Статьи по настройке сервера

Master-X

Регистрация | Вход

Форум | Новости | Статьи

Главная » Форум » Хостинги / Домены / Железо »

Тема: Статьи по настройке сервера

Новая тема Ответить

цитата
23/02/09 в 00:32

rst630
Решили написать доку для наших клиентов, которые любят все делать сами

Ну покачто две статьи готово. Будем пополнять и писать доку по установке под разные ОС.

Установка vsftpd на CentOS
Установка apache на CentOS
Установка php на CentOS
Установка eaccelerator на CentOS

P.S. статьи не обкатаные, буду рад если кому-то пригодится и он задаст вопросы, чтобы мы могли дополнить статьи.

Последний раз редактировалось: rst630 (23/02/09 в 18:35), всего редактировалось 1 раз

цитата
23/02/09 в 08:25

xxxio
Хорошие статьи

, хотелось бы увидеть продолжение, что то типа полного сетапа для дедика под сиджи

цитата
23/02/09 в 11:33

Bruno
Под фрю аналогичное есть?

цитата
23/02/09 в 12:24

rst630
Bruno: Пока что нету, но обязательно будут.
xxxio: Заявка принята, опишем установку софта для сиджев.

цитата
23/02/09 в 13:43

Pentarh
Отличные статьи

Наиболее информативная часть статьи:

yum install foobar

Про то что 30-50% модулей апача нужно выкинуть из конфига, чтобы он стал полегче, так же как и 70% остальных директив, запретить всякие прокси, трасы и траки...

по статье vsftpd. сделайте как они сказали и кто попало будет лазить где попало на вашем сервере

/etc/passwd - суръезный файл. Редактировать его лучше специальной утилитой vipw.

А чтобы его вообще не редактировать после useradd, нужно:

useradd -d /var/www -s /sbin/nologin имя_юзера
passwd имя_юзера

Статья сократилась на 30%

Далее, да будет всем известно что дефолтный конфиг vsftpd не делает chroot. Т.е. заходим от этого юзера на ФТП и шаримся по всему серверу.

И в дефолтном конфиге разрешен anonymous login!

Рекомендуемый же продакшен конфиг vsftpd с chroot и запретом анонимных подключений:
Код:

# cat /etc/vsftpd/vsftpd.conf
# Access rights
anonymous_enable=NO
local_enable=YES
write_enable=YES
file_open_mode=0666
local_umask=022
syslog_enable=NO
idle_session_timeout=900
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
# Security
secure_chroot_dir=/var/empty
anon_world_readable_only=NO
connect_from_port_20=YES
hide_ids=YES
pasv_min_port=50000
pasv_max_port=60000
passwd_chroot_enable=YES
chroot_local_user=YES
ftp_username=nobody
# Features
background=YES
listen=YES
force_dot_files=YES
xferlog_enable=YES
ls_recurse_enable=NO
ascii_download_enable=NO
async_abor_enable=YES
# Performance
one_process_model=NO
data_connection_timeout=300
accept_timeout=120
connect_timeout=120
anon_max_rate=50000
pam_service_name=vsftpd

цитата
23/02/09 в 14:22

Pentarh
По апачу - вот список модулей которые наверняка совершенно ни к чему

Код:

LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule authn_dbm_module modules/mod_authn_dbm.so
LoadModule authz_dbm_module modules/mod_authz_dbm.so
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LoadModule logio_module modules/mod_logio.so
LoadModule ext_filter_module modules/mod_ext_filter.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule usertrack_module modules/mod_usertrack.so
LoadModule dav_module modules/mod_dav.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule info_module modules/mod_info.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule speling_module modules/mod_speling.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule cache_module modules/mod_cache.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule file_cache_module modules/mod_file_cache.so
LoadModule mem_cache_module modules/mod_mem_cache.so
LoadModule version_module modules/mod_version.so

Жирным выделены модули которые дают конкретные тормоза (mime_magick,negotiation), а так же снижают безопасность сервера (autoindex)
Соответственно после отключения оных модулей нужно выкинуть половину конфига httpd.conf

Случай настройки сервера с nginx - особо полезное дело для сиджеев.

В этом случае, надо апач повесить слушать на 127.0.0.1, добавить модуль mod_rpaf и следовать инструкциям:

http://www.pentarh.com/wp/2008/07/18/using-nginx-apache/ (Статья под FreeBSD, для линукса там чуток отличие в конфигах nginx - httpready фильтр нах)

цитата
23/02/09 в 14:33

rst630
Pentarh: Спасибо за критику

Я не пытался написать все тонкости, я пытался описать максимально простой способ установки, без всякого тюна.
подефолту chroot для анонимного логина завернут в pub так что никуда анонима не пустит. Для созданного в статье юзера chroot не укан - это верно.

цитата
23/02/09 в 14:37

Pentarh
Bruno писал:

Под фрю аналогичное есть?

# make install clean -C /usr/ports/ftp/vsftpd
# vi /usr/local/etc/vsftpd.conf

вставить мой конфиг кроме строчки pam_service_name=vsftpd

# echo vsftpd_enable="YES" >> /etc/rc.conf
# /usr/local/etc/rc.d/vsftpd start

цитата
23/02/09 в 14:44

rst630
vi таки не так удобен как mc. И кстати попутно к тебе Pentarh вопрос по vi - почемуто в putty он глючит, backspace нетак както работает, буквы едут одна на другую, в итоге нормально с ним работать неполучается. Как это лечить?

