Ubuntu(ウブントゥ)は、Debian をベースに開発されている Linuxディストリビューションのひとつです。Ubuntu ではデスクトップ版とサーバー版が別々に提供されているのが特徴です。Ubuntu といえばデスクトップ版のイメージがありますが、サーバー版の Ubuntu Server も Webサイト向けの Linuxディストリビューションとして圧倒的なシェアを誇っています。また Ubuntu Server は、利用可能なソフトウェアパッケージが多く比較的バージョンが新しいのが魅力です。そこで今回は、Ubuntu Server 20.04 で LAMP環境(Apache2.4/MySQL8/PHP7.4)をインストールする手順をまとめてみました。
マシン構成
Ubuntu 20.04 Server の推奨システム要件は次の通りです。比較的低スペックなサーバーや古いパソコンでもインストールすることができますね。
- CPU:1GHz以上
- RAM:1GB以上
- ディスク:2.5GB以上
参考資料:Installation | Server documentation | Ubuntu
今回は以下の構成の VirtualBoxの仮想マシン に Ubuntu 20.04 Server をインストールします。
○仮想マシン構成
CPU:2コア
メモリ:2048MB
HDD:20GB
○ネットワークデバイス
アダプター1:NAT
アダプター2:ホストオンリーアダプター
○ネットワーク構成(※ご自分の環境に書き換えてください)
ホスト名: ubuntu2004
ネットワークアドレス:192.168.56.0/24
IPアドレス:192.168.56.10
DNSサーバ: 8.8.8.8, 1.1.1.1
Ubuntu Server 20.04 LTS のインストール
Ubuntu のダウンロードページ から Ubuntu Server 20.04 LTS(Long Term Support = 長期サポート版の略称です)をダウンロードします。
インストール先の VirtualBoxの仮想マシンの「設定」→「ストレージ」を選択し、「コントローラ: IDE」にダウンロードした Ubuntu Server の ISOイメージファイルを追加して仮想マシンを起動します。
Ubuntu Server のインストーラーが起動したら言語を選択します。インストーラーは日本語に対応していませんので「English」を選択してエンターキーを押します。
以下のような画面が表示されたら(表示されない場合もあります)「Update to the new installer」を選択してエンターキーを押します。矢印キーもしくはタブキー(シフト+タブキーで逆に移動できます)で項目を移動できます。
キーボードの設定です。項目を「Layout」に移動して「Japanese」を選択します。選択したら「Done」に移動してエンターキーを押します。
ネットワークの設定です。「enp0s3」がアダプター1(NAT)、「enp0s8」がアダプター2(ホストオンリーアダプター)です。「enp0s3」は自動でIPアドレスが割り当てられますのでそのままでOKです。「enp0s8」には手動で固定IPアドレスを設定しますので、「enp0s8」に移動してエンターキーを押し、「Edit IPv4」を選択してエンターキーを押します。
IPv4 Method「Manual」を選択し、Subnet にネットワークアドレス(サブネットマスクではありません)、Address にホストオンリーアダプターに設定する IPアドレスを入力します。Name servers には DNSサーバのIPアドレス(複数の場合はカンマ「,」区切り)を入力し「Save」に移動してエンターキーを押します。(Gatewayは設定しないでください。アダプター1を使ったインターネット通信ができなくなります)
設定したIPアドレスが表示されていることを確認し「Done」に移動してエンターキーを押します。
プロキシーサーバーの設定です。必要がなければそのままエンターキーを押します。
パッケージなどのダウンロード元となるミラーサーバーの設定です。自動で近くのミラーサーバーが設定されますので、そのままエンターキーを押します。
HDDなどのストレージの設定です。必要に応じて暗号化やパーテーションを手動で設定できます。今回はそのままの設定で構いませんので「Done」に移動してエンターキーを押します。
ストレージの設定の確認画面です。内容を確認して問題がなければそのままエンターキーを押します。
「ストレージのデータが消えるけど大丈夫?」の旨が表示されます。問題がなければ「Continue」に移動してエンターキーを押します。
ユーザーアカウントとホスト名の設定です。「Your server's name」がホスト名、「Pick a username」がユーザー名です。ユーザー名は admin や adm などありがちな名前は設定できないようになっています。
SSHの設定です。スペースキーを押して「Install OpenSSH server」にチェックを入れ、「Done」に移動してエンターキーを押します。
インストールするパッケージの選択です。今回はなにも選択せずそのまま「Done」に移動してエンターキーを押します。
インストールが開始しますのでしばし待ちます。
インストールが終わると下のような画面になります。「Reboot」に移動してエンターキーを押して再起動します。
再起動できない場合は、一度 VirtualBoxの仮想マシンの電源を一度オフにして、仮想マシンに追加した ISOイメージファイルを削除してから仮想マシンを起動します。
以下の画面が表示されていれば起動完了です。
SSHでログインできることを確認してください。
これから Ubuntu Server の各種設定やミドルウェアのインストールを行うのですが、ほとんどの操作は root 権限が必要になるためコマンドの先頭に sudo を付ける必要があります。
