「ubuntu」のapache は「apache2」パッケージで提供されているようですが、名前の違いだけではなく、設定作法が「centos」はかなり違っています。

Apache2インストール

「RockyLinux9」へのインストールは、こちらで紹介しています　ので参考にしてください。
「ubuntu」は「apt install apache2」でインストールします

$ sudo apt update
$ sudo apt upgrade
$ sudo apt install apache2

「ubuntu」は、「apt」でインストールすると、自動的に起動設定が終了しているようですね。

$ systemctl status  apache2
● apache2.service - The Apache HTTP Server
     Loaded: loaded (/usr/lib/systemd/system/apache2.service; enabled; preset: enabled)
     Active: active (running) since Sat 2024-06-20 11:03:54 JST; 9min ago
       Docs: https://httpd.apache.org/docs/2.4/
   Main PID: 73404 (apache2)
      Tasks: 55 (limit: 9342)
     Memory: 5.6M (peak: 6.8M)
        CPU: 108ms
     CGroup: /system.slice/apache2.service
             ├─73404 /usr/sbin/apache2 -k start
             ├─73406 /usr/sbin/apache2 -k start
             └─73407 /usr/sbin/apache2 -k start
$ systemctl is-enabled apache2
enabled

firewalld に許可

前回、ファイヤーウォールは、「firewalld」に切り替えたので「apach2」にも、こちらを参考に、http と https を許可しておきます。
これで、Webブラウザのアドレスバーに、IPアドレスを打ち込むとデフォルトページが表示されるはずです。

apache2 設定作法

「ubuntu」では、「ＣentOS系」とは設定作法がかなり違うようです。
インストール直後の「apach2設定ディレクトリ」を確認してみると

/etc/apache2/
├── apache2.conf
├── conf-available
│   ├── charset.conf
│   ├── ・
├── conf-enabled
│   ├── charset.conf -> ../conf-available/charset.conf
│   ├── ・
├── envvars
├── magic
├── mods-available
│   ├── access_compat.load
│   ├── ・
├── mods-enabled
│   ├── access_compat.load -> ../mods-available/access_compat.load
│   ├── ・
├── ports.conf
├── sites-available
│   ├── 000-default.conf
│   └── default-ssl.conf
└── sites-enabled
    └── 000-default.conf -> ../sites-available/000-default.conf

途中、省略していますが「/etc/apache2」直下には
「apache2.conf」「magic」「envvars」「ports.conf」のファイルがあり
さらに「conf-*」「mods-*」「sites-*」で、
それぞれ「available」「enabled」が付いた名前のディレクトリがあります。

独特なのは、「*-available」と「*-enabled」のディレクトリです。
基本的には、「*-enabled」内のファイルだけが組み込まれますが、「*-enabled」内のファイルは、「*-available」内のファイルのシンボリックリンクになっています。
作法としては、「*-available」内に、設定ファイルを保存し、必要なファイルのみ「*-enabled」にシンボリックリンクを作成する方法です。
シンボリックリンク作成と削除は、専用コマンドが用意されています。

「conf-*」用は「a2enconf」で作成。「a2disconf」で削除
「mods-*」用は「a2enmod」で作成。「a2dismod」で削除
「sites-*」用は、「a2ensite」で作成。「a2dissite」で削除

apache2 のディレクトリ設定変更

筆者は、RockyLinux9 の設定と同様の設定にします。
まずは、「apache2.conf」の、<Directory>のデフォルト設定はコメントとし
Rockyと同様にしました。

・
・
<Directory />
    AllowOverride none
    Require all denied
</Directory>

<Directory "/home/www">
    AllowOverride None
    # Allow open access:
    Require all granted
</Directory>

<Directory "/home/www/html">
    Options FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>
・
・

ホスト名関連は、「sites-enabled」内の「000-default.conf」で設定します。
上述したように、「*-enables」は「*-available」のシンボリックリンクが入っているのでどちらのファイルを編集しても同じです
ただし、バックアップを残す場合には「*-available」のファイルをバックアップします。

$ cd /etc/apache2/sites-available/
$ sudo cp -p 000-default.conf 000-default.conf.org
$ cd /etc/apache2/sites-available/
$ sudo vi ./000-default.conf
・
・
#ServerName www.example.com
　　　↓
ServerName www.hogehoge.com
・
・
ServerAdmin webmaster@localhost
　　　↓
ServerAdmin root@hogehoge.com
・
・
DocumentRoot /var/www/html
　　　↓
DocumentRoot /home/www/html
・

apache2 が作業するユーザーとグループの変更

apache2が処理を要求する時のユーザーとグループを設定します
まずは、メインの設定ファイル、「/etc/apache2/apache2.conf」を覗いてみます。

$ vi /etc/apache2/apache2.conf
・
・
# These need to be set in /etc/apache2/envvars
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}
・
・

設定ファイルにあるように、
${APACHE_RUN_USER}
${APACHE_RUN_GROUP}
この二つの環境変数で設定されていて、この環境変数は、変数上記のコメントにあるように「/etc/apache2/envvars」で設定されています。
「ubintu」はデフォルトでは「www-data」になっていますが、私は「centos」にあわせて「apache」に変更しようと思います。
バックアップを取り、変更します。
続けて、「apache」ユーザーを作成し、ホームディレクトリを「/home/www」とします。

# Since there is no sane way to get the parsed apache2 config in scripts, some
# settings are defined via environment variables and then used in apache2ctl,
# /etc/init.d/apache2, /etc/logrotate.d/apache2, etc.
export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
　　↓
export APACHE_RUN_USER=apache
export APACHE_RUN_GROUP=apache
　　・
　　・

$ sudo useradd -d /home/www -s /sbin/nologin apache

ドキュメントルートディレクトリの作成

Webに公開するコンテンツ格納ディレクトリを設定変更したので、
実際にそのディレクトリを作成します。

# mkdir /home/www
# mkdir /home/www/html
# chown apache:apache /home/www/html/
# ls -la /home/www

# systemctl restart apache2

セキュリティ対策

ICONページ一覧が表示されないようにする

ICONページ一覧の設定は、/etc/apache2/mods-enabled/alias.confで行います。
設定ファイルを開いてみます。

$ vi /etc/apache2/mods-enabled/alias.conf
　　・
　　・
# We include the /icons/ alias for FancyIndexed directory listings.  If
# you do not use FancyIndexing, you may comment this out.

