Записки IT специалиста
Настраиваем веб-сервер Nginx + PHP-FPM + MySQL в Debian / Ubuntu Server
- Автор: Уваров А.С.
- 12.04.2016
Nginx — простой, но в тоже время быстрый и надежный веб-сервер, не перегруженный лишними функциями и отлично подходящий для работы в высоконагруженных системах. Особую популярность он завоевал как кеширующий прокси, позволяя существенно снизить нагрузку, на стоящий за ним веб-сервер, чаще всего Apache, но сегодня он все чаще используется как самостоятельный сервер. В нашей статье мы расскажем, как настроить Nginх для работы с PHP-приложениями при помощи менеджера процессов PHP-FPM на платформе Debian/Ubuntu.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Сразу охладим некоторые горячие головы — бытует мнение что Nginx быстрее Apache и вообще является чуть ли не панацеей от всех проблем. Но это не так. Nginx первоначально разрабатывался как кеширующий прокси и поэтому отлично справляется со своей основной задачей — кешированием и отдачей статического содержимого, что в общем-то и является основной задачей веб-сервера. В силу своей архитектуры он показывает выдающуюся производительность при множественных запросах даже в условиях ограниченных ресурсов.
В тоже время Nginx не умеет обрабатывать динамическое содержимое, для этого он должен отдать запрос серверу приложений одним из поддерживаемых способов, например, через FastCGI, дождаться и получить ответ, а затем уже отдать его клиенту. В среднем, что касается производительности PHP, то FastCGI будет в среднем в 10-15% медленнее, чем Apache + mod-php. Поэтому, если производительность вашего сервера упирается в производительность PHP, то никакой Nginx вам не поможет, а наоборот, только усугубит ситуацию.
Кроме того, работа с Nginx более сложна, чем с Apache, если с последним все популярные веб-движки работают из коробки, то для полноценной работы с Nginх может потребоваться дополнительная настройка. Исходя из этого мы не рекомендуем использовать Nginx, как самостоятельный веб-сервер, начинающим веб-мастерам, так как при отсутствии опыта и квалификации довольно трудно понять, связана ошибка с веб-приложением или веб-сервером. Да и на форумах для новичков вам вряд ли кто-нибудь подскажет по такой связке, а там, где «тусуются» работающие с Nginx специалисты подобные вопросы обычно не поднимаются, так как участники давно их «переросли».
Если вам нужен просто работающий веб-сервер, и вы не готовы глубоко вникать в тему, то лучше обратите свое внимание на Apache, если же вы готовы потратить некоторое время и силы на изучение и настройку, а также готовы самостоятельно решать возникающие проблемы, то добро пожаловать!
Установка Nginx
Несмотря на то, что Nginх присутствует в репозиториях основных дистрибутивов, мы рекомендуем использовать версию от разработчиков, это позволит более оперативно получать новые версии и новые возможности. Существует две ветки Nginx, основная и стабильная, первая имеет нечетную, вторая четную нумерацию. Разработка происходит следующим образом, все изменения основной ветки, скажем 1.7 фиксируются и переходят в стабильную 1.8, которая перестает разрабатываться и получает только обновления безопасности, основная ветка после этого получает номер 1.9 и в нее вносятся все изменения.
Сами разработчики рекомендуют использовать основную ветку, если только нет каких-то особых требований по совместимости. По своему опыту можем сказать, что основная ветка достаточно стабильна и может быть использована на рабочих серверах.
Для подключения репозиториев Nginx создадим в папке /etc/apt/sources.list.d файл nginx.list:
Потом добавим в него строки. Для Debian:
где codename — кодовое имя дистрибутива, например, jessie для Debian 8 или trusty для Ubuntu 14.04. Если вам не нужны исходные тексты, то репозитории deb-src можно не подключать (т.е. не добавлять эти строки).