そのため、以下のコマンドで root になって作業を進めます。いちいち sudo を打ち込まなくてよくなるので楽なのですが、ログにコマンド履歴が残らないとういデメリットもあります。サーバーの運用が始まったら sudo を使うことをオススメします。
パッケージのアップデート
インストール済みのパッケージを、最新版にアップデートします。
apt -y upgrade
アップデートが終わったらOSを再起動します。
ufw(ファイアウォール)設定
初期状態では ufw(ファイアウォール)が無効になっていますので、許可するポートを設定してから有効にします。
Status: inactive ←無効
SSH(22)と WEBアクセス(80 と 443)ポートを許可します。
ufw allow 80
ufw allow 443
ufw を有効化します。「SSH接続ができなくなるかもよ!」と聞いてくれます。SSH(22)ポートは許可していますので「y」を入力してください。
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ufw が有効になっていることを確認します。
ufw status Status: active ←有効 To Action From -- ------ ---- 22 ALLOW Anywhere 80 ALLOW Anywhere 443 ALLOW Anywhere 22 (v6) ALLOW Anywhere (v6) 80 (v6) ALLOW Anywhere (v6) 443 (v6) ALLOW Anywhere (v6)
日時設定(timesyncd)
タイムゾーンを日本に変更します。
参照する NTPサーバーを指定します。複数設定する場合は半角スペース区切りで指定します。
vi /etc/systemd/timesyncd.conf
↓
NTP=ntp.nict.jp 0.jp.pool.ntp.org 1.jp.pool.ntp.org 2.jp.pool.ntp.org 3.jp.pool.ntp.org
timesyncd を再起動します。
NTPサーバーと同期していることを確認します。
timedatectl status
(略)
System clock synchronized: yes ←同期OK
NTP service: active
RTC in local TZ: no
メール送信設定(Gmail経由)
サーバーから Gmail 経由でメールを送信できるように設定します。(必要がなければこの設定は不要です)
Gmail 経由でメールを送信するには、Google アカウントの設定で「安全性の低いアプリ」を許可する必要があります。そのため通常利用している Google アカウントではなく、メール送信用に Google アカウントを新たに取得して複雑なパスワードを設定しておくことをオススメします。
参考資料:安全性の低いアプリと Google アカウント - Google アカウント ヘルプ
Postfix のインストール
メールサーバーの Postfix をインストールします。
Postfix をどのように構成するか聞かれます。初期値の「Internet Site」で構いませんので、そのままエンターキーを押します。
送信元に表示されるメールアドレスのドメイン名の設定です。そのままエンターキーを押します。(本来はメッセージの通り FQDNである必要がありますが、Gmail を経由する場合は送信元メールアドレスが Gmail のメールアドレスに書き換えられますのでそのままで構いません)
以上で Postfix のインストールが開始します。
Postfix の設定
Postfix のインストールが終わったら Gmail(すなわち Google アカウント)の認証情報ファイルを以下の形式で作成します。
vi /etc/postfix/gmail
パスワードを書いているので、パーミッションを変更(root のみアクセス可)
PostfixのDBファイルを生成
Postfix の設定ファイルを編集します。
vi /etc/postfix/main.cf
↓
relayhost = [smtp.gmail.com]:587
inet_interfaces = all
↓
inet_interfaces = loopback-only
#(↓以下を最終行に追加)
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/gmail
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_mechanism_filter = plain
smtp_use_tls = yes
Postfix を再起動します。
メール送信確認
mail コマンドをインストールします。
以下のコマンドでメールが送信できることを確認します。
各種ミドルウェアのインストール
※バージョンは2020年7月22日時点のものです。
Apache(2.4.41)
PHP(7.4.3)
apt -y install php-dev
apt -y install php-mysql
apt -y install php-mbstring
apt -y install php-gd
apt -y install php-curl
apt -y install php-intl
apt -y install php-zip
【補足】
PHP は「apt install php」でインストールすると Apache モジュール版の PHP がインストールされます。その場合、Apache の MPM(動作モードのようなものです)が event から prefork に変更されます。(モジュール版の PHP ではセキュリティ上の理由から prefork 以外は使えません)しかし、prefork では HTTP/2(効率的にWeb通信を行うためのプロトコル)を使えないため、Apache の MPM を event のままで使える php-fpm をインストールしています。