Alias /icons/ "/usr/share/apache2/icons/"

<Directory "/usr/share/apache2/icons">
        Options FollowSymlinks
        AllowOverride None
        Require all granted
</Directory>

「ubuntu」では、「/etc/apache2/conf-enabled」のファイルをメイン設定として読み込みます。
ただし「conf-enabled」内のファイルは、「conf-available」内のファイルのシンボリックリンクになっているので、ファイルのバックアップを取る場合には
「/etc/apache2/conf-available/」内のファイルをバックアップをとり編集します。

「icons」ディレクトリの設定では「Options Indexes」がないので、一覧が表示される事はないと思いますが、その下のファイルをWebブラウザで指定すると表示されます。
特に必要ないので全てコメントにしようと思います。

$ cd /etc/apache2/mods-available
$ sudo cp -p alias.conf alias.conf.org
$ sudo vi alias.conf
　・
#Alias /icons/ "/usr/share/apache2/icons/"

#<Directory "/usr/share/apache2/icons">
#        Options FollowSymlinks
#        AllowOverride None
#        Require all granted
#</Directory>
　・
$ sudo systemctl restart apache2

Apacheバージョン情報を隠す

こちらと同様に、バージョン情報とOSの情報を隠します。
「telnet」で確認します。

$ telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
OPTIONS / HTTP/1.1        <-------入力
host:localhost            <-------入力
                          <-------「Ebter」キー
HTTP/1.1 200 OK
Date: Sun, 23 Jun 2024 09:16:28 GMT
Server: Apache/2.4.58 (Ubuntu) <---- Apacheバージョン情報
Allow: GET,POST,OPTIONS,HEAD
Content-Length: 0
Content-Type: text/html

Connection closed by foreign host.

「/etc/apache2/conf-enabled」の「security.conf」で行いますが、上記と同様に
「/etc/apache2/conf-available/security.conf」のバックアップをとり編集します。

$ cd /etc/apache2/conf-available
$ sudo cp -p security.conf security.conf.org
$ sudo vi ./security.conf

#ServerTokens Minimal
ServerTokens OS
#ServerTokens Full
　　↓
#ServerTokens Minimal
#ServerTokens OS
#ServerTokens Full
ServerTokens ProductOnly

#ServerSignature Off
ServerSignature On
　　↓
ServerSignature Off
#ServerSignature On

$ sudo systemctl restart apache2 

telnetで再確認

$ telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
OPTIONS / HTTP/1.1        <-------入力
host:localhost            <-------入力
                          <-------「Ebter」キー
HTTP/1.1 200 OK
Date: Sun, 23 Jun 2024 09:18:18 GMT
Server: Apache 　　<---- Apacheバージョン情報は消えた
Allow: GET,POST,OPTIONS,HEAD
Content-Length: 0
Content-Type: text/html

Connection closed by foreign host.

X-Frame-Optionsヘッダ設定

クリックジャッキングを防ぐための対策に有効だと言う事なので、
X-Frame-Optionsヘッダ設定をしておこうと思います。
「mod_headers」機能が有効になっているかの確認をします。
有効なモジュール構成は、「/etc/apache2/mods-enabled」に登録されているはずですが、なさそうです。
「*-enabled」はシンボリックが登録されているだけなので、「*-available」内を調べてみます。
「/etc/apache2/mods-available」に「headers.load」が保存されていたので、有効にすることで使用できるようになりますが、設定ファイルも必要です。
X-FRAME-OPTIONSオプションを追加する設定ファイル「headers.conf」を作成します。
次にこのファイルのシンボリックリンクを「*-enabled」に作成しますが、作成するには、「a2enmod」コマンドでおこないます。
リンクが作成できたら、「telnet」で確認してみます。

$ cd /etc/apache2/mods-available
$ sudo vi headers.conf
　　・
#--- 2024.06.23 hogehoge
Header append X-FRAME-OPTIONS "SAMEORIGIN"
　　・

$ sudo a2enmod headers
Enabling module headers.
To activate the new configuration, you need to run:
  systemctl restart apache2

$ sudo systemctl restart apache2
$ telnet localhost 80　　　<---- telnetで確認
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
OPTIONS / HTTP/1.1        <-------入力
host:localhost            <-------入力
                          <-------「Ebter」キー
HTTP/1.1 200 OK
Date: Sun, 23 Jun 2024 09:23:57 GMT
Server: Apache
Allow: GET,POST,OPTIONS,HEAD
X-FRAME-OPTIONS: SAMEORIGIN    <---- 有効確認
Content-Length: 0
Content-Type: text/html

Connection closed by foreign host.

ドキュメントルートにindex.htmlを作成

デフォルトのトップページ「index.html」を作成しておきます。
保存後、ファイルの所有者を「Apache」のユーザー「apache」に変更し再起動しておきます。

$ cd /home/www/html/
# vi ./index.html 
・
<html>
  <body>
    <h1>This website is currently under maintenance.</h1>
  </body>
</html>
・
# chown -R apache:apache /home/www/html/
# systemctl restart apache2

CGIスクリプトを利用する

もし必要であえば、CGIスクリプトを利用できるようにしておきます
「a2enmod cgid」で、「cgid」モジュールを有効にし「serve-cgi-bin.conf」に動作させたいCGIスクリプトを登録するディレクトリの設定を行い、そのディレクトリがなければ作成します。
「AddHandler cgi-script .cgi」では、「.cgi」拡張子のみCGIスクリプトとして使用できます

$ sudo a2enmod cgid
Enabling module cgid.
To activate the new configuration, you need to run:
  systemctl restart apache2

$ cd conf-available/
$ sudo cp -p serve-cgi-bin.conf serve-cgi-bin.conf.org
$ sudo vi ./serve-cgi-bin.conf

<IfModule mod_alias.c>
        <IfModule mod_cgi.c>
                Define ENABLE_USR_LIB_CGI_BIN
        </IfModule>

        <IfModule mod_cgid.c>
                Define ENABLE_USR_LIB_CGI_BIN
        </IfModule>

        <IfDefine ENABLE_USR_LIB_CGI_BIN>
                #AddHandler cgi-script .cgi
                <Directory /home/www/html/script>
                        AllowOverride None
                        Options ExecCGI FollowSymLinks
                        Order allow,deny
                        Allow from all
                        AddHandler cgi-script .cgi
                </Directory>
        </IfDefine>
</IfModule>

$ sudo mkdir /home/www/html/script
$ sudo systemctl restart apache2

apache2設定終了

「apache」の設定は、「RHEL系」とはかなり違っていて、結構時間がかかりました。

Ubuntu24.04LTSでWordPressを構築する記事一覧

インストール・SSH・ファイヤーウォール

Apache2のインストールと設定

SSL、PHP、MariaDB、Let’s Encrypt証明書でhttps化

WordPress インストール、バックアップと復元

Ｒemi リポジトリのインポート

ApacheやPHPの最新バージョンを使用したい場合、Remi リポジトリのインストールが必要なようです。
https://www.linuxcapable.com/how-to-install-php-on-rocky-linux/
ここを参考にインストールしてみようと思いますが、Remi の前に、「crb」を有効にし「epel」のインストールが必要なようです。
その後、「remi」をインストールします。

