介绍
Diaspora是一个开源的分布式社交网络。 它与大多数其他社交网络不同,因为它是分散的 - 一个没有中心基地的真正网络。有服务器(称为 豆荚 )遍布世界各地,每个都包含谁选择在其上注册的用户数据。 这些pod彼此无缝通信,以便您可以注册任何pod,并与您的联系人,无论他们在网络上的任何地方进行自由通信。 你可以阅读更多关于散居的 有关页面 。 在本教程中,我们将设置和配置Diaspora pod。其他 东西,你会学到:- 如何设置Rails应用程序(Diaspora)进行生产
- 如何配置MariaDB与Diaspora
- 如何设置Nginx作为Diaspora的反向代理服务器
- Nginx的SSL配置的最佳实践
- 如何编写自定义systemd单元文件以在Rails应用程序中使用
- 对于安全意识,有一个奖励部分关于如何配置SELinux与Diaspora打得很好
script/server ,启动脚本
unicorn和
sidekiq ,两个应用程序,我们需要的侨民。由于CentOS 7使用systemd,我们将为这些服务编写自己的init文件。
先决条件
请在开始教程之前完成这些先决条件。- 带1 GB RAM的CentOS 7 需要一个小社区的最小RAM为1 GB,因此我们将使用1 GB / 1个CPUDroplet。
- sudo用户 下面的大多数命令需要root权限。检查如何添加用户引导到添加用户,并给它sudo特权, 此用户帐户将是除了稍后我们将创建散居用户帐户,其中散居的服务都将受到比较有限的权限运行。
- SSL证书 虽然Diaspora可以运行没有SSL证书,Diaspora的连接到其他pod的机制需要一个有效的SSL证书。对于生产,你应该有一个支付的SSL证书 。我们只需要在本文中创建的两个证书文件(public,private),因此您可以跳过该教程的Web服务器配置部分。我们会自己做。 或者,为了测试的目的,您可以生成自签名证书。请参见本教程的详细信息,或者只是从您的家目录中运行以下命令:
openssl req \ -newkey rsa:2048 -nodes -keyout ssl.key \ -x509 -days 365 -out ssl.crt - 注册域名指向您的Droplet的IP
- 交换文件 对于1 GB的服务器,需要至少1 GB的交换文件。按照在CentOS 7添加交换教程设置一个。
- 按照与CentOS 7初始服务器安装指南
- 按照新的CentOS 7服务器的其他建议步骤指南
第1步 - 安装实用程序
让我们为实用程序安装几个软件包,稍后将会派上用场:sudo yum install deltarpm yum-cron vim
sudo yum update
第2步 - 启用EPEL存储库
EPEL代表额外的企业版Linux软件包,它有一些我们需要安装不属于基地CentOS软件库的一部分包。 让我们通过安装启用epel-release包,并检查任何 包更新:
sudo yum install epel-release
sudo yum update
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
Importing GPG key 0x352C64E5:
Userid : "Fedora EPEL (7) <epel@fedoraproject.org>"
Fingerprint: 91e9 7d7c 4a5e 96f1 7f3e 888f 6a2f aea2 352c 64e5
Package : epel-release-7-5.noarch (@extras)
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
Is this ok [y/N]: y
第3步 - 安装Ruby和C的包
Diaspora及其具有本地C扩展的Gem需要以下包。 安装软件包:sudo yum install git ruby ruby-devel libxslt-devel libxml2-devel gcc gcc-c++ automake net-tools libcurl-devel libffi-devel make redis nodejs ImageMagick-devel
sudo systemctl enable redis
sudo systemctl start redis
第4步 - 添加专用散居用户
创建用户帐户以运行Diaspora。您可以命名此帐户任何你喜欢的,但本教程将假设该用户被称为 侨民 。sudo useradd diaspora
第5步 - 配置防火墙
在设置生产环境时,配置和收紧防火墙至关重要。我们将使用的工具是firewalld ,简化的东西相比,纯
iptables命令。 首先,启动
firewalld服务,并使其在引导时启动:
sudo systemctl start firewalld
sudo systemctl enable firewalld
ssh端口
22 ,
http端口
80 ,
https端口
443和
smtp端口
25 。作为您的sudo用户,添加以下服务:
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-service=smtp
sudo firewall-cmd --reload
firewalld ,阅读
新的CentOS 7服务器的其他建议步骤教程。
第6步 - 安装和保护MariaDB
下一个大步是为Diaspora设置一个数据库。在本教程中,我们将使用MariaDB,虽然我们将在整个教程中包括一些PostgreSQL的脚本。 安装所需的软件包:sudo yum install mariadb-server mariadb-devel
sudo systemctl start mariadb
sudo systemctl enable mariadb
sudo mysql_secure_installation
Enter current password for root (enter for none): ENTER
Set root password? [Y/n] Y
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y
