O que é o Nginx Proxy Manager?
É um sistema que possui uma interface web limpa, eficiente e fácil de configurar, sem precisar saber muito sobre Nginx ou Letsencrypt.

Característica
– Interface de administração bonita e segura baseada
– Crie facilmente domínios de encaminhamento, redirecionamentos, streams e hosts 404 sem saber nada sobre Nginx
– SSL grátis usando Let’s Encrypt ou forneça seus próprios certificados SSL personalizados
– Listas de acesso e autenticação HTTP básica para seus hosts
– Configuração avançada do Nginx disponível para superusuários
– Gerenciamento de usuários, permissões e log de auditoria

Distribuição testadas:
Debian 12 Bookworm
Debian 11 Bullseye

Como melhorar a produtividade no seu Debian após instalação (Recomendado)

Porta Utilizadas
81 – Porta de administração do Nginx Proxy Manager
80 – Porta HTTP pública
443 – Porta HTTP pública

Configurações de interface de Rede

Para a configuração da interface de rede vou usar uma configuração Pointopoint (Ponto a ponto) assim utilizando de apenas um endereço IP público, você pode (deve) ler este tutorial para conhecer varias possibilidades de configuração de rede pensa em como economizar endereços IPs.

# vim /etc/network/interfaces

No meu exemplo vamos pesar que esse servidor esteja conectado ao RouterOS/Mikrotik ether2 e meu endereço de IP publico será o 200.200.200.255

allow-hotplug enp0s3
iface enp0s3 inet static
        address 200.200.200.255
        pointopoint 192.168.171.171
        netmask 255.255.255.255
        gateway 192.168.171.171

Agora no seu RouterOS vamos criar nosso Pointopoint gatewai 192.168.171.171 tendo como network o endereço IP público.

RouterOS# /ip address
RouterOS# add address=192.168.171.171 comment=Pointopoint interface=ether2 network=200.200.200.255

Se você não tem IP publico para colocar em seu servidor, então fixe um endereço IP Privado e redirecione as potas 80,81 e 443 para ele, utilizando seu IP público que está em seu router. Exemplo:

allow-hotplug enp0s3
iface enp0s3 inet static
        address 10.10.10.2/24
        gateway 10.10.10.1

E é clario se você conter endereço IPv6, não deixe de configurar sua placa! Exemplo:

iface enp0s3 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::2
        netmask 64
        gateway 2804:bebe:cafe::1

Instalação Docker

Iremos instalar os pacotes necessários, bem como adicionar o repositório oficial do Docker

# apt install ca-certificates curl gnupg2 apt-transport-https lsb-release
# curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -
# echo "deb https://download.docker.com/linux/debian $(lsb_release -cs) stable" > /etc/apt/sources.list.d/docker.list

Atualize o repositório e instale-o

# apt update
# apt install docker-ce docker-ce-cli containerd.io

Instalação Docker Compose

Vamos fazer download do Docker Compose, e adicionar aos binários do nosso servidor como um executável.

# curl -L "https://github.com/docker/compose/releases/download/v2.24.5/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
# chmod +x /usr/local/bin/docker-compose
# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

Versão baixada foi a 2.24.5, mas você pode consultar uma mais recente em: https://github.com/docker/compose/releases/, para verificar qual versão instalado use:

# docker-compose --version

Docker Compose version v2.24.5

Instação Nginx Proxy Manager

Crie os diretórios quais ficarão todas as configurações:

# mkdir /etc/nginx-proxy
# mkdir /etc/nginx-proxy/{data,letsencrypt}

Crie seu arquivo de composição do Docker com as configuração, para realizar a instalação dos containers do Nginx Proxy Manager e MariaDB com o Docker Compose. (Ajustes as senhas)