# dnf config-manager --set-enabled crb
# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
# dnf install https://dl.fedoraproject.org/pub/epel/epel-next-release-latest-9.noarch.rpm
# dnf install dnf-utils http://rpms.remirepo.net/enterprise/remi-release-9.rpm
# dnf repolist 
repo id                           repo の名前
appstream                         Rocky Linux 9 - AppStream
baseos                            Rocky Linux 9 - BaseOS
crb                               Rocky Linux 9 - CRB
epel                              Extra Packages for Enterprise Linux 9 - x86_64
epel-cisco-openh264               Extra Packages for Enterprise Linux 9 openh264 (From Cisco) - x86_64
epel-next                         Extra Packages for Enterprise Linux 9 - Next - x86_64
extras                            Rocky Linux 9 - Extras
remi-modular                      Remi's Modular repository for Enterprise Linux 9 - x86_64
remi-safe                         Safe Remi's RPM repository for Enterprise Linux 9 - x86_64

Apache（httpd）

このサイトでも、下記でcentOS7 にインストールしました。

WWWサーバーのインストール

前回でリモートアクセスが可能になりましたこれで作業がだいぶ楽になりました次はいよいよ、wwwサーバを動作させ外部に発信できるようにしますApacheの導入wwwサーバは、現在は一番メジャーなApacheにします。インストールは 「yum」で 簡単にインストールできますApache関連パッケージの確認...

www.kazuban.com

2019.07.07

httpdのインストール

前回同様に「httpd」「httpd-tools」「mod_ssl」をインストールし、
「httpd」を起動し、サーバを再起動しても自動的に起動するように設定します。

# dnf install httpd httpd-tools mod_ssl
# systemctl start httpd
# systemctl status httpd
● httpd.service - The Apache HTTP Server
     Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; preset: disabled)
     Active: active (running) since Tue 2024-01-02 12:47:29 JST; 16s ago
       Docs: man:httpd.service(8)
・
・
# systemctl enable httpd
# systemctl is-enabled httpd
enabled

Firewalld に許可

前回、「ssh」接続用に管理ゾーンを新規作成しました。
ウェブサーバーは、全体に公開するため、ネットワークアダプタで許可している「public」ゾーンだけに「http」サービスの許可すればいいように思っていいましたが、管理ゾーンの「admin」のアドレスでも確認するので、両方に追加が必要でした。
さらに、後で「https」の設定を行う予定なので、こちらも許可しておきます。

# firewall-cmd --add-service=http --zone=public --permanent
# firewall-cmd --add-service=https --zone=public --permanent
# firewall-cmd --add-service=http --zone=admin --permanent
# firewall-cmd --add-service=https --zone=admin --permanent
success
# firewall-cmd --reload
# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eno1
  sources: 
  services: dhcpv6-client http https
  ports: 
  ・
　・
# firewall-cmd --list-all --zone=admin
admin (active)
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.0.100 192.168.0.101
  services: cockpit dhcpv6-client　http https ssh
  ports: 
  ・
　・

Apacheの動作確認

これで、Apacheのインストールと、Firewalldは終了しています。
自宅LAN内の他のPCのアドレスバーにサーバのIPアドレスを入力すれば、
テストページが表示されるはずです。
例えば、アドレスバーに、http://192.168.1.101（サーバアドレス）と入力して
テストページが表示されれば正常に動作しています

自宅から外部からのアクセスを確認するには、スマホなどのwifi設定を一旦解除し、
LTE接続にしてブラウザのアドレスバーに自宅のグローバルIPアドレス入力で確認できます。
ただし、事前にゲートウェイのルータで、８０番ポートを、このサーバーのＩＰアドレスへ転送するように設定しておく必要があります。
自宅のグローバルアドレスを知る方法はネット上に沢山あります。
例えば、下記サイトでも知る事ができます。
https://www.cman.jp/network/support/go_access.cgi
確認がすんだら、ルータ設定は、すぐに戻しましょう。

Apache設定ファイル・httpd.conf、変更

• 設定ファイルのバックアップ
• Webサーバー管理者メールアドレスの変更
• ホスト名の変更
• Webサーバーが公開するファイルを格納するディレクトリ
  容量が大きくなる事を想定し、「/home」へ変更する
• 公開ディレクトリのファイル一覧を制御させない
• 必要であれば、Webサーバがプログラムを実行するCGIの設定
  デフォルト以外のディレクトリを使用する場合には、そのディレクトリを追加し
  「Options」ディレクティブに「ExecCGI」機能を追加。
  また、「AddHandler」で実行させたいスクリプトの拡張子を定義します。

# cd /etc/httpd/conf/
# cp -p httpd.conf httpd.conf.org
# vi ./httpd.conf
・
・
ServerAdmin root@localhost
↓
ServerAdmin root@hogehoge.com
・
・
# ServerName www.example.com:80
↓
ServerName www.hogehoge.com.com:80
・
・
DocumentRoot "/var/www/html"
↓
DocumentRoot "/home/www/html"
・
・
<Directory "/var/www/html">
↓
<Directory "/home/www/html">
・
・
Options Indexes FollowSymLinks
↓
Options  FollowSymLinks
・
・
#----- 2024.01.04 kazu      <----- CGIをデフォルト以外で使用する例
AddHandler cgi-script .cgi
<Directory /home/www/html/script>
  AllowOverride None
  Options ExecCGI FollowSymLinks
  Order allow,deny
  Allow from all
</Directory>
・
・

ドキュメントルートディレクトリの作成

Webに公開するコンテンツ格納ディレクトリを設定変更したので、
そのディレクトリを作成します。

# mkdir /home/www
# mkdir /home/www/html
# mkdir /home/www/cgi-bin
# chown apache.apache /home/www/html/
# chown apache.apache /home/www/cgi-bin/
# ls -la /home/www

# httpd -t
Syntax OK

セキュリティ対策追加

ちょっと、OSバージョンの違いもありますが、こちらを参考に設定してみました。
https://www.rem-system.com/apache-security01/

テストページが表示されないようにする

テストページは、「/etc/httpd/conf.d/welcome.conf」が表示させてるみたいで
コメントを読むと、表示させたくないなら、「#」を付けてコメントアウトしろとあります。
さらに、削除しても、アップグレードで復活するとあるので、バックアップしてコメントアウトしました。
さらに、http://ドメイン名/icons/　でも「icon」一覧が表示されたりするので
こちらも、コメントアウトにしました。

# cd /etc/httpd/conf.d
# cp -p welcome.conf welcome.conf.org
# cp -p  autoindex.conf  autoindex.conf.org
# vi ./welcome.conf
・
・
#<LocationMatch "^/+$">
#    Options -Indexes
#    ErrorDocument 403 /.noindex.html
#</LocationMatch>