Затем скачаем и установим PGP-ключ, необходимый для проверки подлинности:
После чего можно обновить список пакетов и установить nginx:
Теперь, если набрать в браузере адрес нашего сервера, вы увидите стандартную заглушку Nginx.
Также проверить состояние веб-сервера можно командой:
Теперь перейдем к настройке. Для этого перейдем в папку /etc/nginx и откроем файл nginx.conf, мы будем перечислять настройки в порядке их нахождения в файле, если данной опции нет — ее следует добавить.
Прежде всего изменим пользователя, от имени которого работает nginx, в Debian/Ubuntu веб-сервер работает от пользователя www-data и чтобы избежать в будущем возможных коллизий с правами доступа приведем строку к виду:
Затем укажем количество рабочих процессов, рекомендуется выбирать их количество по числу доступных процессорных ядер, в нашем случае 2:
Приведем секцию events к виду:
Первая опция задает количество соединений на рабочий процесс, вторая задает метод обработки соединений, явно укажем наиболее эффективный для Linux.
Теперь перейдем в секцию http и после строки
зададим следующие опции:
Они задают таймаут (в секундах) на чтение клиентом тела и заголовка запроса, последняя опция разрешает сброс соединений по таймауту.
Эти параметры ограничивают максимальный размер тела запроса клиента и задают буфер для чтения заголовка запроса. Максимальный размер тела запроса ограничивает размер файла, который может быть загружен веб-сервером.
Также разрешим передачу файлов и оптимизируем этот процесс.
Он задает таймаут постоянных (keep-alive) соединений, которые позволяют повысить производительность протокола HTTP/1.1, но незакрытое соединений впустую использует ресурсы сервера и поэтому такие соединения следует принудительно завершать.
Ниже зададим параметры gzip-сжатия:
Первая опция включает gzip-сжатие, затем отключаем его для младших версий IE (6 и ниже), если такие вдруг зайдут на наш сервер, разрешим сжимать проксированные запросы, это нужно для сжатия динамического содержимого, затем укажем минимальный размер сжимаемого ответа, чтобы не тратить ресурсы сервера на сжатие коротких ответов. Ниже задается уровень сжатия и типы сжимаемых данных.
В самом конце, после
Это позволит подключать конфигурации виртуальных хостов из папки sites-enabled.
Сохраним и проверим конфиг командой:
После чего можно перезапустить nginx:
Теперь можно перейти к настройке виртуальных хостов, создадим две папки:
В первой будут хранится настройки сайтов, а во второй мы будем создавать символьные ссылки для того, чтобы подключить настройки сайта к конфигурационному файлу nginx.
Перед тем как описывать виртуальные хосты, создадим структуру папок для их хранения:
Затем создадим конфигурационный файл для нашего первого сайта:
Какого-либо стандарта по названию файлов у nginx нет, поэтому можете придерживаться своей системы, главное, чтобы вам было понятно, какой файл за какой сайт отвечает. Теперь откроем его и внесем следующий текст:
Его синтаксис достаточно прост и понятен, первая секция server задает основные параметры сайта, его имя, кодировку, расположение корневой директории и файлов логов. Вторая секция нужна для перенаправления сайта с www на без www.
Если вы хотите сделать данный виртуальный хост сайтом по умолчанию, т.е. тем на который будут переадресовываться все запросы, для которых nginx не нашел подходящего виртуального хоста или без имени сервера вообще, например, по IP-адресу, то добавьте к директиве listen опцию default, начиная с версии 0.8.1 можно использовать опцию default_server:
Директива index указывает индексные файлы, которые будет искать в данном расположении веб-сервер в порядке их перечисления, так если в директории имеются одновременно index.html и index.php — использоваться всегда будет первый. Указанная конструкция универсальна, но на практике лучше указать один тип индексного файла, тот что реально используется.