# vim /etc/nginx-proxy/docker-compose.yml

Adicione:

version: "3"
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      # These ports are in format <host-port>:<container-port>
      - '80:80'       # Porta HTTP pública
      - '443:443'     # Porta HTTPS pública
      - '81:81' # Porta de administracao do Nginx Proxy
      # Adicione qualquer outra porta Stream que você queira expor, ex
      # - '21:21' # FTP
    environment:
      DB_MYSQL_HOST: "db"
      DB_MYSQL_PORT: 3306
      DB_MYSQL_USER: "nginxproxy"
      DB_MYSQL_PASSWORD: "S3NHA_NGINX_PR0XY"
      DB_MYSQL_NAME: "nginxproxy"
      # Remova o comentário se você não tem o IPv6 em seu host
      # DISABLE_IPV6: 'true'
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt
    depends_on:
      - db

  db:
    image: 'jc21/mariadb-aria:latest'
    restart: unless-stopped
    environment:
      MYSQL_ROOT_PASSWORD: 'S3NHA_D3_R00T'
      MYSQL_DATABASE: 'nginxproxy'
      MYSQL_USER: 'nginxproxy'
      MYSQL_PASSWORD: 'S3NHA_NGINX_PR0XY'
    volumes:
      - ./mysql:/var/lib/mysql

Execute o comando Docker Compose

# cd /etc/nginx-proxy
# docker-compose up -d

Aguarde finalizar… em seguida visualize se os containers que foram criados

# docker ps -a

CONTAINER ID   IMAGE                             COMMAND             CREATED          STATUS         PORTS                                                                                  NAMES
6b796a07af22   jc21/nginx-proxy-manager:latest   "/init"             9 seconds ago    Up 7 seconds   0.0.0.0:80-81->80-81/tcp, :::80-81->80-81/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp   nginx-proxy-app-1
4c93d3b8a544   jc21/mariadb-aria:latest          "/scripts/run.sh"   13 seconds ago   Up 8 seconds   3306/tcp                                                                               nginx-proxy-db-1

Abra em navegador http://IP_SERVIDOR/ se tudo ocorreu bem você verá:

Agora abra na porta 81 http://IP_SERVIDOR:81/ e entre com:

Email: admin@example.com 
Password: changeme

Ao entrar pela primeira vez um formulário com informações será exibido para você alterar seus dados, altere seus e-mail e senha.

Configurações de DNS Autoritativa

Para que possamos encaminhar os acessos iremos necessitar configurar um subdomínios para cada situação em nosso servidor DNS autoritativo.

Vamos criar um cenário fictício para ilustrar melhor. Temos 1 clientes recebendo IPs privados da classe de um CGNAT, e o mesmo solicita um redirecionamento de portas para seu DVR. O cliente recebe o endereço IP privado 100.64.0.71 (Fixado) seu DVR esta na porta 80 na rede local 192.168.0.7. Para cada situação irei criar um novo subdomínio, exemplo “dvrudi” no servidor DNS autoritativo apontando para o IP Público do seu servidor Nginx Proxy, assim eu acesso “dvrudi.remontti.com.br”. Agora ao acessar o roteato e criar o redirecionamento provavelmente não iremos poder usar a porta 80, pois ela já é a porta de acesso do roteador 100.64.0.71, e é bem possível que você tenha fechado ela em seu firewall também para se proteger de ataques, neste caso use outra porta exemplos 60080 para fazer o direcionamento para a porta 80 do DVR, o cliente nem precisa saber desta porta 60080 ela é a penas a porta de entrada do Nginx Proxy. Agora volte ao Admin do NPM, no menu Hosts >> Proxy Hosts >> Add Proxy Host

Se desejar pode ativar certificado grátis com Lets Encrypt.

Agora ao acessar “dvrudi.remontti.com.br” ele estará acessando diretamente o DVR. #clientefeliz

Legal não? Agora você pode ter um painel administrativo para redirecionamento de serviços web, no exemplo sitei o caso de CGNAT, mas você pode usar para qualquer outra situação, bem como até apontar para um subdiretório, e restringir o acesso do mesmo, sabe esses ERP porco que você acessar com /admin, daria para restringir. Bom o painel do NPM é bem intuitivo, para quem já conhece o Nginx sabe das suas enumeras possibilidades vai achar um doce.

Atualizando do NPM

# cd /etc/nginx-proxy/
# docker-compose down
# docker-compose pull
# docker-compose up -d

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fonte:
https://nginxproxymanager.com/guide/
https://github.com/NginxProxyManager/nginx-proxy-manager

O post Instalação do Nginx Proxy Manager apareceu primeiro em Remontti.

Jitsi é uma coleção de projetos de código aberto que fornecem recursos de videoconferência de última geração que são seguros, fáceis de usar e fáceis de hospedar.