#<Directory /usr/share/httpd/noindex>
#    AllowOverride None
#    Require all granted
#</Directory>
・
・
・
# vi autoindex.conf
・
・
#Alias /icons/ "/usr/share/httpd/icons/"
#<Directory "/usr/share/httpd/icons">
#    Options Indexes MultiViews FollowSymlinks
#    AllowOverride None
#    Require all granted
#</Directory>
・
・
・
# systemctl restart httpd

httpd を再起動すると、表示されなくなりました。

telnet インストール

「telnet」は、ネットワークを介して通信を行うソフトウェアです。
「telnet」を利用する事で、いろいろなポートへのアクセス確認ができます。
これから、HTTPの状況を確認するのに使用するので、まずはインストールします。

# dnf install telnet

Apacheバージョン情報とＴRACEメソッドOFF

現在の状態を調べてみます。

$ telnet localhost 80
Trying ::1...
Connected to localhost.
Escape character is '^]'.
OPTIONS / HTTP/1.1        <-------入力
host:localhost            <-------入力
                            <-------「Ebter」キー
HTTP/1.1 200 OK
Date: Wed, 02 Jan 2024 11:30:54 GMT
Server: Apache/2.4.57 (Rocky Linux) OpenSSL/3.0.7 <---- Apacheバージョン情報
Allow: OPTIONS,HEAD,GET,POST,TRACE
Content-Length: 0
Content-Type: httpd/unix-directory

Connection closed by foreign host.

「 Escape character is ‘^]’. 」の入力待ち後に、
「OPTIONS / HTTP/1.1」「host:localhost」「enter」を入力する必要があります。
「Apache情報」と「TRACE」が有効になっているのがわかります。
セキュリティ的に「無効」にしたほうがいいとの事なので、無効にします。
「/etc/httpd/conf/httpd.conf」の最後に
「ServerTokens ProductOnly」
「ServerSignature off」
「TraceEnable off」を追加。
Apacheを再起動後、再度確認します

# vi /etc/httpd/conf/httpd.conf　<------ 編集開始
・
・
##--- Hogehoge added. 2024/01/03  <------ コメントで日付など残しておくと便利
ServerTokens ProductOnly      <------ Apache情報設定 追加
ServerSignature off
TraceEnable off               <------ TRACE無効 追加
                              <------ 保存
・
# httpd -t
Syntax OK
# systemctl restart httpd    <--- 再起動
# telnet localhost 80        <--- telnet
Trying ::1...
Connected to localhost.
Escape character is '^]'.
OPTIONS / HTTP/1.1  <----- 入力
host:localhost       <-----　入力
                       <---「Enter」キー
HTTP/1.1 200 OK
Date: Wed, 03 Jan 2024 11:38:54 GMT
Server: Apache                   <----- バージョン情報なし
Allow: OPTIONS,HEAD,GET,POST   <--------- TRACE が消えている
Content-Length: 0
Content-Type: httpd/unix-directory

Connection closed by foreign host.

X-Frame-Optionsヘッダ設定

「mod_headers」機能が有効になっているかの確認をします。
「/etc/httpd/conf.modules.d/00-base.conf」で記載があるか？有効か？の確認をします。
記載があり、コメントになっていなければ、有効になっています。

# cat /etc/httpd/conf.modules.d/00-base.conf | grep mod_headers.so
LoadModule headers_module modules/mod_headers.so

「/etc/httpd/conf/httpd.conf」の最後に
「 Header append X-FRAME-OPTIONS “SAMEORIGIN” 」
を追加し、Apacheを再起動し、telnetで確認します

# vi /etc/httpd/conf/httpd.conf　<------ 編集開始
・
・
##--- Hogehoge added. 2024/01/03  <----- 情報としてコメントを付けおく
ServerTokens ProductOnly
ServerSignature off
TraceEnable off
Header append X-FRAME-OPTIONS "SAMEORIGIN"　<----- 追加
                                                 <----- 保存
・
# systemctl restart httpd    <---- 再起動
# telnet localhost 80        <---- telnet
Trying ::1...
Connected to localhost.
Escape character is '^]'.
OPTIONS / HTTP/1.1  <-----入力
host:localhost      <-----入力
                     <「Enter」キー
HTTP/1.1 200 OK
Date: Sat, 03 Dec 2024 12:03:26 GMT
Server: Apache
Allow: GET,POST,OPTIONS,HEAD
X-FRAME-OPTIONS: SAMEORIGIN    <---- 有効
Content-Length: 0
Content-Type: httpd/unix-directory

Connection closed by foreign host.

ドキュメントルートにindex.htmlを作成

上記でドキュメントルートを変更し、新しく作成したので、
デフォルトのトップページ「index.html」を作成しておきます。
保存後、ファイルの所有者を「Apache」のユーザー「apache」に変更し再起動しておきます。

$ cd /home/www/html/
# vi ./index.html 
・
<html>
  <body>
    <h1>This website is currently under maintenance.</h1>
  </body>
</html>
・
    <-----------保存
# chown -R apache.apache /home/www/html/
# httpd -t
Syntax OK
# systemctl restart httpd

自宅LAN内から、ブラウザのアドレスバーに、このサーバーのIPアドレスを入力するとこのページが表示されます。

Let’s Encrypt証明書でhttps化

上の画像でも確認できますが、最近は「http://」では「保護されていない通信」警告が表示されてしまいます。
「https化」は必須ですね。
ただし、https://はホスト名でのアクセスが必要になります、自宅のサーバーを公開するには、独自ドメインとDNSサーバーが必要になります。
このサイトのドメインはこちらで取得しました
独自ドメインの取得と管理は若干のコストがかかりますが、DNS管理は無料のサービスもあります。
ドメイン取得と「https化」の記事は、下記でも紹介しています。

HTTPS化

今回の自宅サーバーの再構築は、自宅サイトの「https」化ですやっとここまでたどりつきましたまたしても、こちらのサイトを参考にさせていただきました今回も流れはこのサイトに則って作業しますが、自分の環境に合わせて覚書きとして書き残しておきたいと思いますホスト名でのアクセスが必要http の場合は、IP...

www.kazuban.com

2019.07.19

ファイヤーウォール設定の確認

Firewallサービスで「https」を許可している必要があります。
上記ですでに設定済みですが、再度確認してみます。

# firewall-cmd --get-active-zones
admin
  sources: 192.168.0.100 192.168.0.101
public
  interfaces: eno1
# firewall-cmd --list-all --zone=public | grep services
  services: dhcpv6-client http https
# firewall-cmd --list-all --zone=admin | grep services
  services: cockpit dhcpv6-client http https ssh

「adminゾーン」と「publicゾーン」へ許可されています。

sslモジュールの確認

こちらも、「httpdのインストール」時に、追加インストールしましたが、確認してみます。

#  dnf list installed | grep mod_ssl
mod_ssl.x86_64  1:2.4.57-5.el9 @appstream   
# httpd -M | grep ssl
ssl_module (shared)