Сохраняем конфигурацию и подключаем ее к nginx:
Проверяем конфигурацию и заставим nginx ее перечитать:
Теперь поместим в корневую директорию сайта файл index.html со следующим содержимым:
Теперь набираем в браузере имя нашего сайта и убеждаемся, что все работает.
Устанавливаем PHP-FPM
Для работы с современными веб-приложениями вам потребуется поддержка популярного скриптового языка PHP, Nginx поддерживает работу через FastCGI, но не имеет собственного менеджера процессов, поэтому мы будем использовать для этой цели PHP-FPM.
Важно! В современных дистрибутивах используется более новая версия PHP 7, чтобы работать с новой версией языка вместо php5 в приведенных ниже командах следует указывать php7.x или просто php например, вместо php5-imagick нужно набрать php7.0-imagick или php-imagick.
Все необходимые пакеты и интерпретатор PHP будут установлены по зависимостям. Также имеет смысл сразу установить некоторые модули PHP, например, для работы с графикой:
Настройки PHP-FPM по умолчанию достаточно оптимальны и никаких вмешательств в них не требуется, однако следует подправить некоторые опции PHP, для этого откроем /etc/php5/fpm/php.ini и найдем там следующие опции:
этот параметр задает максимальный размер данных загружаемых методом POST, влияет, например, на размер загружаемых средствами PHP файлов. По умолчанию 8 МБ, можем изменить по собственным потребностям.
Если вы будете использовать PHP-приложения (CMS) работающие в кодировке отличной от UTF-8, то приведите к следующему виду опцию:
Затем раскоменнтируйте и установите опцию:
Это закроет возможную уязвимость в PHP.
Еще ниже надо найти и увеличить размер максимально загружаемого файла:
Данное значение должно быть больше или равно значению post_max_size, иначе вы будете ограничены в загрузке файлов меньшим из указанных в этих опциях размером.
Сохраним изменения и перезапустим PHP-FPM:
Теперь следует научить Nginx работать с PHP-FPM, для этого в файл конфигурации виртуального хоста нужно добавить настройки, которые будут перенаправлять (проксировать) все запросы к динамическому содержимому на FastCGI-шлюз.
Если сайтов несколько, то аналогичные настройки потребуется добавить каждому виртуальному хосту, поэтому, чтобы не делать лишних действий, имеет смысл вынести данные настройки в шаблон и подключать к виртуальному хосту уже его. Такой подход имеет еще один плюс, если вам потребуется изменить настройки, то делать это придется только в одном месте.
Создадим директорию для хранения шаблонов:
После чего создадим в ней шаблон для работы с PHP-FPM:
Откроем его и добавим следующий текст:
Указанный нами блок location будет обрабатывать все запросы к php-файлам, первая директива в нем проверяет наличие запрошенного файла, в противном случае отдавая ошибку 404. Вторая устанавливает параметры соединения с FastCGI-шлюзом, в нашем случае с PHP-FPM, соединение устанавливается через UNIX-сокет, как наиболее производительный способ соединения. Затем указывается индексный файл и подгружаются настройки Nginx для FastCGI.
Важно! Обратите внимание, что PHP 7 имеет иной путь к UNIX-сокету, поэтому следует указывать /var/run/php/php7.0-fpm.sock
В принципе этого уже достаточно, чтобы работать с динамическим содержимым, но не будем спешить и добавим в файл еще несколько блоков.
Несмотря на то, что Nginx не использует htaccess-файлы, они, вместе с файлами htpasswd могут находиться в директории сайта, особенно если до этого он работал на Apache и будет правильно запретить доступ к ним в целях безопасности.
Также следует настроить кэширование статического содержимого:
Данная конструкция включает кэширование на стороне браузера, сообщая тому, что «срок годности» указанных файлов — 168 часов (1 неделя) и при последующих обращениях на ваш сайт данные файлы следует брать из локального кэша. Мы привели примерный список, вы можете самостоятельно добавить в него нужные расширения файлов.