Requerimentos

Debian 11 (Bullseye) 64 bits instalação mínima pronta
Configurado em seu DNS autoritativo um subdomínio exemplo “meet.remontti.com.br” apontado para o IPv4/6 do seu servidor.

Ajustes

Tenha seu servidor atualizado! (E repita isso uma vez por mês após)

# apt update; apt upgrade

Nesta instalação estarei utilizando como exemplo “meet.remontti.com.br”, ajuste sempre pelo seu.

Ajuste o nome do servidor:

hostnamectl set-hostname meet.remontti.com.br

vim /etc/hosts

Adicione o IP Domínio de acordo com seu DNS, exemplo:

255.200.200.200 meet.remontti.com.br

Caso esteja utilizando um IP com NAT terá que ter as portas 80/tcp 443/tcp 4443/tcp 10000/udp 3478/udp 5349/tcp abertas/redirecionadas para o IP do seu servidor.

Instale alguns pacotes básicos que serão necessários:

# apt install apt-transport-https gnupg2 curl wget

Instalando Jitsi

Vamos adicionar o repositório oficial do jitsi (stable)

# echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list 
# wget -qO - https://download.jitsi.org/jitsi-key.gpg.key  | apt-key add - 

Instale o mesmo

# apt update
# apt install jitsi-meet

Informe seu domíno:

Selecione Generate a net self-signed certificate

Agora instale o certbot para gerar os certificados com lets encript.

# apt install certbot

Gere um certificado Let’s Encrypt, basta executar:

/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

-------------------------------------------------------------------------
This script will:
- Need a working DNS record pointing to this machine(for domain meet.remontti.com.br)
- Download certbot-auto from https://dl.eff.org to /usr/local/sbin
- Install additional dependencies in order to request Let’s Encrypt certificate
- If running with jetty serving web content, will stop Jitsi Videobridge
- Configure and reload nginx or apache2, whichever is used
- Configure the coturn server to use Let's Encrypt certificate and add required deploy hooks
- Add command in weekly cron job to renew certificates regularly

You need to agree to the ACME server's Subscriber Agreement (https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf) 
by providing an email address for important account notifications
Enter your email and press [ENTER]: noc@remontti.com.br
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Account registered.
Requesting a certificate for meet.remontti.com.br
Performing the following challenges:
http-01 challenge for meet.remontti.com.br
Using the webroot path /usr/share/jitsi-meet for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Running deploy-hook command: /etc/letsencrypt/renewal-hooks/deploy/0000-coturn-certbot-deploy.sh
Output from deploy-hook command 0000-coturn-certbot-deploy.sh:
Configuring turnserver


IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/meet.remontti.com.br/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/meet.remontti.com.br/privkey.pem
   Your certificate will expire on 2022-06-22. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Configuring nginx

Crie um scrip para renovação do certificado

# mkdir /root/scripts/
# vim /root/scripts/renova-certificado

#!/bin/bash
# Pare o serviço web
/usr/bin/systemctl stop nginx
# Aguarda 10 seg
sleep 10
# Renova o certificado
/usr/bin/certbot renew -q
# Aguarda o certificado renovar
sleep 30
# Inicie o serviço web
/usr/bin/systemctl restart nginx
# Reinicie os serviços
/usr/bin/systemctl systemctl restart prosody jicofo jitsi-videobridge2

Adicione ao cron para ser executado umas vez por semana toda às 3h.

# chmod +x /root/scripts/renova-certificado
# echo '00 30   1 * *   root    /root/scripts/renova-certificado' >> /etc/crontab

Reinicie o cron para ler a nova tarefa.

# systemctl restart cron

Systemd/Limits: As implantações padrão em sistemas que usam systemd terão valores padrão baixos para processos máximos e arquivos abertos. Se a ponte usada espera um número maior de participantes, os valores padrão precisam ser ajustados (os valores padrão são bons para menos de 100 participantes).
Se achar necessário aumente estes valores:

# echo 'DefaultLimitNOFILE=65000' >> /etc/systemd/system.conf
# echo 'DefaultLimitNPROC=65000' >> /etc/systemd/system.conf
# echo 'DefaultTasksMax=65000' >> /etc/systemd/system.conf

Reinicie o daemon

# systemctl daemon-reload

Verifique se os valores foram alterados

# systemctl show --property DefaultLimitNPROC
# systemctl show --property DefaultLimitNOFILE
# systemctl show --property DefaultTasksMax

Reinicie o jitsi

# systemctl status jitsi-videobridge2

# cat /proc/`cat /var/run/jitsi-videobridge/jitsi-videobridge.pid`/limits

Veja se Max processes e Max open files estão com limit: 65000

Limit                     Soft Limit           Hard Limit           Units     
...
Max processes             65000                65000                processes
Max open files            65000                65000                files
...

