RibaSoft

Servidor - 29/05/2026

• • Apresentação
  • Pacotes
  • Configurações
  • NGINX
  • RustDesk Server
  • Certificado Fake Local HTTPS
  • Certbot
  • docker-compose.yml
  • Primeira Execução
  • VS Code
  • Passar o Projeto para Produção
  • SSH
  • GitHub
  • Restaurar banco de dados
  • Criar banco para outro projeto

Apresentação:

• Este tutorial ensina como montar um servidor completo com as melhores ferramentas disponíveis no momento, visando portabilidade, velocidade, segurança, organização e manutenção.

  O ambiente será montado no WSL do Windows, visando compatibilidade com o ambiente de produção, pois desenvolver no Windows para rodar no Linux costuma causar vários problemas.

  wsl --update wsl --install -d Debian

  Onde estiver descrito DEV, refere-se ao WSL; onde estiver PROD, refere-se ao servidor com Debian Net Inst.

Pacotes:

• Em modo DEV no WSL, instale o wget (downloads via link), o git (enviar o projeto para o GitHub) e o libnss3-tools (necessário para o certificado simulado de HTTPS).

  Antes de começar, veja como instalar o Docker AQUI.

  sudo apt update sudo apt upgrade sudo apt install wget git libnss3-tools

  Em modo PROD no servidor Debian Netinst, instale o openssh-server (acesso via SSH e FileZilla), o certbot (gerar o certificado HTTPS da Let's Encrypt) e o git (baixar as alterações do projeto no GitHub).

  sudo apt update sudo apt upgrade sudo apt install wget openssh-server certbot git

Configurações:

• Configurações de acesso modo DEV (somente WSL):

  
  sudo update-alternatives --display iptables sudo update-alternatives --set iptables /usr/sbin/iptables-legacy sudo update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy sudo update-alternatives --set arptables /usr/sbin/arptables-legacy sudo update-alternatives --set ebtables /usr/sbin/ebtables-legacy

• Criar arquivos de configuração NGINX:

  
  mkdir -p docker/nginx nano docker/nginx/default.conf

  Conteúdo para o servidor padrão localhost, usado em DEV:

  server { listen 80; listen [::]:80; server_name localhost; client_max_body_size 500M; root /var/www/public; index index.php; charset utf-8; location / { try_files $uri $uri/ /index.php?$query_string; } location ~ \.php$ { fastcgi_pass laravel_ribasoft_app:9000; fastcgi_index index.php; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; } location ~ /\.(?!well-known).* { deny all; } }

  Arquivo do servidor com os certificados para HTTPS (usado em PROD):

  nano docker/nginx/ribasoft.com.br.conf

  Conteúdo:

  server { listen 80; listen [::]:80; server_name ribasoft.com.br www.ribasoft.com.br; return 301 https://ribasoft.com.br$request_uri; } server { listen 443 ssl; listen [::]:443 ssl; server_name ribasoft.com.br www.ribasoft.com.br; ssl_certificate /etc/letsencrypt/live/ribasoft.com.br/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/ribasoft.com.br/privkey.pem; client_max_body_size 500M; root /var/www/public; index index.php; charset utf-8; location / { try_files $uri $uri/ /index.php?$query_string; } location ~ \.php$ { fastcgi_pass laravel_ribasoft_app:9000; fastcgi_index index.php; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; } location ~ /\.(?!well-known).* { deny all; } }

• RustDesk Server:

  
  

  Servidor do RustDesk — semelhante ao AnyDesk e outros, mas open source e hospedado no seu próprio servidor.

  mkdir -p docker/rustdesk

  Aqui você colocará seus arquivos id_25519 e id_25519.pub caso queira restringir o tráfego do seu servidor apenas a clientes que possuam a sua chave pública.

Certificado Fake Local HTTPS:

• Para não precisar ficar alterando o arquivo de configuração do NGINX entre DEV e PROD, é possível gerar certificados que simulam o certificado da Let's Encrypt localmente. Para isso, acesse o repositório do mkcert (Filippo Valsorda) no GitHub e baixe com o wget o binário ...linux-amd64.

  https://github.com/FiloSottile/mkcert/releases

  wget link_do_binario chmod +x binario_baixado sudo mv binario_baixado /usr/local/bin/mkcert mkcert -install

  Depois crie o diretório idêntico ao do servidor PROD, entre nele e gere os arquivos:

  sudo mkdir -p /etc/letsencrypt/live/seu_dominio.com.br cd /etc/letsencrypt/live/seu_dominio.com.br sudo mkcert -cert-file fullchain.pem -key-file privkey.pem seu_dominio.com.br www.seu_dominio.com.br