MySQL(8.0.20)
Apache の設定
Ubuntu での Apache の設定は Debian から引き継いだ独特の作法があります。はじめて Ubuntu を扱う方は公式ドキュメントを確認しておきましょう。
参考資料:Web Servers - Apache | Server documentation | Ubuntu
セキュリティ関連設定
GCIを使わない場合は、GCI設定を無効にします。
ファイルの一覧を表示しないように Indexes オプションを外しておきます。
vi /etc/apache2/apache2.conf
<Directory /var/www/>
Options Indexes FollowSymLinks
↓
Options FollowSymLinks
UTF-8 以外の文字エンコーディングを使わない場合は、AddDefaultCharset ディレクティブで UTF-8 を指定することをオススメします。
vi /etc/apache2/conf-available/charset.conf
↓
AddDefaultCharset UTF-8
その他のセキュリティ設定を行います。
vi /etc/apache2/conf-available/security.conf
↓
ServerTokens Prod
ServerSignature On
↓
ServerSignature Off
#Header set X-Content-Type-Options: "nosniff"
↓
Header set X-Content-Type-Options: "nosniff"
#(↓以下を追加)クロスサイトスクリプティング(XSS)対策
Header set X-XSS-Protection "1; mode=block"
ブラウザキャッシュ設定
ブラウザキャッシュの設定ファイルを作成します。キャッシュさせるファイルの種類や期限はコンテンツの内容に合わせて設定してください。
vi /etc/apache2/mods-available/expires.conf
<IfModule mod_expires.c>
ExpiresActive On
ExpiresDefault "access plus 1 seconds"
ExpiresByType image/gif "access plus 1 year"
ExpiresByType image/jpeg "access plus 1 year"
ExpiresByType image/png "access plus 1 year"
ExpiresByType image/svg+xml "access plus 1 year"
#ExpiresByType text/css "access plus 1 year"
#ExpiresByType text/js "access plus 1 year"
#ExpiresByType text/javascript "access plus 1 year"
</IfModule>
SSL/TLS設定
SSL/TLS関連の設定です。
vi /etc/apache2/mods-available/ssl.conf
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl_scache(512000)
SSLSessionCacheTimeout 300
↓
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl_scache(1024000)
SSLSessionCacheTimeout 3600
SSLCipherSuite HIGH:!aNULL
↓
SSLCipherSuite "ECDHE-ECDSA-AES128-GCM-SHA256 \
ECDHE-ECDSA-AES256-GCM-SHA384 \
ECDHE-ECDSA-AES128-SHA \
ECDHE-ECDSA-AES256-SHA \
ECDHE-ECDSA-AES128-SHA256 \
ECDHE-ECDSA-AES256-SHA384 \
ECDHE-RSA-AES128-GCM-SHA256 \
ECDHE-RSA-AES256-GCM-SHA384 \
ECDHE-RSA-AES128-SHA \
ECDHE-RSA-AES256-SHA \
ECDHE-RSA-AES128-SHA256 \
ECDHE-RSA-AES256-SHA384 \
DHE-RSA-AES128-GCM-SHA256 \
DHE-RSA-AES256-GCM-SHA384 \
DHE-RSA-AES128-SHA \
DHE-RSA-AES256-SHA \
DHE-RSA-AES128-SHA256 \
DHE-RSA-AES256-SHA256 \
EDH-RSA-DES-CBC3-SHA"
#SSLHonorCipherOrder on
↓
SSLHonorCipherOrder on
SSLProtocol all -SSLv3
↓
SSLProtocol -all +TLSv1.2 +TLSv1.3
#(↓以下を追加)
SSLCompression off
SSLUseStapling On
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/run/httpd/stapling_cache(128000)
#(↑追加ここまで)
</IfModule>
SSL/TLS設定の詳細は以下の記事にまとめました。よければご参照ください。
関連記事:安全な SSL/TLS 設定にするための10のポイント(Apache httpd 2.4)
バーチャルホスト設定