Neste momento seu servidor já esta rodando de forma anônima, onde qualquer um pode criar já uma sala de reunião.

Porém é possível permitir que apenas usuários autenticados criem novas salas de conferência. Sempre que uma nova sala estiver prestes a ser criada, o Jitsi Meet solicitará um nome de usuário e senha. Depois que a sala for criada, outras pessoas poderão ingressar no domínio anônimo.

# vim /etc/prosody/conf.avail/meet.remontti.com.br.cfg.lua

Localize authentication e altere anonymous para internal_hashed:

authentication = "anonymous"

Para

authentication = "internal_hashed"

Descomente:

https_ports = { };

Ainda no mesmo arquivo adicione as linhas a baixo ante de “– Proxy to jicofo’s user JID…”
OBS: Não é necessário você criar uma entra “guest.meet” em seu DNS.

VirtualHost "guest.meet.remontti.com.br"
    authentication = "anonymous"
    c2s_require_encryption = false

Agora em /etc/jitsi/meet/SEUDOMINO-config.js faça:

# vim /etc/jitsi/meet/meet.remontti.com.br-config.js

Localize anonymousdomain, vai estar comentada com “//”, remova o comentário e adicione seu “guest.meet.remontti.com.br”.

// anonymousdomain: 'guest.example.com',

Ficando

anonymousdomain: 'guest.meet.remontti.com.br',

Em jicofo.conf será necessário fazer os ajustes para autenticação.

# vim /etc/jitsi/jicofo/jicofo.conf

Adicione em jicofo { … }

  authentication: {
    enabled: true
    type: XMPP
    login-url: jitsi-meet.example.com
 }

Ficando assim:

jicofo {
  authentication: {
    enabled: true
    type: XMPP
    login-url: meet.remontti.com.br
 }
  xmpp: {
    client: {
      client-proxy: focus.meet.remontti.com.br
    }
    trusted-domains: [ "recorder.meet.remontti.com.br" ]
  }
  bridge: {
    brewery-jid: "JvbBrewery@internal.auth.meet.remontti.com.br"
  }
}

Reinicie os serviços

# systemctl restart prosody jicofo jitsi-videobridge2

Agora ao criar uma nova reunião

Será necessário autenticar:

Então para criar um usuário (ou mais) administrador faça em seu terminal:

# prosodyctl register meuusuario meet.remontti.com.br minhasenha

Para deletar um usuário:

# prosodyctl deluser meuusuario@meet.remontti.com.br

Com sua sala de reunião pronta você pode desejar fazer alguns ajustes em mais configurações […]

Ajuste seus dados

Informe seu nome e e-mail se desejar

Você pode ainda fazer outros ajustes como:

Clique em OK para aplicar.
Outro ajuste que é interessante são as opções de segurança:

É interessante você Habilitar sala de espera, assim novos usuários terão que informar seu nome e você precisará aprovar sua entrada.

Agora quando alguém entrar na sala ira aparecer a seguinte tela:


O administrador ira autoriza-lo:

Bom a interface é bem intuitiva então acredito que não terá dificuldas. E não deixe de ler as integrações, bem como o restante da documentação, pois o projeto tem muita coisa que não foi mostrada aqui.

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Fonte: https://jitsi.github.io/handbook/docs/intro

O post Aprenda instalar o Jitsi Meet, uma ferramenta de videoconferências de código aberto apareceu primeiro em Remontti.

Distribuição utilizada: Debian 10 Stretch / Instalação Limpa

NGINX

https://www.nginx.com

# apt install nginx

Acesse agora em seu navegador http://IP-SERVIDOR/

Se você acessar um diretório que não existe um erro dizendo que não existe, e junto informações que não é legal aparecer.

Vamos remover assinatura do nginx onde ele exibe a versão do mesmo. Ninguém precisa saber! Correto?

