在本教程中，我们将介绍如何使用 Ubuntu 16.04 / 16.10 中的 SSL / TLS 保护 FTP 服务器（FTPS）。

如果你想为基于 CentOS 的发行版安装一个安全的 FTP 服务器，你可以阅读 – 在 CentOS 上使用 SSL / TLS 保护 FTP 服务器。

在遵循本指南中的各个步骤之后，我们将了解在 FTP 服务器中启用加密服务的基本原理，以确保安全的数据传输至关重要。

要求

• 你必须已经在 Ubuntu 上安装和配置好一个 FTP 服务器

在我们进行下一步之前，确保本文中的所有命令都将以root身份或者 sudo 特权账号运行。

第一步：在 Ubuntu 上为 FTP 生成 SSL/TLS 证书

1、我们将首先在 /etc/ssl/ 下创建一个子目录来存储 SSL/TLS 证书和密钥文件，如果它不存在的话这样做：

$ sudo mkdir /etc/ssl/private

2、 现在我们在一个单一文件中生成证书和密钥，运行下面的命令：

$ sudo openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048

上面的命令将提示你回答以下问题，不要忘了输入合适于你情况的值：

Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:Lower Parel
Locality Name (eg, city) [Default City]:Mumbai
Organization Name (eg, company) [Default Company Ltd]:TecMint.com
Organizational Unit Name (eg, section) []:Linux and Open Source
Common Name (eg, your name or your server's hostname) []:tecmint
Email Address []:[email protected]

第二步：在 Ubuntu 上配置 vsftpd 来使用 SSL/TLS

3、在我们进行 vsftpd 配置之前，对于那些已启用 UFW 防火墙的用户，你们必须打开端口 990 和 40000 - 50000，来在 vsftpd 配置文件中分别启用 TLS 连接端口和被动端口的端口范围：

$ sudo ufw allow 990/tcp
$ sudo ufw allow 40000:50000/tcp
$ sudo ufw status

4、现在，打开 vsftpd 配置文件并定义 SSL 详细信息：

$ sudo vi /etc/vsftpd/vsftpd.conf
或
$ sudo nano /etc/vsftpd/vsftpd.conf

然后，添加或找到选项 ssl_enable，并将它的值设置为 YES 来激活使用 SSL ，同样，因为 TLS 比 SSL 更安全，我们将通过启用 ssl_tlsv1 选项限制 vsftpd 只使用 TLS：

ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

5、 接下来，使用 ＃ 字符注释掉下面的行，如下所示：

#rsa_cert_file=/etc/ssl/private/ssl-cert-snakeoil.pem
#rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

然后，添加以下行以定义 SSL 证书和密钥文件的位置（LCTT 译注：或径直修改也可）：

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

6、现在，我们也可以阻止匿名用户使用 SSL 登录，并且迫使所有的非匿名登录使用安全的 SSL 链接来传输数据和在登录期间发送密码：

allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

7、此外，我们可以使用以下选项在 FTP 服务器中添加更多的安全功能 。对于选项 require_ssl_reuse=YES，它表示所有的 SSL 数据链接都需重用已经建立的 SSL 会话（需要证明客户端拥有 FTP 控制通道的主密钥），但是一些客户端不支持它，如果没有客户端问题，出于安全原因不应该关闭（默认开启）。（LCTT 译注：原文此处理解有误，译者修改。）

require_ssl_reuse=NO

此外，我们可以通过 ssl_ciphers 选项来设置 vsftpd 允许使用那些加密算法。 这将有助于挫败攻击者使用那些已经发现缺陷的加密算法的尝试：

ssl_ciphers=HIGH

8、 然后，我们定义被动端口的端口范围（最小和最大端口）。

pasv_min_port=40000
pasv_max_port=50000

9、 要启用 SSL 调试，把 openSSL 连接诊断记录到 vsftpd 日志文件中，我们可以使用 debug_ssl 选项：

debug_ssl=YES

最后，保存配置文件并且关闭它。然后重启 vsftpd 服务：

$ systemctl restart vsftpd

第三步：在 Ubuntu 上使用 SSL / TLS 连接验证 FTP

10、 执行所有上述配置后，通过尝试在命令行中使用 FTP 来测试 vsftpd 是否现在使用了 SSL / TLS 连接，如下所示。

从下面的输出来看，这里有一个错误的信息告诉我们 vsftpd 仅允许用户（非匿名用户）从支持加密服务的安全客户端登录。

$ ftp 192.168.56.10
Connected to 192.168.56.10  (192.168.56.10).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : ravi
530 Non-anonymous sessions must use encryption.
Login failed.
421 Service not available, remote server has closed connection
ftp>

该命令不支持加密服务从而导致了上述错误。因此，要安全连接到启用了加密服务的 FTP 服务器，我们需要一个默认支持 SSL/TLS 连接的 FTP 客户端，例如 FileZilla。