バーチャルホストの設定です。サーバー証明書は、自動で生成される自己署名の証明書 ssl-cert-snakeoil.pem を使っていますが、実際に Webサイトを公開する場合は Let's Encrypt など正規の認証局が発行したサーバー証明書を使いましょう。
関連記事:Let's Encrypt サーバー証明書の取得と自動更新設定メモ
デフォルトのバーチャルホストを無効にします。
バーチャルホストの設定ファイルを作成します。ServerName に指定するドメイン名は、ご自分が所有しているドメインに書き換えてください。
vi /etc/apache2/sites-available/www.example.com.conf
<VirtualHost *:80>
ServerName www.example.com
Redirect permanent / https://www.example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName www.example.com
DocumentRoot /var/www/html
<Directory "/var/www/html">
Options FollowSymLinks
AllowOverride None
Require all granted
</Directory>
SSLEngine on
Header always set Strict-Transport-Security "max-age=31536000"
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt
SetEnvIf Request_URI "\.(gif|jpg|png|css|js)$" nolog
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined env=!nolog
</VirtualHost>
作成したバーチャルホストを有効化します。
モジュールの有効化と Apache の再起動
必要なモジュールを有効化します。
a2enmod expires
a2enmod ssl
a2enmod http2
a2enmod proxy_fcgi setenvif
a2enconf php7.4-fpm
Apache を再起動します。
動作確認
確認用の PHP ファイルを作成します。
vi /var/www/html/test.php
phpinfo();
Webブラウザで確認用の PHP ファイルが実行されていることを確認します。
http://www.example.com/test.php
【補足】
自己署名のサーバー証明書の場合は警告が表示され、接続できない場合があります。FireFox で「危険性を承知で続行」ボタンを押して接続するか、Google Chrome の場合は「thisisunsafe」とタイプすると接続できます。
確認がおわったら PHP ファイルは削除しておきましょう。
PHP の設定
PHP の設定です。
vi /etc/php/7.4/fpm/php.ini
↓
expose_php = Off
;date.timezone =
↓
date.timezone = 'Asia/Tokyo'
error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT
↓
error_reporting = E_ALL & ~E_NOTICE
設定が終わったら php-fpm を再起動します。
MySQL の設定
MySQL の設定です。
vi /etc/mysql/mysql.conf.d/mysqld.cnf
log_timestamps=SYSTEM
default_authentication_plugin=mysql_native_password
(設定の詳細)
log_timestamps=SYSTEM
標準では MySQLのログの出力時間が UTC になるため、サーバーのタイムゾーンと同じになるように設定します。
default_authentication_plugin=mysql_native_password
MySQL 8.0 からデフォルトの認証プラグインが「caching_sha2_password」になりました。しかし、現状ではほとんどのWebアプリケーション(WordPressやZabbixなど)が caching_sha2_password に対応していないため、従来の認証プラグイン「mysql_native_password」に変更します。
設定が終わったら mysql を再起動します。
mysql_secure_installation の実行
初期状態では、rootユーザーがパスワードなしで MySQLに接続できるようになっていますのでパスワードを設定しておきましょう。
(略)
Please set the password for root here.
New password: <新しいパスワード>
Re-enter new password: <新しいパスワード>
(略)
Do you wish to continue with the password provided?(Press y|Y for Yes, any other key for No) : y
(不要なユーザーやDBを削除)
All done!
おわりに
はじめて Ubuntu を使ってみたのですが、Ubuntu ではインストールされていないコマンドを打つと、「次のコマンドでインストールできるよ」と教えてくれるのがとても便利です。Ubuntu はアフリカの言葉で「他者への思いやり」という意味があるそうです。こんな Ubuntu の設計思想が多くの人に使われている理由なのかもしれませんね。
Command 'mail' not found, but can be installed with:
apt install mailutils
コメント