# sed -i 's/# server_tokens/server_tokens/' /etc/nginx/nginx.conf
# systemctl restart nginx

Pronto nosso NGINX está rodando!

PostgreSQL

# apt install postgresql postgresql-contrib

Torne-se o usuário postgres, para poder criar o banco de dados.

# su - postgres

Execute para entrar no terminal de comandos do banco.

$ psql

Para definir a senha do usuário postgres e instalar o adminpack.

postgres=# \password postgres
Digite nova senha para postgres: 
Digite-a novamente:
postgres=# CREATE EXTENSION adminpack;
CREATE EXTENSION
postgres=# \q 
$ exit

Ajustes no pg_hba.conf, assim toda alteração será necessaria validação do postgres com a senha que acabou de definir.

# vim /etc/postgresql/11/main/pg_hba.conf

Altere as seguintes linhas:

local   all             postgres                                peer
local   all             all                                     peer

Para:

local   all             postgres                                md5
local   all             all                                     md5

Reinicie o postgres

# systemctl restart postgresql

Volte para o postgres

# su - postgres

Agora para toda ação será necessário autenticar.

$ psql 
Senha para usuário postgres: !!SUA_SENHA!!
psql (11.11 (Debian 11.11-0+deb10u1))
Digite "help" para ajuda.
postgres-# \q

Para demonstração irei criar um banco/usuário teste, não esqueça de alterar a senha.

$ createuser --pwprompt teste
Digite a senha para a nova role: << NOVA SENHA PARA O USUÁRIO TESTE
Digite-a novamente: << REPITA
Senha: << SENHA DO QUE SETOU ANTES  NO COMANDO "\password postgres"

Agora crie o banco e vincule ao usuário.

$ createdb -O teste meubd
Senha: <<< SENHA DO POSTGRES 

Verifique se o mesmo foi criado.

$ psql -l 
Senha para usuário postgres: 
                               Lista dos bancos de dados
   Nome    |   Dono   | Codificação |   Collate   |    Ctype    | Privilégios de acesso 
-----------+----------+-------------+-------------+-------------+-----------------------
 meubd     | teste    | UTF8        | pt_BR.UTF-8 | pt_BR.UTF-8 | 
....
....

Acessamos agora o bd teste.

$ psql -U teste -d meubd
Senha para usuário postgres: 
psql (11.11 (Debian 11.11-0+deb10u1))
Digite "help" para ajuda.

meubd=>

Vamos fazer uma "brincadeira" só para testar, criaremos uma tabela e inseriremos dados nela.

meubd=> CREATE TABLE doacao ( id int,nome text, valor text );
meubd=> INSERT INTO doacao (id,nome,valor) values (1,'Rudimar Remontti','R$ 5,00'); 
meubd=> SELECT * FROM doacao;

 id |       nome       |  valor  
----+------------------+---------
  1 | Rudimar Remontti | R$ 5,00

meubd=> \q

Se deseja remover o banco/usuário teste.

$ dropdb meubd
$ dropuser teste

Volte para root

$ exit

PHP7

Incluirei algumas extensões do PHP que são normalmente utilizada também na instalação.

# apt install php php-{fpm,cli,mysql,pear,gd,gmp,bcmath,mbstring,curl,xml,zip,json,pgsql}

Agora vamos fazer a "integração" do PHP com o NGINX. Moveremos o arquivo defaul.

# mv /etc/nginx/sites-available/default /etc/nginx/sites-available/default.original

Crie um novo:

# vim /etc/nginx/sites-available/default

Ajuste:

server {
    listen 80;
    listen [::]:80;

    root /var/www/html;
    index index.php index.html index.htm;

    server_name _;

    location / {
        try_files $uri $uri/ =404;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
    }
}

Teste a configuração se não tem nada errado e restart os serviços:

# nginx -t
# systemctl restart nginx php7.3-fpm

Vamos criar um arquivo em PHP para testa se nosso NGINX está interpretando o PHP.

# echo '<?php phpinfo();' >> /var/www/html/teste.php

Acesse em seu navegador http://IP-SERVIDOR/teste.php

Nosso servidor WEB com PHP está funcionando!

