Господа, не поможете с конфигами NGINX?

Question

[Дмитрий]

Господа, доброго времени суток!
Прошу сильно не пинать. В свободное время изучаю Linux, HTML, CSS, ну и разумеется применяю знания создавая несколько простых сайтов, на чистом HTML+CSS и на CMS.
Сайты хостятся на VPS, управляются ISP manager'ом, но очень хочется переехать на "чистый" хостинг без каких-либо панелей управления.
Так вот, собственно вопрос:
Пытаюсь сделать более-менее универсальный конфиг, подходящий для сайтов на HTML и для сайтов под управлением CMS (WordPress+DLE). Реализауцию задумал следующую - сделать базовый конфиг, и к нему по-необходимости подключать конфиги для какй-то CMS, например.
Сделал, но получил непонятные глюки. Выражаются они в том, что:
1. Нет доступа к phpMyAdmin, страница обновляется, ошибок в логах нет. Подозреваю, что не работает PHP
2. В панели управления CMS WP не работают скрипты
3. Чую, что в конфиге WP я такого напорол, что ппц.
Еще раз прошу сильно не пинать. С .htaccess дела имел более-менее, а вот в такой конфигурации (Linux, Nginx, php-fpm) сервер настраиваю впервые.

Конфиг NGINX:

spoiler

user                 www-data;
pid                  /run/nginx.pid;
worker_processes     auto;
worker_rlimit_nofile 65535;

events {
    multi_accept       on;
    worker_connections 65535;
}

http {
    charset              utf-8;
    sendfile             on;
    tcp_nopush           on;
    tcp_nodelay          on;
    server_tokens        off;
    types_hash_max_size  2048;
    client_max_body_size 32M;

    # MIME
    include              mime.types;
    default_type         application/octet-stream;

    # Logging
    access_log           /var/log/nginx/access.log;
    error_log            /var/log/nginx/error.log warn;

    # SSL
    ssl_session_timeout  1d;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_tickets  off;

    # Diffie-Hellman parameter for DHE ciphersuites
    ssl_dhparam          /etc/ssl/private/dhparam.pem;

    # Mozilla Intermediate configuration
    ssl_protocols        TLSv1.2 TLSv1.3;
    ssl_ciphers          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # OCSP Stapling
    ssl_stapling         on;
    ssl_stapling_verify  on;
    resolver             1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s;
    resolver_timeout     2s;

    # Load configs
    include              /etc/nginx/conf.d/*.conf;
    include              /etc/nginx/sites-enabled/*;
}

Конфиг сайта на HTML, к нему же будет подключаться phpMyAdmin:

spoiler

# Default server. Any request to IP will be redirected to this host
server {
    listen 80;
    server_name 256.256.256.256;
    return 302 $scheme://domain.name$request_uri;
}
server {
    listen 443;
    server_name 256.256.256.256;
    return 302 $scheme://domain.name$request_uri;

    ssl_certificate         /etc/letsencrypt/live/domain.name/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domain.name/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.name/chain.pem;
}

# HTTP redirect
server {
    listen                  80;
    listen                  [::]:80;
    server_name             domain.name *.domain.name;
    include                 templates/letsencrypt.conf;

    location / {
        return 301 https://domain.name$request_uri;
    }
}

server {
    listen                  443 ssl http2;
    listen                  [::]:443 ssl http2;
    server_name             domain.name;
    set                     $base /var/www/domain.name;
    root                    $base/;

    # SSL
    ssl_certificate         /etc/letsencrypt/live/domain.name/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domain.name/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.name/chain.pem;

    # security --- uncomment this only AFTER receive ssl cert
    include                 templates/security.conf;

    # logging
    access_log              /var/log/nginx/domain.name.access.log;
    error_log               /var/log/nginx/domain.name.error.log warn;

    # CMS settings
#    include                 templates/wordpress.conf;

    # phpMyAdmin
#    include                 templates/phpmyadmin.conf;

    # index
    index                   index.php index.html index.htm;

    # redirect index.php(html) -> /
    if ($request_uri ~ "^(.*)index\.(?:php|html)") {
        return 301 $1;
    }

    # index.php fallback
    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    # additional config
    include                 templates/general.conf;

