Debian

38min
Инструкция для установки Пассворка на ОС:
Debian 11
Debian 12
В инструкции используются переключаемые блоки кода для разделения команд в зависимости от версии операционной системы.
1. Минимальные системные требования
Пассворк не требователен к ресурсам. Объемы необходимых ресурсов (RAM, CPU, HDD) и количество серверов зависят от количества активных пользователей, объема хранимых данных, а также требований к отказоустойчивости системы.
Ознакомьтесь с полными системными требованиями﻿.
Если на сервере 2-4 ГБ RAM, то рекомендуется включить SWAP файл для корректной сборки всех библиотек.
﻿Создание SWAP файла на Linux﻿﻿
2. Базовые действия перед установкой
Получить права root и обновить локальную базу данных пакетов:
bash
sudo -i 
apt-get update
sudo -i 
apt-get update
﻿
Установить пакет для контроля версий Git, веб-сервер Apache2 и утилиту передачи данных curl:
bash
apt-get install -y git apache2 unzip curl
apt-get install -y git apache2 unzip curl
﻿
3. Установка PHP
Установить пакеты для работы с HTTPS репозиториями:
bash
apt-get install -y apt-transport-https lsb-release ca-certificates
apt-get install -y apt-transport-https lsb-release ca-certificates
﻿
Получить и сохранить GPG-ключ PHP репозитория:
bash
wget -O /etc/apt/trusted.gpg.d/php.gpg https://repos.passwork.ru/repository/php/apt/debian/apt.gpg
wget -O /etc/apt/trusted.gpg.d/php.gpg https://repos.passwork.ru/repository/php/apt/debian/apt.gpg
﻿
Добавить PHP репозиторий в список источников apt:
Shell
echo "deb https://repos.passwork.ru/repository/php/apt/debian/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list
echo "deb https://repos.passwork.ru/repository/php/apt/debian/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list
﻿
Обновить локальный список пакетов и репозиториев:
Shell
apt-get update
apt-get update
﻿
Установить PHP и модули расширений:
Shell
apt-get install -y php8.2 php8.2-dev php8.2-ldap php8.2-xml php8.2-bcmath php8.2-mbstring php8.2-xml php8.2-curl php8.2-opcache php8.2-readline php8.2-zip
apt-get install -y php8.2 php8.2-dev php8.2-ldap php8.2-xml php8.2-bcmath php8.2-mbstring php8.2-xml php8.2-curl php8.2-opcache php8.2-readline php8.2-zip
﻿
3.1 Установка PHP MongoDB драйвера
Установить PHP MongoDB драйвер:
Shell
apt install php8.2-mongodb -y
apt install php8.2-mongodb -y
﻿
Создать файлы конфигурации для загрузки и включения PHP MongoDB:
Shell
echo "extension=mongodb.so" | tee /etc/php/8.2/apache2/conf.d/20-mongodb.ini
echo "extension=mongodb.so" | tee /etc/php/8.2/cli/conf.d/20-mongodb.ini
echo "extension=mongodb.so" | tee /etc/php/8.2/apache2/conf.d/20-mongodb.ini
echo "extension=mongodb.so" | tee /etc/php/8.2/cli/conf.d/20-mongodb.ini
﻿
3.2 Установка PHP Phalcon расширения
Установить PHP Phalcon расширение:
Shell
mkdir /tmp/install && cd /tmp/install && curl -LOf https://github.com/phalcon/cphalcon/releases/download/v5.3.1/phalcon-php8.2-nts-ubuntu-gcc-x64.zip && unzip phalcon-php8.2-nts-ubuntu-gcc-x64.zip && cp phalcon.so /usr/lib/php/20220829 && cd / && rm -rf /tmp/install
mkdir /tmp/install && cd /tmp/install && curl -LOf https://github.com/phalcon/cphalcon/releases/download/v5.3.1/phalcon-php8.2-nts-ubuntu-gcc-x64.zip && unzip phalcon-php8.2-nts-ubuntu-gcc-x64.zip && cp phalcon.so /usr/lib/php/20220829 && cd / && rm -rf /tmp/install
﻿
Создать файлы конфигурации для загрузки и включения PHP Phalcon:
Shell
echo "extension=phalcon.so" | tee /etc/php/8.2/apache2/conf.d/30-phalcon.ini
echo "extension=phalcon.so" | tee /etc/php/8.2/cli/conf.d/30-phalcon.ini
echo "extension=phalcon.so" | tee /etc/php/8.2/apache2/conf.d/30-phalcon.ini
echo "extension=phalcon.so" | tee /etc/php/8.2/cli/conf.d/30-phalcon.ini
﻿
4. Установка базы данных MongoDB
Загрузить и добавить GPG-ключ MongoDB:
Debian 11
Debian 12
curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor
curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor
﻿
Добавить репозиторий MongoDB в файл:
Debian 11
Debian 12
echo "deb [ signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg] http://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