Exemplo para multiplos domínios/subdomínios

# vim /etc/nginx/sites-available/sub1.conf

Neste ex: vou representar o sub1.remontti.com.br

server {
    listen 80;
    listen [::]:80;

    root /var/www/sub1;
    index index.php index.html index.htm;

    server_name sub1.remontti.com.br;

    location / {
        try_files $uri $uri/ =404;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
    }
}

# vim /etc/nginx/sites-available/sub2e3.conf

Neste ex: vou representar o sub2.remontti.com.br e sub3.remontti.com.br

server {
    listen 80;
    listen [::]:80;

    root /var/www/sub2e3;
    index index.php index.html index.htm;

    server_name sub2.remontti.com.br sub3.remontti.com.br;

    location / {
        try_files $uri $uri/ =404;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
    }
}

Link os arquivos no diretório "/etc/nginx/sites-available" que será carregado as novas configurações

# ln -s /etc/nginx/sites-available/sub1.conf /etc/nginx/sites-enabled/
# ln -s /etc/nginx/sites-available/sub2e3.conf /etc/nginx/sites-enabled/

Crie os diretórios referente a cada server_name.

# mkdir /var/www/sub1
# mkdir /var/www/sub2e3
# echo '<?php echo "Olá mundo do sub1!"; ?>' >> /var/www/sub1/index.php
# echo '<?php echo "Olá mundo do sub2e3!"; ?>' >> /var/www/sub2e3/index.php

Verifique se não tem nenhum erro e reinicie o serviço:

# nginx -t
# systemctl restart nginx

phpPgAdmin

O phppgadmin até pode ser instalado via apt, porém seu empacotamento esta na versão 5, vou baixar a versão mais recente direta do https://github.com/phppgadmin/phppgadmin/releases hoje (abril 2021) na versão 7.13.0

# apt install wget 
# cd /tmp/
# wget https://github.com/phppgadmin/phppgadmin/releases/download/REL_7-13-0/phpPgAdmin-7.13.0.tar.gz
# tar vxf phpPgAdmin-7.13.0.tar.gz
# mv /tmp/phpPgAdmin-7.13.0 /usr/share/phppgadmin

Ajustes no config.inc.php

# vim /usr/share/phppgadmin/conf/config.inc.php

Localize as linhas e ajuste:

$conf['servers'][0]['host'] = 'localhost';
$conf['extra_login_security'] = false;
$conf['owned_only'] = true;

Para torna-lo acessível altere o arquivo de configuração do seu NGINX, no exemplo vou colocar no arquivo default, mas você poderia estar configurando em seus domínios.

# vim /etc/nginx/sites-available/default

Adicione as linhas destacadas:

server {
    listen 80;
    listen [::]:80;

    root /var/www/html;
    index index.php index.html index.htm;

    server_name _;

    location / {
        try_files $uri $uri/ =404;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
    }

    location ^~ /phppgadmin {
        root /usr/share;
        try_files $uri $uri/ =404;

        #allow  192.168.87.0/24;
        #allow  2001:0db8::/32;
        #deny   all;
        #error_page  403   http://www.remontti.com.br;

        location ~ .php$ {
            include snippets/fastcgi-php.conf;
            fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
        }

    }

}

Se deseja tonar o phppgadmin acessível apenas de alguns endereços IPs (RECOMENDO) basta descomentar as linhas, e incluir seus prefixos. O error_page é para que quando a o acessante levar um proibido seja direcionado para um site.

allow  192.168.87.0/24;
allow  2001:0db8::/32;
deny   all;
error_page  403   http://www.remontti.com.br;

Verifique se não tem nenhum erro e reinicie o serviço:

# nginx -t
# systemctl restart nginx

Basta acessar http://IP-SERVIDOR/phppgadmin

LETSENCRYPT

Criando certificado valido para nossos domínios.

# apt install letsencrypt python-certbot-nginx

Tenha seu(s) domínio(s) configurado em /etc/nginx/sites-enabled/

# letsencrypt

Retorno do questionário:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): dev@null.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: sub1.remontti.com.br
2: sub2.remontti.com.br   << CASO VOCÊ TENHA MAIS DE UM SUB CONFIGURADO
3: sub3.remontti.com.br    << IRÁ APARECER AQUI 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1 << ESCOLHA QUAIS VC DESEJA
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for sub1.remontti.com.br
Waiting for verification...
Cleaning up challenges
Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/sub1.conf

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2 << SE QUISER FORCAR SEMPRE HTTPS
Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/sub1.conf

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled
https://sub1.remontti.com.br

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=sub1.remontti.com.br
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/sub1.remontti.com.br/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/sub1.remontti.com.br/privkey.pem
   Your cert will expire on 2021-07-05. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Você pode também criar o certificado diretamente para um domínio.