第四步：在客户端上安装FileZillaStep来安全地连接FTP

11、FileZilla 是一个强大的，广泛使用的跨平台 FTP 客户端，支持在 SSL/TLS 上的 FTP。为了在 Linux 客户端机器上安装 FileZilla，使用下面的命令。

--------- On Debian/Ubuntu ---------
$ sudo apt-get install filezilla   
--------- On CentOS/RHEL/Fedora --------- 
# yum install epel-release filezilla
--------- On Fedora 22+ --------- 
$ sudo dnf install filezilla

12、 一旦安装完成，打开它然后点击File=>Sites Manager或者（按Ctrl+S）来获取下面的Site Manager。

Filezilla Site Manager

13、 现在，定义主机/站点名字，添加 IP 地址，定义使用的协议，加密和登录类型，如下面的屏幕（使用适用于你方案的值）：

点击 New Site 按钮来配置一个新的站点/主机连接。

• Host: 192.168.56.10
• Protocol: FTP – File Transfer Protocol
• Encryption: Require explicit FTP over #推荐
• Logon Type: Ask for password #推荐
• User: 用户名

在 Filezilla 上配置新的 FTP 站点

14、 然后从上面的界面单击连接以输入密码，然后验证用于 SSL / TLS 连接的证书，并再次单击确定以连接到 FTP 服务器：

验证 FTP 的 SSL 证书

15、现在，你应该通过 TLS 连接成功地登录到了 FTP 服务器，检查连接状态部分，来获取有关下面接口的更多信息。

连接 Ubuntu 的 FTP 服务器

16、 最后，让我们在文件夹中从本地的机器传送文件到 FTP 服务器, 查看 FileZilla 界面的下端来查看有关文件传输的报告。

使用 Filezilla 安全的传输 FTP 文件

就这样！ 始终记住，安装 FTP 服务器而不启用加密服务具有某些安全隐患。 正如我们在本教程中解释的，您可以在 Ubuntu 16.04 / 16.10 中配置 FTP 服务器使用 SSL / TLS 连接来实现安全性。

如果你在 FTP 服务器上设置 SSL/TLS 遇到任何问题，请使用以下评论表单来分享您对本教程/主题的问题或想法。

作者简介：

Aaron Kili 是 Linux 和 F.O.S.S 爱好者，即将成为 Linux SysAdmin 和网络开发人员，目前是 TecMint 的内容创作者，他喜欢在电脑上工作，并坚信分享知识。

via: http://www.tecmint.com/secure-ftp-server-using-ssl-tls-on-ubuntu/

作者：Aaron Kili 译者：DockerChen 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

来自 Atomic 项目 的 Atomic 主机是一个轻量级的容器基于的操作系统，它可以运行 Linux 容器。它已被优化为用作云环境的容器运行时系统。例如，它可以托管 Docker 守护进程和容器。有时，你可能需要在该主机上运行 docker 命令，并从其他地方管理服务器。本文介绍如何远程访问 Fedora Atomic 主机（你可以在这里下载到它）上的 Docker 守护进程。整个过程由 Ansible 自动完成 - 在涉及到自动化的一切上，这真是一个伟大的工具！

安全备忘录

由于我们通过网络连接，所以我们使用 TLS 保护 Docker 守护进程。此过程需要客户端证书和服务器证书。OpenSSL 包用于创建用于建立 TLS 连接的证书密钥。这里，Atomic 主机运行守护程序，我们的本地的 Fedora Workstation 充当客户端。

在你按照这些步骤进行之前，请注意，任何在客户端上可以访问 TLS 证书的进程在服务器上具有完全的 root 访问权限。 因此，客户端可以在服务器上做任何它想做的事情。我们需要仅向可信任的特定客户端主机授予证书访问权限。你应该将客户端证书仅复制到完全由你控制的客户端主机。但即使在这种情况下，客户端机器的安全也至关重要。

不过，此方法只是远程访问守护程序的一种方法。编排工具通常提供更安全的控制。下面的简单方法适用于个人实验，可能不适合开放式网络。

获取 Ansible role

Chris Houseknecht 写了一个 Ansible role，它会创造所需的所有证书。这样，你不需要手动运行 openssl 命令了。 这些在 Ansible role 仓库中提供。将它克隆到你当前的工作主机。

$ mkdir docker-remote-access
$ cd docker-remote-access
$ git clone https://github.com/ansible/role-secure-docker-daemon.git

创建配置文件

接下来，你必须创建 Ansible 配置文件、 清单 （ inventory ） 和 剧本 （ playbook ） 文件以设置客户端和守护进程。以下说明在 Atomic 主机上创建客户端和服务器证书。然后，获取客户端证书到本地。最后，它们会配置守护进程以及客户端，使它们能彼此交互。