    # handle .php
    location ~ \.php$ {
        include             templates/php_fastcgi.conf;
    }
}

# subdomains redirect
server {
    listen                  443 ssl http2;
    listen                  [::]:443 ssl http2;
    server_name             *.domain.name;

    # SSL
    ssl_certificate         /etc/letsencrypt/live/domain.name/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domain.name/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.name/chain.pem;
    return                  301 https://domain.name$request_uri;
}

Конфиг сайта WordPress:

spoiler

# КОНФИГ ДО УСТАНОВКИ SSL:
server {
    listen                  80;
    listen                  [::]:80;
    server_name             domain.name *.domain.name;
    include                 templates/letsencrypt.conf;

    set                     $base /var/www/domain.name;
    root                    $base/;
}


# КОНФИГ ПОСЛЕ УСТАНОВКИ SSL:
# HTTP redirect
server {
    listen                  80;
    listen                  [::]:80;
    server_name             domain.name *.domain.name;
    include                 templates/letsencrypt.conf;

    location / {
        return 301 https://domain.name$request_uri;
    }
}

server {
    listen                  443 ssl http2;
    listen                  [::]:443 ssl http2;
    server_name             domain.name;
    set                     $base /var/www/domain.name;
    root                    $base/;

    # SSL
    ssl_certificate         /etc/letsencrypt/live/domain.name/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domain.name/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.name/chain.pem;

    # security --- uncomment this only AFTER receive ssl cert
    include                 templates/security.conf;

    # logging
    access_log              /var/log/nginx/domain.name.access.log;
    error_log               /var/log/nginx/domain.name.error.log warn;

    # CMS settings
    include                 templates/wordpress.conf;

    # phpMyAdmin
#    include                 templates/phpmyadmin.conf;

    # index
    index                   index.php index.html index.htm;

    # redirect index.php(html) -> /
    if ($request_uri ~ "^(.*)index\.(?:php|html)") {
        return 301 $1;
    }

    # index.php fallback
    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    # additional config
    include                 templates/general.conf;

    # handle .php
    location ~ \.php$ {
        include             templates/php_fastcgi.conf;
    }
}

# subdomains redirect
server {
    listen                  443 ssl http2;
    listen                  [::]:443 ssl http2;
    server_name             *.domain.name;

    # SSL
    ssl_certificate         /etc/letsencrypt/live/domain.name/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domain.name/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.name/chain.pem;
    return                  301 https://domain.name$request_uri;
}

Comments

[Владислав Лысков]

htaccess, он для апача, которого, у тебя по ходу дела нет

[Дмитрий]

Владислав Лысков, его нет, да я и не говорил, что он есть.

С .htaccess дела имел более-менее, а вот в такой конфигурации (Linux, Nginx, php-fpm) сервер настраиваю впервые.

[ky0]

А вопрос-то в чём? Вы хотите сделать как-то по-своему, это не работает. Начните со стандартных вариантов - отдельные конфиги для отдельных сервисов.

[Дмитрий]

ky0, Я рассчитывал, что получился сделать "базу" к которой по-необходимости буду подключать дополнительные конфиги. Фактически, у каждого сервиса свой конфиг. Просто у когото-то include wordpress.conf, а у кого-то include dle.conf, например.
Это так не работает?))

[ky0]

Дмитрий, работать может по-разному. Просто вопрос неконкретный - вы навернели конфигов, и у вас не работает.

Очевидно, надо начать с наиболее дубовой работающей архитектуры, а потом постепенно разделять на части, убеждаясь в работоспособности каждого изменения.

