Instalar un servidor web LEMP con WordPress y Let’s Encrypt en Debian 9 Stretch. Instalación y configuración del sistema operativo

El 17 de junio de 2017 se publicó la versión estable de Debian 9, por lo que me decidí a reinstalar un servidor y a migrar unos WordPress, a la vez que añadía SSL con Let’s Encrypt. A lo largo de varios posts voy a explicar todo el proceso de instalación.

La idea es realizar la siguiente instalación:

  • Debian 9.
  • nginx 1.10.3-1.
  • MySQL 5.7.
  • PHP 7.0.

En un servidor físico de gama baja, con las siguientes características de hardware:

Esta misma instalación puede ser replicada en cualquier servidor físico, VPS,…

Una vez que tenga la instalación base, lo que voy a hacer es configurar dos instalaciones WordPress y gestionar sus certificados SSL. Las denominaré sitio1.example.org y sitio2.example.org, por lo que los DNS de ambos subdominios (y también del dominio principal example.org) apuntarán a la IP v4 del servidor.

Convenciones

# – indica que el comando que viene a continuación tiene que ser ejecutado con permisos de root directamente con el usuario root o mediante el comando sudo.
$ – indica que el comando que viene a continuación puede ser ejecutado por un usuario normal sin privilegios de administración.

Instalación base

La empresa donde tengo alquilado el servidor proporciona un método muy sencillo de instalación y reinstalación a través de un panel de control web.

En el primer paso del asistente selecciono la distribución Linux que quiero instalar (Debian 9 Stretch 64 bits), el idioma de instalación (siempre está todo más actualizado y depurado en inglés) y la instalación personalizada, para poder configurar las particiones y el kernel que usaré.

Este es el esquema del particiones por defecto que plantea el instalador web.

No voy a usar partición de arranque (boot). Más información de por qué en este enlace.

Voy a tener, por comodidad, 2 particiones: la raíz (/) y la de swap. Es importante controlar el espacio de disco, ya que con esta configuración, si los logs, una web, un usuario,… llenan el espacio del disco, el servidor dejará de responder o lo hará con anomalías. Lo hago de esta forma porque este servidor es propio, sin acceso por terceros que puedan llenar el disco de una forma brusca.

Otra opción, que no voy a usar, aunque es más segura ante esta problemática, es configurar una partición raíz (/) para el sistema y otra para /var, donde se encuentran las webs, los logs,… De esta forma, si se llena el espacio existente en /var el sistema va a seguir respondiendo.

Respecto al tamaño de la partición de swap podrás leer muchas opiniones, y cada administrador tiene su teoría. Yo me remito a las guías de RedHat y de Ubuntu. Como mi servidor tiene 2GB de RAM, voy a usar 4GB para la partición de swap.

Por lo tanto, el esquema de particiones queda de la siguiente forma:

  • Una partición de swap de 4 GB, el doble que la memoria RAM.
  • Una partición de tipo ext4 para el resto del sistema.

A continuación personalizo el hostname y selecciono que se use el núcleo de la distribución, no el que proporciona el ISP para esta instalación.

Se inicia la instalación, que puedo seguir a través del panel de control y, tras unos minutos, recibo las credenciales de acceso por SSH a la máquina por correo electrónico.

Acceso

Me conecto a la máquina por SSH como root, con las credenciales que acabo de recibir, y actualizo el sistema

# apt-get update && apt-get upgrade

Instalación de paquetes básicos

Instalo una serie de paquetes básicos:

# apt-get update && apt-get install git sudo htop ntp needrestart lsb-release curl

A continuación describo los paquetes

  • git. Sistema de control de versiones. Más información en este enlace.
  • sudo. Aplicación que permite ejecutar programas con permisos especiales, normalmente de superusuario. Más información en este enlace.
  • htop. Es un visor de procesos. Más información en este enlace.
  • ntp. Cliente para mantener actualizada la hora del sistema. Más información en este enlace.
  • needrestart. Aplicación que comprueba que servicios necesitan un reinicio tras actualiaciones. Más información en este enlace.
  • lsb-release. Herramienta que permite obtener información sobre la instalación Linux que se ejecuta. Más información en este enlace.
  • curl. Herramienta que permite transferir datos. Más información en este enlace.

Creación de usuario

Creo un usuario, que será el que use para tareas de administración, de tal forma que cuando me conecte a la máquina lo haré con este usuario, ya que en breve voy a desactivar el acceso por SSH al usuario root.

# adduser amieiro
Adding user `amieiro' ...
Adding new group `amieiro' (1000) ...
Adding new user `amieiro' (1000) with group `amieiro' ...
Creating home directory `/home/amieiro' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for amieiro
Enter the new value, or press ENTER for the default
Full Name []:
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Is the information correct? [Y/n] Y

Con esto queda creado el usuario y su espacio de trabajo (/home/amieiro).

