| static | ||
| templates | ||
| __init__.py | ||
| .gitignore | ||
| #README.org# | ||
| product.db | ||
| README.org | ||
| requirements.txt | ||
Install server from scratch (Rocky Linux)
Установка сервера с нуля (gunicorn + nginx + flask) и настройка WireGuard
Данная инструкция предназначена для перенастройки сервера с сайтом и VPN.
Создание и первоначальная настройка сервера
Создаем сервер. Заходим через SSH -> выходим -> копируем ключи на сервер:
ssh <login>@<ip-address server>
exit
ssh-copy-id <login>@<ip-address server>Теперь можем заходить по ключу (~/.ssh).
На сервере настраиваем SSH (запрет авторизации по паролю, запрет root по ssh):
sudo vi /etc/ssh/sshd_configДобавляем или изменяем строки:
PermitRootLogin no
PasswordAuthentication noПерезапускаем ssh:
sudo systemctl restart sshdУстановка необходимых пакетов
Обновляем систему:
sudo dnf update
sudo dnf upgrade --refreshВключаем CRB репозиторий:
sudo dnf config-manager --set-enabled crb
sudo dnf install epel-releaseСтавим необходимые пакеты:
sudo dnf install zsh vim htop nginx git wget vim python3-pip python3-devel gcc emacs-nox -y
sudo pip3 install virtualenvУстанавливаем oh-my-zsh:
sh -c "$(curl -fsSL https://raw.githubusercontent.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"
Добавляем в ~/.zshrc:
# History
# хранить историю в указанном файле
export HISTFILE=~/.zsh_history
# максимальное число команд, хранимых в сеансе
export HISTSIZE=1000
export SAVEHIST=$HISTSIZE
# включить историю команд
setopt APPEND_HISTORY
# убрать повторяющиеся команды, пустые строки и пр.
setopt HIST_IGNORE_ALL_DUPS
setopt HIST_IGNORE_SPACE
setopt HIST_REDUCE_BLANKS
# alias ls='exa'Начинаем работу с проектом.
Создаем пользователя klintorg-www:
sudo mkdir /home/klintorg-www
sudo groupadd klintorg-www
sudo adduser -G nginx -g klintorg-www -d /home/klintorg-www klintorg-www --system --shell=/bin/false
Временно выдаем права на папку klintorg-www и переходим в нее:
sudo chmod -R 777 /home/klintorg-www
cd /home/klintorg-wwwКлонируем проект:
git clone https://github.com/Noretsa/klintorg.gitgit запросит логин и пароль. Пароль необходимо создать, github -> settings -> Developer settings -> Personal access token -> Fine grained tokens. Дальше надо дать права токену, ну разберешься…
Переходим в папку проекта:
cd klintorg
Создаем файл wsgi.py:
vim wsgi.pyВ нем делаем так:
from __init__ import app
if __name__ == "__main__":
app.run()Создаем папку окружения и ставим зависимости проекта:
virtualenv .klintorg
source .klintorg/bin/activate
pip install -r requirements.txt
pip install gunicorn
deactivateРазрешаем в firewall порт 5000 и 8000 для тестов:
sudo firewall-cmd --add-port=5000/tcp
sudo firewall-cmd --add-port=8000/tcpЧтобы посмотреть лист открытых портов:
sudo firewall-cmd --list-allТестим проект
Можем протестировать проект:
python __init__.pyС локального компьютера открываем браузер на странице http://<ip-address server>:5000.
Если все работает - начинаем тестировать gunicorn:
gunicorn --bind 0.0.0.0:8000 wsgi:appС локального компьютера открываем браузер на странице http://<ip-address server>:8000.
Если все работет гасим gunicorn (ctrl+c) и деактивируем окружение python:
deactivate
Теперь для klintorg-www назначаем права:
sudo chown -R klintorg-www:nginx /home/klintorg-www
sudo chmod -R 755 /home/klintorg-www
Отключаем SELinux:
sudo vim /etc/selinux/configSELINUX=disabled #enforcingПерезагружаемся:
sudo reboot nowНастраиваем Flask Application
Мы протестировали что наш gunicorn работает с нашим приложением Flask. Теперь необходимо сделать так, чтобы он загружался при старте системы. Чтобы этого добиться, мы создадим systemd service и socket file.
Gunicorn socket будет создаваться при загрузке системы и прослушивать соединения. Когда придет коннект, systemd автоматически запустит Gunicorn процесс для поддержания соединения.