登録されていました。

Certbot クライアントのインストール

Let’s Encrypt は、クライアントソフトウェア「Certbot」を使用することで、SSL/TLS サーバ証明書の取得・更新作業を自動化できる仕組みになっています。
まずは、パッケージが用意されているか確認してみます。

# dnf list --all | grep certbot
certbot.noarch  2.6.0-1.el9  epel 
・
・     

EPELリポジトリに含まれていました。
Let’s Encrypt総合サイト情報を参考にインストールします。

# dnf install certbot
# dnf install python-certbot-apache
・
# dnf list installed | grep certbot      <----------- インストール確認
certbot.noarch                2.6.0-1.el9   @epel        
python3-certbot.noarch        2.6.0-1.el9   @epel        
python3-certbot-apache.noarch 2.6.0-1.el9   @epel
・
# which certbot         <---------- インストール場所の確認
/usr/bin/certbot

インストールは完了しました。

certbot で証明書発行

certbotには、いくつかのプラグインがありますが、すでにWebサーバーが動作している場合には「webroot プラグイン」が使えます。
これは、Webサーバーの動作を変更する必要はないですが、外部からサーバーの８０番ポートにアクセスできる必要があります。
Webサーバーが動作していない場合には、「Standaloneプラグイン」が使えます。
ただし、もし動作している場合には、停止しておく必要があります。
今回は、「webroot プラグイン」でやってみます。
追加するオプションは、「certonly」「–webroot」に「-w」オプションで、証明書ファイルを保存するディレクトリ、「-d」で証明書を適応するホスト名を指定します。

# certbot certonly --webroot -w /home/www/html/ -d www.hogehoge.com -d hogehoge.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): 　　　　　<------自分のEメールアドレスを入力

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
 https://letsencrypt.org/documents/LE-SA-v1.3-September-21-2022.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y　<----- 利用規約を読んでください

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y  <--------- 電子フロンティア財団からEメールが届いてもいいか？
Account registered.
Requesting a certificate for www.hogehoge.com and hogehoge.com

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/www.hogehoge.com/privkey.pem
This certificate expires on 2024-01-03.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

無事に証明書をGETできました！
証明書は３か月で更新になります。
更新は、「certbot」の「renew」で行いますが、「–dry-run」をつける事で確認できます。

# certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/www.hogehoge.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Simulating renewal of an existing certificate for www.hogehoge.com and hogehoge.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded: 
  /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

「Congratulations」で、更新可能の確認ができました。

SSLサーバ証明書の設定

発行してもらった証明書を、設定ファイルに反映させます
「/etc/httpd/conf.d」内の「ssl.conf」を編集します

$ cd /etc/httpd/conf.d
$ sudo cp -p ssl.conf ssl.conf.20240103  <---- バックアップしておく
$ sudo vi ./ssl.conf
・

#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/letsencrypt/live/www.hogehoge.com/fullchain.pem
・
・
#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/letsencrypt/live/www.hogehoge.com/privkey.pem
・
・
・                 <--- 保存
$ sudo httpd -t 
Syntax OK

$ sudo systemctl restart httpd
$ sudo systemctl status httpd

https:// でのアクセス確認

https://ドメイン名　でアクセスできるかの確認をします。
外部からの確認は、ルータの４４３ポートを通しておくと確認できますが、
同じLAN内でのPCでは、「hosts」ファイルを編集する事で可能になります
WindowsPCであれば、「C:\Windows\System32\drivers\etc\hosts」
linux であれば、「/etc/hosts」を編集します

192.168.1.101 www.hogehoge.com

これで、ローカル内であっても、「https://ドメイン名」でアクセス可能になります。

ApacheでHTTP/2を利用する

HTTP/2 を利用するには、次の環境が必要になります
参考：https://www.value-domain.com/media/http2/

・通信の暗号化が必須で、SSLサーバー証明書が必要です。
・マルチスレッド機能であるeventMPMが有効である事

eventMPMモジュールとhttp2モジュールの確認

eventMPMとhttp2モジュールは、RockyLinux9ではデフォルトで有効になっているようです。
確認してみます。

# httpd -M | grep mpm
 mpm_event_module (shared)
# httpd -M | grep http2
 http2_module (shared)
 proxy_http2_module (shared)

有効になっていました。

http2を有効にする

参考：Red Hat Customer Portal
まず、現状を確認してみます。
筆者は、Google Chrome で確認してみました。
Chromeを起動後、「F12」を押すと、表示されたWebページの横に
開発ツールのページが表示されます。
ここで、確認したい「https://www.hogehoge.com」のページを表示すると
「Network」タブの「Protocol」で確認できます。
「https://」でのアクセスになるので、IPアドレスではなくドメインになります。
ここでもし、「Name・・・Protocol」の表が出ていない場合には、「Ctrl」+「R」で
再読み込みすると、出てきます。

私の環境では、「http/1.1」で通信しているのが分かります。
ここで、参考ページを参考に、設定しようと思います。
仮想ホスト　ごとに、設定する場合、<VirtualHost>ディレクティブの下の行で設定するようですが、全てのサーバーで有効にするには、メインの設定ファイル「httpd.conf」に追加するようです。
特に今回の私の環境は、仮想ホスト設定にはしていないので、メインで設定します。

# vi /etc/httpd/conf/httpd.conf
・
・
##----- added. 2024/01/03
<IfModule http2_module>
    Protocols h2 http/1.1
    ProtocolsHonorOrder on
</IfModule>
・
# systemctl restart httpd

最終行に、追加しまし、再起動しました。
再度、Chromeで確認してみます。
「http/1.1」から変化がない場合には、
Chromeの場合では、「Ctrl」+「Shift」+「Delete」で閲覧履歴データを削除し
ブラウザでページを表して「F12」で確認します。
「Protocol」が表示されていない場合には、「CTRL」+「R」やキャッシュ削除してみてください。

「h2」となっている事から、http2 で通信されている事が確認できます。

RockyLinux9.3で自宅サーバーを再構築・記事一覧

インストール

SSHでリモート管理

firewalldでアクセス制御

Apache編

PHP8.2とMariaDB10.5編

WordPress インストール

WordPress のバックアップとリストア

postfix で送信専用メールサーバー構築

またしても、こちらのサイトを参考にさせていただきました
今回も流れはこのサイトに則って作業しますが、自分の環境に合わせて覚書きとして書き残しておきたいと思います

http の場合は、IPアドレスでのアクセスも可能でしたが、https になると「ホスト名」でのアクセスを可能にする必要があるようです。
ちょっと実験してみます。
まずは、メジャーなサイトのIPアドレスを取り出して、そのIPアドレスでアクセスしてみます。
「host」コマンドでゲットできます。
「host」コマンドが利用できない場合には、「bind-utils」をインストールする事で使用できるようになります。

$ host yahoo.co.jp
 yahoo.co.jp has address 182.22.59.229
 yahoo.co.jp has address 183.79.135.206
 yahoo.co.jp mail is handled by 10 mx2.mail.yahoo.co.jp.
 yahoo.co.jp mail is handled by 10 mx1.mail.yahoo.co.jp.
 yahoo.co.jp mail is handled by 10 mx3.mail.yahoo.co.jp.
 yahoo.co.jp mail is handled by 10 mx5.mail.yahoo.co.jp.