echo "deb [ signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg] http://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
﻿
Обновить список доступных пакетов:
Shell
apt-get update
apt-get update
﻿
Установить с помощью менеджера пакетов (apt) MongoDB:
Shell
apt-get install -y mongodb-org
apt-get install -y mongodb-org
﻿
Запустить службу mongod.service:
shell
systemctl start mongod.service
systemctl start mongod.service
﻿
Включить автозапуск службы:
shell
systemctl enable mongod.service
systemctl enable mongod.service
﻿
5. Управление и скачивание последней версии Пассворк с помощью Git
Перейти в директорию — /var/www/:
bash
cd /var/www/
cd /var/www/
﻿
Добавить глобальную конфигурацию Git, указывающую на безопасную директорию:
bash
git config --global --add safe.directory /var/www
git config --global --add safe.directory /var/www
﻿
Инициализировать Git репозиторий в директории — /var/www/:
bash
git init
git init
﻿
Добавить удалённый репозиторий Пассворк:
bash
git remote add origin https://passwork.download/passwork/passwork.git
git remote add origin https://passwork.download/passwork/passwork.git
﻿
Получить удалённый репозиторий на локальный сервер:
bash
git fetch
git fetch
﻿
Система запросит логин и пароль к репозиторию, которые расположены на клиентском портале Пассворк. Если у вас нет доступа к клиентскому порталу — свяжитесь с нами.
Переключиться на ветку — v6 с последней актуальной версией Пассворк:
bash
git checkout v6
git checkout v6
﻿
Назначить права на директории, файлы и установить владельца для всех файлов — www-data:
bash
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R www-data:www-data /var/www/
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R www-data:www-data /var/www/
﻿
6. Настройка Apache2 для доступа по HTTP протоколу в Пассворк
Открыть файл конфигурации виртуального хоста для HTTP соединения:
bash
nano /etc/apache2/sites-enabled/000-default.conf
nano /etc/apache2/sites-enabled/000-default.conf
﻿
Отредактировать содержимое данного файла и привести к следующему виду:
bash
<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
﻿
Включить модуль перезаписи URL-адресов и перезапустить службу Apache2:
bash
a2enmod rewrite
service apache2 restart
a2enmod rewrite
service apache2 restart
﻿
Открыть http://passwork.local или http://127.0.0.1 для проверки подключения к Пассворк.
7. Прохождение чек-листа параметров в Пассворк
При первом подключении к Пассворк, необходимо пройти чек-лист параметров, в ходе которого будет выполнена:
Проверка необходимых параметров
Подключение к базе данных MongoDB
Случайно сгенерированный ключ для шифрования данных в MongoDB
Проверка лицензионного ключа
Оставьте все поля в значениях по умолчанию, если вы устанавливаете новую копию Пассворк.
После прохождения чек-листа параметров, будет предложено создать первого пользователя в Пассворк, где необходимо указать логин, пароль и почтовый адрес для отправки уведомлений.
Обратите внимание.
Данный пользователь всегда по умолчанию является локальным и «Владельцем» Пассворк, в случае назначения — «Владельцем» LDAP/SSO пользователя, он автоматически станет локальным и вы не сможете авторизоваться в Пассворк
8. Настройка Пассворк для доступа по HTTPS протоколу
8.1 Генерация самоподписанного SSL сертификата
Создать новую директорию для хранения закрытого ключа и сертификата:
bash
mkdir /etc/apache2/ssl/
mkdir /etc/apache2/ssl/
﻿
Сгенерировать самоподписанный сертификат X.509 для Apache2 с помощью OpenSSL:
bash
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -addext 'subjectAltName=DNS: your.domain.name' -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -addext 'subjectAltName=DNS: your.domain.name' -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
﻿
Common Name (CN) — Укажите IP-адрес вашего сервера или имя хоста. Это поле имеет значение, так как ваш сертификат должен соответствовать домену (или IP-адресу) для вашего веб-сайта;
subjectAltName (SAN) — Альтернативное имя домена или IP-адрес.