第7步 - 创建散居用户和数据库
接下来我们将登录到MariaDB的创建 散居用户。 出现提示时,输入您在上面创建的 root密码:mysql -u root -p
password的命令下面一个真正的密码。 这不应该是一样的,你在提供
root密码
mysql_secure_installation 。
CREATE USER 'diaspora'@'localhost' IDENTIFIED BY 'password';
CREATE DATABASE IF NOT EXISTS `diaspora_production` DEFAULT CHARACTER SET `utf8mb4` COLLATE `utf8mb4_bin`;
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, LOCK TABLES ON `diaspora_production`.* TO 'diaspora'@'localhost';
\q
IDENTIFIED BY ' password '以上)。
mysql -u diaspora -p -D diaspora_production
MariaDB [diaspora_production]> 退出 数据库会话,方法是输入:
\q
第8步 - 安装Bundler
Bundler是Ruby gem的包管理器。我们将安装它在全球可用。sudo gem install bundler
bundle的可执行文件安装在
/usr/local/bin/bundle ,让以包含在用户的符号链接
PATH 。
sudo ln -sf /usr/local/bin/bundle /usr/bin/bundle
第9步 - 获取散列源代码
散居在三个主要分支开发。stable包含被认为是稳定的,是要发布的代码,
master具有稳定的标记我们将使用的版本,同时
develop具有可能的错误的最新代码。 更改为
散居用户帐户。
sudo su - diaspora
0.5.1.1 。
git clone -b master https://github.com/diaspora/diaspora.git
第10步 - 配置散居数据库
现在切换到工作目录。cd ~/diaspora/
database.yml与您最喜爱的编辑器。
cp config/database.yml.example config/database.yml
vim config/database.yml
.yml )文件。
始终使用空格而不是制表符。 编辑其中的第一线
mysql2适配器定义。 (MariaDB的是一个简易替换为MySQL)与
散居
根替换和更改
password的密码为您之前创建的数据库用户
侨民 。不要删除引号。完成后,保存并关闭文件。
mysql: &mysql
adapter: mysql2
host: "localhost"
port: 3306
username: "diaspora"
password: "password"
encoding: utf8mb4
collation: utf8mb4_bin
第1步1 - 配置Diaspora的基本设置
让我们从复制示例配置文件开始。cp config/diaspora.yml.example config/diaspora.yml
vim config/diaspora.yml
url行,以便它看起来像下面这样:
url: "https://example.org/"
https://example.org/用自己的域名。 此处使用的网址将获得硬编码到数据库中,所以一定要确保它是准确的。
详细内容请阅读此配置线以上的评论 。 47号线-取消对
certificate_authorities行,以便它看起来像下面这样:
certificate_authorities: '/etc/pki/tls/certs/ca-bundle.crt'
certificate_authorities线;
确保您取消注释CentOS的一个。 166线-取消对
rails_environment线和替换
development与
production ,所以它看起来像下面这样:
rails_environment: 'production'
第1步2 - 安装Gems并设置数据库
安装所需的gem,设置数据库,并预编译资产。 确保您位于正确的目录:cd /home/diaspora/diaspora/
bundle config build.nokogiri --use-system-libraries
RAILS_ENV=production bin/bundle install --without test development --deployment
RAILS_ENV=production bin/rake db:create db:schema:load
RAILS_ENV=production bin/rake assets:precompile
exit
第1步3 - 配置Diaspora systemd服务
Diaspora包含两个需要运行的主要服务:- Unicorn,应用服务器
- sidekiq,为后台作业处理
script/server ,但我们将使用
systemd代替。 systemd是CentOS 7中使用的init系统。 为了更好地了解systemd如何工作,请阅读以下文章:
创建tmpfiles目录
创建一个将保存的目录unicorn Unix套接字。
sudo mkdir /run/diaspora
sudo chown diaspora:diaspora /run/diaspora
sudo chmod 750 /run/diaspora
/run和
/var/run的目录是震荡,
/run/diaspora我们刚创建的目录将无法生存系统重启。 随着systemd,我们可以使用
TMPFILES来重新引导之间该目录保存。 打开
/etc/tmpfiles.d/diaspora.conf进行编辑。
sudo vim /etc/tmpfiles.d/diaspora.conf
/etc/tmpfiles.d/diaspora.conf
d /run/diaspora 0750 diaspora diaspora - -
