Ubuntu 22.04 - Installation de Piwigo avec Nginx, MariaDB et SSL/TLS

Si vous êtes photographe, créatif ou tout simplement détenteur de milliers de photos et vous souhaitez gérer et publier facilement vos médias sur le web, Piwigo est peut-être la solution qu'il vous faut...

Piwigo est une application opensource de gestion d'albums photo pour le web, disponible sous licence GPL et écrite en PHP.

Côté back office, Piwigo dispose de nombreuses fonctionnalités comme la gestion de collections, des modifications par lot, une gestion des coordonnées GPS à partir des métadonnées, une gestion de permissions (pour partager uniquement à votre famille ou à vos clients par exemple), une synchronisation avec Lightroom ou votre mobile et bien sûr de nombreuses options pour personnaliser le thème ou ajouter des fonctionnalités grâce à plus de 350 extensions.

D'un point de vue front office, Piwigo propose plusieurs thèmes mettant en avant facilement vos photos en haute qualité. Construit pour répondre aux contraintes actuelles du web, votre site sera responsive et s'adaptera en fonction de la résolution de l'utilisateur.

Piwigo peut être installé sur n'importe quel serveur supportant une version récente de PHP et supportant MariaDB (base de données par défaut) ou MySQL.

1 - Prérequis

• Vous devez disposer d'Ubuntu 22.04 en version Desktop, Server ou ARM (Raspberry Pi). Si vous disposez d'une version antérieure, vous pouvez mettre à jour votre système en suivant cette procédure.
• Votre utilisateur doit avoir accès à sudo.
• Vos dépôts APT doivent être à jour. Dans le doute, tapez la commande suivante :

  sudo apt-get update

2 - Piwigo avec Nginx

Notre choix se portera sur le serveur HTTP Nginx pour une question de performances. Nginx est reconnu pour ses hautes performances, sa stabilité, son ensemble de fonctionnalités, sa configuration simple ainsi que sa faible consommation en ressources.

2.1 - Installation de Nginx

Installez le paquet nginx :

sudo apt-get -y install nginx

2.2 - Configuration de Nginx

Modifiez les directives suivantes du fichier de configuration Nginx /etc/nginx/nginx.conf :

user www-data;
worker_processes 8;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
    worker_connections 768;
    # multi_accept on;                                                                                                                                                                                                                   
}

http {

    ##                                                                                                                                                                                                                                   
    # Basic Settings                                                                                                                                                                                                                     
    ##                                                                                                                                                                                                                                   

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    server_tokens off;                                                                                                                                                                                                                 

    # server_names_hash_bucket_size 64;                                                                                                                                                                                                  
    # server_name_in_redirect off;                                                                                                                                                                                                       

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

...

• worker_processes : pour profiter pleinement de la puissance de votre serveur, il est recommandé de mettre autant de worker_processes que de cœurs disponibles sur votre serveur. Pour connaître le nombre de cœurs sur votre serveur, il suffit de lancer la commande :

  grep processor /proc/cpuinfo | wc -l
  8

• server_tokens : pour des raisons de sécurité, il est recommandé de désactiver l'envoi d'informations telles que le numéro de version de votre Nginx. Pour cela, décommentez cette directive dans le bloc http.

3 - Installation et téléchargement de Piwigo

• Installez l'outil curl et l'outil de décompression unzip :

  sudo apt-get -y install curl unzip

• Déplacez-vous dans le répertoire /var/www et téléchargez la dernière version de Piwigo :

  cd /var/www
  sudo curl -o piwigo.zip http://piwigo.org/download/dlcounter.php?code=latest

• Décompressez l'archive Piwigo :

  sudo unzip piwigo.zip

• Supprimez l'archive téléchargée :

  sudo rm piwigo.zip

4 - Droits Unix : un utilisateur dédié piwigo

Lors du déploiement basique d’un serveur HTTP, l’utilisateur sous lequel fonctionne ce serveur (Apache, Nginx...) est la plupart du temps www-data, nobody ou apache. Cela signifie que si plusieurs sites existent sous la même instance de Nginx, tous utilisent le même utilisateur. Or si l’un des sites s’avère corrompu par un utilisateur malveillant alors l’assaillant peut profiter pleinement de tous les droits de l’utilisateur sous lequel tourne le serveur web. Tous les sites s'avèrent donc vulnérables.

Pour des raisons évidentes de sécurité, il est donc recommandé de cloisonner ces utilisateurs et d'avoir un utilisateur dédié à la gestion du dossier piwigo. Cet utilisateur aura des droits aussi restreints que possible à ce répertoire.

Par défaut, les fichiers de Piwigo possèdent les permissions suivantes :

• répertoires : 755 (permission de lecture, d'écriture et d'exécution pour le propriétaire et permission de lecture et d'exécution pour le groupe et les autres)
• fichiers : 644 (permission de lecture et d'écriture pour le propriétaire et permission de lecture uniquement pour le groupe et les autres).