这里是你需要的目录结构。如下所示，创建下面的每个文件。

$ tree docker-remote-access/
docker-remote-access/
├── ansible.cfg
├── inventory
├── remote-access.yml
└── role-secure-docker-daemon

ansible.cfg：

$ vim ansible.cfg

[defaults]
inventory=inventory

清单文件（inventory）：

$ vim inventory

[daemonhost]
'IP_OF_ATOMIC_HOST' ansible_ssh_private_key_file='PRIVATE_KEY_FILE'

将清单文件（inventory） 中的 IP_OF_ATOMIC_HOST 替换为 Atomic 主机的 IP。将 PRIVATE_KEY_FILE 替换为本地系统上的 SSH 私钥文件的位置。

剧本文件（remote-access.yml）：

$ vim remote-access.yml

- name: Docker Client Set up
  hosts: daemonhost
  gather_facts: no
  tasks:
    - name: Make ~/.docker directory for docker certs
      local_action: file path='~/.docker' state='directory'

    - name: Add Environment variables to ~/.bashrc
      local_action: lineinfile dest='~/.bashrc' line='export DOCKER_TLS_VERIFY=1\nexport DOCKER_CERT_PATH=~/.docker/\nexport DOCKER_HOST=tcp://{{ inventory_hostname }}:2376\n' state='present'

    - name: Source ~/.bashrc file
      local_action: shell source ~/.bashrc

- name: Docker Daemon Set up
  hosts: daemonhost
  gather_facts: no
  remote_user: fedora
  become: yes
  become_method: sudo
  become_user: root
  roles:
    - role: role-secure-docker-daemon
      dds_host: "{{ inventory_hostname }}"
      dds_server_cert_path: /etc/docker
      dds_restart_docker: no
  tasks:
    - name: fetch ca.pem from daemon host
      fetch:
        src: /root/.docker/ca.pem
        dest: ~/.docker/
        fail_on_missing: yes
        flat: yes
    - name: fetch cert.pem from daemon host
      fetch:
        src: /root/.docker/cert.pem
        dest: ~/.docker/
        fail_on_missing: yes
        flat: yes
    - name: fetch key.pem from daemon host
      fetch:
        src: /root/.docker/key.pem
        dest: ~/.docker/
        fail_on_missing: yes
        flat: yes
    - name: Remove Environment variable OPTIONS from /etc/sysconfig/docker
      lineinfile:
        dest: /etc/sysconfig/docker
        regexp: '^OPTIONS'
        state: absent

    - name: Modify Environment variable OPTIONS in /etc/sysconfig/docker
      lineinfile:
        dest: /etc/sysconfig/docker
        line: "OPTIONS='--selinux-enabled --log-driver=journald --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H=0.0.0.0:2376 -H=unix:///var/run/docker.sock'"
        state: present

    - name: Remove client certs from daemon host
      file:
        path: /root/.docker
        state: absent

    - name: Reload Docker daemon
      command: systemctl daemon-reload
    - name: Restart Docker daemon
      command: systemctl restart docker.service

访问 Atomic 主机

现在运行 Ansible 剧本：

$ ansible-playbook remote-access.yml

确保 tcp 端口 2376 在你的 Atomic 主机上打开了。如果你在使用 Openstack，请在安全规则中添加 TCP 端口 2376。 如果你使用 AWS，请将其添加到你的安全组。

现在，在你的工作站上作为普通用户运行的 docker 命令与 Atomic 主机的守护进程通信，并在那里执行命令。你不需要手动 ssh 或在 Atomic 主机上发出命令。这可以让你远程、轻松、安全地启动容器化应用程序。

如果你想克隆 Ansible 剧本和配置文件，这里是 git 仓库。

via: https://fedoramagazine.org/use-docker-remotely-atomic-host/

作者：Trishna Guha 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

接着前一篇教程写的关于使用 Windows 10 的 RSAT 工具来管理 Samba4 活动目录架构，在这篇文章中我们将学习如何使用微软 DNS 管理器远程管理我们的 Samba AD 域控制器的 DNS 服务器，如何创建 DNS 记录，如何创建反向查找区域以及如何通过组策略管理工具来创建域策略。

要求

1、 在 Ubuntu 16.04 系统上使用 Samba4 软件来创建活动目录架构（一）

2、 在 Linux 命令行下管理 Samba4 AD 架构（二）

3、 使用 Windows 10 的 RSAT 工具来管理 Samba4 活动目录架构 （三）

第 1 步：管理 Samba DNS 服务器

Samba4 AD DC 使用内部的 DNS 解析器模块，该模块在初始化域提供的过程中创建（如果 BIND9 DLZ 模块未指定使用的情况下）。

Samba4 内部的 DNS 模块支持 AD 域控制器所必须的基本功能。有两种方式来管理域 DNS 服务器，直接在命令行下通过 samba-tool 接口来管理，或者使用已加入域的微软工作站中的 RSAT DNS 管理器远程进行管理。