Также зададим кэширование для скриптов и стилей:
Для них установим срок кэширования в 3 часа, что позволит соблюсти баланс между скоростью применения возможных изменений в этих файлах и уменьшением количества запросов к вашему сайту.
Теперь откроем файл конфигурации виртуального хоста и в конце первой секции server добавим строку подключения шаблона:
Сохраним все настройки, проверим конфигурацию и перезапустим Nginx.
Чтобы проверить работу PHP создадим в корневой директории сайта файл test.php со следующим содержимым:
Теперь, если обратиться к данному файлу через браузер вы должны увидеть стандартную страницу с информацией о PHP.
Установка MySQL и phpMyAdmin
СУБД MySQL широко используется для хранения информации в современных веб-приложениях. Это один из самых важных компонентов веб-сервера, так как в базе данных обычно хранится вся информация сайта, кроме статического содержимого (изображений, файлов и т.п.).
Для установки MySQL выполните:
Важно! В свежих выпусках Debian (и его производных) вместо пакета mysql-server следует установить mariadb-server, который полностью совместим с MySQL.
Данная команда установит MySQL сервер и модуль PHP для работы с ним. В процессе установки вас попросят ввести пароль суперпользователя СУБД (root), не путать с суперпользователем системы.
Для повседневной работы с MySQL удобно использовать веб-приложение администрирования phpMyAdmin, установим его:
Установщик phpMyAdmin не умеет конфигурировать Nginx для работы с ним, поэтому ничего не выбираем на данном этапе, а все настройки выполним позже вручную.
Для этого создадим еще один файл шаблона:
и внесем в него следующий текст:
На первый взгляд синтаксис может показаться довольно сложным, но если разобрать правила по частям, то мы увидим, что ничего сложного нет. Все это мы уже обсуждали выше. Самый последний location осуществляет перенаправление на phpMyAdmin с адресов вида имя_домена/phpmyadmin.
Для подключения phpMyAdmin к сайту в описание виртуального хоста добавьте включение еще одного шаблона:
Проверьте конфигурацию и перезапустите Nginx, после чего наберите в браузере имя вашего сайта, добавив после него /phpmyadmin, если все сделано правильно, то вы попадете в админ-панель приложения.
В Ubuntu Server вы можете столкнуться с ошибкой отсутствия расширения mcrypt.
Для ее устранения выполните:
Мы не будем подробно останавливаться на дальнейшей работе с MySQL и phpMyAdmin, об этом можно подробно прочитать в соответствующей части нашей статьи Настраиваем веб-сервер на базе Apache в Debian / Ubuntu Server.
На этом настройку нашего сервера можно считать законченной. При переносе или размещении на нем новых сайтов не забывайте правильно устанавливать права и владельца. Стандартный набор прав: 644 для файлов и 755 для папок, его можно быстро установить командой:
Но учтите, что некоторые CMS требуют нестандартных прав на некоторые папки и файлы, поэтому уточните этот вопрос в документации.