  Por último, baixe o binário ...windows-amd64.exe no Windows e instale pelo PowerShell:

  binario_baixado.exe -install

Certbot:

• Para que o HTTPS funcione, é preciso criar o certificado da Let's Encrypt com o nginx parado (a porta 80 precisa estar livre).

  sudo certbot certonly --standalone -d nome_dominio -d www.nome_dominio

  Dica: o certificado é renovado automaticamente pelo timer do Certbot. Para testar a renovação manualmente, use sudo certbot renew --dry-run.

docker-compose.yml:

• O docker-compose.yml é o arquivo principal: ele define quais containers serão usados, seus comportamentos e como os arquivos internos serão sobrescritos pelos externos.

  services: #Servidor WEB nginx: image: nginx:alpine networks: - rede_global_nginx container_name: laravel_ribasoft_nginx ports: - "80:80" - "443:443" volumes: - /var/www/site:/var/www/ - /var/www/hive:/var/www/hive - ./docker/nginx/ribasoft.com.br.conf:/etc/nginx/conf.d/ribasoft.com.br.conf - ./docker/nginx/default.conf:/etc/nginx/conf.d/default.conf - ./docker/nginx/tulio.local.conf:/etc/nginx/conf.d/tulio.local.conf - ./docker/nginx/hive.cerianthusagro.com.br.conf:/etc/nginx/conf.d/hive.cerianthusagro.com.br.conf - /etc/letsencrypt:/etc/letsencrypt:ro restart: unless-stopped #Gerenciador de arquivos em REDE por diretórios samba: image: dperson/samba container_name: samba_server restart: always environment: - TZ=America/Sao_Paulo - USER=usuario;senha - USERID=1000 - GROUPID=1001 network_mode: "host" volumes: - /var/www/site/storage/app/private/api/varejo/backups:/mnt/backups - /var/www/bancos:/mnt/bancos command: > -s "backups;/mnt/backups;yes;no;no;ribasoft;ribasoft" -s "banco;/mnt/bancos;yes;no;no;ribasoft;ribasoft" -p -g "create mask = 0664" -g "directory mask = 0775" -g "store dos attributes = yes" -g "map hidden = no" -g "map system = no" -g "veto files = /*.vbs/*.exe/*.dat/*.txt/*.scr/*.com/*.js/*.jar/*.bat/*.cmd/*.ps1/*.sh/*.msi/*.pif/*.application/" -g "delete veto files = yes" #Banco de Dados postgres: image: postgres:16 networks: - rede_global_postgres container_name: laravel_ribasoft_postgres environment: POSTGRES_DB: banco POSTGRES_USER: usuario POSTGRES_PASSWORD: 'senha' volumes: - pgdata_site:/var/lib/postgresql/data ports: - "127.0.0.1:5432:5432" restart: unless-stopped # RustDesk ID Server hbbs: image: rustdesk/rustdesk-server:latest container_name: laravel_ribasoft_hbbs command: hbbs -r ribasoft.com.br:21117 -k _ environment: - RELAY=hbbr:21117 volumes: - ./docker/rustdesk/data:/root network_mode: "host" restart: unless-stopped # RustDesk Relay Server hbbr: image: rustdesk/rustdesk-server:latest container_name: laravel_ribasoft_hbbr command: hbbr -k _ volumes: - ./docker/rustdesk/data:/root network_mode: "host" restart: unless-stopped #Volume persistente para o banco de dados volumes: pgdata_site: networks: rede_global_nginx: external: true rede_global_postgres: external: true

• Observações NGINX:

  
  

  O app default deve estar funcionando corretamente na pasta padrão /var/www/ para que os demais também funcionem.

  Atenção: os arquivos tulio.local.conf e hive.cerianthusagro.com.br.conf citados nos volumes são de outros projetos. Remova-os do docker-compose.yml se eles não existirem, ou o NGINX não subirá.

• Observações Samba:

  
  

  Em GROUPID=1001 deve ir o id do grupo escolhido para o diretório compartilhado, assim como o USERID=1000 para o usuário.

  Caso ao tentar acessar pelo Windows ocorram alguns erros, execute no cmd do Windows:

  net use * /delete /y

  Evite usar o Samba para acesso externo, limitando no UFW o acesso à sua rede local:

  139,445/tcp ALLOW 192.168.1.0/24 Anywhere ALLOW 127.0.0.1

• Observações Postgres:

  
  

  Em ports:, para que o banco seja acessado apenas via SSH ou pela aplicação, mantenha o 127.0.0.1: antes da porta. Para acesso externo (via DBeaver, por exemplo), remova esse IP.