在这篇文章中，我们使用第二种方式来进行管理，因为这种方式很直观，也不容易出错。

1、要使用 RSAT 工具来管理域控制器上的 DNS 服务器，在 Windows 机器上，打开控制面板 -> 系统和安全 -> 管理工具，然后运行 DNS 管理器工具。

当打开这个工具时，它会询问你将要连接到哪台正在运行的 DNS 服务器。选择“使用下面的计算机”，输入域名（IP 地址或 FQDN 地址都可以使用），勾选“现在连接到指定计算机”，然后单击 OK 按钮以开启 Samba DNS 服务。

在 Windows 系统上连接 Samba4 DNS 服务器

2、为了添加一条 DNS 记录（比如我们添加一条指向 LAN 网关的 A 记录），打开 DNS 管理器，找到域正向查找区，在右侧单击右键选择新的主机（A 或 AAAA）。

在 Windows 下添加一条 DNS 记录

3、在打开的新主机窗口界面，输入 DNS 服务器的主机名和 IP 地址。 DNS 管理器工具会自动填写完成 FQDN 地址。填写完成后，点击“添加主机”按钮，之后会弹出一个新的窗口提示你 DNS A 记录已经创建完成。

确保仅为你的网络中已配置静态 IP的资源（设备）添加 DNS A 记录。不要为那些从 DHCP 服务器自动获取 IP 地址或者经常变换 IP 地址的主机添加 DNS A 记录。

在 Windows 系统下配置 Samba 主机

要更新一条 DNS 记录只需要双击那条记录，然后输入更改即可。要删除一条记录时，只需要在这条记录上单击右键，选择从菜单删除即可。

同样的方式，你也可以为你的域添加其它类型的 DNS 记录，比如说 CNAME 记录（也称为 DNS 别名记录），MX 记录（在邮件服务器上非常有用）或者其它类型的记录（SPE、TXT、SRV 等类型）。

第 2 步：创建反向查找区域

默认情况下，Samba4 AD DC 不会自动为你的域添加一个反向查找区域和 PTR 记录，因为这些类型的记录对于域控制器的正常工作来说是无关紧要的。

相反，DNS 反向区和 PTR 记录在一些重要的网络服务中显得非常有用，比如邮件服务，因为这些类型的记录可以用于验证客户端请求服务的身份。

实际上， PTR 记录的功能与标准的 DNS 记录功能相反。客户端知道资源的 IP 地址，然后去查询 DNS 服务器来识别出已注册的 DNS 名字。

4、要创建 Samba AD DC 的反向查找区域，打开 DNS 管理器，在左侧反向查找区域目录上单击右键，然后选择菜单中的新区域。

创建 DNS 反向查找区域

5、下一步，单击下一步按钮，然后从区域类型向导中选择主区域（Primary）。

选择 DNS 区域类型

6、下一步，在 “AD 区域复制范围”中选择复制到该域里运行在域控制器上的所有的 DNS 服务器，选择 “IPv4 反向查找区域”然后单击下一步继续。

为 Samba 域控制器选择 DNS 服务器

添加反向查找区域名

7、下一步，在网络ID 框中输入你的 LAN IP 地址，然后单击下一步继续。

在这个区域内添加的所有资源（设备）的 PTR 记录仅能指向 192.168.1.0/24 网络段。如果你想要为一个不在该网段中的服务器创建一个 PTR 记录（比如邮件服务器位于 10.0.0.0/24 这个网段的时候），那么你还得为那个网段创建一个新的反向查找区域。

添加 DNS 反向查找区域的 IP 地址

8、在下一个截图中选择“仅允许安全的动态更新”，单击下一步继续，最后单击完成按钮以完成反向查找区域的创建。

启用安全动态更新

新 DNS 区域概览

9、此时，你已经为你的域环境创建完成了一个有效的 DNS 反向查找区域。为了在这个区域中添加一个 PTR 记录，在右侧右键单击，选择为网络资源创建一个 PTR 记录。

这个时候，我们已经为网关创建了一个指向。为了测试这条记录对于客户端是否添加正确和工作正常，打开命令行提示符执行 nslookup 查询资源名，再执行另外一条命令查询 IP 地址。