Также не забывайте устанавливать правильного владельца, им должен быть пользователь, от имени которого работает веб-сервер, в нашем случае www-data, владелец устанавливается командой:
Обычно данных мер достаточно, но встречаются CMS которые требуют дополнительной настройки для работы с Nginx, в этом случае следует обратиться к документации или на форум поддержки движка. Поэтому мы еще раз повторимся, что данное решение требует определенного опыта и квалификации и не рекомендуется начинающим, а также тем, кто не хочет возиться с настройками, а хочет быстро получить работающий сайт.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Дополнительные материалы:
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 
Подготовка директорий
C:\nginx (все что относится к серверу)
C:\nginx\bin (файлы для работы сервера)
C:\nginx\bin\nginx (сюда nginx)
C:\nginx\bin\php (сюда php)
C:\nginx\bin\mysql (сюда mysql либо mariadb)
C:\nginx\sites (тут будут сайты, у них буду свои директории в таком виде C:\nginx\sites\localhost, домены надо будет внести в hosts)
Настройка nginx
Один конфиг сервера Nginx для работы с несколькими сайтами (вся фишка в server_name и root)
Настройка php
- Заходим в директорию C:\nginx\bin\php и создаем копию файла php.ini-development с названием php.ini
- Устанавливаем путь для расширений. В php.ini находим строку ; extension_dir = “ext” и убираем знак комментария
3. Подключаем поддержку mysql pdo. В php.ini находим строку ;extension=php_pdo_mysql.dll и убираем знак комментария
Добавление php в переменные окружения
Для того чтобы в консоли можно было писать просто php, без полного пути к интерпретатору php, добавляем php в переменную окружения Path
- В поиске набираем Система (Панель управления\Все элементы панели управления\Система в проводнике)
- Выбираем Дополнительные параметры системы
- Выбираем Параметры среды…
- В параметрах находим Path, нажимаем Изменить
- Дописываем туда путь к директории php (у меня был C:\nginx\bin\php)
Настройка и установка mysql
Конфиг mysql. C:\nginx\bin\mysql\my.ini
Меняем пароль root для mysql. В консоли cmd вводим:
если служба mysqladmin не зарегистрирована, тогда устанавливаем её через переменные среды (как выше сделали с php) или пишем путь к ней вручную:
Настройка и установка mariadb (вместо mysql)
Ещё проще, скачиваем нужную версию в формате .msi, запускаем установку, выбираем для установки директорию C:\nginx\bin\mysql
Вносим домены в файл hosts
В директории C:\Windows\System32\drivers\etc находим файл hosts
В нём нужно добавить хосты наших сайтов/доменов (для каждого домена)
127.0.0.1 localhost
P.s. если не удается сохранить изменения, попробуйте скопировать этот файл на рабочий стол, сделайте изменения, сохраните и перенесите обратно в C:\Windows\System32\drivers\etc с заменой
Создание скриптов для управления сервером
Осторожно, Medium туповатый, три точки превращает в один символ троеточия…
Поправьте после копирования
C:\nginx\start.cmd (запуск nginx)
C:\nginx\stop.cmd (остановка nginx)
C:\nginx\restart.cmd (перезапуск nginx)
Запускаем start.cmd от имени администратора и наслаждаемся 🙂
Тестируем
Для начала протестим наши сайты/домены на открываемость
Отлично! Теперь добавим файлов и протестируем
Тестировать будем домен localhost, который находится в директории C:\nginx\sites\localhost
Как включить php в nginx
REST may be a somewhat non-negotiable standard in web API development, but has it fostered overreliance? Learn why other design .
Developers can use Microsoft Azure Logic Apps to build, deploy and connect scalable cloud-based workflows. Learn how it measures .
Those unable to make the jump to microservices still need a way to improve architectural reliability. Here are five ways software.
The new API is faster and cheaper than the previous ChatGPT interface, and users can opt out of submitting their data to it, .
Though the end of Heroku’s free-tier services has left many developers and software teams in the cold, a flock of cloud platform .
Teams that can write clear and detailed defect reports will increase software quality and reduce the time needed to fix bugs. .
Azure management groups, subscriptions, resource groups and resources are not mutually exclusive. Businesses can — and often do .
Amazon CodeGuru reviews code and suggests improvements to users looking to make their code more efficient as well as optimize .
Establishing sound multi-cloud governance practices can mitigate challenges and enforce security. Review best practices and tools.
The Biden-Harris administration’s 39-page National Cybersecurity Strategy covers multiple areas, including disrupting ransomware .
While ransomware incidents appear to be decreasing, several high-profile organizations, including Dole, Dish Network and the U.S.
Zero-trust preparation can be difficult. Measuring how well the model provides security and business benefits after .
Many organizations struggle to manage their vast collection of AWS accounts, but Control Tower can help. The service automates .