Agrego el usuario a los sudoers

A continuación agrego este usuario al archivo /etc/sudoers, de tal forma que pueda convertirse en superusuario y ejecutar cualquier comando. Para ello ejecuto

# sudo visudo

Y edito el archivo. Donde aparecen las siguientes líneas

# User privilege specification
 root ALL=(ALL:ALL) ALL

lo que hago es añadir una para el nuevo usuario, que va a permitir convertirse en superusuario a este usuario.

# User privilege specification
 root ALL=(ALL:ALL) ALL
 amieiro ALL=(ALL:ALL) ALL

La ventaja de ejecutar este comando

# sudo visudo

y no editarlo mediante

# nano /etc/sudoers

es que al tratar de guardar el archivo va a validar la sintaxis del archivo, por si he cometido algún error.

Securización del SSH

Lo siguiente que voy a hacer es deshabilitar el acceso por SSH al usuario root y habilitarlo al usuario que acabo de crear. Para ello edito el archivo /etc/ssh/sshd_config

# nano /etc/ssh/sshd_config

Cambio la línea

PermitRootLogin yes

por

PermitRootLogin no

para que el usuario root no se pueda conectar remotamente.

A continuación habilito el acceso al usuario creado. Para ello, en ese mismo archivo, cambio

PasswordAuthentication yes

por

PasswordAuthentication no
Match User amieiro
PasswordAuthentication yes

De esta forma el usuario amieiro se pueda conectar remotamente mediante usuario/contraseña. Para una mejor protección debería de habilitar el acceso mediante clave pública.

Reinicio el servicio para aplicar los cambios

# systemctl restart sshd.service

Sin cerrar la conexión SSH actual (con root), por si hubiera algún problema en la nueva configuración SSH y quedara sin conexión al servidor, pruebo el acceso SSH con el usuario nuevo

$ ssh amieiro@example.com

Una vez que estoy conectado con el nuevo usuario pruebo que me permite convertirme en superusuario

$ sudo su

y también que no me permite abrir una sesión con el usuario root.

$ ssh root@example.com

Cambio el color del bash

Lo siguiente que voy a hacer es cambiar el color del bash, de tal forma que cuando estoy con el usuario amieiro el bash está en color verde, mientras que cuando escalo privilegios el bash aparece en color rojo, para advertirme de los peligros de usar de forma habitual el superusuario.

Para el usuario amieiro edito su archivo de configuración .bashrc

$ cd /home/amieiro
$ nano .bashrc

Descomento la línea

#force_color_prompt=yes

quedando

force_color_prompt=yes

Recargo la configuración para que se aplique

$ source ~/.bashrc

Hago lo mismo para el usuario root, poniendo el cursor en color rojo

# cd /root
# nano .bashrc

con lo que tengo que añadir la siguiente línea

PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '

Recargo la configuración para que se aplique

# source ~/.bashrc

De esta forma, cuando esté logueado con el usuario amieiro el prompt aparecerá en verde, pero cuando haga sudo, el prompt cambiará a rojo, para alertarme de que estoy con usuario con permisos especiales.

Configuro el editor por defecto

En mi caso voy a seleccionar nano. Para ello ejecuto

# update-alternatives --config editor

There are 3 choices for the alternative editor (providing /usr/bin/editor).

Selection Path Priority Status
------------------------------------------------------------
* 0 /bin/nano 40 auto mode
 1 /bin/nano 40 manual mode
 2 /usr/bin/vim.basic 30 manual mode
 3 /usr/bin/vim.tiny 15 manual mode

Ya está seleccionado por defecto, con lo que pulso Enter y continuo.

Configuro el editor nano para que muestre la línea en la que estoy. Para ello ejecuto

$ echo 'set constantshow' > ~/.nanorc

$ source ~/.nanorc

Con estas instrucciones ya tengo instalado el sistema base.

En la siguiente entrada voy a explicar cómo instalar y configurar los servidores y demás software que necesito ejecutar: MySQL, nginx y PHP.

Actualizaciones

A veces he tenido algún problema para usar los repositorios de Debian, debido a que el cliente apt usa IPv6 por defecto.

Lo que hago es forzar a IPv4 para evitar este problema. Para ello creo un archivo con el contenido indicado en el siguiente comando

echo ‘Acquire::ForceIPv4 “true”;’ | sudo tee /etc/apt/apt.conf.d/99force-ipv4

A continuación ya puedo ejecutar

# apt-get update && apt-get upgrade

Como es un comando largo y que ejecuto periódicamente, lo que hago es un alias.

Para ello edito el .bashrc del root

nano /root/.bashrc

Y añado la línea

alias dale=’apt-get update && apt-get upgrade’

Las próximas veces que inicie la sesión con root o mediante sudo se cargará este alias y solo tendré que ejecutar

# dale

Para cargar en esta misma sesión el alias, ejecuto

# source  /root/.bashrc

Leave a Reply

Your email address will not be published. Required fields are marked *