tmpfiles.d在其
官方网页或它的手册页。
Unicorn
首先,我们将编辑diaspora.yml使得服务侦听到Unix套接字。 我们将重新变回该
散居用户。
sudo su - diaspora
vim /home/diaspora/diaspora/config/diaspora.yml
/home/diaspora/diaspora/config/diaspora.yml
listen: 'unix:/run/diaspora/diaspora.sock'
su - username
unicorn.service文件。
sudo vim /etc/systemd/system/diaspora-unicorn.service
/etc/systemd/system/diaspora-unicorn.service
[Unit]
Description=Diaspora Unicorn Server
Requires=redis.service
After=redis.service network.target
[Service]
User=diaspora
Group=diaspora
SyslogIdentifier=diaspora-unicorn
WorkingDirectory=/home/diaspora/diaspora
Environment=RAILS_ENV=production
## Uncomment if postgres is installed
#Environment=DB=postgres
PIDFile=/run/diaspora/unicorn.pid
Restart=always
CPUAccounting=true
emoryAccounting=true
BlockIOAccounting=true
CapabilityBoundingSet=
PrivateTmp=true
NoNewPrivileges=true
ExecStart=/usr/bin/bundle exec "unicorn_rails -c config/unicorn.rb -E production"
[Install]
WantedBy=multi-user.target
Environment=DB=postgres行,如果你正在使用PostgreSQL。
对于MariaDB,不需要更改。 启动Unicorn服务并在启动时启用。
sudo systemctl start diaspora-unicorn
sudo systemctl enable diaspora-unicorn
systemctl status diaspora-unicorn
diaspora-unicorn.service - Diaspora Unicorn Server
Loaded: loaded (/etc/systemd/system/diaspora-unicorn.service; enabled)
Active: active (running) since Tue 2015-06-23 10:18:25 EDT; 16s ago
Main PID: 16658 (ruby)
CGroup: /system.slice/diaspora-unicorn.service
└─16658 ruby /home/diaspora/diaspora/vendor/bundle/ruby/bin/unicorn_rails -c config/unicorn.rb -E production
Sidekiq
同样与sidekiq ,让我们创建
sidekiq.service文件。
sudo vim /etc/systemd/system/diaspora-sidekiq.service
/etc/systemd/system/diaspora-sidekiq.service
[Unit]
Description=Diaspora Sidekiq Worker
Requires=redis.service
After=redis.service network.target
[Service]
User=diaspora
Group=diaspora
SyslogIdentifier=diaspora-sidekiq
WorkingDirectory=/home/diaspora/diaspora
Environment=RAILS_ENV=production
## Uncomment if postgres is installed
#Environment=DB=postgres
Restart=always
CPUAccounting=true
emoryAccounting=true
BlockIOAccounting=true
CapabilityBoundingSet=
PrivateTmp=true
ExecStart=/usr/bin/bundle exec "sidekiq -e production -L log/sidekiq.log >> log/sidekiq.log 2>&1"
[Install]
WantedBy=multi-user.target
Environment=DB=postgres行,如果你正在使用PostgreSQL。
对于MariaDB,不需要更改。 启动sidekiq服务并在启动时启用:
sudo systemctl start diaspora-sidekiq
sudo systemctl enable diaspora-sidekiq
systemctl status diaspora-sidekiq
diaspora-sidekiq.service - Diaspora Sidekiq Worker
Loaded: loaded (/etc/systemd/system/diaspora-sidekiq.service; enabled)
Active: active (running) since Mon 2014-12-29 08:21:45 UTC; 44s ago
Main PID: 18123 (sh)
CGroup: /system.slice/diaspora-sidekiq.service