２種類でで来ましたが、どちらでもいいと思います
ウェブブラウザのアドレスバーでこのアドレスでアクセスしてみます
「http://182.22.59.229」

保護されていない通信との警告がでて、一部表示できないコンテンツがありますが、とりあえず通常どおりにアクセスできました

次に、「https://182.22.59.229」でアクセスしてみます

正常に表示されません。Chromeは警告をだしました。

次に、ホスト名でアクセスしてみます
「https://yahoo.co.jp」

ホスト名であれば、正常に表示されました。
やはり、自分のサイトを「https」化する場合には、ホスト名でアクセスできるようにしなければいけません。

ホスト名でのアクセスを可能にする

会社などの場合のように、プロバイダに固定IPで契約すれば、ホスト名でアクセスできるように設定された、DNS設定が利用できると思いますが、自宅のような個人でおこなう場合結構費用もかかるので、インターネット接続プロバイダの標準設定で運用したいです。
この場合一番重要なのは、プロバイダからグローバルIPが提供されているか？が問題になってきます
インターネットに出て行く場合には、自宅内のPCにグローバルIPを意識する必要ありませんが、インターネット側から自宅サーバへアクセスするには、グローバルIPが必須となります
自宅は、「auひかり」ですが、だいたいのプロバイダは、グローバルIPが提供されると思います。
ただし、このIPは固定でなくて、動的IPの場合が多いと思います
動的IPの場合突然、IPアドレスが変わってしまう事があるので、動的に対応した設定をしておかなくてはいけません。
ネットで調べると、この動的IPに対応したサービスをしているサイトが見つかります。その中で私は「 https://www.mydns.jp/」を利用させていただいています。
無料で利用できるので、本当感謝です
ここの「JOIN US」のページで登録する事で利用できるようになります
設定がすんだら、「host」コマンドで正常にIPが表示されれば準備完了です

$ host www.hogehoge.com
 www.hogehoge.com has address  183.79.135.206 

ファイアウォールの設定とSSLモジュールの確認

ファイアウォールの確認と設定

ファイアウォールの設定は、「firewall-cmd」を使用します。
「–list-all」のオプションで確認し、「–add-service=https」で追加、「–permanent」で恒久的に反映します。
ただし、 「–permanent」の場合には、 「firewall-cmd」 を再起動させる必要があります

$ sudo firewall-cmd --list-all    <------ 確認
 public (active)
   target: default
   icmp-block-inversion: no
   interfaces: wlp8s0
   sources:
   services: ssh dhcpv6-client http    <--------- https は許可されていない
   ports:
   protocols:
   masquerade: no
   forward-ports:
   source-ports:
   icmp-blocks:
   rich rules:
 $ sudo firewall-cmd --add-service=https --permanent  <- サービスを追加
 success

 $ sudo firewall-cmd --reload   <---------- 再起動
 success

 $ sudo firewall-cmd --list-all  <-------- 再確認
 public (active)
   target: default
   icmp-block-inversion: no
   interfaces: wlp8s0
   sources:
   services: ssh dhcpv6-client http https   <-------- 追加された
   ports:
   protocols:
   masquerade: no
   forward-ports:
   source-ports:
   icmp-blocks:
   rich rules:

SSLモジュールの確認・インストール

前回の apache のインストール でmod_sslもインストールしましたが、再度確認し、もしインストールされていなければ、インストールします。
インストールの確認は、「yum list installed」で、
インストールは「yum install」で、モジュール登録の確認は「httpd -M」で行います

$ sudo yum -y install mod_ssl　　　<----------- とりあえずインストール
 読み込んだプラグイン:fastestmirror, langpacks
 Loading mirror speeds from cached hostfile
 base: ftp.iij.ad.jp
 extras: ftp.iij.ad.jp
 updates: ftp.iij.ad.jp
 パッケージ 1:mod_ssl-2.4.6-89.el7.centos.x86_64 はインストール済みか最新バージョンです
 何もしません 　　　　<---------- 私の環境ではすでにインストール済みでした

 $ yum list installed | grep mod_ssl      <-------- インストール済みの確認
 mod_ssl.x86_64       1:2.4.6-89.el7.centos          @updates

 $ sudo httpd -M | grep ssl   <-------- sslモジュールの登録の確認
  ssl_module (shared)

 $ sudo systemctl restart httpd  <-------- httpd の再起動
 $ sudo systemctl status httpd   <-------- httpd の状態の確認

Let’s Encrypt で証明書をGET！

「https」でssl通信するには、自分のサイトが安全だと言う事を証明してもらわなうてはいけません。
証明書を発行してくれる機関は沢山ありますが、結構いいお値段です。
そんな中で、「Let’s Encrypt」は無料で証明書を発行してくれます。
「Let’s Encrypt」 は、「certbot」というソフトウェアを利用して証明書を発行してくれるシステムなので、まずは「certbot」を動作させる必要があります。
以前私は、「VineLinux」でサーバーを構築していましたが、「 certbot 」に対応していませんでした。
ネットの情報集めて挑戦してみましたが、私のレベルでは断念しました。
それで、対応している、「centOS7」で再構築したのが、このサイトです

certbot のインストール

「 certbot 」のインストール方法は、「Let’s Encrypt総合ポータル」にも情報があります。
centOS7の場合には、 EPEL (Extra Packages for Enterprise Linux) リポジトリからインストールすることができるようです。

$ sudo yum -y install epel-release
$ sudo yum -y install certbot
$ sudo yum -y install python2-certbot-apache

$ yum list installed | grep certbot        <------ インストール済みの確認
 certbot.noarch                0.31.0-2.el7                   @epel
 python2-certbot.noarch        0.31.0-2.el7                   @epel
 python2-certbot-apache.noarch 0.31.0-1.el7                   @epel

$ which certbot <---------- インストール場所の確認 
 /usr/bin/certbot

証明書はインストールした、「certbot」コマンドで発行しますが、発行の方法によりよく使われるプラグインが２つあります
「Standalone」と「Webroot」です

Standalone プラグイン

「Let’s Encrypt 総合ポータル」には、下記のような説明があります
ようするに、Webサーバーが動いていなくても証明書の取得ができるけど、逆に考えると、Webサーバーが動いていると取得できないと言う事です