两个查询都应该为你的 DNS 资源返回正确的结果。

nslookup gate.tecmint.lan
nslookup 192.168.1.1
ping gate

添加及查询 PTR 记录

第 3 步：管理域控制策略

10、域控制器最重要的作用就是集中控制系统资源及安全。使用域控制器的域组策略功能很容易实现这些类型的任务。

遗憾的是，在 Samba 域控制器上唯一用来编辑或管理组策略的方法是通过微软的 RSAT GPM 工具。

在下面的实例中，我们将看到通过组策略来实现在 Samba 域环境中为域用户创建一种交互式的登录提示是多么的简单。

要访问组策略控制台，打开控制面板 -> 系统和安全 -> 管理工具，然后打开组策略管理控制台。

展开你的域下面的目录，在默认组策略上右键，选择菜单中的编辑，将出现一个新的窗口。

管理 Samba 域组策略

11、在组策略管理编辑器窗口中，进入到计算机配置 -> 组策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项，你将在右侧看到一个新的选项列表。

在右侧查询并编辑你的定制化设置，参考下图中的两条设置内容。

配置 Samba 域组策略

12、这两个条目编辑完成后，关闭所有窗口，打开 CMD 窗口，执行以下命令来强制应用组策略。

gpupdate /force

更新 Samba 域组策略

13、最后，重启你的电脑，当你准备登录进入系统的时候，你就会看到登录提示生效了。

Samba4 AD 域控制器登录提示

就写到这里吧！组策略是一个操作起来很繁琐和很谨慎的主题，在管理系统的过程中你得非常的小心。还有，注意你设置的组策略不会以任何方式应用到已加入域的 Linux 系统中。

作者简介：我是一个电脑迷，开源软件及 Linux 系统爱好者，有近4年的 Linux 桌面和服务器系统及 bash 编程经验。

via: http://www.tecmint.com/manage-samba4-dns-group-policy-from-windows/

作者：Matei Cezar 译者：rusking 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

HTTP/2 是 HTTP 网络协议的主要修订版本，其专注于 HTTP 协议的性能改进。HTTP/2 协议的目标是减少延迟，并且允许在 Web 浏览器和服务器之间的一个连接上并行发起多个请求，因此 Web 应用程序会更快。在本篇教程中，我们将像你展示如何在安装有 Ubuntu 或 CentOS 作为操作系统的 Linux VPS 上使用开启 Nginx 的 HTTP/2 协议。如果你使用 Apache，你可以查看我们的另一篇教程：如何在 Ubuntu 上开启 Apache 的 HTTP/2 协议。

必备条件

为了能够按照本篇教程最终在服务器上启用 HTTP/2 协议，你需要先安装好 Nginx 。并且确保功能正常而且配置没有错误。你可以使用下面的命令来检查一下：

sudo nginx -t

此外，你需要有服务器的 root 访问权限，或者至少有一个具有 sudo 权限的非 root 系统用户，以便你在修改 Nginx 配置文件的时候不会出现权限问题。最后你需要有一个域名和一个颁发给这个域名的有效的 SSL 证书。

在 Ubuntu 上开启 Nginx 的 HTTP/2 协议

为了在 Ubuntu VPS 上开启 Nginx 的 HTTP/2 协议，你需要编辑默认的 Nginx 的服务（server）块，我们使用的是 nano，你可以使用你自己的文本编辑器。

sudo nano /etc/nginx/sites-available/default

增加下面的服务块：

server {  
        server_name domain.com www.domain.com;
        listen 443 ssl http2 default_server;
        root /var/www/html;
        index index.html;

        location / {
                try_files $uri $uri/ =404;
        }

        ssl_certificate /etc/nginx/ssl/domain.com.crt;
        ssl_certificate_key /etc/nginx/ssl/domain.com.key;
}

server {
       listen         80;
       server_name    domain.com www.domain.com;
       return         301 https://$server_name$request_uri;
}

确保 domain.com 替换成你真正的域名。 此外，应正确设置文档根（root）目录，还有 SSL 证书和密钥的路径。

当你编辑完成这个服务块之后，需要保存并关闭文件。使用以下命令检查 Nginx 配置是否有错误：

sudo nginx -t

为了刚刚的改变生效，需要重启 Nginx：

sudo systemctl restart nginx.service

如果你想为另一个域名开启 HTTP/2 协议，你可以查看我们的博客如何在 Ubuntu 和 CentOS 上设置 Nginx 服务块。

在 CentOS 上开启 Nginx 的 HTTP/2 协议

为了在 CentOS VPS 开启 Nginx 的 HTTP/2 协议，你需要按照 Ubuntu 上完全相同的步骤做。唯一的不同点是 Nginx 块文件的位置。为了在 CentOS 上编辑默认的 Nginx 服务块，你需要进入 /etc/nginx/conf.d 这个文件夹。

# nano /etc/nginx/conf.d/default.conf

再次检查配置是否有错误，保存并关闭文件，然后使用以下命令重新启动 Nginx 服务：

# systemctl restart nginx.service

为了检测 Nginx 的 HTTP/2 协议是否开启成功，你可以使用一些在线 HTTP/2 检测工具。

via: https://www.rosehosting.com/blog/how-to-enable-http2-in-nginx-on-ubuntu-and-centos/

