Установка Vanilla Forum на CentOS 7 с Nginx, MariaDB и SSL

TL;DR

Vanilla Forum можно установить на CentOS 7, используя Nginx, MariaDB и PHP-FPM. В руководстве описаны все шаги: настройка PHP 7.2, установка MariaDB 10.2, получение сертификатов через acme.sh и конфигурация Nginx. Включены рекомендации по безопасности, проверки и список типичных проблем.

Важно: используйте PHP 7.2 или новее и актуальные версии баз данных. PHP 7.0 не поддерживается и не получает патчи безопасности.

Кому полезно это руководство

• Системным администраторам, которые разворачивают веб‑форумы.
• Разработчикам, которым нужно локальное или продакшен‑окружение Vanilla Forum.
• Инженерам по безопасности, проверяющим SSL и доступы.

Что вы получите из статьи

• Полный пошаговый процесс установки Vanilla на CentOS 7.
• Готовую конфигурацию Nginx и PHP-FPM.
• Инструкции по получению сертификата Let’s Encrypt через acme.sh.
• Рекомендации по безопасности, резервному копированию и проверкам работоспособности.

Требования к системе

Vanilla Forum требует веб‑сервер, PHP и СУБД. Для продакшен‑установки также нужен домен и корректная DNS‑запись.

Минимальные требования:

• PHP 7.0 или новее (рекомендуется 7.2+).
• PHP‑расширения: mbstring, cURL, GD, PDO, MySQLi, OpenSSL.
• MySQL 5.0+ или эквивалент (MariaDB/Percona).
• Веб‑сервер: Nginx или Apache.
• В MySQL должна быть отключена строгая проверка (strict mode) для совместимости.

Рекомендуется:

• PHP 7.2 или новее для безопасности и совместимости с плагинами.
• MySQL/MariaDB 5.7+ или новее.
• SSL для шифрования трафика (Let’s Encrypt).

Предварительные условия

• Сервер с CentOS 7.
• Ненулевой пользователь с sudo (не root) для повседневных операций.
• Для публичного доступа — доменное имя и корректный DNS.

Начальная проверка и подготовка системы

Проверьте версию CentOS:

cat /etc/centos-release
# CentOS Linux release 7.6.1810 (Core)

Установите часовой пояс:

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Обновите пакеты системы:

sudo yum update -y

Установите базовые утилиты:

sudo yum install -y curl wget vim git unzip socat bash-completion epel-release

Шаг 1 — Установка PHP и необходимых расширений

Добавьте репозиторий Webtatic и установите PHP 7.2 и набор расширений:

sudo rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

sudo yum install -y php72w php72w-cli php72w-fpm php72w-common php72w-mbstring php72w-curl php72w-gd php72w-mysql

Проверьте установленные модули PHP:

php -m

ctype
curl
exif
fileinfo
...

Проверьте версию PHP:

php --version

# PHP 7.2.14 (cli) (built: Jan 12 2019 12:47:33) ( NTS )

Запустите и включите PHP-FPM:

sudo systemctl start php-fpm.service
sudo systemctl enable php-fpm.service

Примечание: при использовании других репозиториев или сборок PHP скорректируйте имена пакетов.

Шаг 2 — Установка MariaDB и создание базы данных для Vanilla

Vanilla поддерживает MySQL, MariaDB и Percona. В примере используется MariaDB 10.2.

Создайте репозиторий MariaDB 10.2:

sudo vim /etc/yum.repos.d/MariaDB.repo

Вставьте:

# MariaDB 10.2 CentOS repository list - created 2017-12-11 23:19 UTC
# http://downloads.mariadb.org/mariadb/repositories/
[mariadb]
name=MariaDB
baseurl=https://yum.mariadb.org/10.2/centos7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1

Установите сервер MariaDB:

sudo yum install -y MariaDB-server MariaDB-client

Проверьте версию:

mysql --version
# mysql  Ver 15.1 Distrib 10.2.21-MariaDB, for Linux (x86_64)

Запустите и включите службу:

sudo systemctl start mariadb.service
sudo systemctl enable mariadb.service

Запустите скрипт безопасности:

sudo mysql_secure_installation

Следуйте подсказкам: задайте пароль root, удалите анонимных пользователей, запретите удалённый вход root, удалите тестовую базу.

Подключитесь и создайте базу и пользователя для Vanilla:

sudo mysql -u root -p

MariaDB [(none)]> CREATE DATABASE dbname;
MariaDB [(none)]> GRANT ALL ON dbname.* TO 'username' IDENTIFIED BY 'password';
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> exit

Замените dbname, username и password на собственные значения. Запишите их в безопасное место.

Шаг 3 — acme.sh и сертификаты Let’s Encrypt (опционально)

SSL не обязателен, но настоятельно рекомендуется для публичных форумов. acme.sh — лёгкий клиент без внешних зависимостей.