Nous allons donc modifier le propriétaire du répertoire /var/www/piwigo et l'attribuer à un nouvel utilisateur dédié : piwigo.

Par ailleurs, Nginx est lancé sous l'utilisateur www-data et doit avoir accès en lecture au répertoire /var/www/piwigo pour lire les ressources statiques (HTML, CSS, JS, etc.). Nous allons donc attribuer le répertoire /var/www/piwigo au groupe www-data.

Enfin nous retirerons toutes les permissions de ce répertoire aux autres utilisateurs.

• Créez un utilisateur piwigo :

  sudo adduser piwigo

• Modifiez le propriétaire et le groupe du répertoire /var/www/piwigo :

  sudo chown -R piwigo:www-data /var/www/piwigo

• Retirez toutes les permissions aux autres utilisateurs :

  sudo chmod -R o-rwx /var/www/piwigo

5 - Les modules PHP

Piwigo nécessite l'installation de modules PHP pour fonctionner :

sudo apt-get -y install php-common php-mbstring php-xmlrpc php-gd php-xml php-intl php-mysql php-cli php-ldap php-zip php-curl

6 - PHP-FPM

Le module PHP-FPM permet la communication entre le serveur Nginx et PHP, basée sur le protocole FastCGI. Ce module, écoutant sur le port 9000 par défaut ou sur un socket UNIX, permet notamment l'exécution de scripts PHP dans un processus indépendant de Nginx avec des UID et GID différents. Il sera alors possible, dans le cas de la gestion de plusieurs applications sur un même serveur, de créer et configurer un groupe (appelé aussi pool) par application. Un pool définit notamment le UID/GID des processus PHP et le nombre de processus minimum, maximum ou encore le nombre de processus en attente à lancer.

6.1 - Installation

Installez le paquet php-fpm :

sudo apt-get install -y php-fpm

6.2 - Création du pool piwigo

Créez le pool dédié à Piwigo en créant le fichier de configuration suivant : /etc/php/8.1/fpm/pool.d/piwigo.conf

[piwigo]
listen = /var/run/piwigo.sock

listen.owner = piwigo
listen.group = www-data

user = piwigo
group = www-data

pm = ondemand
pm.max_children = 30
pm.process_idle_timeout = 60s
pm.max_requests = 500

env[HOSTNAME] = $HOSTNAME
env[PATH] = /usr/local/bin:/usr/bin:/bin
env[TMP] = /tmp
env[TMPDIR] = /tmp
env[TEMP] = /tmp

Certaines valeurs sont très arbitraires et seront, en fonction des ressources disponibles sur votre serveur et celles que vous souhaiterez dédier à votre Piwigo, différentes d'une configuration à l'autre. Cependant ces différentes directives respectent certaines conditions :

• [piwigo] : nom du pool. Il est possible de créer plusieurs pools par fichier. Chaque pool doit commencer par cette directive.
• listen : interface d'écoute des requêtes. Les syntaxes acceptées sont ADRESSE_IP:PORT (exemple : listen = 127.0.0.1:9000) et /path/to/unix/socket (exemple : listen = /var/run/piwigo.sock). Le socket est représenté comme un simple fichier sur le système et permet d’interfacer des processus entre eux sans passer par la couche réseau du système, ce qui est inutile lorsque Nginx et PHP-FPM sont hébergés sur le même serveur. Je vous conseille donc d'utiliser un socket.
• listen.owner & listen.group : affecte l'utilisateur et le groupe au socket Unix si utilisé. Ces deux paramètres peuvent être associés au paramètre listen.mode qui définit les permissions du socket (660 par défaut). Il est important que Nginx ait les droits de lecture sur le socket Unix.
• user & group : utilisateur et groupe sous lesquels le pool de processus sera exécuté. Cet utilisateur et ce groupe doivent bien sûr exister sur votre système et surtout accéder aux fichiers PHP de votre Piwigo. Cela veut dire aussi que chaque fichier et répertoire créé par Piwigo appartiendra à cet utilisateur et à ce groupe. Comme nous l'avons vu dans le chapitre dédié aux droits Unix, chaque fichier devra appartenir à l'utilisateur piwigo et au groupe www-data.
• pm : directive acceptant les 3 valeurs suivantes : static, dynamic et ondemand.
  • static : les processus, au nombre de pm.max_children, sont continuellement actifs (quelle que soit la charge et l'affluence de votre Piwigo) et sont susceptibles de consommer de la mémoire inutilement. Cette directive est recommandée si Piwigo est l'unique application de votre serveur.
  • dynamic : le nombre de processus fils pourra varier suivant la charge. Cependant, nous gardons le contrôle sur le nombre de processus fils à créer au démarrage du serveur, le nombre de processus maximum, en attente de requêtes, etc. Les directives suivantes deviennent obligatoires : pm.max_children, pm.start_servers, pm.min_spare_servers, pm.max_spare_servers. Cette directive est recommandée si vous avez plusieurs pools avec un fort trafic (plus de 10 000 requêtes/jour).
  • ondemand : aucun processus fils n'est lancé au démarrage du serveur, les processus s'activent à la demande et auront une durée de vie définie par la directive pm.process_idle_timeout. L'intérêt de cette directive est de libérer de la mémoire en cas de faible charge mais celle-ci peut légèrement augmenter le temps de réponse de votre Piwigo. Cette directive est recommandée si vous avez plusieurs pools avec potentiellement une faible affluence.