作者：rosehosting.com 译者：Flowsnow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Nextcloud 是一款自由 (开源) 的类 Dropbox 软件，由 ownCloud 分支演化形成。它使用 PHP 和 JavaScript 编写，支持多种数据库系统，比如 MySQL/MariaDB、PostgreSQL、Oracle 数据库和 SQLite。它可以使你的桌面系统和云服务器中的文件保持同步，Nextcloud 为 Windows、Linux、Mac、安卓以及苹果手机都提供了客户端支持。Nextcloud 并非只是 Dropbox 的克隆，它还提供了很多附加特性，如日历、联系人、计划任务以及流媒体 Ampache。

在这篇文章中，我将向你展示如何在 CentOS 7 服务器中安装和配置最新版本的 Nextcloud 10。我会通过 Nginx 和 PHP7-FPM 来运行 Nextcloud，同时使用 MariaDB 做为数据库系统。

先决条件

• 64 位的 CentOS 7
• 服务器的 Root 权限

步骤 1 - 在 CentOS 7 中安装 Nginx 和 PHP7-FPM

在开始安装 Nginx 和 php7-fpm 之前，我们还学要先添加 EPEL 包的仓库源。使用如下命令：

yum -y install epel-release

现在开始从 EPEL 仓库来安装 Nginx：

yum -y install nginx

然后我们还需要为 php7-fpm 添加另外一个仓库。互联网中有很个远程仓库提供了 PHP 7 系列包，我在这里使用的是 webtatic。

添加 PHP7-FPM webtatic 仓库：

rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

然后就是安装 PHP7-FPM 以及 Nextcloud 需要的一些包。

yum -y install php70w-fpm php70w-cli php70w-gd php70w-mcrypt php70w-mysql php70w-pear php70w-xml php70w-mbstring php70w-pdo php70w-json php70w-pecl-apcu php70w-pecl-apcu-devel

最后，从服务器终端里查看 PHP 的版本号，以便验证 PHP 是否正确安装。

php -v

步骤 2 - 配置 PHP7-FPM

在这一个步骤中，我们将配置 php-fpm 与 Nginx 协同运行。Php7-fpm 将使用 nginx 用户来运行，并监听 9000 端口。

使用 vim 编辑默认的 php7-fpm 配置文件。

vim /etc/php-fpm.d/www.conf

在第 8 行和第 10行，user 和 group 赋值为 nginx。

user = nginx
group = nginx

在第 22 行，确保 php-fpm 运行在指定端口。

listen = 127.0.0.1:9000

取消第 366-370 行的注释，启用 php-fpm 的系统环境变量。

env[HOSTNAME] = $HOSTNAME
env[PATH] = /usr/local/bin:/usr/bin:/bin
env[TMP] = /tmp
env[TMPDIR] = /tmp
env[TEMP] = /tmp

保存文件并退出 vim 编辑器。

下一步，就是在 /var/lib/ 目录下创建一个新的文件夹 session，并将其拥有者变更为 nginx 用户。

mkdir -p /var/lib/php/session
chown nginx:nginx -R /var/lib/php/session/

然后启动 php-fpm 和 Nginx，并且将它们设置为随开机启动的服务。

sudo systemctl start php-fpm
sudo systemctl start nginx

sudo systemctl enable php-fpm
sudo systemctl enable nginx

PHP7-FPM 配置完成

步骤 3 - 安装和配置 MariaDB

我这里使用 MariaDB 作为 Nextcloud 的数据库。可以直接使用 yum 命令从 CentOS 默认远程仓库中安装 mariadb-server 包。

yum -y install mariadb mariadb-server

启动 MariaDB，并将其添加到随系统启动的服务中去。

systemctl start mariadb
systemctl enable mariadb

现在开始配置 MariaDB 的 root 用户密码。

mysql_secure_installation

键入 Y ，然后设置 MariaDB 的 root 密码。

Set root password? [Y/n] Y
New password:
Re-enter new password:

Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y

这样就设置好了密码，现在登录到 mysql shell 并为 Nextcloud 创建一个新的数据库和用户。这里我创建名为 nextcloud_db 的数据库以及名为 nextclouduser 的用户，用户密码为 nextclouduser@。当然了，要给你自己的系统选用一个更安全的密码。

mysql -u root -p

输入 MariaDB 的 root 密码，即可登录 mysql shell。

输入以下 mysql 查询语句来创建新的数据库和用户。

create database nextcloud_db;
create user nextclouduser@localhost identified by 'nextclouduser@';
grant all privileges on nextcloud_db.* to nextclouduser@localhost identified by 'nextclouduser@';
flush privileges;

nextcloud_db 数据库和 nextclouduser 数据库用户创建完成

步骤 4 - 为 Nextcloud 生成一个自签名 SSL 证书

在教程中，我会让客户端以 https 连接来运行 Nextcloud。你可以使用诸如 let's encrypt 等免费 SSL 证书，或者是自己创建自签名 (self signed) SSL 证书。这里我使用 OpenSSL 来创建自己的自签名 SSL 证书。