├─18123 sh -c sidekiq -e production -L log/sidekiq.log >> log/sidekiq.log 2>&1
└─18125 sidekiq 2.17.7 diaspora [0 of 5 busy]
第1步4 - 安装Nginx
Nginx将作为我们的反向代理,所以几乎所有的请求都将发送到Unicorn。只有在文件中public/会被直接Nginx的服务。 让我们首先安装Web服务器。
sudo yum install nginx
sudo systemctl start nginx
sudo systemctl enable nginx
第1步5 - 给Nginx权限
对于Nginx的是能够访问 侨民用户的主文件夹,我们需要 Nginx的用户添加到 散居组 :sudo usermod -a -G diaspora nginx
sudo chmod 750 /home/diaspora/
第1步6 - 上传SSL证书并启用转发保密
您现在将需要来自您的证书颁发机构的SSL证书文件。在下面的配置示例中,我们使用/etc/ssl/diaspora/ssl.crt为市民证书和
/etc/ssl/diaspora/ssl.key私钥。 创建存储证书文件的目录。
sudo mkdir /etc/ssl/diaspora
/etc/ssl/diaspora与sudo cp ssl.crt ssl.key /etc/ssl/diaspora命令。 前向保密已经成为SSL / TLS加密通信的重要部分。对于向前保密的更详细说明,请参阅该
Mozilla的服务器安全维基条目 。 再次更改为系统的
root用户。
sudo su -
dhparam.pem文件。
openssl dhparam 2048 > /etc/ssl/dhparam.pem
su - username
第1步7 - 禁用nginx.conf中的默认网站
现在,我们将修改/etc/nginx/nginx.conf使默认
欢迎Nginx的消息不与散居配置文件,我们将创建干涉。
sudo vim /etc/nginx/nginx.conf
server的线,包括块
default_server; 删除
default_server从这些条目,使服务器块的区域如下所示:
/etc/nginx/nginx.conf
server {
listen 80;
listen [::]:80;
server_name localhost;
root /usr/share/nginx/html;
server块,如果你喜欢;
这也将工作。
第1步8 - 创建Diaspora自己的Nginx配置文件
为我们的Diaspora pod创建一个新的nginx配置文件:sudo vim /etc/nginx/conf.d/diaspora.conf
/etc/nginx/conf.d/diaspora.conf
upstream diaspora {
server unix:/run/diaspora/diaspora.sock fail_timeout=0;
}
server {
listen [::]:80;
listen 80;
server_name _;
return 301 https://example.com$request_uri;
}
server {
listen [::]:443 ssl spdy;
listen 443 ssl spdy;
server_name example.com;
root /home/diaspora/diaspora/public;
server_tokens off;
error_log /var/log/nginx/diaspora_error.log;
# Configure maximum picture size
# Note that Diaspora has a client side check set at 4M
client_max_body_size 4M;
## SSL settings
ssl_certificate /etc/ssl/diaspora/ssl.crt;
ssl_certificate_key /etc/ssl/diaspora/ssl.key;
# https://wiki.mozilla.org/Security/Server_Side_TLS
ssl_dhparam /etc/ssl/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
add_header Strict-Transport-Security "max-age=31536000";
location / {
# Proxy if requested file not found
try_files $uri $uri/index.html $uri.html @diaspora;
}
location @diaspora {
gzip off;
proxy_set_header X-Forwarded-Ssl on;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header Host $http_host;
proxy_set_header X-Frame-Options SAMEORIGIN;
proxy_redirect off;
proxy_pass http://diaspora;
}
}
example.com用自己注册的域名; 你需要做的这两个地方/etc/ssl/diaspora/ssl.crt的路径到自己的公证书/etc/ssl/diaspora/ssl.key的路径到自己的私钥
- 在
upstream块是我们成立了Unix套接字散居听(我们还Unicorn设置更早)。 这在以后的使用proxy_pass指令。 - 第一个
server块监听标准的HTTP端口80和重定向到HTTPS的任何请求。 - 第二个
server模块侦听的端口443(SSL),并将这是从Mozilla的维基采取了一些强大的SSL参数。
sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
sudo systemctl restart nginx
https://example.com ,例如),您应达到侨民欢迎页面。恭喜!