  Sachant que l'utilisation de Piwigo est personnelle et souvent limitée à quelques utilisateurs, nous choisirons et détaillerons ici la directive ondemand.

• pm.max_children : nombre maximum de processus fils. La valeur du paramètre pm.max_children varie d'un système à l'autre. Voici la procédure à réaliser pour déterminer la valeur de ce paramètre :
  1. Arrêtez le service php-fpm :

     sudo systemctl stop php8.1-fpm.service

  2. Affichez la mémoire disponible (colonne available) sur votre système :

     free -m
                   total        used        free      shared  buff/cache   available
     Mem:           3913          58        2532          39        1322        3539
     Swap:          1048           0        1048

     Sur cet exemple, le système dispose de 3539Mo de RAM disponible. La quantité de RAM que vous souhaitez allouer au maximum à Piwigo dépend de vous et des autres services actifs que vous disposez sur ce même système. Dans notre exemple, nous partirons du principe que nous souhaitons allouer au maximum 1024Mo de RAM à Piwigo.

  3. Affichez la mémoire utilisée par un processus fils php-fpm :

     sudo systemctl start php8.1-fpm.service && ps --no-headers -o "rss,cmd" -C php-fpm8.1 | awk '{ sum+=$1 } END { printf ("%d%s\n", sum/NR/1024,"M") }'
     18M

  4. Déterminez le nombre de pm.max_children en appliquant la méthode de calcul suivante :

     pm.max_children = mémoire allouée (en Mo) / mémoire utilisée par un processus fils
     Dans notre exemple : 1024 / 18 = 56

  5. Éditez à nouveau le fichier /etc/php/8.1/fpm/pool.d/piwigo.conf et ajustez la valeur du paramètre pm.max_children :

     [piwigo]
     listen = /var/run/piwigo.sock
     
     listen.owner = piwigo
     listen.group = www-data
     
     user = piwigo
     group = www-data
     
     pm = ondemand
     pm.max_children = 56
     pm.process_idle_timeout = 60s
     pm.max_requests = 500
     
     env[HOSTNAME] = $HOSTNAME
     env[PATH] = /usr/local/bin:/usr/bin:/bin
     env[TMP] = /tmp
     env[TMPDIR] = /tmp
     env[TEMP] = /tmp

• pm.process_idle_timeout : durée en secondes avant qu'un processus fils inactif soit détruit.
• pm.max_requests : nombre de requêtes que chaque processus fils devra exécuter avant d'être détruit. Cette valeur ne doit pas être trop élevée afin de contourner d'éventuelles fuites mémoires, ni trop faible pour ne pas solliciter régulièrement le CPU à chaque création de processus fils. 500 reste une valeur recommandée.
• env[*] : variables d'environnement nécessaires à PHP-FPM.

Redémarrez le service php-fpm afin d'activer le nouveau pool piwigo :

sudo systemctl start php8.1-fpm.service

6.3 - Configuration du service php-fpm

Enfin, il est nécessaire de spécifier à PHP-FPM les permissions de chaque fichier ou répertoire nouvellement créé dans votre Piwigo et ainsi respecter les permissions que nous avions spécifiées dans le chapitre des droits Unix. Pour cela :

• Tapez la commande suivante :

  sudo systemctl edit php8.1-fpm.service

  Il se peut que l'éditeur de texte par défaut de votre système ne soit pas celui que vous avez l'habitude d'utiliser. Si c'est le cas, tapez la commande suivante et choisissez l'éditeur par défaut de votre système :

  sudo update-alternatives --config editor

• Ajoutez les lignes suivantes :

  [Service]
  UMask=0027

• Réactivez le service php8.1-fpm :

  sudo systemctl reenable php8.1-fpm.service

7 - Création de la base de données piwigo sous MariaDB

Nous allons maintenant créer la base de données et configurer l'accès externe de votre Piwigo via un nom de domaine sécurisé par le protocole SSL/TLS et un certificat Let's Encrypt. Nous verrons ensuite comment améliorer les performances et la sécurité votre Piwigo.

Suite du tutoriel ➔