# letsencrypt --authenticator standalone --installer nginx -d sub1.remontti.com.br

Dica, se desejar desativar o TLS1.0 e TLS1.1 após criar um certificado um arquivo é criado /etc/letsencrypt/options-ssl-apache.conf, então edite e inclua no SSLProtocol TLSv1 -TLSv1.1

# vim /etc/letsencrypt/options-ssl-apache.conf

Ficando

#SSLProtocol            all -SSLv2 -SSLv3
SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Reinicie o Apache:

# systemctl restart apache2

Para testar acesse: https://www.cdn77.com/tls-test/

Não esqueça de colocar no seu cron para ele renovar o certificado, pois a cada 90 ele expira. Neste exemplo todo dia primeiro tento renovar.

# echo '00 00   1 * *   root    /usr/bin/certbot -q renew' >> /etc/crontab
# systemctl restart cron

Caso não renovar apenas rode o comando letsencrypt novamente.

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Fontes: https://docs.nginx.com/
https://docs.nginx.com/nginx/admin-guide/web-server/web-server/

O post Servidor WEB NGINX + PHP + PostgreSQL + phpPgAdmin + Letsencrypt no Debian 10 Buster (LNPP) apareceu primeiro em Remontti.

Requisitos:
Debian 10 Stretch / Instalação Limpa
(Funciona no Deb9)

Let’s Encrypt apresentado, vamos a instalação.

# su - 
# apt update
# apt upgrade
# apt install letsencrypt python-certbot-apache

Para nosso exemplo crie um domínio virtual nas configurações do apache.
Lei mais em: Como ter diversos sub/domínios no mesmo servidor? (Domínios virtuais com Apache2)

Lembre de em seu servidor DNS ter configurado do host (no meu ex.: “blog”) apontando para o IP de seu servidor.

Criamos o arquivo que vai representar o host blog. Vou utilizar como base o diretório /var/www/blog que vamos criar em seguida.

# vim /etc/apache2/sites-available/cloud.conf

<virtualhost *:80>
        ServerName blog.remontti.com.br
        ServerAdmin noc@remontti.com.br
 
        DocumentRoot /var/www/blog 
 
        <directory /var/www/blog/ >
                Options FollowSymLinks
                AllowOverride All
        </directory> 
 
        LogLevel warn 
        ErrorLog ${APACHE_LOG_DIR}/error_cloud.log
        CustomLog ${APACHE_LOG_DIR}/access_cloud.log combined
</virtualhost>

Por segurança recomendo remover a assinatura do servidor, evitando os “espertinhos”

# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf

Crie o diretório e uma uma index só para representar nosso “olá mundo”.

# mkdir /var/www/blog/
#  echo '<h1>Hello world!</h1>' > /var/www/blog/index.html

Antes de gerar o certificado pare “blog.remontti.com.br”.

# systemctl stop apache2

# letsencrypt --authenticator standalone --installer apache -d blog.remontti.com.br

Responda como abaixo:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer apache
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): seu@email.com.br
 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A
 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for blog.remontti.com.br
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/blog-le-ssl.conf
Enabled Apache socache_shmcb module
Enabled Apache ssl module
Deploying Certificate to VirtualHost /etc/apache2/sites-available/blog-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/blog-le-ssl.conf
 
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://blog.remontti.com.br
 
You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=blog.remontti.com.br
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/blog.remontti.com.br/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/blog.remontti.com.br/privkey.pem
   Your cert will expire on 2019-10-24. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:
 
   Donating to ISRG / Lets Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Já pode acessar no navegador o domínio com HTTPS “blog.remontti.com.br”

Dica, se desejar desativar o TLS1.0 e TLS1.1 após criar um certificado um arquivo é criado /etc/letsencrypt/options-ssl-apache.conf, então edite e inclua no SSLProtocol TLSv1 -TLSv1.1

# vim /etc/letsencrypt/options-ssl-apache.conf

Ficando

#SSLProtocol            all -SSLv2 -SSLv3
SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Reinicie o Apache:

# systemctl restart apache2

Para testar acesse: https://www.cdn77.com/tls-test/

Para renovar automaticamente crie um script e adicione ao cron.