There are several important variables within the Amazon EKS pricing model. Dig into the numbers to ensure you deploy the service .
AWS users face a choice when deploying Kubernetes: run it themselves on EC2 or let Amazon do the heavy lifting with EKS. See .
Веб-сервер на основе Nginx и PHP-FPM
Существуют различные схемы построения веб-серверов для передачи данных по протоколу HTTP . Среди них достойное место по производительности занимают схемы с использованием «Nginx» в качестве внешнего (кэширующего, front-end) сервера. «Nginx» разработан для отдачи статических данных, при этом, он показывает высокое быстродействие и нагрузочную способность (см. Nginx vs Cherokee vs Apache vs Lighttpd), генерировать же динамическое содержимое он не способен. Поэтому, он часто применяется в связке с внутренним (back-end) сервером для обработки динамических данных которые потом отдаются «Nginx» как статические без участия внутреннего сервера. В качестве внутреннего сервера может применяться «Apache2» или, что и рассматривается в данной статье, «PHP-FPM».
Установка
Сервер «Nginx» поставляется в одноименном пакете «nginx» и его установка производится, например, командой в терминале
Установку же «PHP-FPM» можно произвести, например, командой
Безопасность
Наряду с уязвимостями присущими ПО сервера, присутствуют также те, что обусловлены неосторожностью администратора сервера. Для их устранения следует соблюдать меры предосторожности:
Настройка
Настройка состоит из двух этапов — настройки «Nginx» и «PHP-FPM». Для начала необходимо остановить процессы (демоны) «Nginx» и «PHP-FPM», например, командами
Настройка PHP-FPM
Прежде всего, следует открыть файл «/etc/php5/fpm/php.ini» для редактирования, например, командой
после чего, найти строчку содержащую «cgi.fix_pathinfo», которая по-умолчанию выглядит так (закомментирована)
и привести её к виду
Это призвано устранить опасность неправильно трактования (и возникающей уязвимости) запросов вида «/image.gif/foo.php» (см. Don’t trust the tutorials: check your configuration!, Nginx 0day exploit for nginx + fastcgi PHP).
Если планируется загрузка больших файлов (важно для ownCloud версий < 8, в новой версии 8 и выше имеется отдельный файл для этих настроек), то можно увеличить максимальный объем загружаемых данных, например, до 200 МБ
Затем сохранить изменения в файле.
Далее, необходимо отрыть для редактирования файл «/etc/php5/fpm/pool.d/www.conf», например, командой
найти строчку с параметров «security.limit_extensions» и привести её к виду
Эта настройка ограничит выполнение файлов по расширению имени. В этом же файле найти строчку с параметром «listen» и привести её к виду
Это определит файл для связи «Nginx» с «PHP-FPM» (сокет). В целях безопасности запрещаем какой-попало программе писать в сокет (см. Обновление PHP 5.5.12 с устранением уязвимости в PHP-FPM ) путём указания прав доступа к сокету. Находим строчки с описанием параметров «listen.owner», «listen.group» и «listen.mode» (по-умолчанию они закомментированы) и приводим их к виду
Следует сохранить изменения в файле и перезапустить «PHP-FPM», например, командой
Можно убедится в том, что права доступа к сокету установлены верно:
Права доступа должны быть «srw-rw—-», владелец «www-data» (группа «www-data»), например,
Настройка Nginx
Основные настройки «Nginx» хранятся в файле «/etc/nginx/nginx.conf». Настройки базового сайта хранятся в файле «/etc/nginx/sites-available/default». Базовый конфигурационный файл сайта принято помещать в папку «/etc/nginx/sites-available/» и затем включить его путём добавления символической ссылки на этот файл в папке «/etc/nginx/sites-enabled/». Например, создадим конфигурационный файл для сайта с доменным именем (для примера выбрано «example.com») в названии для удобства
и откроем его для редактирования
Описывать конфигурацию сайта в одном файле не очень удобно, для увеличения читабельности конфигурационного файла и гибкости настройки можно воспользоваться директивой «include» позволяющей указать «Nginx», что следует загрузить другой конфигурационный файл и затем продолжить чтение текущего. Создадим в папке «/etc/nginx/» каталог «common», где будут хранится общие настройки для сайта, которые затем будут подгружаться из основного конфигурационного файла «/etc/nginx/sites-available/example.com» с помощью директивы «include»
Некоторые запросы «Nginx» будет перенаправлять к «PHP-FPM», который в данном случае называется сервером выгрузки данных (upstream). Укажем как следует это делать. Создадим файл конфигурации с описанием серверов выгрузки данных
и откроем его для редактирования
и добавим в него строчки
где «php-fpm» – название для сервера выгрузки данных, для удобства.
