tavis nörttimaailmassa

EksisONE - artikkeleita ja ohjeita nörttimaailmasta

Nopean WordPressin asennus virtuaaliserverille

21.6.2020 14.3.2021 , ,

 

Sisällys

  1. Domain
  2. Serveri
  3. Dropletin luominen
  4. SSH ja terminaali
  5. Järjestelmän päivittäminen
  6. Ubuntun asettaminen
  7. Nginx
    1. Nano
    2. Puolipiste; ja #risuaita
    3. Backuppien palauttaminen
    4. nginx.conf
    5. Asetusten muokkaaminen
    6. Mitä tehtiin?
    7. Muutokset käyttöön
  8. PHP ja PHP-FPM
    1. PHP-FPM
    2. Muistin käyttö
    3. PHP
    4. Säädöt talteen
  9. MariaDB
  10. Palomuuri UFW
  11. Fail2ban
  12. Nimipalvelintiedot
    1. Name.com
    2. Louhi
  13. A-tietue
  14. Let's Encrypt
  15. Virtual hostin luominen
  16. Wordpressin nopein asennus
    1. WP CLI
    2. Tietokannan luominen
    3. Wordpressin lataaminen
    4. Wordpressin asettaminen
    5. Oikeudet kuntoon
    6. Lisäosien asennus massana
    7. Urakka on valmis?
  17. Cachet
    1. Redis
    2. Nginx ja sivukohtainen välimuisti
      1. Mitä tehtiin
    3. Cachen tyhjennys
      1. Nginxin cachen nollaaminen
      2. Wordpressin uudet postaukset
      3. Redis
  18. Cron
  19. Fail2ban, asetukset
  20. Nginx ja botit
  21. Monit
  22. Sähköposti
    1. Serverin perusasetus
      1. Pienten sivustojen ratkaisu
    2. Ammattilaisemmat ratkaisut
  23. Olevan sivuston muutto
  24. Nopeus on suhteellista
  25. Mitä seuraavaksi?
  26. Kiinnostaa, mutta ei ole aikaa
  27. Roadmap
    1. Ubuntu
    2. Nginx
    3. PHP/PHP-FPM
    4. MariaDB
    5. UFW
    6. Fail2ban, asennus
    7. Let's Encrypt
    8. Virtual Host

Palomuuri UFW

Palomuuri suojelee ulkomaailmalta ja sallii webbisivujen ja muiden palveluiden turvallisen käytön. Se on asennettava ennen kuin mitään päästetään linjoille. Tarkkaan ottan palomuuri on ohjelma nimeltään itables ja ufw on sen käyttöliittymä, mutta usein sanotaan yksinkertaisuuden nimissä, että ufw on palomuuri.

Se on todennäköisesti jo asennettuna, mutta varmistetaan asia:

ufw status

Jos sait vastaukseksi Status inactive niin ufw on paikoillaan, mutta ei käynnissä. Tällä hetkellä kukaan muu kuin sinä ei pääse serverille. Jos sait vastaukseksi, että ufw:tä ei löydy, niin asenna se:

apt install ufw

Nyt on aika avata ovet maailmalle, vaikka ensimmäistäkään sivusto ei ole vielä asetettu. Mutta webserveri ja SSH on kuitenkin käytössä.

Perustasollaan UFW (lyhennys englanninkielisestä nimestä Uncomplicated FireWall, mutkaton palomuuri) on todella helppo säätää. Katsotaan mitä on valmiina odottamassa:

ufw app list

Se näyttää tältä:


root@demo:~# ufw app list
Available applications:
Nginx Full
Nginx HTTP
Nginx HTTPS
OpenSSH

UFW sallii aukaisemisia, sulkemisia ja muuta kulunvalvotaa per portti tai porttialue, saapuvien IP-osoitteiden mukaan tai minkälaista yhteyttä ollaan tekemässä, mutta nyt päästään helpommalla. Käytetään valmiita ratkaisuja asennettujen ohjelmistojen mukaan. Meitä kiinnostaa Nginx FULL, että saadaan nettiliikenne auki tavalliselle http:lle eli porttiin 80 sekä https portista 443. Kun jossain vaiheessa otat SSH:n käyttöön, niin sekin on hyvä mahdollistaa.

