Installare OpenLiteSpeed, MariaDB e PHP 7.4 su CentOS 8

OpenLiteSpeed è un server HTTP open source ad alte prestazioni. Questa guida passo passo mostra come aggiungere il repository ufficiale, installare OpenLiteSpeed, configurare PHP 7.4 (LSPHP), installare MariaDB, abilitare l’accesso amministrativo e mettere il sito su porta 80. Include comandi, controllo dei servizi, checklist di verifica e suggerimenti di sicurezza.

Importante: eseguire queste operazioni come utente con privilegi sudo o root. Salvare le credenziali amministrative in modo sicuro.

Sommario della guida

• Requisiti minimi
• Installare OpenLiteSpeed
• Installare PHP 7.4 (LSPHP)
• Installare e proteggere MariaDB
• Abilitare l’accesso all’admin grafico e proteggere la porta 7080
• Configurare OpenLiteSpeed per usare lsphp74
• Spostare il listener su porta 80 e abilitare HTTP/HTTPS nel firewall
• Test e verifica
• Checklist per ruoli (amministratore, sviluppatore)
• Risoluzione problemi e concetti chiave

Requisiti

• Server CentOS 8 aggiornato
• 2 GB di RAM consigliati, 25 GB di spazio libero su disco, 2 CPU (minimi indicativi)
• Accesso root o sudo
• Connessione Internet per scaricare repository e pacchetti

File e porte principali

• Porta amministrativa OpenLiteSpeed: 7080 (HTTPS)
• Porta HTTP predefinita dell’installazione: 8088 (modificabile a 80)
• Socket PHP LSPHP suggerito: /tmp/lshttpd/lsphp.sock

Passo 1 — Aggiungere il repository e installare OpenLiteSpeed

Aggiungi il repository ufficiale di LiteSpeed e installa il pacchetto openlitespeed.

Esegui:

rpm -Uvh http://rpms.litespeedtech.com/centos/litespeed-repo-1.1-1.el8.noarch.rpm

Verifica i repository disponibili:

dnf repolist

Dovresti vedere il repository di LiteSpeed nella lista.

Installa OpenLiteSpeed:

sudo dnf install openlitespeed

Avvia il servizio e abilitalo all’avvio:

systemctl start lsws
systemctl enable lsws

Controlla lo stato:

systemctl status lsws

Se il servizio è attivo, OpenLiteSpeed è installato correttamente.

Passo 2 — Installare PHP 7.4 (LSPHP)

OpenLiteSpeed usa una versione di PHP compilata per LSAPI chiamata LSPHP. Installeremo la serie php 7.4 fornita dal repository OpenLiteSpeed.

Aggiungi prima il repository EPEL:

sudo dnf install epel-release

Quindi installa i pacchetti LSPHP 7.4 richiesti:

sudo dnf install lsphp74 lsphp74-mysqlnd lsphp74-process lsphp74-mbstring lsphp74-mcrypt lsphp74-gd lsphp74-opcache lsphp74-bcmath lsphp74-pdo lsphp74-common lsphp74-xml

Verifica che il processo lsphp sia attivo controllando il socket o il processo:

netstat -pl | grep lsphp

Oppure usa ss:

ss -pl | grep lsphp

Se vedi lsphp74 o il socket corrispondente, PHP 7.4 per OpenLiteSpeed è pronto.

Nota: lsphp74-mcrypt potrebbe non essere sempre necessario; includilo solo se le tue applicazioni lo richiedono.

Passo 3 — Installare e proteggere MariaDB

Installa MariaDB e avvialo:

sudo dnf install mariadb mariadb-server
systemctl start mariadb
systemctl enable mariadb

Poi esegui lo script di hardening per configurare la password root e rimuovere l’accesso anonimo:

mysql_secure_installation

Rispondi alle domande richieste (consigliato confermare Y per impostare password, rimuovere utenti anonimi, rimuovere database di test e ricaricare le tabelle dei privilegi).

Accedi con root per verificare gli utenti:

mysql -u root -p
Type Your Root Password:

Esegui la query di controllo utenti:

select User, Host from mysql.user;

Riavvia il servizio se necessario.

Importante: non esporre il server MariaDB direttamente su Internet senza un firewall o regole di accesso restrittive.

Passo 4 — Configurare autenticazione per l’Admin di OpenLiteSpeed

L’interfaccia amministrativa di OpenLiteSpeed è raggiungibile via HTTPS sulla porta 7080 per impostazione predefinita.

Aggiungi la porta 7080 al firewall di sistema:

firewall-cmd --add-port=7080/tcp --permanent
firewall-cmd --reload

Imposta le credenziali amministrative usando lo script incluso. Vai nella directory dell’admin e avvia lo script:

cd /usr/local/lsws/admin/misc
sh admpass.sh

Inserisci il nome utente e la password amministrativa quando richiesto.

Ora visita in browser:

https://:7080/

Esegui il login con l’utente e la password appena creati.

Passo 5 — Collegare OpenLiteSpeed a PHP 7.4 tramite la GUI

Nell’interfaccia di amministrazione, dal menu di sinistra seleziona Server Configuration e poi la scheda External App.

Aggiungi una nuova app esterna (clic +). Seleziona il tipo LiteSpeed SAPI App e clicca Next.

Compila i campi come di seguito:

Name: lsphp74
Address: uds://tmp/lshttpd/lsphp.sock
Notes: lsphp74 per OpenLiteSpeed
Max Connections: 35
Initial Request Timeout (secs): 60
Retry Timeout (secs): 0
Command: $SERVER_ROOT/lsphp74/bin/lsphp

Salva la configurazione.

Poi vai su Server Configuration → Script Handler, modifica il gestore PHP e imposta Handler Name su lsphp74. Salva.

