8.7 KiB
| title | description | menu | ||||||
|---|---|---|---|---|---|---|---|---|
| Instalacja | Jak zainstalować Mastodona na serwerze z Ubuntu 18.04 |
|
Podstawowa konfiguracja serwera (nieobowiązkowa)
Jeżeli konfigurujesz nowe urządzenie, zalecane jest zabezpieczenie go. Załóżmy, że korzystasz z Ubuntu 18.04:
Nie pozwól na logowanie przez SSH z użyciem hasła (tylko kluczem)
Na początek upewnij się, że jesteś zalogowany(-a) z użyciem klucza, nie hasła – w przeciwnym razie zostaniesz zablokowany(-a). Wielu dostawców hostingu daje możliwość wysłania klucza publicznego i automatycznie konfiguruje logowanie użytkownika root z użyciem klucza.
Edytuj /etc/ssh/sshd_config i znajdź PasswordAuthentication. Upewnij się, że nie jest ono skomentowane i jest ustawione na no. Po dokonaniu zmian uruchom ponownie sshd:
systemctl restart ssh
Aktualizacja pakietów systemowych
apt update && apt upgrade -y
Instalacja fail2ban, aby blokował po wielu nieudanych próbach logowania
apt install fail2ban
Edytuj /etc/fail2ban/jail.local i dodaj:
[DEFAULT]
destemail = twój@email.tutaj
sendername = Fail2Ban
[sshd]
enabled = true
port = 22
[sshd-ddos]
enabled = true
port = 22
Na koniec, uruchom ponownie fail2ban:
systemctl restart fail2ban
Zainstaluj firewall i odblokuj tylko porty SSH, HTTP i HTTPS
Na początek, zainstaluj iptables-persistent. Podczas instalacji zostaniesz zapytany(-a), czy chcesz pozostawić obecne zasady – odmów.
apt install -y iptables-persistent
Edytuj /etc/iptables/rules.v4 i dodaj:z
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
# The -dport number should be the same port number you set in sshd_config
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Reject all other inbound - default deny unless explicitly allowed policy
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
Dzięki iptables-persistent, ta konfiguracja będzie ładowana w trakcie uruchomienia systemu. Ponieważ nie zamierzamy go teraz uruchomić ponownie, załadujmy ją ręcznie:
iptables-restore < /etc/iptables/rules.v4
Wymagania wstępne
- Urządzenie z systemem Ubuntu 18.04 wraz z dostępem do roota
- Domena (lub subdomena) dla serwera Mastodona, np.
example.com - Usługa doręczania e-maili lub inny serwer SMTP
Wykonaj te polecenia jako root. Jeżeli nie jesteś obecnie na koncie roota, przełącz się na nie:
sudo -i
Repozytoria systemu
Upewnij się, że curl jest zainstalowany:
apt install -y curl
Node.js
curl -sL https://deb.nodesource.com/setup_8.x | bash -
Yarn
curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | apt-key add -
echo "deb https://dl.yarnpkg.com/debian/ stable main" | tee /etc/apt/sources.list.d/yarn.list
Pakiety systemowe
apt update
apt install -y \
imagemagick ffmpeg libpq-dev libxml2-dev libxslt1-dev file git-core \
g++ libprotobuf-dev protobuf-compiler pkg-config nodejs gcc autoconf \
bison build-essential libssl-dev libyaml-dev libreadline6-dev \
zlib1g-dev libncurses5-dev libffi-dev libgdbm5 libgdbm-dev \
nginx redis-server redis-tools postgresql postgresql-contrib \
certbot yarn libidn11-dev libicu-dev libjemalloc-dev
Instalacja Ruby
Będziemy korzystać z rbenv, aby zarządzać wersjami Ruby, ponieważ ułatwia to przejście na prawidłową wersję po pojawieniu się nowego wydania. rbenv musi zostać zainstalowany dla każdego użytkownika który będzie go używał osobno, więc zacznijmy od utworzenia użytkownika, na którym uruchomimy Mastodona:
adduser --disabled-login mastodon
Możemy teraz zalogować się na to konto:
su - mastodon
I przejść do instalacji rbenv i rbenv-build:
git clone https://github.com/rbenv/rbenv.git ~/.rbenv
cd ~/.rbenv && src/configure && make -C src
echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc
echo 'eval "$(rbenv init -)"' >> ~/.bashrc
exec bash
git clone https://github.com/rbenv/ruby-build.git ~/.rbenv/plugins/ruby-build
Po zakończeniu, możemy zainstalować prawidłową wersję Ruby:
RUBY_CONFIGURE_OPTS=--with-jemalloc rbenv install 2.5.1
rbenv global 2.5.1
Musimy też zainstalować bundler:
gem install bundler --no-ri --no-rdoc
Wróćmy na konto root:
exit
Konfiguracja
Konfiguracja PostgreSQL
Ustawienia wydajności (nieobowiązkowe)
Aby zwiększyć wydajność, możesz skorzystać z pgTune, aby wygenerować odpowiednie ustawienia i zmienić odpowiednie wartości w /etc/postgresql/9.6/main/postgresql.conf przed ponownym uruchomieniem PostgreSQL poleceniem systemctl restart postgresql
Tworzenie użytkownika
Musisz utowrzyć użytkownika PostgreSQL, z którego będzie mógł korzystać Mastodon. Najprościej użyć uwierzytelniania „ident” w prostym ustawieniu, tzn. użytkownik PostgreSQL nie będzie miał oddzielnego hasła i będzie mógł z niego korzystać linuksowy użytkownik o tej samej nazwie.