SSL/TLS サーバ証明書の取得のみを行ないます。
※ドメイン使用権者の認証（Let’s Encrypt のサーバから、証明書を取得するドメイン名を正引きしたIPアドレスに接続することによる認証）の際には、Certbot クライアントに内蔵されている簡易的なウェブサーバが機能が一時的に使われます。
※このプラグインは TCP Port 80 もしくは TCP Port 443 を使うため、当該 Port を Listen している動作中のウェブサーバを一時的に終了させる必要があります。
※当サイトのチュートリアル Let’s Encrypt の使い方 では、このプラグインを使用した Let’s Encrypt 導入方法を解説しています

webroot プラグイン

こちらも「Let’s Encrypt 総合ポータル」に、下記のような説明があります
こちらは、すでにWebサーバーが動いている場合です。
すでに動作しているWebサーバーを停止しなくていもいいが、外部から自宅のWebサーバー（８０番ポート）にアクセスできる必要があります
したがって、サーバーの設定だけでなく、自宅サーバーへの入り口になるルータ（ゲートウェイ）の設定で、８０番ポートをオープンして、対象のWebサーバーと紐付けしておく必要があります

動作中のウェブサーバのドキュメントルートディレクトリ以下に、ドメイン使用権者の認証用のファイルを自動的に設置することにより、SSL/TLS サーバ証明書の取得を行います。
※動作中の httpd（TCP Port 80 や TCP Port 443 など）のサービスを停止させる必要はありません。
※Certbot クライアントを、証明書を取得するドメイン名を運用しているウェブサーバ（DNSの正引きしたIPアドレスのウェブサーバ）で実行する必要があります。また、httpd が動作中である必要があります。

certbot コマンドの実行

いよいよ、証明書を取得してみようと思います。
今の環境では、Webサーバーは動作し、外部からもアクセス可能な状態なので、
「webroot」プラグインを使用します。
また「-w」オプションで、証明書ファイルを保存するディレクトリを指定します
「-d」は証明書を適応するホスト名を指定します

$ sudo certbot certonly --webroot -w /home/www/html/ -d www.hogehoge.com -d hogehoge.com
　・
　・
              対話型で質問が表示されます
Enter email address .......   <--------------- Eメールアドレスを入力
Please read the Terms of Service at ....  <------- 同意するか？(A入力)
Would you be willing to share your email address with the Electronic Frontier
・
・     <------------ メールアドレスを共有するか？　(Y)es　or  (N)o: 

設定が終わりました。
これで、証明書の発行が始まるはずですが・・・・うまくいかな～い！

どうも、ドキュメントルート「/home/www/html」に作成した「index.html」が拒否しているみたい。
「curl」コマンドでリクエストしてみます

$ curl http://localhost/
 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
 <html><head>
 <title<403 Forbidden</title＞
 </head><body>
 <h1>Forbidden</h1>
 <p>You don't have permission to access /
 on this server.</p>
 </body></html>

たぶん、「SELinux」で、ドキュメントルートとして作成した「/home/www/html」へのアクセスが制限されているみたいです。
せっかく標準で有効になっているので、どうにか使用したいと思いGUI版をインストールしてみました。

$ sudo yum install policycoreutils-gui

GUI環境で設定できそうですが、結局よくわからない
無効にすることにしました。
無効にするには、このGUIでもできますし、「/etc/selinux/config」を編集すればよさそうです

$ cd /etc/selinux/
$ sudo vi ./config
---------------------------------
SELINUX=disabled  <---------------  disabled に設定

設定後は、システムの再起動が必要です
再起動後、再度確認してみます

$ curl http://localhost/
 <html>
   <body>
    home www test page
   </body>
 </html>

     今度は出てきましたので、再度「certbot」実行

$ sudo certbot certonly --webroot -w /home/www/html/ -d www.hogehoge.com -d hogehoge.com

     今度は ”Congratulations!” が出てくれました!
     証明書が自動保存されるディレクトリを確認してみます

$ cd /etc/letsencrypt/
$ ls
accounts  archive  csr  keys  live  renewal  renewal-hooks

あった、あった、「live」の中の、指定ホスト名と同じディレクトリの中に証明書が保存されています。
ファイルを確認するには、rootになる必要があります

SSLサーバ証明書の設定

「/etc/httpd/conf.d」内の「ssl.conf」に証明書ファイルを設定します
とりあえず、現在の「ssl.conf」ファイルは名前を変えて残しておきます

$ cd /etc/httpd/conf.d
$ sudo cp -p ssl.conf ssl.conf.20190502  <---- バックアップしておく
$ sudo vi ./ssl.conf
・
#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/letsencrypt/live/www.hogehoge.com/cert.pem
・
・
#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile 
/etc/letsencrypt/live/hogehoge.com/privkey.pem
・
・
#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
SSLCertificateChainFile /etc/letsencrypt/live/www.hogehoge.com/chain.pem

　　　保存して確認しますが、「sudo」ではなく「su」でroot になる必要があります
#httpd -t
Syntax OK

$ sudo systemctl restart httpd
$ sudo systemctl status httpd

httpsでアクセスできるかの確認

確認するには、ウェブブラウザで確認しますが、https はIPアドレスではアクセスできません。
ホスト名でアクセスする必要があります。
「https://www.hogehoge.com」
また、外部からのアクセスには、４４３ポートを開放し、サーバと紐づけしておく必要があります

ところが、私の環境では自宅内にサーバがあり、自宅内のPCのブラウザで確認しようとしてもできません。
自宅の環境は、外部のDDNSを使わせていただいているからかもしれません。
外部からなら確認できると思うので、スマホがあれば自宅内の wifi設定を無効にすれば確認できました。
やっぱり、自宅内のWindowsPCからでも確認したい場合には、Widowsの「hosts」を編集します
「C:\Windows\System32\drivers\etc\hosts」

192.168.1.101 hogehoge.com
192.168.1.101 www.hogehoge.com

これで、再度 「https://www.hogehoge.com」 を入力して表示されれば、正常にSSLで通信できています。

証明書更新の確認

更新は、「certbot」の「renew」で行いますが、「–dry-run」をつける事で確認のに行えるようです。

$ sudo certbot renew --dry-run
  これで、「Congratulations, all renewals succeeded.」が表示されれば更新も正常にできるようです。