Primeira Execução:

• Tudo pronto. Agora suba os containers para começar o desenvolvimento.

  Este comando inicia o servidor, mas, para que funcione, os containers das aplicações Laravel indicadas no diretório docker/nginx também precisam estar rodando.

  docker compose up -d

VS Code:

• Instalando a extensão WSL da Microsoft no VS Code, será possível editar os arquivos do projeto no WSL a partir do VS Code no Windows.

  Para isso, no terminal do WSL dentro da pasta do projeto, basta digitar code . e pronto: o VS Code abre automaticamente no Windows, já na pasta do projeto, por conexão remota.

  Ao instalar o Git e inicializá-lo dentro da pasta do projeto (também no WSL), o VS Code cuida do versionamento e envia as alterações para o GitHub apenas por cliques, de forma bem intuitiva.

  Para acompanhar o desenvolvimento do projeto, basta abrir qualquer navegador no Windows e acessá-lo pelo localhost.

Passar o Projeto para Produção:

• SSH

  
  

  Para acessar o servidor a partir do Windows, usando o IP 192.168.1.4 como exemplo, use o comando:

  ssh usuario@192.168.1.4

  Ao se conectar a um dispositivo por SSH, o Windows registra a conexão num arquivo chamado known_hosts (em C:\Users\usuario\.ssh) para evitar que você se conecte ao mesmo IP no futuro, mas em uma máquina diferente — protegendo contra ataques "man-in-the-middle" (MITM). Caso ele detecte que a máquina de destino mudou (por uma formatação, por exemplo), aparece o alerta WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! e a conexão é bloqueada.

  Se você tem certeza de que a máquina de destino é a pretendida, pode apagar as linhas referentes ao acesso anterior no known_hosts ou simplesmente rodar:

  ssh-keygen -R 192.168.1.4 ssh usuario@192.168.1.4

  Ele reseta o acesso e pergunta se você quer registrar um novo fingerprint; basta digitar yes, pressionar Enter, digitar a senha do usuário e pronto, a conexão foi bem-sucedida!

  Para não precisar digitar a senha a cada conexão, copie a sua chave pública do Windows (em C:\Users\usuario\.ssh\id_ed25519.pub) e cole no arquivo ~/.ssh/authorized_keys do servidor:

  nano ~/.ssh/authorized_keys

  Depois é só salvar com Ctrl + X, Y, Enter e pronto.

  Caso ainda não tenha uma chave id_ed25519 no Windows, crie:

  ssh-keygen -t ed25519 -C "seu_email@gmail.com"

  Para enviar e receber arquivos do GitHub pelo comando git, adicione a chave pública criada AQUI.

• Mandar o Projeto para o GitHub:

  
  git init git branch -M main git config --global user.name "ribasoft" git config --global user.email "ribamarmsantos@gmail.com" git remote add origin git@github.com:RibaSoft/site.git git status git add . git commit -m "Primeiro commit" git push -u origin main

• Trazer o projeto para o servidor de produção:

  
  cd /var/www/ git clone git@github.com:RibaSoft/site-ribasoft.git .

• Atualizar o Site:

  
  

  Crie um alias (atalho) chamado gp para que, sempre que houver alterações no DEV enviadas ao GitHub, o servidor PROD consiga baixá-las de forma simples, segura e sem contratempos:

  nano ~/.bashrc alias gp="git fetch --all && git reset --hard origin/main" source ~/.bashrc

  Atenção: o git reset --hard descarta qualquer alteração local não commitada no servidor. Use só em PROD, onde nada é editado à mão.

• Restaurar banco de dados:

  
  gunzip < /local_completo/banco.sql.gz | docker compose exec -T postgres psql -U usuario -d banco

Criar banco para outro projeto:

• Quando o mesmo servidor for usado para vários projetos, eles precisarão estar na rede rede_global_postgres, e os bancos, usuários e senhas deverão estar no .env de cada projeto.

  A rede global precisará estar no docker-compose.yml de todos os projetos.

  Conecte como o superusuário (usuario) no banco padrão (banco) e crie o banco/usuário adicional do novo projeto:

  docker network create rede_global_postgres docker compose exec postgres psql -U usuario -d banco

  E então execute:

  CREATE USER outro_usuario WITH PASSWORD 'outra_senha'; CREATE DATABASE outro_banco OWNER outro_usuario; \c outro_banco GRANT ALL ON SCHEMA public TO outro_usuario;