Начнем с создания systemd socket файла:
sudo vim /etc/systemd/system/klintorg.socketВнутри создаем следующие секции:
[Unit]
Description=klintorg socket
[Socket]
ListenStream=/run/klintorg.sock
[Install]
WantedBy=sockets.target
Далее создаем systemd service файл. Имя этого файла должно совпадать с именем socket файла:
sudo vim /etc/systemd/system/klintorg.serviceВ этом файле будет так:
[Unit]
Description=klintorg daemon
Requires=klintorg.socket
After=network.target
[Service]
User=nginx
Group=nginx
WorkingDirectory=/home/klintorg-www/klintorg
ExecStart=/home/klintorg-www/klintorg/.klintorg/bin/gunicorn \
--access-logfile - \
--workers 3 \
--bind unix:/run/klintorg.sock -m 007\
wsgi:app
[Install]
WantedBy=multi-user.targetПерезапускаем демоны:
sudo systemctl daemon-reload
Теперь запускаем Gunicorn socket, когда он запустится, он стартанет наш gunicorn service:
sudo systemctl start klintorg.socket
sudo systemctl enable klintorg.socketНастраиваем NGINX
Создаем файл конфигурации:
sudo vim /etc/nginx/conf.d/klintorg.confВ файл добавляем следующие строки:
server {
listen 80;
server_name server_domain_or_IP;
location / {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://unix:/run/klintorg.sock;
}
}Теперь разрешаем Nginx доступ к соккету gunicorn:
sudo semanage permissive -a httpd_tТак же разрешаем Nginx доступ к папке проекта (???????):
sudo chgrp -R nginx /usr/share/nginx/html/klintorg-www/klintorg/Проверяем синтаксис:
sudo nginx -tЗапускаем и добавляем в автостарт nginx:
sudo systemctl start nginx
sudo systemctl enable nginxОткрываем 80 и 443 порты на firewall:
sudo firewall-cmd --add-port=80/tcp --permanent
sudo firewall-cmd --add-port=443/tcp --permanent
sudo firewall-cmd --reloadНастраиваем сертификат Let's Encrypt
Ставим certbot:
sudo dnf install certbot python3-certbot-nginx
Ставим snapd для автопродления сертификата:
sudo dnf install snapd
sudo systemctl enable --now snapd.socket
sudo ln -s /var/lib/snapd/snap /snap
exitНеобходимо перезайти в систему!
Запускаем:
sudo certbot --nginxПроверяем обновляется ли:
sudo certbot renew --dry-runПроверяем что встало автообновление:
sudo systemctl list-timers -allWireguard
Начальная установка:
sudo dnf install elrepo-release epel-release
sudo dnf install wireguard-toolsГенерируем ключи:
wg genkey | sudo tee /etc/wireguard/private.key
sudo chmod go= /etc/wireguard/private.key
sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.keyСоздаем файл конфигурации:
sudo vim /etc/wireguard/wg0.conf[Interface]
Address = 10.8.0.1/24
# SaveConfig = true
ListenPort = 51820
PrivateKey = KM12oqlqAxKPyHXuOhL1XXcCeaGzYwAZ2pyYmHM8u2s=
PostUp = firewall-cmd --zone=public --add-masquerade; firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i wg0 -o ens3 -j ACCEPT; firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o ens3 -j MASQUERADE; firewall-cmd --add-port=51820/udp
PostDown = firewall-cmd --zone=public --remove-masquerade; firewall-cmd --direct --remove-rule ipv4 filter FORWARD 0 -i wg0 -o ens3 -j ACCEPT; firewall-cmd --direct --remove-rule ipv4 nat POSTROUTING 0 -o ens3 -j MASQUERADE; firewall-cmd --remove-port=51820/udp
[Peer]
PublicKey = ffLtSBKib0Wi7KnaEZXp7ZSWV+dswaPjPQHDYO1iiSQ=
AllowedIPs = 10.8.0.2/32sudo vim /etc/sysctl.confnet.ipv4.ip_forward=1sudo sysctl -pНастраиваем Firewall (сначала делаем без этого, выше ссылка на инструкцию):
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp0s3 -j MASQUERADE # это в первую очередь и проверяем, потом уже остальные
sudo firewall-cmd --zone=public --add-port=51830/udp --permanent
sudo firewall-cmd --zone=internal --add-interface=wg0 --permanent
sudo firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=10.8.0.0/24 masquerade' --permanent
# sudo firewall-cmd --zone=public --add-rich-rule='rule family=ipv6 source address=fd0d:86fa:c3bc::/64 masquerade' --permanent
sudo firewall-cmd --reload
Включаем Wireguard:
