Alma/Rocky/CentOS

45min
Инструкция для установки Пассворка на ОС:
CentOS 8 Stream, Alma Linux 8, Rocky Linux 8.
CentOS 9 Stream, Alma Linux 9, Rocky Linux 9.
В инструкции используются переключаемые блоки кода для разделения команд в зависимости от версии операционной системы.
1. Минимальные системные требования
Пассворк не требователен к ресурсам. Объемы необходимых ресурсов (RAM, CPU, HDD) и количество серверов зависят от количества активных пользователей, объема хранимых данных, а также требований к отказоустойчивости системы.
Ознакомьтесь с полными системными требованиями﻿.
Если на сервере 2-4 ГБ RAM, то рекомендуется включить SWAP файл для корректной сборки всех библиотек.
﻿Создание SWAP файла на Linux﻿﻿
2. Базовые действия перед установкой
Получить права root и обновить локальную базу данных пакетов:
shell
sudo -i 
yum makecache
sudo -i 
yum makecache
﻿
Установить пакет для контроля версий Git, веб-сервер Apache2 и утилиту передачи данных curl:
bash
yum install git httpd curl -y
yum install git httpd curl -y
﻿
Запустить службу httpd.service:
shell
systemctl start httpd.service
systemctl start httpd.service
﻿
Включить автозапуск службы:
shell
systemctl enable httpd.service
systemctl enable httpd.service
﻿
2.1 Установка и базовая настройка Firewalld
Установить службу динамического управления брандмауэром (Firewalld):
shell
yum install firewalld -y
yum install firewalld -y
﻿
Запустить службу firewalld.service:
shell
systemctl start firewalld.service
systemctl start firewalld.service
﻿
Включить автозапуск службы:
shell
systemctl enable firewalld.service
systemctl enable firewalld.service
﻿
Добавить HTTP протокол в список разрешенных сервисов конфигурации firewalld:
shell
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=http
﻿
Добавить HTTPS протокол в список разрешенных сервисов конфигурации firewalld:
shell
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=https
﻿
Применить изменения в конфигурации firewalld:
shell
firewall-cmd --reload
firewall-cmd --reload
﻿
2.2 Отключение SELinux и перезагрузка ОС
Отредактировать конфигурационный файл — /etc/selinux/config:
shell
nano /etc/selinux/config
nano /etc/selinux/config
﻿
Изменить параметр SELINUX с enforcing на disabled:
shell
SELINUX=disabled
SELINUX=disabled
﻿
Сохранить изменения (Ctrl+O) и выйти (Ctr+X). Перезагрузить ОС, чтобы применить изменения в SELinux:
shell
reboot
reboot
﻿
3. Установка PHP
Установить пакет EPEL (epel-release) и утилиты для управления пакетами yum (yum-utils):
Shell
yum -y install epel-release yum-utils
yum -y install epel-release yum-utils
﻿
Получить и установить последний EPEL репозиторий:
OS 8
OS 9
dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
﻿
Получить и установить репозиторий предоставляющий доступ к версиям PHP:
OS 8
OS 9
dnf install -y https://rpms.remirepo.net/enterprise/remi-release-9.rpm
dnf install -y https://rpms.remirepo.net/enterprise/remi-release-9.rpm
﻿
Включить модуль PHP версии 8.2 из репозитория REMI:
Shell
dnf module enable php:remi-8.2
dnf module enable php:remi-8.2
﻿
Установить PHP и дополнительные расширения:
Shell
dnf install -y php php-json php-ldap php-xml php-bcmath php-mbstring php-curl gcc php-pear curl-devel openssl-devel pcre-devel php-devel php-mysql libtool pcre-devel php-pecl-psr
dnf install -y php php-json php-ldap php-xml php-bcmath php-mbstring php-curl gcc php-pear curl-devel openssl-devel pcre-devel php-devel php-mysql libtool pcre-devel php-pecl-psr
﻿
3.1 Установка PHP MongoDB драйвера
Установить PHP MongoDB драйвер:
Shell
pecl install mongodb
pecl install mongodb
﻿
Создать файл конфигурации для загрузки и включения PHP MongoDB:
Shell
echo "extension=mongodb.so" | tee /etc/php.d/20-mongodb.ini
echo "extension=mongodb.so" | tee /etc/php.d/20-mongodb.ini
﻿
3.2 Установка PHP Phalcon расширения
Установить PHP Phalcon расширение:
Shell
dnf install php-phalcon -y
dnf install php-phalcon -y
﻿
4. Установка базы данных MongoDB
Создать файл для добавления репозитория MongoDB к системе управления пакетами (yum):
Shell
nano /etc/yum.repos.d/mongodb-org-6.0.repo
nano /etc/yum.repos.d/mongodb-org-6.0.repo
﻿
Поместить в файл следующее содержимое:
OS 8
OS 9