ЗЫ локаль UTF-8

цитата
23/02/09 в 14:50

Pentarh
Кстати Линукс это такая хуета, которая стоит максимум месяц установленная и нетронутая. Потом неизвестно через что и как, ну в общем там оказывается целый притон хацкеров.

По этому настоятельно рекомендую

firstboot --reconfig => System services

И повыключать нафик все avahi*,cups,isdn,netfs,nfslock,nscd,rpc* и портмапы

ребутнуть. посмотреть "netstat -lnp" что у нас слушает сеть. Сеть должны слушать только знакомые сервисы: http,ftp,ssh,mysql,directadmin,sendmail и т.п.

Если чето лишнее, найти и уничтожить как в памяти так и в автозагрузке.

цитата
23/02/09 в 14:54

Pentarh
rst630 писал:

vi таки не так удобен как mc. И кстати попутно к тебе Pentarh вопрос по vi - почемуто в putty он глючит, backspace нетак както работает, буквы едут одна на другую, в итоге нормально с ним работать неполучается. Как это лечить?

ЗЫ локаль UTF-8

Я говорил не за vi. Я говорил за vipw. Это специальная утилита редактирования passwd файла и последующего обновления зависимостей типа shadow и т.п.

Т.е. passwd можно редактировать прямым редактором, только в случае изменения шелла. И вообще в линуксе столько условностей с этим passwd, что напрямую его лучше не трогать. Через vipw, указывая свой любимый редактор.

Если не нравится VI, сделай так
# EDITOR=твой_любимый_эдитор vipw :

# EDITOR=nano vipw
# EDITOR=ee vipw
...etc...

цитата
23/02/09 в 15:05

rst630
Pentarh писал:

вот тут то ты про vi говориш

цитата
23/02/09 в 15:24

Pentarh
Ну я к vi привык, оттого и говорю. Многим он хорошо на самом деле. Ну кому не нравится, башка на плечах есть, yum/apt/emerge/ports есть. Юзайте чего хотите.

цитата
23/02/09 в 15:25

rst630
Pentarh писал:

Код:

Затестил только что твой конфиг, работает, но на centos надо прописать в /etc/ftpusers свой логин и никак не в /etc/vsftpd/ftpusers - оно почемуто его не хавает оттуда.

цитата
23/02/09 в 15:50

Pentarh
Ээээ... а нафига тебе свой логин в ftpusers прописывать?

цитата
23/02/09 в 15:51

rst630
ну потому что если этого не сделать то оно непускает и говорит 530 login incorrect

цитата
23/02/09 в 15:53

Pentarh
ты чего то попутал. ftpusers это файл с юзерами, которые НЕ должны ходить на ФТП. там обычно прописаны руты, даэмоны всякие.

Цитата:

FTPUSERS(5) Linux Programmer’s Manual FTPUSERS(5)

NAME
ftpusers - list of users that may not log in via the FTP daemon

DESCRIPTION
The text file ftpusers contains a list of users that may not log in using the File Transfer Protocol (FTP) server daemon.

цитата
23/02/09 в 15:58

rst630
у него два варианта, либо всех пускать на фтп из него либо всех НЕ пускать. Так написано в доке по vsftpd, но там еще говорится про userlist_enable=YES/NO - попробовал с ним поиграться - и нифига. Далее в доке написано что оно хавает /etc/vsftpd.ftpusers. Ненашел его, зато нашел /etc/ftpusers и вот прописав там логин сразу все заработало.
Еще работает если в конфиге прописать:
pam_service_name=login

Мож я чето непонял, мож такая сборка в репозитарии.

Вобще странно, щас убрал запись оттуда, рестартанул vsftpd и пускает. Тогда непонятно почему было 530

цитата
24/02/09 в 01:39

Pentarh
Кстати, vsftpd среди немногих прочих, находится в топе безопасного ПО Opennet

цитата
24/02/09 в 01:54

lega_cobra
Pentarh писал:

по статье vsftpd.

апиридил

цитата
24/02/09 в 01:58

lega_cobra
rst630 писал:

vi таки не так удобен как mc.

mc - имеет единственный в мире текстовый редактор для юникса, который понятия не имеет, что такое текстовый файл в юникс формате

Говоря проще, он умудряется не ставить в последней строке символ конца строки.

цитата
24/02/09 в 13:40

Gourad
Цитата:

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so

Pentarh: А зачем это говно оставил?

По статьям имхо бесполезны... для тех кто знает что и как ставить поставит и без них для тех кто не знает задаст еще 1К дурацких вопросов. Полезны только с целью - не получилось, забашляйте нашим админам и всё получится.

Цитата:

eAccelerator – это кешер для php – очень хорошо ускоряет работу сервера, за счет сохранения бинарного кода выполняемого скрипта. Ведь каждый раз при запуске php скрипта php интерпритатор переводит его в бинарный код.

Не бинарного а опкода - разные вещи. Ну и прогоните через спеллчекер чтоли, а еще лучше корректора возьмите часиков на несколько - глаза режет.

цитата
25/02/09 в 18:20

Pentarh
Gourad писал:

Pentarh: А зачем это говно оставил?

Там все что я выделил нахер не надо. Жирным я выделил то, что особенно тормозит сервер.

Новая тема Ответить

Эта страница в полной версии