前書き
LEMPソフトウェアスタックは、動的なWebページおよびWebアプリケーションを提供するために使用できるソフトウェアのグループです。 これは、Nginx(「Engine-X」のように発音されます)Webサーバーを備えたLinuxオペレーティングシステムを表す頭字語です。 バックエンドデータはMySQLデータベースに格納され、動的処理はPHPによって処理されます。
このガイドは、Ubuntu 18.04サーバーにLEMPスタックをインストールする方法を示しています。 Ubuntuオペレーティングシステムは、最初の要件を処理します。 残りのコンポーネントを起動して実行する方法を説明します。
前提条件
このチュートリアルを完了する前に、サーバー上にsudo特権を持つ通常の非rootユーザーアカウントが必要です。 initial server setup guide for Ubuntu 18.04を完了して、このアカウントを設定します。
ユーザーが利用可能になったら、このガイドで説明されている手順を開始できます。
[[step-1 -–- installing-the-nginx-web-server]] ==ステップ1-NginxWebサーバーのインストール
サイト訪問者にWebページを表示するために、最新の効率的なWebサーバーであるNginxを採用します。
この手順で使用されるソフトウェアはすべて、Ubuntuのデフォルトパッケージリポジトリから取得されます。 これは、aptパッケージ管理スイートを使用して必要なインストールを完了することができることを意味します。
このセッションでaptを使用するのはこれが初めてなので、サーバーのパッケージインデックスを更新することから始めます。 その後、サーバーをインストールします。
sudo apt update
sudo apt install nginxUbuntu 18.04では、Nginxはインストール時に実行を開始するように設定されています。
初期設定ガイドで概説されているように、ufwファイアウォールを実行している場合は、Nginxへの接続を許可する必要があります。 Nginxはインストール時にufwに登録されるため、手順はかなり簡単です。
必要なトラフィックを引き続き許可する最も制限の厳しいプロファイルを有効にすることをお勧めします。 このガイドではサーバーのSSLを構成していないため、ポート80でのトラフィックのみを許可する必要があります。
次を入力してこれを有効にします。
sudo ufw allow 'Nginx HTTP'次のコマンドを実行して、変更を確認できます。
sudo ufw statusこのコマンドの出力は、HTTPトラフィックが許可されていることを示します。
OutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx HTTP ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx HTTP (v6) ALLOW Anywhere (v6)新しいファイアウォールルールを追加したら、ウェブブラウザでサーバーのドメイン名またはパブリックIPアドレスにアクセスして、サーバーが稼働しているかどうかをテストできます。
サーバーを指すドメイン名がなく、サーバーのパブリックIPアドレスがわからない場合は、次のコマンドを実行して見つけることができます。
ip addr show eth0 | grep inet | awk '{ print $2; }' | sed 's/\/.*$//'これにより、いくつかのIPアドレスが出力されます。 Webブラウザーで順番に試すことができます。
別の方法として、インターネット上の他の場所から表示されるアクセス可能なIPアドレスを確認できます。
curl -4 icanhazip.comWebブラウザで受け取ったアドレスを入力すると、Nginxのデフォルトのランディングページに移動します。
http://server_domain_or_IP
上記のページが表示されたら、Nginxが正常にインストールされています。
[[step-2 -–- installing-mysql-to-manage-site-data]] ==ステップ2–サイトデータを管理するためのMySQLのインストール
Webサーバーができたので、MySQL(データベース管理システム)をインストールして、サイトのデータを保存および管理する必要があります。
次を入力してMySQLをインストールします。
sudo apt install mysql-serverMySQLデータベースソフトウェアがインストールされましたが、その構成はまだ完了していません。
インストールを保護するために、MySQLには、安全でないデフォルトを変更するかどうかを尋ねるスクリプトが付属しています。 次のように入力して、スクリプトを開始します。
sudo mysql_secure_installationこのスクリプトは、VALIDATE PASSWORD PLUGINを構成するかどうかを尋ねます。
[.warning]#Warning:この機能を有効にすることは、判断の呼びかけのようなものです。 有効にすると、指定された基準に一致しないパスワードがMySQLによって拒否され、エラーが発生します。 これは、phpMyAdminのUbuntuパッケージなど、MySQLユーザー資格情報を自動的に構成するソフトウェアと組み合わせて弱いパスワードを使用すると問題が発生します。 検証を無効のままにしておくのは安全ですが、データベースの資格情報には常に強力で一意のパスワードを使用する必要があります。
#
はいの場合はYと答え、有効にせずに続行する場合は他の何かを答えます。
VALIDATE PASSWORD PLUGIN can be used to test passwords
and improve security. It checks the strength of password
and allows the users to set only those passwords which are
secure enough. Would you like to setup VALIDATE PASSWORD plugin?
Press y|Y for Yes, any other key for No:検証を有効にした場合、スクリプトはパスワード検証のレベルを選択するように求めます。 最強レベルの2を入力すると、数字、大文字と小文字、特殊文字を含まない、または一般的な辞書に基づくパスワードを設定しようとすると、エラーが発生することに注意してください。言葉。
There are three levels of password validation policy:
LOW Length >= 8
MEDIUM Length >= 8, numeric, mixed case, and special characters
STRONG Length >= 8, numeric, mixed case, special characters and dictionary file
Please enter 0 = LOW, 1 = MEDIUM and 2 = STRONG: 1次に、rootパスワードを送信して確認するよう求められます。
Please set the password for root here.