Queste impostazioni collegano OpenLiteSpeed al binario PHP 7.4.

Passo 6 — Eseguire OpenLiteSpeed sulla porta 80

Per cambiare il listener (porta) da 8088 a 80, aggiungi HTTP e HTTPS come servizi del firewall prima di cambiare la porta:

firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent
firewall-cmd --reload

Nel pannello admin di OpenLiteSpeed, apri Listener → Default → view. Nella sezione Address Settings clicca edit e modifica la porta a 80. Salva e poi riavvia il server dall’interfaccia (Restart Server).

Se non puoi usare porta 80 come utente non root, assicurati che il servizio sia avviato come root o che selinux e policy consentano l’uso della porta.

Passo 7 — Testare l’installazione

Apri il browser e visita:

http:///

Dovresti vedere la pagina index predefinita di OpenLiteSpeed.

Per testare PHP, usa il pulsante Test PHP nella GUI o crea un file phpinfo:

Posiziona il file in document root e aprilo via browser per verificare che PHP 7.4 sia attivo.

Checklist rapida prima di andare in produzione

Importante: prima di esporre l’istanza in produzione, verifica quanto segue:

• Aggiornamenti di sistema applicati (dnf update)
• Firewall configurato (solo porte necessarie aperte)
• Admin su porta 7080 accessibile solo da IP autorizzati o via VPN
• MariaDB protetto con password forte e utenze limitate
• Backup configurati per dati e configurazioni
• Certificati TLS in produzione per HTTPS

Ruoli e responsabilità: checklist per ruolo

Amministratore di sistema:

• Verificare servizi: systemctl status lsws mariadb
• Configurare backup e monitoraggio
• Applicare aggiornamenti di sicurezza

Sviluppatore web:

• Testare phpinfo e moduli richiesti
• Verificare compatibilità delle estensioni PHP
• Validare permessi di file e ownership del document root

Sicurezza e hardening (consigli)

• Limitare l’accesso alla porta 7080 solo agli indirizzi IP dell’amministrazione o attraverso VPN.
• Usare firewall e, se possibile, configurare fail2ban per tentativi di accesso ripetuti.
• Disabilitare moduli PHP non necessari per ridurre la superficie di attacco.
• Proteggere i file di configurazione (permessi 640 e proprietario root:root o lsadm).
• Usare certificati TLS validi e HSTS per i siti pubblici.

Alternative e confronti (quando preferire altre soluzioni)

• Se servono funzionalità enterprise e supporto commerciale, valutare LiteSpeed Enterprise.
• Se si desidera una pila più comune con molti esempi e comunità, Apache o Nginx + php-fpm possono essere preferibili.
• Per ambienti containerizzati, valutare immagini Docker ufficiali e orchestrazione (Kubernetes).

Modello mentale e metodologia consigliata

Approccio logico per la messa in servizio:

1. Preparare l’ambiente (backup, aggiornamenti)
2. Installare i componenti di base (web server, PHP, DB)
3. Collegare i componenti (configurare LSPHP, script handler)
4. Testare in ambiente isolato
5. Hardening e sicurezza
6. Scalare e monitorare

Questo workflow evita di esporre servizi non testati in produzione.

Esempi di problemi comuni e come risolverli

1. Il listener non si avvia su porta 80:

   • Verificare che nessun altro processo stia usando la porta: sudo ss -ltnp | grep :80
   • Controllare SELinux e policy o avviare come root

2. PHP non risponde (502/504):

   • Controllare che il socket indicato in Address coincida con lsphp (uds://tmp/lshttpd/lsphp.sock)
   • Aumentare Max Connections o timeout se necessario
   • Controllare i log di OpenLiteSpeed in /usr/local/lsws/logs/

3. MariaDB non accessibile:

   • Verificare che il servizio sia attivo systemctl status mariadb
   • Controllare bind-address in /etc/my.cnf per limitazioni di rete

Criteri di accettazione

Per considerare l’installazione completata e pronta:

• OpenLiteSpeed risponde su porta 80
• Admin GUI raggiungibile su 7080 (limitata agli IP ammessi)
• phpinfo mostra PHP 7.4 e le estensioni richieste
• MariaDB risponde e l’utente root è protetto
• Backup e monitoraggio configurati

Piccola guida operativa (SOP) per deploy iniziale

1. Aggiornare sistema e installare repo
2. Installare openlitespeed e lsphp
3. Installare e hardenizzare MariaDB
4. Creare admin con admpass.sh
5. Configurare External App e Script Handler
6. Test funzionali e SSL

Glossario in una riga

• LSPHP: versione di PHP compilata per l’API LSAPI di LiteSpeed.
• Listener: componente che ascolta su una porta per le richieste HTTP/HTTPS.
• lsws: servizio OpenLiteSpeed.

Rischi e mitigazioni

• Rischio: esposizione admin su 7080. Mitigazione: limitare IP e usare VPN.
• Rischio: credenziali deboli per DB. Mitigazione: password complesse, rotazione credenziali.

Controlli di test (acceptance)

• Aprire http:/// e vedere la pagina predefinita.
• Aprire phpinfo.php e confermare PHP 7.4.
• Effettuare login in https://:7080/ con le credenziali admin.
• Eseguire una semplice query su MariaDB.

Riepilogo finale

Hai installato OpenLiteSpeed, collegato PHP 7.4 (LSPHP) e MariaDB su CentOS 8. La guida copre installazione, configurazione, sicurezza di base e test. Prima di mettere in produzione, applica hardening, backup e monitoraggio.

Riferimenti

• https://openlitespeed.org/

Didascalia: Pannello di controllo e architettura base di OpenLiteSpeed.