注:如果您使用自签名证书通过点击浏览器的警告。
第1步9 - 创建散居用户
让我们创建你的第一个Diaspora用户。 通过创建一个帐户,单击 开始链接 。 填写详细信息以创建新的Diaspora用户。然后,您应该能够查看您的用户的主页,并开始使用Diaspora社交网络。第2步0 - 配置SELinux(可选)
警告:如果你不熟悉的SELinux,请注意, 这可以打破的东西 。您可以跳过此部分并开始使用Diaspora。默认情况下,CentOS 7 Droplets已禁用SELinux。为了最大的安全性,您可以启用SELinux并将其配置为使用您的Diaspora pod的服务。如果你是新来的SELinux,这里是一系列的教程,你可以参考更多的信息:
启用SELinux
开放/etc/selinux/config在文本编辑器。
sudo vim /etc/selinux/config
SELINUX设置从
disabled到
permissive ,如下图所示。有必要首先设置一个允许状态,因为系统中的每个文件都需要在SELinux被强制执行之前标记它的上下文。
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
sudo reboot
su - username
/etc/selinux/config再次和设置
SELINUX设置为
enforcing 。
sudo vim /etc/selinux/config
SELINUX=enforcing
sudo reboot
SELinux Nginx策略
从这里,你想保持作为root用户。 如果你现在访问您的域名,您将看到一个
502错误呈现。 在我们的例子,SELinux禁止的Nginx的插座,并获得
散居用户的主目录。 您可以使用以下命令检查审计日志:
grep denied /var/log/audit/audit.log
type=AVC msg=audit(1424394514.632:385): avc: denied { search } for pid=1114 comm="nginx" name="diaspora" dev="vda1" ino=783369 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:user_home_dir_t:s0 tclass=dir
type=AVC msg=audit(1424394514.632:386): avc: denied { write } for pid=1114 comm="nginx" name="diaspora.sock" dev="tmpfs" ino=21382 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_run_t:s0 tclass=sock_file
yum install policycoreutils-{python,devel} setroubleshoot-server
audit.log文件,并允许我们SELinx政策
被拒绝的条目。跑:
grep nginx /var/log/audit/audit.log | audit2allow -M nginx_diaspora
nginx_diaspora.te在根的
/home目录(虽然你可以组织在任何位置的SELinux策略)。 二进制
nginx_diaspora.pp应该传递给
semodule命令导入策略。 打开
nginx_diaspora.te ,看看现在被允许的SELinux。
vim nginx_diaspora.te
nginx_diaspora.te下面清单所示。
module nginx_diaspora 1.0;
require {
type var_run_t;
type httpd_t;
type user_home_t;
type init_t;
class sock_file write;
class unix_stream_socket connectto;
class file { read open };
}
#============= httpd_t ==============
allow httpd_t init_t:unix_stream_socket connectto;
#!!!! This avc can be allowed using the boolean 'httpd_read_user_content'
allow httpd_t user_home_t:file { read open };
allow httpd_t var_run_t:sock_file write;
semodule -i nginx_diaspora.pp
简要SELinux故障排除
如果加载欢迎页面但显示损坏的图片占位符,而不是实际图片,请按照下列步骤操作:- 运行下面命令
grep通过audit.log,并添加新条目拒绝对Nginx的政策。
grep nginx /var/log/audit/audit.log | audit2allow -M nginx_diaspora
- 重新加载策略模块。
semodule -i nginx_diaspora.pp
/var/log/messages 。
这将显示您可读的SELinux错误消息,并提供建议的修复程序。
tail -f /var/log/messages
. . .
***** Plugin catchall (100. confidence) suggests **************************
If you believe that nginx should be allowed write access on the sock_file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep nginx /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp
. . .