Редактируем файл «/etc/nginx/sites-available/example.com». Добавляем строчку
для загрузки созданого выше конфигурационного файла. Как можно видеть – допускается указание относительного пути к файлу.
иначе, можно опустить эти строчки.
Начинаем описывать конфигурацию сайта
Сетевой порт для приема соединений: 80 — обычный HTTP ; 443 — HTTPS (см. выше)
Корневая директория сайта работающего на данном сервере
Возможные имена индексных файлов (их «Nginx» пытается открыть если он получил запрос вида «example.com/», вместо явного «example.com/index.html»)
Имя сервера – обычно доменное имя Вашего сервера
Шифрование
Необходимо наличие сертификата «*.crt» или «*.pem» и приватного секретного ключа «*.key» (см. Сертификаты). Самоподписанный сертификат можно сгенерировать командой в терминале (см. man openssl, man req)
При этом программа запросит данные, среди них «commmon name» — следует указать доменное имя сервера. Можно использовать шаблон, если необходимо учесть домены нижнего уровня, например, «*example.com». Иначе могут возникнуть проблемы с некоторыми программами, например, «davfs2» (см man davfs2.conf).
Но можно пойти дальше и воспользоваться сервисом «StartSSL» где выдают бесплатные сертификаты для личного пользования (см. startssl.com и Получение и установка бесплатного SSL-сертификата), но сам приватный ключ (который нельзя никому показывать) лучше сгенерировать самому, например, так
затем сформировать файл запроса на подпись (при этом прийдётся вводить те же данные что и для генерации самоподписанного сертификата, но это не важно, т.к. сервис «StartSSL» проигнорирует все кроме публичного ключа)
открыть полученный файл текстовым редактором
и скопировать его содержимое в текстовое поле на сайте «StartSSL» для запроса сертификата (см. ссылки на подробные инструкции выше). Файл *.csr больше не нужен. Затем загружаем подписанный сертификат (например, файл называется signed.crt) и объединяем его с сертификатом того кто этот сертификат подписал
Файл «signed.crt» можно удалить.
Копируем секретный ключ в системную папку и выставляем права доступа
И в соседнюю папку сам сертификат
Для пущей надежности можно сгенерировать ключ Диффи-Хеллмана (тоже секретный файл который очень долго генерируется)
Продолжаем редактировать конфигурационные файлы.