Aukaisuun tarvitaan pari yksinkertaista komentoa:

ufw allow 'Nginx Full'
ufw allow OpenSSH

Käynnistetään palomuuri:

ufw enable

Sinulle ilmoitetaan, että käynnistys saattaa katkaista nykyisen SSH-yhteyden. Se ei haittaa, sillä jos et ole jossain välissä itse tehnyt SSH:ta, niin se ei ole edes käytössä. Vastaa y.

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y

Saat ilmoituksen, että palomuuri on käytössä ja se käynnistetään serverin mukana.

Firewall is active and enabled on system startup

Tarkistetaan vielä mikä on nykyinen tilanne:

ufw status

Sinulle kerrotaan mitkä ovat käynnissä:


root@demo:~# ufw status
Status: active

To                  Action       From
--                  ------       ----
Nginx Full          ALLOW        Anywhere
OpenSSH             ALLOW        Anywhere
Nginx Full (v6)     ALLOW        Anywhere (v6)
OpenSSH (v6)        ALLOW        Anywhere (v6)

Fail2ban

Fail2ban on ohjelma, joka seuraa epäonnistuneita kirjautumisia, yrityksiä väärään paikkaan ja kaikkea muuta, joka ei ole sallittua. Kun yrityksiä tulee liikaa, niin Fail2ban estää IP-osoitteen määrätyksi ajaksi kirjoittamalla iptablesiin (siihen aitoon palomuuriin) säännön, joka keiltää pääsyn kokonaan. Hyödyllinen apuväline, koska murtoyrityksiä tulee koko ajan. Joten muista pitää niin serverisi kuin WordPressin päivitykset ajan tasalla.

Asennetaan Fail2ban:

apt install fail2ban

Se ei ole tällaisenaan kovinkaan hyödyllinen, mutta suojaa ainakin SSH:n. Säädetään se myöhemmin avuliaammaksi, kun ollaan saatu sivusto paikoilleen.

Annetaan sen käynnistyä automaattisesti, kun serverikin käynnistyy:

systemctl enable fail2ban

Käynnistetään se:

systemctl start fail2ban

Vilkaistaan saman tien onko se jo pyydystänyt IP-osoitteita, jotka ovat yrittäneet kirjautua serverille:

fail2ban-client status sshd

Minulla tulos oli tällainen, kun droplet oli noin kolmen tunnin ikäinen:


root@demo:~# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 9
| |- Total failed: 45
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 140.143.238.46

Tuo tarkoittaa, että sillä hetkellä oli yksi IP-osoite bannattu ja logissa oli kaikkiaan 45 yritystä, joista 9 oli tutkittavan aikajanan sisällä, mutta yrityksiä ei ollut riittävästi – nuo kaikki määritellään asetuksissa, myöhemmin.

Kokeillaan yhtä komentoa lisää. Katsotaan mistä tuo IP-osoite oli:

whois 140.143.238.46

inetnum: 140.143.0.0 - 140.143.255.255
netname: TencentCloud
descr: Tencent cloud computing (Beijing) Co., Ltd.
descr: Floor 6, Yinke Building,38 Haidian St,
descr: Haidian District Beijing
country: CN

Kiinalainen botti. Noita riittää. Jopa niin paljon, että pystyvät saamaan serverisi jopa kyykistymään. Kiina ja Iran ovat niin pahoja ongelmia, että sinun kannattaa tulevaisuudessa miettiä niiden bannaamista kokonaan. Toki Fail2ban siivoaa niitä minkä ehtii, mutta sinulla on hyvin äkkiä kymmeniä tuhansia IP-osoitteita Fail2bannin sulkulistalla.

>>

Wordpressin nopein asennus: WP-CLI