Установка acme.sh:

sudo su - root
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail [email protected]
source ~/.bashrc
cd ~

Проверка версии:

acme.sh --version
# v2.8.0

Получение сертификатов (пример):

# RSA 2048
acme.sh --issue --standalone -d example.com --keylength 2048
# ECDSA
acme.sh --issue --standalone -d example.com --keylength ec-256

Для тестирования используйте флаг –staging.

Каталоги с сертификатами:

• RSA: /home/username/example.com
• ECDSA: /home/username/example.com_ecc

Переместим сертификаты в /etc/letsencrypt (мы используем эту структуру для Nginx):

mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

# RSA
acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem --reloadcmd "sudo systemctl reload nginx.service"

# ECC
acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem --reloadcmd "sudo systemctl reload nginx.service"

acme.sh автоматически обновляет сертификаты по расписанию.

После завершения работы выйдите из root:

exit

Шаг 4 — Установка Nginx и конфигурация для Vanilla

Установите Nginx:

sudo yum install -y nginx

Проверьте и запустите службу:

nginx -v
sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Создайте файл конфигурации:

sudo vim /etc/nginx/conf.d/vanilla.conf

Пример конфигурации Nginx (скорректируйте server_name и пути):

server {
  listen 80;
  listen 443 ssl http2;
  server_name forum.example.com;
  root /var/www/vanilla;
  index index.php;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECC/ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  location ~* /\.git { deny all; return 403; }
  location /build/ { deny all; return 403; }
  location /cache/ { deny all; return 403; }
  location /cgi-bin/ { deny all; return 403; }
  location /uploads/import/ { deny all; return 403; }
  location /conf/ { deny all; return 403; }
  location /tests/ { deny all; return 403; }
  location /vendor/ { deny all; return 403; }

  location ~* ^/index\.php(/|$) {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    try_files $fastcgi_script_name =404;
    set $path_info $fastcgi_path_info;
    fastcgi_param PATH_INFO $path_info;
    fastcgi_index index.php;
    include fastcgi.conf;
    fastcgi_param SCRIPT_NAME /index.php;
    fastcgi_param SCRIPT_FILENAME $realpath_root/index.php;
    fastcgi_param X_REWRITE 1;
    fastcgi_pass 127.0.0.1:9000;
  }

  location ~* \.php(/|$) {
    rewrite ^ /index.php$uri last;
  }

  location / {
    try_files $uri $uri/ @vanilla;
  }

  location @vanilla {
    rewrite ^ /index.php$uri last;
  }

}

Проверьте синтаксис и перезагрузите Nginx:

sudo nginx -t
sudo systemctl reload nginx.service

Совет: при работе через сокет (unix:/run/php-fpm/www.sock) замените fastcgi_pass на соответствующий адрес.

Шаг 5 — Установка файлов Vanilla Forum

Создайте корневую папку сайта и установите права:

sudo mkdir -p /var/www/vanilla
sudo chown -R {your_user}:{your_user} /var/www/vanilla

Замените {your_user} на имя вашего не‑root пользователя.

Перейдите в каталог и скачайте Vanilla:

cd /var/www/vanilla
wget https://open.vanillaforums.com/get/vanilla-core-2.6.4.zip
unzip vanilla-core-2.6.4.zip
rm vanilla-core-2.6.4.zip

Установите владельца веб‑файлов на пользователя, под которым работает веб‑сервер (в примере nginx):

sudo chown -R nginx:nginx /var/www/vanilla

Отредактируйте /etc/php-fpm.d/www.conf и укажите user = nginx и group = nginx (если ранее стояли apache:)

sudo vim /etc/php-fpm.d/www.conf
# user = nginx
# group = nginx

Перезапустите php-fpm после изменения:

sudo systemctl restart php-fpm.service

Откройте URL в браузере и следуйте мастеру установки.

Шаг 6 — Завершение установки через веб‑мастер

После открытия сайта вы увидите страницу инсталлятора.

Заполните поля подключения к базе, администратора и путь к сайту. Нажмите кнопку “Continue →” для завершения.

После успешной установки откроется админ‑панель и форум будет доступен.

Проверки после установки

Критерии приёмки

• Главная страница форума открывается без ошибок 500.
• В админ‑панели можно создать первую категорию и тему.
• Подключение к базе данных работает на всех страницах.
• HTTPS валиден и редирект с HTTP на HTTPS (если включён) работает.

Тесты приёмки

• Откройте URL / и /index.php — оба должны возвращать страницу.
• Создайте и прочитайте тему, загрузите изображение в пост.
• Проверьте логи Nginx и php-fpm на предмет ошибок.