Przejdź do powłoki:
sudo -u postgres psql
Wykonaj:
CREATE USER mastodon CREATEDB;
\q
Gotowe!
Konfiguracja Mastodona
Pora pobrać kod Mastodona. Przełącz się na użytkownika mastodon:
su - mastodon
Pobieranie kodu
Użyj narzędzia git, aby pobrać najnowsze stabilne wydanie Mastodona:
git clone https://github.com/tootsuite/mastodon.git live && cd live
git checkout $(git tag -l | grep -v 'rc[0-9]*$' | sort -V | tail -n 1)
Instalacja ostatnich zależności
Pora na instalację zależności używających Ruby i JavaScript:
bundle install \
-j$(getconf _NPROCESSORS_ONLN) \
--deployment --without development test
yarn install --pure-lockfile
Generowanie konfiguracji
Uruchom interaktywny konfigurator:
RAILS_ENV=production bundle exec rake mastodon:setup
W ten sposób:
- utworzysz plik konfiguracyjny
- wykonasz prekompilację zasobów
- utworzysz schemat bazy danych
Plik konfiguracyjny zostanie zapisany jako .env.production. Możesz przejrzeć i edytować go według swoich potrzeb. Możesz odwołać się do [documentacji konfiguracji]({{< relref "configuration.md" >}}).
Możesz wrócić na użytkownika root:
exit
Konfiguracja nginx
Skopiuj przykładową konfigurację nginx z katalogu Mastodona:
cp /home/mastodon/live/dist/nginx.conf /etc/nginx/sites-available/mastodon
ln -s /etc/nginx/sites-available/mastodon /etc/nginx/sites-enabled/mastodon
Zedytuj /etc/nginx/sites-available/mastodon u zamień example.com na swoją domenę i dokonaj niezbędnych zmian.
Załaduj ponownie nginx, aby wprowadzić zmiany:
systemctl reload nginx
Uzyskanie certyfikatu SSL
Skorzystamy z Let's Encrypt, aby uzyskać bezpłatny certyfikat SSL:
certbot certonly --webroot -d example.com -w /home/mastodon/live/public/
Możesz teraz zedytować /etc/nginx/sites-available/mastodon, aby zmodyfikowac wiersze ssl_certificate i ssl_certificate_key.
Załaduj ponownie nginx, aby wprowadzić zmiany:
systemctl reload nginx
W tym momencie, po odwiedzeniu domeny w przeglądarce powinieneś(-aś) zobaczyć stronę z błędem przedstawiającą słonia uderzającego w ekran komputera. To dlatego, że nie uruchomiliśmy jeszcze Mastodona.
Konfiguracja usług systemd
Skopiuj szablony usług systemd z katalogu Mastodona:
cp /home/mastodon/live/dist/mastodon-*.service /etc/systemd/system/
Zedytuj następujące pliki, aby upewnić się czy nazwa użytkownika i ścieżki są prawidłowe:
/etc/systemd/system/mastodon-web.service/etc/systemd/system/mastodon-sidekiq.service/etc/systemd/system/mastodon-streaming.service
Na koniec, uruchom i aktywuj nowe usługi systemd:
systemctl start mastodon-web mastodon-sidekiq mastodon-streaming
systemctl enable mastodon-*
Będą one automatycznie uruchamiane wraz z systemem.
Hurra! To wszystko. Możesz teraz odwiedzić swoją domenę w przeglądarce!