Для удобства описываем настройки шифрования во внешнем файле «/etc/nginx/common/ssl»
Редактируем файл «/etc/nginx/common/ssl»
Файлы сертификатов для «HTTPS»
Дополнительные параметры требуемые для «HTTPS»
На этом настройки «SSL» в «Nginx» завершены, сохраняем и закрываем файл. После завершения описания конфигурации (см. ниже) можно будет проверить надежность сервисом «SSLLabs»
Продолжаем редактировать файл «/etc/nginx/sites-available/example.com». Подгружаем созданный выше конфигурационный файл с описанием настроек SSL
Прочие настройки
Указание максимального размера запроса – необходимо если сервер будет использоваться для загрузки больших файлов (например, для построения небольшого облачного хранилища на основе «ownCloud», эта строчка по сути делает то же что и указанные выше при настройке «PHP-FPM», только теперь для «Nginx»)
Безопасность
Опишем настройки безопасности в отдельном файле
Сохраним и закроем файл, а затем подключим его строкой
Сжатие
Для экономии трафика лучше включить сжатие (иногда со влючённым сжатием могут возникать проблемы, например, у «ownCloud», см. ниже). Опишем настройки сжатия в отдельном файле
Следует сохранить, закрыть и затем подключить этот файл срочкой
Директории сайта
Далее указание директорий сайта и правил работы с ними с использованием директив «location». Данная директива может обрабатывать регулярные выражения «Perl» (см. Регулярные выражения (шаблоны))
К примеру, если хочется построить сайт на основе «WordPress», то можно описать корневую директорию так
Соответственно сам сайт должен размещаться в каталоге «/var/www/wordpress/»
Директории можно описывать по одной в этом же файле, но это не удобно и не наглядно. А можно указать строчку
которая укажет «Nginx», что нужно подключить все файлы в директории «/etc/common/locations/» которые соответствуют шаблону «*.inc», таким образом, если один из файлов нужно будет временно отключить, то его можно просто переименовать убрав расширение в имени. Создадим директорию где будут хранится эти файлы
Некая директория «/var/www/restricted» доступная только авторизованным пользователям сервера. Создадим для неё файл конфигурации «/etc/nginx/common/locations/restricted.inc»
» указывает, что при совпадении здесь директивы «location» ниже проверяться не будут.
Этот конфигурационный файл подключится автоматически, за счёт шаблона (см. выше).
WordPress
Для более полной информации по настройке «Nginx» для «WordPress» следует обратиться к официальной документации (см. codex.wordpress.org/Nginx и wiki.nginx.org/WordPress)
Натройки «Wordpress», который, в данном примере, находится в папке «/var/www/wordpress» будут описаны в файле «/etc/nginx/common/locations/wordpress.inc»
Указываем виртуальную директорию (используется для удобства и читабельности) в которую будут перенаправляться запросы при необходимости
Аналогично примеру выше предотвращаем обработку остальных директив «location»
Сохраняем и закрываем этот файл. Опять же, он будет подключён автоматически.
ownCloud
Для наиболее полной информации следует обратится к официальному руководству «OwnCloud» (см. Nginx Configuration). К примеру, «ownCloud» находится в папке «/var/www/owncloud».
Создадим файл настроек для «ownCloud» и отредактируем его
Многое аналогично примеру для «Wordpress»
Начиная с версии «ownCloud» 8 появился отдельный файл для переопределения некоторых настроек «PHP-FPM» взамен указанных в «/etc/php5/fpm/php.ini». Открыть его можно командой
и в нем найти строчки
и поменять значения на требуемые.
Базовые ограничения
Выше была написана строчка для подключение файла «/etc/nginx/common/deny»
рассмотрим его содержание. В нём идет запрет доступа к некоторым стандартным файлам. Создадим этот файл
Следует переписать все файлы «.htaccess» в директивы «Nginx». Найти эти файлы среди файлов сайта можно, например, командой
Вызов PHP-FPM
В примерах выше использовался файл «/etc/nginx/common/php-fpm» — в нём идет перенаправление обработки php-скриптов внутреннему серверу «PHP-FPM»
Создаём этот файл
Кеширование
Выше, в примерах, был упомянут файл «/etc/nginx/common/cache»
Сайт работает значительно лучше когда часть контента сохранена на стороне клиента с прошлого посещения сайта. Не все файлы можно кешировать. Поэтому описание кеширования производится в самом конце (т.е. эти настройки будут иметь наименьший приоритет и есть шанс что это не повлияет на правильную работу сайта). Создадим файл с параметрами для кеширования