为 SSL 文件创建新目录：

mkdir -p /etc/nginx/cert/

如下，使用 openssl 生成一个新的 SSL 证书。

openssl req -new -x509 -days 365 -nodes -out /etc/nginx/cert/nextcloud.crt -keyout /etc/nginx/cert/nextcloud.key

最后使用 chmod 命令将所有证书文件的权限设置为 600。

chmod 700 /etc/nginx/cert
chmod 600 /etc/nginx/cert/*

步骤 5 - 下载和安装 Nextcloud

我直接使用 wget 命令下载 Nextcloud 到服务器上，因此需要先行安装 wget。此外，还需要安装 unzip 来进行解压。使用 yum 命令来安装这两个程序。

yum -y install wget unzip

先进入 /tmp 目录，然后使用 wget 从官网下载最新的 Nextcloud 10。

cd /tmp
wget https://download.nextcloud.com/server/releases/nextcloud-10.0.2.zip

解压 Nextcloud，并将其移动到 /usr/share/nginx/html/ 目录。

unzip nextcloud-10.0.2.zip
mv nextcloud/ /usr/share/nginx/html/

下一步，转到 Nginx 的 web 根目录为 Nextcloud 创建一个 data 文件夹。

cd /usr/share/nginx/html/
mkdir -p nextcloud/data/

变更 nextcloud 目录的拥有者为 nginx 用户和组。

chown nginx:nginx -R nextcloud/

步骤 6 - 在 Nginx 中为 Nextcloud 配置虚拟主机

在步骤 5 我们已经下载好了 Nextcloud 源码，并配置好了让它运行于 Nginx 服务器中，但我们还需要为它配置一个虚拟主机。在 Nginx 的 conf.d 目录下创建一个新的虚拟主机配置文件 nextcloud.conf。

cd /etc/nginx/conf.d/
vim nextcloud.conf

将以下内容粘贴到虚拟主机配置文件中：

upstream php-handler {
    server 127.0.0.1:9000;
    #server unix:/var/run/php5-fpm.sock;
}

server {
    listen 80;
    server_name cloud.nextcloud.co;
    # enforce https
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl;
    server_name cloud.nextcloud.co;

    ssl_certificate /etc/nginx/cert/nextcloud.crt;
    ssl_certificate_key /etc/nginx/cert/nextcloud.key;

    # Add headers to serve security related headers
    # Before enabling Strict-Transport-Security headers please read into this
    # topic first.
    add_header Strict-Transport-Security "max-age=15768000;
    includeSubDomains; preload;";
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Robots-Tag none;
    add_header X-Download-Options noopen;
    add_header X-Permitted-Cross-Domain-Policies none;

    # Path to the root of your installation
    root /usr/share/nginx/html/nextcloud/;

    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # The following 2 rules are only needed for the user_webfinger app.
    # Uncomment it if you're planning to use this app.
    #rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
    #rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json
    # last;

    location = /.well-known/carddav {
      return 301 $scheme://$host/remote.php/dav;
    }
    location = /.well-known/caldav {
      return 301 $scheme://$host/remote.php/dav;
    }

    # set max upload size
    client_max_body_size 512M;
    fastcgi_buffers 64 4K;

    # Disable gzip to avoid the removal of the ETag header
    gzip off;

    # Uncomment if your server is build with the ngx_pagespeed module
    # This module is currently not supported.
    #pagespeed off;

    error_page 403 /core/templates/403.php;
    error_page 404 /core/templates/404.php;

    location / {
        rewrite ^ /index.php$uri;
    }

    location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)/ {
        deny all;
    }
    location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) {
        deny all;
    }

    location ~ ^/(?:index|remote|public|cron|core/ajax/update|status|ocs/v[12]|updater/.+|ocs-provider/.+|core/templates/40[34])\.php(?:$|/) {
        include fastcgi_params;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
        fastcgi_param HTTPS on;
        #Avoid sending the security headers twice
        fastcgi_param modHeadersAvailable true;
        fastcgi_param front_controller_active true;
        fastcgi_pass php-handler;
        fastcgi_intercept_errors on;
        fastcgi_request_buffering off;
    }

    location ~ ^/(?:updater|ocs-provider)(?:$|/) {
        try_files $uri/ =404;
        index index.php;
    }