sudo systemctl enable wg-quick@wg0.service
sudo systemctl start wg-quick@wg0.serviceНастройка клиента
Создаем папку в домашней директории:
mkdir wg_noretsСоздаем клиентскую пару ключей:
wg genkey | tee /home/norets/wg_norets/norets_privatekey | wg pubkey | tee /home/norets/wg_norets/norets_publickeyДобавляем в конфиг WG:
sudo vim /etc/wireguard/wg0.conf[Peer]
PublicKey = ll3VDt3gl81S54Lg9fX4wo2TylqfQLYZEB/63dxPgRg= # <norets_publickey>
AllowedIPs = 10.8.0.2/32Перезапускаем сервис wireguard:
sudo systemctl restart wg-quick@wg0
sudo systemctl status wg-quick@wg0На клиенте создаем файл:
[Interface]
PrivateKey = 2JgSg050VqNNgd+9rEt/NkhmuGTdzJNnzhNsDvIvSH8= # <CLIENT-PRIVATE-KEY>
Address = 10.8.0.2/32
DNS = 8.8.8.8
[Peer]
PublicKey = cW4mpBGG3CBcW01I2HTSXpyxzId72Lh/EAF5Q7iS3RQ= # <SERVER-PUBKEY>
Endpoint = 88.210.3.57:51830
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 20OpenVPN
Server
Просто приложу команды:
sudo -i
dnf install openvpn
dnf install easy-rsa
mkdir /etc/easy-rsa
cp -air /usr/share/easy-rsa/3.0.8/* /etc/easy-rsa/ # last ver. 3.0.8
cd /etc/easy-rsa/
./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-dh
./easyrsa build-server-full server nopass
openvpn --genkey secret /etc/easy-rsa/pki/ta.key
./easyrsa gen-crl
cp -rp /etc/easy-rsa/pki/{ca.crt,dh.pem,ta.key,crl.pem,issued,private} /etc/openvpn/server/Clients
./easyrsa build-client-full gentoo nopass # 1 client
./easyrsa build-client-full johndoe nopass # 2 client
mkdir /etc/openvpn/client/{gentoo,johndoe}
cp -rp /etc/easy-rsa/pki/{ca.crt,issued/gentoo.crt,private/gentoo.key} /etc/openvpn/client/gentoo
cp -rp /etc/easy-rsa/pki/{ca.crt,issued/johndoe.crt,private/johndoe.key} /etc/openvpn/client/johndoe/
cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/server/
emacs /etc/openvpn/server/server.confКонфиг сервера:
port 1194
proto udp4
dev tun
ca ca.crt
cert issued/server.crt
key private/server.key # This file should be kept secret
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 192.168.10.3"
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
auth SHA512mkdir /var/log/openvpn/
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl --system
firewall-cmd --add-port=1194/udp --permanent
firewall-cmd --add-masquerade --permanent
ip route get 8.8.8.8 # Чтобы посмотреть имя сетевого интерфейса ~ens3~
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens3 -j MASQUERADE
firewall-cmd --reload
systemctl enable --now openvpn-server@server
tail /var/log/openvpn/openvpn.log
Конфиг клиентов (client_file.ovpn):
client
tls-client
pull
dev tun
proto udp4
remote 192.168.60.19 1194
resolv-retry infinite
nobind
#user nobody
#group nogroup
persist-key
persist-tun
key-direction 1
remote-cert-tls server
auth-nocache
comp-lzo
verb 3
auth SHA512
tls-auth ta.key 1
ca ca.crt
cert gentoo.crt
key gentoo.keyРаботать будет только в том случае, если все сертификаты лежат рядом с файлом .ovpn. Иначе надо сертификаты писать в файл, вот так:
client
tls-client
pull
dev tun
proto udp4
remote 192.168.60.19 1194
resolv-retry infinite
nobind
#user nobody
#group nogroup
persist-key
persist-tun
key-direction 1
remote-cert-tls server
auth-nocache
comp-lzo
verb 3
auth SHA512
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
feb1af5407baa247d4e772c76aed6c75
...
-----END OpenVPN Static key V1-----
</tls-auth>
<ca>
-----BEGIN CERTIFICATE-----
MIIDTjCCAjagAwIBAgIUX0VQrHTgLDabUUIOAf7tD9cGp4YwDQYJKoZIhvcNAQEL
...
WA9BBk2shVWfR849Lmkep+GPyqHpU47dZAz37ARB2Gfu3w==
-----END CERTIFICATE-----
</ca>
<cert>
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
...
/7FvJaeLqmUHnvSs5eBlRZSgtOL19SCFkG0HXdnw3LtBaoHQXxgzOkDPW1+5
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC+DI7kg6MsRoCs
...
6WdLcNtWKAcU294xJEZoOA8/
-----END PRIVATE KEY-----
</key>Если работаем с OpenWRT - добавляем опцию (перед <tls-auth>) route-noexec. После этого добавляем файл в OVPNClient и радуемся)