Установить права доступа root пользователю для защиты закрытого ключа и сертификата:
bash
chmod 600 /etc/apache2/ssl/*
chmod 600 /etc/apache2/ssl/*
﻿
8.2 Настройка виртуального хоста для доступа в Пассворк по HTTPS протоколу
Активировать модуль SSL в Apache2, позволяя серверу поддерживать протокол HTTPS:
bash
a2enmod ssl
a2enmod ssl
﻿
Включить конфигурационный файл виртуального хоста сайта с настройками для SSL соединения:
bash
a2ensite default-ssl
a2ensite default-ssl
﻿
Открыть файл конфигурации виртуального хоста для HTTPS соединения:
bash
nano /etc/apache2/sites-enabled/default-ssl.conf
nano /etc/apache2/sites-enabled/default-ssl.conf
﻿
Найдите раздел, начинающийся с <VirtualHost _default_:443> и внесите следующие изменения:
Добавить директиву ServerName (имя сервера или IP-адрес) и порт (:443) под строкой ServerAdmin:
bash
ServerAdmin webmaster@localhost
ServerName passwork.local:443
ServerAdmin webmaster@localhost
ServerName passwork.local:443
﻿
Добавить директиву — <Directory> после ServerName:
bash
<Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
<Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
﻿
Найдите следующие изменения и обновите пути к файлам, которые были сгенерированы ранее или укажите своё расположение до сертификата и ключа:
bash
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
﻿
После внесения изменений проверьте, что файл конфигурации виртуального хоста соответствует примеру:
bash
<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName passwork.local:443
        DocumentRoot /var/www/public
        <Directory /var/www/public>
            Options FollowSymLinks MultiViews
            AllowOverride All
            Order allow,deny
            allow from all
        </Directory>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apache.crt
        SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    </VirtualHost>
</IfModule>
<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName passwork.local:443
        DocumentRoot /var/www/public
        <Directory /var/www/public>
            Options FollowSymLinks MultiViews
            AllowOverride All
            Order allow,deny
            allow from all
        </Directory>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apache.crt
        SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    </VirtualHost>
</IfModule>
﻿
Перезапустить службу Apache2 чтобы применить внесённые изменения в конфигурацию:
bash
systemctl restart apache2
systemctl restart apache2
﻿
Проверьте подключение к Пассворк по протоколу HTTPS — https://passwork.local﻿
8.3 Настройка Пассворк для работы по HTTPS протоколу
При использовании защищенного SSL-соединения (HTTPS) клиентские браузеры требуют определенных флагов для обработки данных Пассворк. Эти флаги называются session.cookie_secure и disableSameSiteCookie.
Если эти флаги не установлены, браузеры не смогут установить соединения и будет отклонено подключение, что может привести к ошибкам при авторизации — «Сессия данной вкладки браузера устарела».
Установить параметр ;session.cookie_secure в файле /etc/php/8.2/apache2/php.ini:
bash
sed -i '/session.cookie_secure =/c session.cookie_secure = On' /etc/php/8.2/apache2/php.ini
sed -i '/session.cookie_secure =/c session.cookie_secure = On' /etc/php/8.2/apache2/php.ini
﻿
Установить параметр disableSameSiteCookie в /var/www/app/config/config.ini на значение Off:
bash
sed -i '/disableSameSiteCookie =/c disableSameSiteCookie = Off' /var/www/app/config/config.ini
sed -i '/disableSameSiteCookie =/c disableSameSiteCookie = Off' /var/www/app/config/config.ini
﻿
Don't use these parameters or return them to defaults if you don't plan to use SSL
9. Настройка фоновых задач
Фоновые задачи — это задачи, которые выполняются по планировщику в фоновом режиме.
Они является обязательными для корректной работы части функционала Пассворка, например:
Работа LDAP;
Отправка почтовых уведомлений;
Загрузка фавиконов;
Очистка коллекции session в базе данных Пассворка.
Настройка фоновых задач﻿.
10. Настройка безопасности
Перед выполнением действий по изменению и настройке параметров безопасности, настоятельно рекомендуем убедиться в стабильной и корректной работе Пассворка, а также создать резервную копию файлов, в которые вносятся изменения.
Безопасность сервера является важной частью обеспечения защиты ценных данных и ресурсов компании. Это процесс, который требует планирования и исполнения, чтобы обеспечить максимальную защиту от различных угроз.
Рекомендуемые параметры безопасности﻿ Пассворка.
Обновлено 12 Nov 2024
Помогла ли вам эта страница?
Alma/Rocky/CentOS
Ubuntu