    # Adding the cache control header for js and css files
    # Make sure it is BELOW the PHP block
    location ~* \.(?:css|js)$ {
        try_files $uri /index.php$uri$is_args$args;
        add_header Cache-Control "public, max-age=7200";
        # Add headers to serve security related headers (It is intended to
        # have those duplicated to the ones above)
        # Before enabling Strict-Transport-Security headers please read into
        # this topic first.
        add_header Strict-Transport-Security "max-age=15768000;
        includeSubDomains; preload;";
        add_header X-Content-Type-Options nosniff;
        add_header X-Frame-Options "SAMEORIGIN";
        add_header X-XSS-Protection "1; mode=block";
        add_header X-Robots-Tag none;
        add_header X-Download-Options noopen;
        add_header X-Permitted-Cross-Domain-Policies none;
        # Optional: Don't log access to assets
        access_log off;
    }

    location ~* \.(?:svg|gif|png|html|ttf|woff|ico|jpg|jpeg)$ {
        try_files $uri /index.php$uri$is_args$args;
        # Optional: Don't log access to other assets
        access_log off;
    }
}

保存文件并退出 vim。

下载测试以下该 Nginx 配置文件是否有错误，没有的话就可以重启服务了。

nginx -t
systemctl restart nginx

步骤 7 - 为 Nextcloud 配置 SELinux 和 FirewallD 规则

本教程中，我们将以强制模式运行 SELinux，因此需要一个 SELinux 管理工具来为 Nextcloud 配置 SELinux。

使用以下命令安装 SELinux 管理工具。

yum -y install policycoreutils-python

然后以 root 用户来运行以下命令，以便让 Nextcloud 运行于 SELinux 环境之下。如果你是用的其他名称的目录，记得将 nextcloud 替换掉。

semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/data(/.*)?'
semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/config(/.*)?'
semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/apps(/.*)?'
semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/assets(/.*)?'
semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/.htaccess'
semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/.user.ini'

restorecon -Rv '/usr/share/nginx/html/nextcloud/'

接下来，我们要启用 firewalld 服务，同时为 Nextcloud 开启 http 和 https 端口。

启动 firewalld 并设置随系统启动。

systemctl start firewalld
systemctl enable firewalld

现在使用 firewall-cmd 命令来开启 http 和 https 端口，然后重新加载防火墙。

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

至此，服务器配置完成。

步骤 8 - Nextcloud 安装

打开你的 Web 浏览器，输入你为 Nextcloud 设置的域名，我这里设置为 cloud.nextcloud.co，然后会重定向到安全性更好的 https 连接。

设置你的管理员用户名和密码，然后输入数据验证信息，点击 '完成安装 (Finish Setup)'。

Nextcloud 管理面板大致如下：

Nextcloud 用户设置：

管理设置：

至此，我们在 CentOS 7 服务器上通过使用 Nginx、PHP7-FPM、MariaDB 完成了 Nextcloud 的安装。

参考链接

• https://docs.nextcloud.com/

译者简介：

GHLandy —— 划不完粉腮柳眉泣别离。

via: https://www.howtoforge.com/tutorial/how-to-install-nextcloud-with-nginx-and-php-fpm-on-centos-7/

作者：Muhammad Arul 译者：GHLandy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

介绍

目的

在 RHEL7/CentOS7/Scientific Linux 7 中重设 root 密码。

要求

RHEL7 / CentOS7 / Scientific Linux 7

困难程度

中等

指导

RHEL7 的世界发生了变化，重置 root 密码的方式也一样。虽然中断引导过程的旧方法（init=/bin/bash）仍然有效，但它不再是推荐的。“Systemd” 使用 “rd.break” 来中断引导。让我们快速浏览下整个过程。

启动进入最小模式

重启系统并在内核列表页面在系统启动之前按下 e。你会进入编辑模式。

中断启动进程

在内核字符串中 - 在以 linux 16 /vmlinuz- ect 结尾的行中输入 rd.break。接着 Ctrl+X 重启。系统启动进入初始化内存磁盘，并挂载在 /sysroot。在此模式中你不需要输入密码。

重新挂载文件系统以便读写

switch_root:/# mount -o remount,rw /sysroot/

使 /sysroot 成为根目录

switch_root:/# chroot /sysroot 

命令行提示符会稍微改变。

修改 root 密码

sh-4.2# passwd 

加载 SELinux 策略

sh-4.2# load_policy -i 

在 /etc/shadow 中设置上下文类型

sh-4.2# chcon -t shadow_t /etc/shadow 

注意：你可以通过如下创建 autorelabel 文件的方式来略过最后两步，但自动重建卷标会花费很长时间。

sh-4.2# touch /.autorelabel 

因为这个原因，尽管它更简单，它应该作为“懒人选择”，而不是建议。

退出并重启

退出并重启并用新的 root 密码登录。

via: https://linuxconfig.org/how-to-reset-the-root-password-in-rhel7-centos7-scientific-linux-7-based-systems

作者：Rado Folwarczny 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出