通过 IUS 软件源安装配置 LNMP 建站环境

Anson 教程 70 次浏览 评论已关闭

本文适用 CentOS 7,通过添加 IUS 软件源安装尽可能新的 LNMP 组件。这是一种相对简单,同时避免需要编译安装或使用第三方安装脚本的 LNMP 安装方法。

注 1:IUS 里的软件包名称带有版本号,随着时间流逝,文中安装命令请相应修改,以确保安装最新版软件。
注 2:文中不少地方用了 sed 命令替换内容修改配置文件,该方式完全依赖匹配文本。如果文本有差别就会修改失败,建议在搭建生产环境时用 vi 等编辑器手动修改,以免漏掉配置。

添加 IUS 软件源

IUS 里有许多软件包与 EPEL 存在依赖项,因此需同时添加 EPEL 源。

yum -y install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install https://repo.ius.io/ius-release-el7.rpm

添加后可以用下面命令检查软件源启用情况。

# 安装查询工具
yum -y install yum-utils

# 列出所有软件源
yum repolist all

# 列出已启用软件源
yum repolist enabled

# 列出已禁用软件源
yum repolist disabled

安装 Nginx

EPEL 软件源里有 Nginx,并且版本不是太旧,这里直接从 EPEL 安装。

yum -y install nginx

安装后做以下基本配置。

修改 /etc/nginx/nginx.conf 配置文件,在下面位置添加红色参数,以关闭 Nginx 版本号输出。

http {
    ...
    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    server_tokens       off;
    ...
}

修改默认 server{...},禁止访问 Web 默认目录。

server {
    listen       80 default_server;
    listen       [::]:80 default_server;
    server_name  _;
    return       403;
    # root       /usr/share/nginx/html;
}

修改 FastCGI 配置文件 SERVER_SOFTWARE 参数,删除版本号输出。

sed -i 's|nginx/$nginx_version|nginx|' /etc/nginx/fastcgi.conf
sed -i 's|nginx/$nginx_version|nginx|' /etc/nginx/fastcgi_params

firewall-cmd --state 检查是否安装启用防火墙。如果没有,用下面命令安装启用。

yum -y install firewalld
systemctl start firewalld
systemctl enable firewalld

防火墙放行 HTTP HTTPS 端口。

firewall-cmd --permanent --zone=public --add-service={http,https}
firewall-cmd --reload

运行 Nginx 服务并设置开机启动。

systemctl start nginx
systemctl enable nginx

安装 MariaDB

CentOS 默认软件源里的 MariaDB 版本太旧,这里从 IUS 源安装。

软件查询方法:先用 yum search 关键词 搜索相关软件,知道软件名后再安装,查看软件详情用 yum info 关键词 查看。如果仅限 IUS 源里搜索,则使用 yum --disablerepo="*" --enablerepo="ius" search all 关键词 命令。

yum -y install mariadb104-server

运行 MariaDB 并设置开机启动。

systemctl start mariadb
systemctl enable mariadb

运行初始化脚本设置数据库 root 密码,以及删除默认测试账户和数据库。

mysql_secure_installation

提示输入 root 密码,由于我们刚安装完没有设置,直接按 Enter 进入下一步。

Enter current password for root (enter for none):

按提示设置 MariaDB root 账户密码,选择 Y 回车后输入两遍密码完成设置。

Set root password? [Y/n]

接下来的几个选项都选Y,这将删除测试账户和数据库,以及禁用远程 root 登录并刷新权限表。

Remove anonymous users? [Y/n]
Disallow root login remotely? [Y/n]
Remove test database and access to it? [Y/n]
Reload privilege tables now? [Y/n]

至此,MariaDB 初始化安全配置完成。

安装 PHP

PHP 也从 IUS 安装。下面命令安装了 FastCGI, MySQL 及其它常用 PHP 模块,过程中会将 PHP 核心软件包作为依赖项安装。

yum -y install php74-fpm php74-mysqlnd php74-common php74-cli php74-gd php74-opcache php74-mbstring php74-json php74-xml php74-pecl-zip php74-devel

取消 PHP 配置文件里 cgi.fix_pathinfo 参数行注释,并设置值为 0,以防范 PHP 解释器被欺骗执行恶意文件。

sed -i 's|;cgi.fix_pathinfo=1|cgi.fix_pathinfo=0|' /etc/php.ini

取消 PHP 配置文件里 session.save_path 参数行注释,并设置值为 php-fpm 默认会话储存目录。

sed -i 's|;session.save_path = "/tmp"|session.save_path = "/var/lib/php/fpm/session"|' /etc/php.ini

更改 PHP 配置文件里 upload_max_filesize 参数,将最大文件上传调整为 20M。

sed -i 's|upload_max_filesize = 2M|upload_max_filesize = 20M|' /etc/php.ini
sed -i 's|post_max_size = 8M|post_max_size = 80M|' /etc/php.ini

更改 PHP 配置文件里 memory_limit 参数,提升最大内存用量至 512M(酌情机器配置)。

sed -i 's|memory_limit = 128M|memory_limit = 512M|' /etc/php.ini

更改 PHP 配置文件里 expose_php 参数,将值改为 Off,以关闭 PHP 版本号输出。

sed -i 's|expose_php = On|expose_php = Off|' /etc/php.ini

修改 php-fpm 配置文件,将默认 php-fpm 用户/组改为 nginx

sed -i 's|user = php-fpm|user = nginx|' /etc/php-fpm.d/www.conf
sed -i 's|group = php-fpm|group = nginx|' /etc/php-fpm.d/www.conf