Резервное копирование и обновления

Резервное копирование включает файлы форума и базу данных. Примерная процедура:

1. Остановите запись (при возможности) или выполните бэкап при низкой активности.
2. Сделайте дамп базы данных: mysqldump –single-transaction dbname > dbname.sql
3. Архивируйте папку сайта: tar czf vanilla-www.tgz /var/www/vanilla
4. Храните резервные копии вне сервера (S3, удалённый backup server).

Обновления Vanilla: проверяйте совместимость плагинов и делайте тестовое обновление на staging перед production.

Безопасность и жёсткая настройка

• Ограничьте доступ к конфигурационным папкам через Nginx (в примере уже запрещены .git, /conf/, /vendor/ и т.д.).
• Используйте актуальные версии PHP и СУБД.
• Включите регулярное обновление системы и мониторинг логов.
• Закройте доступ к административной панели по IP, если возможно.
• Настройте Fail2Ban для блокировок попыток взлома.
• Используйте сильные пароли и двухфакторную аутентификацию для админов.

SELinux и firewall

• Если SELinux включён, убедитесь, что PHP‑FPM и Nginx имеют доступ к директории /var/www/vanilla и к сокетам.
• Откройте порты 80/443 в firewalld/certbot при необходимости.

Отказоустойчивость и масштабирование

• Для высоконагруженных форумов выделите отдельный сервер базы данных.
• Используйте CDN для статических ресурсов и картинок.
• Кеширование: рассмотрите использование Redis или Memcached, если плагин Vanilla это поддерживает.

Альтернативные варианты развёртывания

• Apache: если вы предпочитаете Apache, следуйте официальной документации Vanilla для конфигов Apache.
• Docker: существует несколько image‑вариантов Vanilla в Docker Hub; это удобно для тестирования и быстрого развёртывания.
• Управляемые хостинги: можно использовать специализированные провайдеры, если не хотите управлять сервером самостоятельно.

Совместимость и матрица версий

Если у вас старая версия Vanilla, проверьте release notes перед обновлением.

Частые ошибки и способы их устранения

1. Ошибка 500 на страницах

   • Проверьте логи Nginx (/var/log/nginx/error.log) и PHP‑FPM (/var/log/php-fpm/error.log).
   • Убедитесь, что файловые права и владелец корректны.

2. Проблемы с подключением к базе

   • Проверьте правильность хоста, логина и пароля.
   • Убедитесь, что MariaDB слушает на нужном интерфейсе и не блокирует соединения.

3. Неправильные права на загруженные файлы

   • Проверьте права каталога /uploads/ и назначьте владельца nginx:nginx или того пользователя, который обслуживает PHP.

4. SSL не применяется

   • Проверьте путь к сертификатам в конфигурации Nginx и перезагрузите сервис.
   • Убедитесь, что сертификат ещё действителен (acme.sh хранит и обновляет его автоматически).

Роль‑ориентированные чеклисты

Администратор

• Создать систему резервного копирования.
• Настроить мониторинг и алерты.
• Обновлять систему и PHP регулярно.

Разработчик

• Проверить совместимость плагинов с версией Vanilla.
• Тестировать обновления на staging.
• Использовать версионирование кода и миграции БД.

Оператор (DevOps)

• Настроить CI/CD для деплоя при необходимости.
• Обеспечить безопасное хранение секретов (пароли, ключи).
• Настроить бэкапы и ротацию логов.

Модель принятия решений при выборе окружения

• Минимальные ресурсы для небольшого форума: 1 vCPU, 1–2 ГБ ОЗУ, SSD.
• Для роста — выделяйте отдельный сервер БД и добавляйте кеш‑слой.
• Для корпоративного использования — используйте резервирование и отказоустойчивые кластеры.

Краткая методология безопасного обновления Vanilla

1. Снимите бэкап БД и файлов.
2. Разверните копию на staging.
3. Запустите тесты функциональности (создание темы, загрузка файлов).
4. Если всё прошло — выполните обновление на production в окне обслуживания.
5. Мониторьте логи после обновления.

Краткое резюме

• Установка Vanilla Forum на CentOS 7 включает настройку PHP, MariaDB, Nginx и опционально acme.sh для SSL.
• Следуйте рекомендациям по безопасности и регулярно делайте резервные копии.
• Тестируйте обновления в окружении staging перед продакшеном.

Полезные ссылки

• https://open.vanillaforums.com/
• https://github.com/vanilla/vanilla
• Официальная документация Nginx и PHP‑FPM

Ключевые выводы

• Используйте PHP 7.2+ и MariaDB 10.2+ для лучшей совместимости.
• SSL через acme.sh/Let’s Encrypt — бесплатное и автоматическое решение для HTTPS.
• Резервное копирование и тестирование обновлений — обязательная практика.