New password:
Re-enter new password:残りの質問については、Yを押し、各プロンプトでENTERキーを押す必要があります。 これにより、一部の匿名ユーザーとテストデータベースが削除され、リモートルートログインが無効になり、これらの新しいルールがロードされ、MySQLが行った変更がすぐに反映されます。
MySQL 5.7(およびそれ以降のバージョン)を実行しているUbuntuシステムでは、root MySQLユーザーは、パスワードではなく、デフォルトでauth_socketプラグインを使用して認証するように設定されていることに注意してください。 これにより、多くの場合、セキュリティと使いやすさが向上しますが、外部プログラム(phpMyAdminなど)がユーザーにアクセスできるようにする必要がある場合にも事態が複雑になります。
auth_socketプラグインを使用してMySQLにアクセスすることがワークフローに適している場合は、ステップ3に進むことができます。 ただし、MySQLにrootとして接続するときにパスワードを使用する場合は、認証方法をauth_socketからmysql_native_passwordに切り替える必要があります。 これを行うには、ターミナルからMySQLプロンプトを開きます。
sudo mysql次に、次のコマンドを使用して、各MySQLユーザーアカウントが使用する認証方法を確認します。
SELECT user,authentication_string,plugin,host FROM mysql.user;Output+------------------+-------------------------------------------+-----------------------+-----------+
| user | authentication_string | plugin | host |
+------------------+-------------------------------------------+-----------------------+-----------+
| root | | auth_socket | localhost |
| mysql.session | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *CC744277A401A7D25BE1CA89AFF17BF607F876FF | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
4 rows in set (0.00 sec)この例では、rootユーザーが実際にauth_socketプラグインを使用して認証していることがわかります。 パスワードで認証するようにrootアカウントを構成するには、次のALTER USERコマンドを実行します。 必ずpasswordを選択した強力なパスワードに変更してください。
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'password';次に、FLUSH PRIVILEGESを実行して、サーバーに許可テーブルを再ロードし、新しい変更を有効にするように指示します。
FLUSH PRIVILEGES;各ユーザーが採用している認証方法をもう一度確認して、rootがauth_socketプラグインを使用して認証されなくなったことを確認します。
SELECT user,authentication_string,plugin,host FROM mysql.user;Output+------------------+-------------------------------------------+-----------------------+-----------+
| user | authentication_string | plugin | host |
+------------------+-------------------------------------------+-----------------------+-----------+
| root | *3636DACC8616D997782ADD0839F92C1571D6D78F | mysql_native_password | localhost |
| mysql.session | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *CC744277A401A7D25BE1CA89AFF17BF607F876FF | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
4 rows in set (0.00 sec)この出力例では、rootMySQLユーザーがパスワードを使用して認証するようになっていることがわかります。 自分のサーバーでこれを確認したら、MySQLシェルを終了できます。
exit[。注意]##
Note:パスワードで認証するようにroot MySQLユーザーを構成すると、以前に使用したsudo mysqlコマンドでMySQLにアクセスできなくなります。 代わりに、次を実行する必要があります。
mysql -u root -p設定したパスワードを入力すると、MySQLプロンプトが表示されます。
この時点で、データベースシステムがセットアップされ、PHPのインストールに進むことができます。
[[step-3 -–- installing-php-and-configuring-nginx-to-use-the-php-processor]] ==ステップ3–PHPのインストールとPHPプロセッサを使用するためのNginxの構成
ページを提供するためにNginxがインストールされ、データを保存および管理するためにMySQLがインストールされました。 ただし、動的コンテンツを生成できるものはまだありません。 これがPHPの出番です。
Nginxには他のWebサーバーのようなネイティブPHP処理が含まれていないため、「fastCGIプロセスマネージャー」を表すphp-fpmをインストールする必要があります。 Nginxに、処理のためにこのソフトウェアにPHPリクエストを渡すように指示します。
[。注意]##
Note:クラウドプロバイダーによっては、php-fpmパッケージをインストールする前に、Ubuntuコミュニティによって管理されている無料のオープンソースソフトウェアを含むUbuntuのuniverseリポジトリを追加する必要がある場合があります。 これを行うには、次のように入力します。
sudo add-apt-repository universephp-fpmモジュールを追加のヘルパーパッケージphp-mysqlと一緒にインストールします。これにより、PHPがデータベースバックエンドと通信できるようになります。 インストールにより、必要なPHPコアファイルが取り込まれます。 次のように入力してこれを行います。
