Como instalar e configurar o Caddy no CentOS 7

• Introdução
• Pré-requisitos
• Etapa 1: Instale a versão mais recente e estável do Caddy
• Etapa 2: Configurar o Caddy
• Etapa 3: Modificar regras de firewall
• Etapa 4: crie uma página de teste para o seu site

Introdução

O Caddy é um programa emergente de servidor da web com suporte nativo para HTTP / 2 e HTTPS automático. Com a facilidade de uso e segurança em mente, o Caddy pode ser usado para implantar rapidamente um site habilitado para HTTPS com um único arquivo de configuração.

Pré-requisitos

• Uma nova instância do servidor Vultr CentOS 7 x64. Vamos usar 203.0.113.1como exemplo.
• Um usuário sudo .
• A instância do servidor foi atualizada para o status estável mais recente usando o repositório EPEL YUM .
• Um domínio example.comfoi configurado para apontar para a 203.0.113.1instância do servidor. Veja detalhes em outro tutorial do Vultr .

Etapa 1: Instale a versão mais recente e estável do Caddy

Em um sistema operacional Linux, Mac ou BSD, use o seguinte comando para instalar a última versão estável estável do Caddy, específica do sistema:

curl https://getcaddy.com | bash

Quando solicitado, insira sua senha sudo para concluir a instalação.

O binário Caddy será instalado no /usr/local/bindiretório Use o seguinte comando para confirmar:

which caddy

A saída deve ser:

/usr/local/bin/caddy

Por questões de segurança, NUNCA execute o binário Caddy como root. Para dar ao Caddy a capacidade de se conectar a portas privilegiadas (por exemplo, 80, 443) como um usuário não root, é necessário executar o setcapcomando da seguinte maneira:

sudo setcap 'cap_net_bind_service=+ep' /usr/local/bin/caddy

Etapa 2: Configurar o Caddy

Crie um usuário do sistema dedicado: caddy e um grupo com o mesmo nome para Caddy:

sudo useradd -r -d /var/www -M -s /sbin/nologin caddy

Nota : O usuário caddycriado aqui pode ser usado apenas para gerenciar o serviço Caddy e não pode ser usado para efetuar login.

Crie o diretório inicial /var/wwwdo servidor da web Caddy e o diretório inicial /var/www/example.comdo seu site:

sudo mkdir -p /var/www/example.com
sudo chown -R caddy:caddy /var/www

Crie um diretório para armazenar certificados SSL:

sudo mkdir /etc/ssl/caddy
sudo chown -R caddy:root /etc/ssl/caddy
sudo chmod 0770 /etc/ssl/caddy

Crie um diretório dedicado para armazenar o arquivo de configuração do Caddy Caddyfile:

sudo mkdir /etc/caddy
sudo chown -R root:caddy /etc/caddy

Crie o arquivo de configuração do Caddy chamado Caddyfile:

sudo touch /etc/caddy/Caddyfile
sudo chown caddy:caddy /etc/caddy/Caddyfile
sudo chmod 444 /etc/caddy/Caddyfile
cat <<EOF | sudo tee -a /etc/caddy/Caddyfile
example.com {
    root /var/www/example.com
    gzip
    tls admin@example.com
}
EOF

Nota : O Caddyfilearquivo criado acima é apenas uma configuração básica para a execução de um site estático. Você pode aprender mais sobre como escrever um Caddyfile aqui .

Para facilitar as operações do Caddy, você pode configurar um systemdarquivo de unidade para o Caddy e usá-lo systemdpara gerenciar o Caddy.

Use o vieditor para criar o systemdarquivo da unidade Caddy :

sudo vi /etc/systemd/system/caddy.service

Preencha o arquivo:

[Unit]
Description=Caddy HTTP/2 web server
Documentation=https://caddyserver.com/docs
After=network-online.target
Wants=network-online.target systemd-networkd-wait-online.service

[Service]
Restart=on-abnormal

; User and group the process will run as.
User=caddy
Group=caddy

; Letsencrypt-issued certificates will be written to this directory.
Environment=CADDYPATH=/etc/ssl/caddy

; Always set "-root" to something safe in case it gets forgotten in the Caddyfile.
ExecStart=/usr/local/bin/caddy -log stdout -agree=true -conf=/etc/caddy/Caddyfile -root=/var/tmp
ExecReload=/bin/kill -USR1 $MAINPID

; Use graceful shutdown with a reasonable timeout
KillMode=mixed
KillSignal=SIGQUIT
TimeoutStopSec=5s

; Limit the number of file descriptors; see `man systemd.exec` for more limit settings.
LimitNOFILE=1048576
; Unmodified caddy is not expected to use more than that.
LimitNPROC=512

; Use private /tmp and /var/tmp, which are discarded after caddy stops.
PrivateTmp=true
; Use a minimal /dev
PrivateDevices=true
; Hide /home, /root, and /run/user. Nobody will steal your SSH-keys.
ProtectHome=true
; Make /usr, /boot, /etc and possibly some more folders read-only.
ProtectSystem=full
; … except /etc/ssl/caddy, because we want Letsencrypt-certificates there.
;   This merely retains r/w access rights, it does not add any new. Must still be writable on the host!
ReadWriteDirectories=/etc/ssl/caddy

; The following additional security directives only work with systemd v229 or later.
; They further retrict privileges that can be gained by caddy. Uncomment if you like.
; Note that you may have to add capabilities required by any plugins in use.
;CapabilityBoundingSet=CAP_NET_BIND_SERVICE
;AmbientCapabilities=CAP_NET_BIND_SERVICE
;NoNewPrivileges=true

[Install]
WantedBy=multi-user.target

Salve e saia:

:wq!

Inicie o serviço Caddy e faça com que ele inicie automaticamente na inicialização do sistema:

sudo systemctl daemon-reload
sudo systemctl start caddy.service
sudo systemctl enable caddy.service

Etapa 3: Modificar regras de firewall

Para permitir que os visitantes acessem seu site Caddy, é necessário abrir as portas 80 e 443:

sudo firewall-cmd --permanent --zone=public --add-service=http 
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

Etapa 4: crie uma página de teste para o seu site

Use o seguinte comando para criar um arquivo nomeado index.htmlno diretório inicial do site Caddy:

echo '<h1>Hello World!</h1>' | sudo tee /var/www/example.com/index.html

Reinicie o serviço Caddy para carregar novos conteúdos:

sudo systemctl restart caddy.service

Por fim, aponte seu navegador para http://example.comou https://example.com. Você deve ver a mensagem Hello World!conforme o esperado.