[mongodb-org-6.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/9/mongodb-org/6.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://pgp.mongodb.com/server-6.0.asc
[mongodb-org-6.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/9/mongodb-org/6.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://pgp.mongodb.com/server-6.0.asc
﻿
Установить MongoDB:
Shell
yum install mongodb-org -y
yum install mongodb-org -y
﻿
 Запустить службу mongod.service:
shell
systemctl start mongod.service
systemctl start mongod.service
﻿
Включить автозапуск службы:
shell
systemctl enable mongod.service
systemctl enable mongod.service
﻿
5. Управление и скачивание последней версии Пассворк с помощью Git
Перейти в директорию — /var/www/:
shell
cd /var/www/
cd /var/www/
﻿
Добавить глобальную конфигурацию Git, указывающую на безопасную директорию:
shell
git config --global --add safe.directory /var/www
git config --global --add safe.directory /var/www
﻿
Инициализировать Git репозиторий в директории — /var/www/:
shell
git init
git init
﻿
Добавить удалённый репозиторий Пассворк:
shell
git remote add origin https://passwork.download/passwork/passwork.git
git remote add origin https://passwork.download/passwork/passwork.git
﻿
Получить удалённый репозиторий на локальный сервер:
shell
git fetch
git fetch
﻿
Система запросит логин и пароль к репозиторию, которые расположены на клиентском портале Пассворк. Если у вас нет доступа к клиентскому порталу — свяжитесь с нами.
Переключиться на ветку — v6 с последней актуальной версией Пассворк:
shell
git checkout v6
git checkout v6
﻿
Назначить права на директории, файлы и установить владельца для всех файлов — apache:
shell
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R apache:apache /var/www/
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R apache:apache /var/www/
﻿
6. Настройка Apache2 для доступа по HTTP протоколу в Пассворк
Открыть файл конфигурации виртуального хоста для HTTP соединения:
shell
nano /etc/httpd/conf.d/non-ssl.conf
nano /etc/httpd/conf.d/non-ssl.conf
﻿
Отредактировать содержимое файла и привести к следующему виду:
shell
<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
        Require all granted
    </Directory>
    ErrorLog logs/error_log
    TransferLog logs/access_log
    LogLevel warn
</VirtualHost>
<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
        Require all granted
    </Directory>
    ErrorLog logs/error_log
    TransferLog logs/access_log
    LogLevel warn
</VirtualHost>
﻿
Перезапустить веб-сервер (httpd.service):
shell
systemctl restart httpd.service
systemctl restart httpd.service
﻿
Открыть http://passwork.local или http://127.0.0.1 для проверки подключения к Пассворк.
7. Прохождение чек-листа параметров в Пассворк
При первом подключении к Пассворк, необходимо пройти чек-лист параметров, в ходе которого будет выполнена:
Проверка необходимых параметров
Подключение к базе данных MongoDB
Случайно сгенерированный ключ для шифрования данных в MongoDB
Проверка лицензионного ключа
Оставьте все поля в значениях по умолчанию, если вы устанавливаете новую копию Пассворк.
После прохождения чек-листа параметров, будет предложено создать первого пользователя в Пассворк, где необходимо указать логин, пароль и почтовый адрес для отправки уведомлений.
Обратите внимание.
Данный пользователь всегда по умолчанию является локальным и «Владельцем» Пассворк, в случае назначения — «Владельцем» LDAP/SSO пользователя, он автоматически станет локальным и вы не сможете авторизоваться в Пассворк
8. Настройка Пассворк для доступа по HTTPS протоколу
8.1 Генерация самоподписанного SSL сертификата
Установить SSL модуль для Apache2:
shell
yum install mod_ssl -y
yum install mod_ssl -y
﻿
Создать новую директорию для хранения закрытого ключа и сертификата:
shell
mkdir /etc/ssl/private
mkdir /etc/ssl/private
﻿
Сгенерировать самоподписанный сертификат X.509 для Apache2 с помощью — OpenSSL:
shell
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
﻿
Common Name (CN) — Укажите IP-адрес вашего сервера или имя хоста. Это поле имеет значение, так как ваш сертификат должен соответствовать домену (или IP-адресу) для вашего веб-сайта.