Let’s Encrypt の証明書は、３か月で更新が必要なので、後日自動更新できるようにも設定してみようと思います

まずは、目標のhttps化が完了

どうには、今回の目標の一つでもある、https化が完了しました。
これから、メールサーバとWordPress の設定をしていきます。

自宅でWordPressを動かそう！

前回でリモートアクセスが可能になりました

これで作業がだいぶ楽になりました
次はいよいよ、wwwサーバを動作させ外部に発信できるようにします

Apacheの導入

wwwサーバは、現在は一番メジャーなApacheにします。
インストールは 「yum」で 簡単にインストールできます

Apache関連パッケージの確認

パッケージの確認は、「yum list」で確認できますが
apache のパッケージは「apache」ではなく「httpd」のようです

$ yum list | grep httpd
     httpd.x86_64         2.4.6-89.el7.centos         updates
     httpd-devel.x86_64   2.4.6-89.el7.centos         updates
     httpd-manual.noarch  2.4.6-89.el7.centos         updates
     httpd-tools.x86_64   2.4.6-89.el7.centos         updates
     keycloak-httpd-client-install.noarch  0.6-3.el7  base
     libmicrohttpd.i686                 0.9.33-2.el7  base
     libmicrohttpd.x86_64               0.9.33-2.el7  base
     libmicrohttpd-devel.i686           0.9.33-2.el7  base
     libmicrohttpd-devel.x86_64         0.9.33-2.el7  base
     libmicrohttpd-doc.noarch           0.9.33-2.el7  base
     python2-keycloak-httpd-client-install.noarch

この中で、「httpd」「httpd-tools」をインストール
さらに、「ssl」の利用を考えているので「mod_ssl」もインストール
インストールは「yum install パッケージ名　パッケージ名　・・」でインストールします

$ sudo yum install httpd httpd-tools mod_ssl
 読み込んだプラグイン:fastestmirror, langpacks
 Loading mirror speeds from cached hostfile
 base: ftp.iij.ad.jp
 extras: ftp.iij.ad.jp
 updates: ftp.iij.ad.jp
 依存性の解決をしています
 --> トランザクションの確認を実行しています。
　　・
　　・
 --> 依存性解決を終了しました。 
 依存性を解決しました
======================================================
 Package   アーキテクチャー   バージョン   リポジトリー    容量
======================================================
 インストール中:
  httpd   　　x86_64    2.4.6-89.el7.centos   updates     2.7 M
  httpd-tools x86_64    2.4.6-89.el7.centos  　updates    90 k
  mod_ssl     x86_64    1:2.4.6-89.el7.centos  updates   112 k
 依存性関連でのインストールをします:
  apr         x86_64    1.4.8-3.el7_4.1        base      103 k
  apr-util    x86_64    1.5.2-6.el7            base      92 k
  mailcap     noarch    2.1.41-2.el7           base      31 k
 トランザクションの要約
 インストール  3 パッケージ (+3 個の依存関係のパッケージ)
 総ダウンロード容量: 3.1 M
 インストール容量: 10 M
 Is this ok [y/d/N]: y
　　・
　　・ 
完了しました!

無事にインストールは完了しました
hddpdを起動し、確認してみます
サービスの動作は、「systemctl」で行います
再起動は「start」 、再起動は、「restart」 、確認は「status」です

$ sudo systemctl start httpd
$ sudo systemctl status httpd
 ● httpd.service - The Apache HTTP Server
    Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
    Active:active (running) since 水 2019-05-01 10:40:57 JST; 1min 13s ago
      Docs: man:httpd(8)
            man:apachectl(8)
  Main PID: 13875 (httpd)
    Status: "Total requests: 0; Current requests/sec: 0; Current traffic:   0 B/sec"
     Tasks: 6
    CGroup: /system.slice/httpd.service
            tq13875 /usr/sbin/httpd -DFOREGROUND
            tq13887 /usr/sbin/httpd -DFOREGROUND
            tq13888 /usr/sbin/httpd -DFOREGROUND
            tq13889 /usr/sbin/httpd -DFOREGROUND
            tq13890 /usr/sbin/httpd -DFOREGROUND
            mq13891 /usr/sbin/httpd -DFOREGROUND
 5月 01 10:40:57 server.kazuban.com systemd[1]: Starting The Apache HTTP Server…
  5月 01 10:40:57 server.kazuban.com systemd[1]: Started The Apache HTTP Server.

緑色で 「active (running)」が表示されています。
正常に起動しています

自動起動するように設定

サーバを再起動しても自動的に起動するように設定します
自動起動の設定も、「systemctl」で行います
自動設定は「enable」 、無効設定は、「disable」 、有無確認は「is-enabled」です
まずは、確認してみます

$ systemctl is-enabled httpd
 disabled
　　やはり自動設定は無効になってますから、有効にします
$ sudo systemctl enable httpd
 Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
　　再度確認
$ sudo systemctl is-enabled httpd
 enabled
　　有効になっています

パケットフィルタリングの設定

centOS7は標準でファイアウォールが動作しているので、httpdのポートを許可する必要があります
ファイヤーウォールは「firewall-cmd」コマンドで設定します
「–add-service」で許可するサービスを追加しますが、このオプションだけでは、一時的な設定となるためFirewalldを再起動すると設定は消えてしまうようです。
永続的に設定するには、二通りあるゆです
「–runtime-to-permanent」で一時設定を永続設定に保存する方法と、 「–add-service」 の時に、「- -permanent 」も同時に指定する事もできます
ただし、後者の場合には、「 firewall-cmd –reload 」でリロードする必要があります
それでは、「http」を追加してみます

$ sudo firewall-cmd --add-service=http
 success
 $ sudo firewall-cmd --runtime-to-permanent
 success

　　　確認してみます

$ sudo firewall-cmd --list-all
public (active)
   target: default
   icmp-block-inversion: no
   interfaces: enp9s0f0 wlp8s0
   sources:
   services: ssh dhcpv6-client http
   ports:
   protocols:
   masquerade: no
   forward-ports:
   source-ports:
   icmp-blocks:
   rich rules:

「http」が追加されています

動作の確認

この状態で、WWWサーバは動作していますから、自宅内の他のPCのウェブブラウザでサーバのIPアドレスを入力すれば、ウェルカムページが表示されます
例えば、アドレスバーに、http://192.168.1.101（サーバアドレス）
ウェルカムページが表示されれば正常に動作しています

外部からのアクセス

外部からのアクセスを確認するには、ゲートウェイ（ルータ）で８０番ポートをこのサーバーを指定して開放する必要があります
私の環境では「ポートマッピング」という項目でした
サーバーのアドレスに８０番ポートを設定します

外部からアクセスするには、自宅のグローバルIPを知る必要があります
方法はネットで検索するといろいろヒットします。
例えば、自宅内PCから下記にアクセスすると、知ることができます
https://www.cman.jp/network/support/go_access.cgi
自宅のグローバルIPが分かったら、外部のPCのアドレスバーに http://「サーバアドレス」でウェルカムページが表示されるはずです
自宅内から確認したい場合、スマホなどでwifiの設定を無効して、アドレスを指定すれば、同様のウェルカムページが表示されれば外部への公開が確認できます。

確認が済んだら、外部アクセスは不可にする

インストール後の標準の状態では、セキュリティ的には危険が一杯のようです。
確認が済んだら、再度ルータの設定で８０番の開放は不可にしておいたほうがいいと思います
https://www.rem-system.com/apache-security01/
公開する前には、こちらを参考に設定変更後にしたいと思います

自宅でWordPressを動かそう！