Output:
Profile: Apache Full Title: Web Server (HTTP,HTTPS) Description: Apache v2 is the next generation of the omnipresent Apache web server. Ports: 80,443/tcp
Voeg de regels uit dit profiel toe aan ufw: sudo ufw allow in "Apache Full". Ik vermoed dat dit effectief al het geval was, maar het geeft een goed gevoel voor de materie. De nieuwe status van ufw (sudo ufw status) wordt hiermee:
Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere Apache Full ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) Apache Full (v6) ALLOW Anywhere (v6)
MySQL
Installatie
Als vanouds:
sudo apt install mysql-server
Zie Versies (MySQL) als je je afvraagt of je dan wel een voldoende moderne versie krijgt.
Configuratie
- Doorloop het security hardening script (
sudo mysql_secure_installation) - Spreekt voor zich - Problemen met inloggen na een verse installatie? Probeer
sudo mysql. BTW: De root-loginnaam is echtroot. Zie verder Gebruikers & inloggen (MySQL) - Maak een gewoon MySQL-account aan Gebruikers & inloggen
- Geen zin om steeds je wachtwoord in te tikken? Daar is een hele goede oplossing voor.
PHP
Backup!
Installatie PHP is lastiger dan de onderdelen hiervoor. Daarom is dit een uitgelezen moment om een backup te maken. Sterker nog: tijdens het doorlopen van deze procedure in de lente van 2018, besloot ik om twee servers te deployen. Eén met PHP 5.6 en één met PHP 7.2. Daardoor kwam het héél handig uit, dat ik net een backup had gemaakt (TransIP snapshot om precies te zijn).
Compatibiliteitsproblemen
Drupal 7-sites kunnen niet zondermeer overweg met PHP 7.2: Tijdens een snelle test (lente 2018) kreeg ik fatal errors. Vermoedelijk zouden de betreffende modules gepatached moeten worden. Daar zit ik niet op te wachten. Ik verwacht dat dit voor Drupal 6-sites nog erger is.
Twee voorbeelden van waarschuwingen die ik kreeg van een Drupal 7-site ivm. PHP 7.2 - Dit was nog vóórdat ik fatal errors kreeg:
- Warning: count(): Parameter must be an array or an object that implements Countable in FacetapiDependencyFacet->getDefaultSettings() (regel 139 van /var/www/example.com/sites/all/modules/facetapi_bonus/plugins/facetapi/dependency_facet.inc)
- PHP Fatal error: Declaration of RulesRuleUI::form(&$form, &$form_state, $options = Array) must be compatible with RulesActionContainerUI::form(&$form, &$form_state, $options = Array, $iterator = NULL) in /var/www/example.com/sites/all/modules/rules/ui/ui.plugins.inc on line 0
Oplossing:
- Twee aparte VPS'en gebruiken: Eén met PHP 5.6 en één met PHP 7.2
- Niet relevant om te hobbyen met tussenliggende PHP-versies (7.0 & 7.1).
PHP 5.6 - Installatie
PHP 5.6 kun je niet zondermeer installeren op actuele versies van Ubuntu. Dat kan wel als je gebruik maakt van onderstaande PPA's van ondrej [9]:
sudo add-apt-repository ppa:ondrej/php sudo add-apt-repository ppa:ondrej/apache2 sudo apt install php5.6 sudo apt install libapache2-mod-php5.6 sudo apt install php5.6-mysql sudo apt install php5.6-curl sudo apt install php5.6-xml sudo apt install php5.6-gd sudo apt install php5.6-mbstring
Vergeet niet naderhand om Apache te herstarten:
systemctl reload apache2
PHP 7.2 - Installatie
In de lente van 2018 op Ubuntu 18.04, werd automatisch PHP 7.2 gekozen, als ik de betreffende onderdelen insalleerde zonder versienummers mee te geven:
sudo apt install php libapache2-mod-php php-mysql php-curl php-xml php-gd php-mbstring
Overig
Let's Encrypt
Werkt super! zie Let's Encrypt voor details.
Drush
Installeer drush- De Drupal Shell in /usr/local/bin. Zie Drush 8 installatie voor details.
wp-cli
Installeer de Wordpress Command Line Interface in /usr/local/bin.Zie WP-CLI (algemeen) voor details.
In gebruik
- Sites worden geserveerd vanuit
/var/www/.
Virtual host-bestand
Inclusief uitleg:
<VirtualHost *:80>
ServerName example.com
# ServerAlias
####################################################
#
# Also handy for redirecting websites to another URL
#
ServerAlias www.example.com
# DirectoryIndex
####################################################
#
# Prevent folders from being browsable by visitors
#
DirectoryIndex index.php index.html
DocumentRoot /var/www/example.com
<Directory /var/www/example.com>
AllowOverride All
Require all granted
RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php?q=$1 [L,QSA]
</Directory>
# About logs
####################################################
#
# * Use 2 central logs. Don't use separate logs for
# each virtual hosts: Very inconvenient!
#
LogLevel warn
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log vhost_combined
</VirtualHost>
Zie ook
- http://wiki-oud.devliegendebrigade.nl/index.php/VPS_TransIP_-_Configuratie_aug._2014
- http://wiki-oud.devliegendebrigade.nl/index.php/VPS_TransIP_-_Configuratie_sep._2014
- http://wiki-oud.devliegendebrigade.nl/index.php/VPS_TransIP_-_Configuratie_okt._2014_(1)
- http://wiki-oud.devliegendebrigade.nl/index.php/VPS_TransIP_-_Configuratie_okt._2014_(2)
- Apache - Mappen niet browsable maken
- IPv6
Bronnen
Primaire bronnen
- https://www.linode.com/docs/getting-started#ubuntu--debian-1
- https://www.linode.com/docs/security/securing-your-server/ - ssh key pair authentication
- https://www.linode.com/docs/web-servers/lamp/install-lamp-stack-on-ubuntu-16-04/ → Primaire bron
- https://www.digitalocean.com/community/tutorials/how-to-install-linux-apache-mysql-php-lamp-stack-ubuntu-18-04 → Ook belangrijke bron, want Ubuntu 18.04 + goed geschreven
- https://www.linode.com/docs/websites/hosting-a-website/ → Liever niet gebruiken
Installatie OS
- https://serverfault.com/questions/691294/should-i-enable-automatic-security-updates-on-a-ubuntu-server
- https://askubuntu.com/questions/153265/what-does-the-basic-ubuntu-server-package-contain-in-software-selection-during
- https://askubuntu.com/questions/961552/need-example-netplan-yaml-for-static-ip/961759 - YAML & IPv6
- https://www.transip.nl/knowledgebase/artikel/219-voeg-extra-ipv4-ipv6-adres-mijn/ - YAML & IPv6
Fail2Ban
- http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/
- https://www.linode.com/docs/security/securing-your-server/
- https://www.linode.com/docs/security/using-fail2ban-for-security/
- http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Configuration
PHP
- https://askubuntu.com/questions/756879/cant-install-php5-on-ubuntu-16-04
- https://askubuntu.com/questions/761713/how-can-i-downgrade-from-php-7-to-php-5-6-on-ubuntu-16-04/762161#762161
- https://tecadmin.net/install-php5-on-ubuntu/
- https://askubuntu.com/questions/788074/ubuntu-16-php5-6-gd-extension
- https://askubuntu.com/questions/491629/how-to-install-php-mbstring-extension-in-ubuntu