Сгенерировать параметры Диффи-Хеллмана с длиной ключа 2048:
shell
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
﻿
Добавить параметры Диффи-Хеллмана к самоподписанному сертификату:
shell
cat /etc/ssl/certs/dhparam.pem | tee -a /etc/ssl/certs/apache-selfsigned.crt
cat /etc/ssl/certs/dhparam.pem | tee -a /etc/ssl/certs/apache-selfsigned.crt
﻿
Установить права доступа root пользователю для защиты закрытого ключа и сертификата:
shell
chmod 700 /etc/ssl/private
chmod 700 /etc/ssl/private
﻿
8.2 Настройка виртуального хоста для доступа в Пассворк по HTTPS протоколу
Открыть конфигурационный файл для настройки HTTPS протокола:
shell
nano /etc/httpd/conf.d/ssl.conf
nano /etc/httpd/conf.d/ssl.conf
﻿
Найдите раздел, начинающийся с <VirtualHost _default_:443> и внесите следующие изменения:
Раскомментировать строку DocumentRoot и изменить путь на корневой каталог Пассворка (/var/www/public);
Раскомментировать строку ServerName и изменить www.example.com на IP-адрес или домен сервера (в зависимости от указанного значения в Common Name сертификата):
Shell
DocumentRoot /var/www/public
ServerName passwork.local:443
DocumentRoot /var/www/public
ServerName passwork.local:443
﻿
Добавить директиву — <Directory> после ServerName:
Shell
<Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
		Require all granted
</Directory>
<Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
		Require all granted
</Directory>
﻿
Закомментировать строки с SSLProtocol и SSLCipherSuite в конфигурации:
Shell
# SSLProtocol all -SSLv2
# SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
# SSLProtocol all -SSLv2
# SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
﻿
Обновить пути к файлам сертификатов, которые были сгенерированы ранее:
shell
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
﻿
Проверить, что файл конфигурации виртуального хоста соответствует примеру:
shell
Listen 443
<VirtualHost _default_:443>
    DocumentRoot /var/www/public
    ServerName passwork.local:443
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
		Require all granted
    </Directory>
    SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
    SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
</VirtualHost>
Listen 443
<VirtualHost _default_:443>
    DocumentRoot /var/www/public
    ServerName passwork.local:443
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
		Require all granted
    </Directory>
    SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
    SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
</VirtualHost>
﻿
Перезапустить веб-сервер (httpd.service):
bash
systemctl restart httpd.service
systemctl restart httpd.service
﻿
Проверить подключение к Пассворку по HTTPS протоколу — https://passwork.local﻿
8.3 Настройка Пассворк для работы по HTTPS протоколу
При использовании защищенного SSL-соединения (HTTPS) клиентские браузеры требуют определенных флагов для обработки данных Пассворк. Эти флаги называются session.cookie_secure и disableSameSiteCookie.
Если эти флаги не установлены, браузеры не смогут установить соединения и будет отклонено подключение, что может привести к ошибкам при авторизации — «Сессия данной вкладки браузера устарела».
Установить параметр ;session.cookie_secure в файле /etc/php.ini:
bash
sed -i '/session.cookie_secure =/c session.cookie_secure = On' /etc/php.ini
sed -i '/session.cookie_secure =/c session.cookie_secure = On' /etc/php.ini
﻿
Установить параметр disableSameSiteCookie в /var/www/app/config/config.ini на значение Off:
bash
sed -i '/disableSameSiteCookie =/c disableSameSiteCookie = Off' /var/www/app/config/config.ini
sed -i '/disableSameSiteCookie =/c disableSameSiteCookie = Off' /var/www/app/config/config.ini
﻿
Не устанавливайте эти параметры или верните их в исходное значение, если вы передумаете использовать SSL и будете работать через HTTP-протокол.
9. Настройка фоновых задач
Фоновые задачи — это задачи, которые выполняются по планировщику в фоновом режиме.
Они является обязательными для корректной работы части функционала Пассворка, например:
Работа LDAP;
Отправка почтовых уведомлений;
Загрузка фавиконов;
Очистка коллекции session в базе данных Пассворка.
Настройка фоновых задач﻿.
10. Настройка безопасности
Перед выполнением действий по изменению и настройке параметров безопасности, настоятельно рекомендуем убедиться в стабильной и корректной работе Пассворка, а также создать резервную копию файлов, в которые вносятся изменения.
Безопасность сервера является важной частью обеспечения защиты ценных данных и ресурсов компании. Это процесс, который требует планирования и исполнения, чтобы обеспечить максимальную защиту от различных угроз.
Рекомендуемые параметры безопасности﻿ Пассворка.
Обновлено 21 Oct 2024
Помогла ли вам эта страница?
Astra Linux
Debian