[Дмитрий]

ПОДКЛЮЧАЕМЫЕ ШАБЛОНЫ:
general.conf

spoiler

# favicon.ico
location = /favicon.ico {
    log_not_found off;
    access_log    off;
}

# robots.txt
location = /robots.txt {
    log_not_found off;
    access_log    off;
}

# assets, media
location ~* \.(?:css(\.map)?|js(\.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
    expires    30d;
    access_log off;
}

# svg, fonts
location ~* \.(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
    add_header Access-Control-Allow-Origin "*";
    expires    30d;
    access_log off;
}

# gzip
gzip            on;
gzip_vary       on;
gzip_proxied    any;
gzip_comp_level 8;
gzip_types      text/plain text/css text/xml application/json application/javascript application/rss+xml application/atom+xml image/svg+xml;
gzip_disable "msie6";

letsencrypt.conf:

spoiler

location ^~ /.well-known/acme-challenge/ {
   default_type "text/plain";
   root /var/www/letsencrypt;
}

location = /.well-known/acme-challenge/ {
   return 404;
}

php_fastcgi.conf:

spoiler

# 404
try_files                     $fastcgi_script_name =404;

# default fastcgi_params
include                       fastcgi_params;

# fastcgi settings
fastcgi_pass                  unix:/var/run/php/php7.3-fpm.sock;
fastcgi_index                 index.php;
fastcgi_buffers               8 16k;
fastcgi_buffer_size           32k;

# fastcgi params
fastcgi_param DOCUMENT_ROOT   $realpath_root;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param PHP_ADMIN_VALUE "open_basedir=$base/:/usr/lib/php/:/tmp/";



location ~ /\.ht {
        deny all;
        # Запрещает доступ к файлам .htaccess и .htpasswd, которые могут быть в каталогах сайтов
}

location ~* \.(gif|jpeg|jpg|txt|png|tif|tiff|ico|jng|bmp|doc|pdf|rtf|xls|ppt|rar|rpm|swf|zip|bin|exe|dll|deb|cur)$ {
        expires 168h;
        # Включает кэширование на стороне браузера, сообщая тому, что "срок годности" указаных файлов - 168 часов (1 неделя)
}

location ~* \.(css|js)$ {
        expires 180m;
        # Кэширование для скриптов и стилей
}

phpmyadmin.conf:

spoiler

# phpMyAdmin
location /phpmyadmin {
     root /usr/share/;
     index index.php;

location ~ ^/phpmyadmin/(.+\.php)$ {
     try_files $uri =404;
     root /usr/share/;
     fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
     fastcgi_index index.php;
     include fastcgi_params;
     fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
 }

location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
     root /usr/share/;
     expires 1M;
 }
}

security.conf:

spoiler

# security headers
add_header X-Frame-Options           "SAMEORIGIN" always;
add_header X-XSS-Protection          "1; mode=block" always;
add_header X-Content-Type-Options    "nosniff" always;
add_header Referrer-Policy           "no-referrer-when-downgrade" always;
add_header Content-Security-Policy   "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

# . files
location ~ /\.(?!well-known) {
    deny all;
}

На сладкое, wordpress:

spoiler

# Запрет авторизации в админ-панели для всех, кроме разрешенных IP
location = /wp-login.php {
    try_files /does_not_exists @deny;
}
location /wp-admin/ {
    try_files $uri $uri/ @deny ;
}
location @deny {
    allow 192.168.111.0/24;
    allow 000.000.000.000;
    deny all;

    include fastcgi_params;
    fastcgi_pass  unix:/var/run/php/php7.3-fpm.sock;
    fastcgi_param DOCUMENT_ROOT   $realpath_root;
    fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
    fastcgi_param PHP_ADMIN_VALUE "open_basedir=$base/:/usr/lib/php/:/tmp/";
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}

# Запрет доступа к php-файлам в wp-includes
location ~* /wp-includes/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
}

# Запрет доступа к php-файлам в wp-content
location ~* /wp-content/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
}

# Запрет доступа к php-файлам в папке uploads
location ~* /(?:uploads|files)/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
}

# Запрет доступа к php-файлам в папках themes
location ~* /themes/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
}

# Запрет доступа к php-файлам в папках plugins
location ~* /plugins/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
}

# Запрет доступа к xmlrpc.php
location = /xmlrpc.php {
	deny all;
	access_log off;
	log_not_found off;
}

[Владислав Лысков]

Зачем это дполнение в блоке ответов?

[Дмитрий]

Затем, что ограничение на 30к символов в вопросе.

[Saboteur]

Дмитрий, Возможно вопрос из 30к символом это уже не вопрос
Во-вторых есть комментарии