修改 php-fpm 配置文件,将 FastCGI 默认接收方式由 TCP Socket 改为性能更好的 UNIX Socket

sed -i 's|listen = 127.0.0.1:9000|;listen = 127.0.0.1:9000|' /etc/php-fpm.d/www.conf
sed -i 's|;listen = /run/php-fpm/www.sock|listen = /run/php-fpm/www.sock|' /etc/php-fpm.d/www.conf

UNIX Socket 添加 Nginx 用户权限(注:如果系统未开启 POSIX ACL 支持【CentOS 默认开启】,则请设置 listen.ownerlisten.grouplisten.mode 参数,以确保 Nginx 有权限读写 UNIX Socket)。

sed -i 's|;listen.acl_users = nginx|listen.acl_users = nginx|' /etc/php-fpm.d/www.conf

创建 FastCGI 默认接收方式配置文件(有的 php-fpm 版本安装后自带这个文件)。

vi /etc/nginx/conf.d/php-fpm.conf

内容如下。

# PHP-FPM FastCGI server
# network or unix domain socket configuration

upstream php-fpm {
        server unix:/run/php-fpm/www.sock;
}

创建 PHP 脚本传递到 FastCGI 的默认配置文件(有的 php-fpm 版本安装后自带这个文件)。

vi /etc/nginx/default.d/php.conf

内容如下。

# pass the PHP scripts to FastCGI server
#
# See conf.d/php-fpm.conf for socket configuration
#
index index.php index.html index.htm;

location ~ \.(php|phar)(/.*)?$ {
    fastcgi_split_path_info ^(.+\.(?:php|phar))(/.*)$;

    fastcgi_intercept_errors on;
    fastcgi_index  index.php;
    include        fastcgi_params;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    fastcgi_param  PATH_INFO $fastcgi_path_info;
    fastcgi_pass   php-fpm;
}

将 php-fpm 相关目录用户组改为 nginx

chgrp -R nginx /var/lib/php/fpm/opcache /var/lib/php/fpm/session /var/lib/php/fpm/wsdlcache

启动 php-fpm 服务并设置开机自启。

systemctl start php-fpm
systemctl enable php-fpm

LNMP 运行环境测试

至此,LNMP 环境已搭建完成。下面试着安装一个 WordPress 看能否运行。

先创建网站目录和设置合适权限。

# 创建网站目录
mkdir -p /var/www/example

# 下载 WordPress 程序并解压到目录
wget -P /var/www/example https://wordpress.org/latest.tar.gz
tar -zxvf /var/www/example/latest.tar.gz --strip-components 1 -C /var/www/example
rm -f /var/www/example/latest.tar.gz

# 安装 SELinux 环境管理工具
yum -y install policycoreutils-python

# 设置 SELinux 读写安全上下文,以允许 httpd 进程读写网站目录/文件
# WordPress 完整功能运行有不少目录/文件需要读写,细分设置比较麻烦,这里采用递归设置
semanage fcontext -a -t httpd_sys_rw_content_t "/var/www/example(/.*)?"
restorecon -R -v /var/www/example

# 允许 HTTPD 脚本和模块连接网络(不设置 WordPress 将无法在线更新和安装主题/插件)
setsebool -P httpd_can_network_connect 1
# 允许 HTTPD 对可写可执行内存分配(可解决 php-fpm 可写可执行内存分配拒绝错误,通常非必须)
setsebool -P httpd_execmem 1

# 将目录所有者改为 nginx 用户/组
chown -R nginx:nginx /var/www/example

之后创建 Nginx 网站配置文件。

vi /etc/nginx/conf.d/example.conf

内容如下。

server {
    listen      80;
    listen      [::]:80;
    server_name _;
    root        /var/www/example;
    index       index.html index.htm index.php;

    # 检查访问文件/目录是否存在,否则重定向 /index.php
    location / {
        try_files $uri $uri/ /index.php$is_args$args;
    }

    # 将 PHP 请求传递给 FastCGI 处理
    include /etc/nginx/default.d/php.conf;

    # 设置图片资源缓存时间
    location ~ .*\.(png|jpg|jpeg|gif|bmp)$ {
        expires 30d;
    }

    # 设置其它资源缓存时间
    location ~ .*\.(js|css)?$ {
        expires 12h;
    }

    # 拒绝对指定目录 PHP 文件访问
    location ~* /(?:uploads|files)/.*\.php$ {
        deny all;
    }

    # 设置日志存儲位置
    access_log /var/log/nginx/example.access.log;
    error_log  /var/log/nginx/example.error.log warn;
}

刷新 Nginx 服务,使配置生效。

nginx -s reload

然后创建数据库。使用数据库 root 帐号登录 SQL Shell,过程中输入之前设置的密码。

mysql -u root -p

创建一个数据库,名称可随意(不区分大小写),譬如 testdb

CREATE DATABASE testdb;

创建数据库帐户,例如用户名 testuser,密码 password,并赋予 testdb 数据库管理权限给创建的帐户。

GRANT ALL ON testdb.* TO 'testuser'@'localhost' IDENTIFIED BY 'password' WITH GRANT OPTION;

刷新数据库权限表,之后用 exit 退出。

FLUSH PRIVILEGES;

完成后访问测试 WordPress 是否可以正常安装使用。