sudo apt install php-fpm php-mysqlこれで、必要なLEMPスタックコンポーネントがすべてインストールされましたが、動的コンテンツにPHPプロセッサを使用するようにNginxに指示するには、いくつかの構成変更を行う必要があります。
これはサーバーブロックレベルで行われます(サーバーブロックはApacheの仮想ホストに似ています)。 これを行うには、/etc/nginx/sites-available/ディレクトリ内の新しいサーバーブロック構成ファイルを開きます。 この例では、新しいサーバーブロック構成ファイルの名前はexample.comですが、任意の名前を付けることができます。
sudo nano /etc/nginx/sites-available/example.comデフォルトのファイルを編集するのではなく、新しいサーバーブロックの設定ファイルを編集することにより、必要に応じてデフォルトの設定を簡単に復元できます。
デフォルトのサーバーブロック構成ファイルから取得してわずかに変更した以下のコンテンツを、新しいサーバーブロック構成ファイルに追加します。
/etc/nginx/sites-available/example.com
server {
listen 80;
root /var/www/html;
index index.php index.html index.htm index.nginx-debian.html;
server_name example.com;
location / {
try_files $uri $uri/ =404;
}
location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
}
location ~ /\.ht {
deny all;
}
}これらの各ディレクティブとロケーションブロックの機能は次のとおりです。
-
listen—Nginxがリッスンするポートを定義します。 この場合、HTTPのデフォルトポートであるポート80でリッスンします。 -
root—Webサイトによって提供されるファイルが保存されるドキュメントルートを定義します。 -
index—インデックスファイルが要求されたときにindex.phpという名前のサービングファイルが利用可能な場合、それらを優先するようにNginxを構成します。 -
server_name—サーバーへの特定の要求に使用するサーバーブロックを定義します。 Point this directive to your server’s domain name or public IP address. -
location /—最初のロケーションブロックにはtry_filesディレクティブが含まれ、URI要求に一致するファイルの存在をチェックします。 Nginxが適切なファイルを見つけられない場合、404エラーを返します。 -
location ~ \.php$—このロケーションブロックは、Nginxがfastcgi-php.conf構成ファイルとphp-fpmに関連付けられているソケットを宣言するphp7.2-fpm.sockファイルを指すことによって実際のPHP処理を処理します。 -
location ~ /\.ht—最後のロケーションブロックは、Nginxが処理しない.htaccessファイルを処理します。deny allディレクティブを追加することにより、.htaccessファイルがドキュメントルートに到達した場合、訪問者には提供されません。
このコンテンツを追加したら、ファイルを保存して閉じます。 新しいサーバーブロック構成ファイル(/etc/nginx/sites-available/ディレクトリ内)から/etc/nginx/sites-enabled/ディレクトリへのシンボリックリンクを作成して、新しいサーバーブロックを有効にします。
sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/次に、デフォルトの構成ファイルを/sites-enabled/ディレクトリからリンク解除します。
sudo unlink /etc/nginx/sites-enabled/default[。注意]##
Note:デフォルト構成を復元する必要がある場合は、次のようにシンボリックリンクを再作成することで復元できます。
sudo ln -s /etc/nginx/sites-available/default /etc/nginx/sites-enabled/次を入力して、新しい構成ファイルの構文エラーをテストします。
sudo nginx -tエラーが報告された場合は、戻ってファイルを再確認してから続行してください。
準備ができたら、Nginxをリロードして必要な変更を加えます。
sudo systemctl reload nginxこれで、LEMPスタックのインストールと構成が完了しました。 ただし、すべてのコンポーネントが相互に通信できることを確認するのが賢明です。
[[step-4 -–- creating-a-php-file-to-test-configuration]] ==ステップ4–構成をテストするためのPHPファイルの作成
これでLEMPスタックが完全にセットアップされました。 これをテストして、Nginxが.phpファイルをPHPプロセッサに正しく渡すことができることを検証できます。
これを行うには、テキストエディタを使用して、ドキュメントルートにinfo.phpというテストPHPファイルを作成します。
sudo nano /var/www/html/info.php新しいファイルに次の行を入力します。 これは、サーバーに関する情報を返す有効なPHPコードです。
/var/www/html/info.php
終了したら、ファイルを保存して閉じます。
これで、サーバーのドメイン名またはパブリックIPアドレスに続けて/info.phpにアクセスすることで、Webブラウザでこのページにアクセスできます。
http://your_server_domain_or_IP/info.phpサーバーに関する情報を含むPHPによって生成されたWebページが表示されます。
このようなページが表示された場合、NginxでPHP処理を正常に設定しました。
Nginxがページを正しく表示することを確認したら、作成したファイルを削除することをお勧めします。実際には、許可されていないユーザーに設定に関するヒントを与え、侵入を試みるのに役立ちます。 後で必要な場合は、いつでもこのファイルを再生成できます。
今のところ、次のように入力してファイルを削除します。
sudo rm /var/www/html/info.phpこれで、Ubuntu 18.04サーバーに完全に構成され機能するLEMPスタックができました。
結論
LEMPスタックは、サーバーからほぼすべてのWebサイトまたはアプリケーションをセットアップして提供できる強力なプラットフォームです。
ここから実行できる次のステップがいくつかあります。 たとえば、サーバーへの接続が保護されていることを確認する必要があります。 この目的のために、secure your Nginx installation with Let’s Encryptを実行できます。 このガイドに従うことにより、サーバーの無料のTLS / SSL証明書を取得し、HTTPSを介してコンテンツを提供できるようになります。