# vim  /etc/renova-cert.sh

Adicione

#!/bin/bash
/usr/bin/systemctl stop apache2
/usr/bin/certbot -q renew
/usr/bin/systemctl start apache2

Damos permissão para executar

# chmod +x /etc/renova-cert.sh

Adicionamos ao Cron para toda meia noite renovar

# echo '00 00   * * *   root    /etc/renova-cert.sh' >> /etc/crontab
# systemctl restart cron

Agora você já tem seu domínio com certificado! Esse certificado pode ser utilizado para outro serviços.

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Criando certificado grátis com Let’s Encrypt para o Apache no Debian 10 apareceu primeiro em Remontti.

Distribuição utilizada: Debian 8 Jessie & / Debian 9 Stretch – Instalação Limpa
Versão Apache: 2.4.10 >

Para obter um certificado grátis vamos usar o Let’s Encrypt CA.

Let’s Encrypt entrega certificados digitais que permite HTTPS (SSL/TLS) para sites gratuitamente, de maneira fácil. É um serviço fornecido pelo Internet Security Research Group (ISRG).

Seus principais princípios por trás de Let’s Encrypt são:

Grátis: Qualquer pessoa que possua um nome de domínio pode usar Let’s Encrypt para obter um certificado confiável a custo zero.
Automático: o software em execução em um servidor web pode interagir com o Let’s Encrypt para obter um certificado sem dor, configurá-lo com segurança para uso e cuidar automaticamente da renovação.
Seguro: Let’s Encrypt servirá como uma plataforma para avançar as melhores práticas de segurança TLS, tanto no lado da CA quanto ao ajudar os operadores do site a proteger adequadamente seus servidores.
Transparente: Todos os certificados emitidos ou revogados serão publicamente registrados e disponíveis para qualquer pessoa a inspecionar.
Aberto: O protocolo automático de emissão e renovação será publicado como um padrão aberto que outros podem adotar.
Cooperativo: Assim como os próprios protocolos de Internet subjacentes, Let’s Encrypt é um esforço conjunto para beneficiar a comunidade, além do controle de qualquer organização.

Let’s Encrypt apresentado, vamos instalar o cliente certbot/letsnecrypt.

No Debian 8 será necessário ativar o repositório backports.

# echo 'deb http://ftp.debian.org/debian jessie-backports main' >> /etc/apt/sources.list.d/backports.list
# apt update
# apt upgrade
# apt install letsencrypt python-certbot-apache -t jessie-backports

No Debian 9

# apt update
# apt upgrade
# apt install letsencrypt python-certbot-apache

Tenha configurado um/ou mais domínio(s) em seu apache. Vou deixar aqui um exemplo de configuração:

<VirtualHost *:80>
        ServerName meuhttps.remontti.com.br
        ServerAdmin seu@email.com.br
 
        DocumentRoot /var/www/html

        <Directory /var/www/html/>
                Options FollowSymLinks
                AllowOverride All
        </Directory> 

        LogLevel warn
 
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Vamos a autoconfiguração.

# letsencrypt --apache --agree-tos --email seu@email.com -d meuhttps.remontti.com.br

Se tiver algum erro tente:

# apache2ctl stop
# letsencrypt --authenticator standalone --installer apache -d meuhttps.remontti.com.br

Atualizando

Para atualizar os certificados de seus domínio você pode usar o comando:

# certbot renew --dry-run

Dica, se desejar desativar o TLS1.0 e TLS1.1 após criar um certificado um arquivo é criado /etc/letsencrypt/options-ssl-apache.conf, então edite e inclua no SSLProtocol TLSv1 -TLSv1.1

# vim /etc/letsencrypt/options-ssl-apache.conf

Ficando

#SSLProtocol            all -SSLv2 -SSLv3
SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Reinicie o Apache:

# systemctl restart apache2

Para testar acesse: https://www.cdn77.com/tls-test/

Fonte:
https://certbot.eff.org/#debianjessie-apache
https://certbot.eff.org/about/

O post Configurando certificado grátis no Apache2 – Debian 8/9 apareceu primeiro em Remontti.