Чем можно остследить не общюю нагрузку процессов, а именно по Url ?
Есть что то бесплатное и простое ?
Ну к примеру что бы можно было понять на какой раздел больше все идет нагрузки и т д, ну и общий вид ?
Вот не тут то было, воощем я знаю что у апача есть свой sendmail.exe а в связке nginx+php-fpm его как бы нет. Полазил по гуглу, нашел какой то Postfix, как я понимаю это целый сервер ? для упрвление почтовыми ящиками и т д. (Пробежался глазами по ману, подумал что можно 5 раз перестановить за это время nginx) Вопрос в том что можно сделать как то по проще ? А не разворачивать все это ? т.е как то по проще, не для многопользовательского режима ?
Вот сижу разбираюсь какие права нужно ставить с самого начала ? хочу что бы все было в идеальности. Т.е без лишних движений, где читать - читать - где писать писать, и где исполнять исполнять.
Вот сама структура, веб сервера, на ней вы видете путь от папки srv которая в рут дириктории, не могли бы вы мне помочь проставить верные права, от начала ? Не знаю правильно ли я сделал, я админу ограничил доступ, что выше www он не подымится. Т.е получается как я думаю админ будет видеть и иметь права только во всей директории test2.domain В Public_html будут содержаться скрипты, и папки images, js.
.
root |-srv | сдесь права
root |--www | сдесь права
admin |---test2.domain | сдесь права
admin |---errors | сдесь права
admin |-----public_html | сдесь права
admin |-------images | сдесь права
admin |--------js | сдесь права
Вообещем наткнулся на статью где пишут что на веб сервер нужно в файле sysctl.conf вписать следующее
# Защита от smurf-атак
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Защита от неправильных ICMP-сообщений
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Защита от SYN-флуда
net.ipv4.tcp_syncookies = 1
# Запрещаем маршрутизацию от источника
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Защита от спуфинга
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Мы не маршрутизатор
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Включаем ExecShield
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# Расширяем диапазон доступных портов
net.ipv4.ip_local_port_range = 2000 65000
# Увеличиваем максимальный размер TCP-буферов
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1
Хотел спросить, из за не знаний всех выше перечисленных параметров, может убрать какие то или добавить ?
Вообщем, nginx я более мение настроил, но вот задача, мне кажется не много не понятной потому что в мануалах и везде не описывают нормально, функции php-fpm ! т.е его настройку, такое впечетление как будто авторы понятие не имеют, но параметры выставляют +- как у всех других мануалах. Вопрос в том, как настроить эти параметры, и желательно проверить их работу, под определенный сервер ?
Допустим у меня есть сервер 4 core, 16gb Ram, 1TB ssd.
Как мне под него проверить, какие параметры php-fpm нужны ? просто не хочется все копировать с мануалов, тем более не понимая зачем эти параметры служат и как их правильно настроить, что бы они «дружили» с сервером а не «противостояли» ему, и не кусали его за ноги что бы он падал.
Вот не много нарисовал как я понимаю работу, но как понять те параметры ?
Вообщем читаю один английский форум, печатают что можно мол установить на директорию хоум, или же вообще создать отдельный раздел и поставить туда сервер, как думаете, безопасно так сделать как они советуют ? в плане сделать раздел, или директорию с параметрами noexec они сказали что вообщем может быть конечно полезно это сделать во избежании эксплоитов запуска их. Т.е если даже атакер залезет через дыру скрипты, то он все равно не сделает ничего т.е не запустить эксплоит бинарник как они говорят, а со скриптом мало что можно сделать.Как это еще повлияет на связку nginx+php-fpm просто хочу сделать что бы все было на своих местах отпимизированно защищенно.
К примеру я сделал токой Noexex на /tmp директорию, как я и говорил ранее, перемонтировав его. Потому что я читал туда тоже могу закачать, плохие файлы. Это конечно сложно сделать ибо я сделал фильтры в аплоаде по формата, очень хитрые хы хы. Так что они не закачают.
Вообщем сижу и думаю, я пока запущю этот сервер, стану экспертом по безопасности в области настройки серверов. Просто не хочу все делать на тяпляп, потом чуть шо рыться в стоге сена, а так все по полочкам, разделы, папки, права. логи.
Вообщем иногда перехожу по ссылкам, и очередное нажатие, приводит к потери темы на форуме ! Т.е обычно на сколько я помню везде применяют попапы, или же в конце ссылки такой квадратик, я бы сделал сдесь точно такой же жолтого как заглавные буквы вверху, ну чуть темнее что бы сильно не выделялся но можно было поняьт что нажав на него откроется окно попап, а не ты слетиш со страницы.. уже просто раз 5 так слетаю :) забываю что прямые переходы какие то.Кто за. Ну знаете квадратик такой как на викпедии.
Ну даже по тому как это звучит можно, представить серебрянный камбинизон, бортовые компьютеры, тишина. Но давольно таки часто встречается стереотип, о том что вот у администратора должны быть обьязательно борода, он должен плохо пахнуть и пить пива, и весть за 90.
Но в совеременном теперешнем мире не думаю что все так просто, можно встретить хорошо одетого что редкость человека, в полне спортивной форме, без очков, и бороды, с хорошим вкусом одежы, и этот стереотип не как не входит в приевшийся старый, да да так и есть, вот я помню новости комические читал, так там тот кто на камету летящуу в космоте что то там посадил (робота - зонд или еще что не помню) так вот и все это благодаря ему и его расчетам ! Так вот как бы ученый, должен был выглядить на призентации в белом холате в очках с замухрычным видом, а что мы видим ? современного человека в полне в форме, и в отрывной разноцветной рубашки на которой изображены эро намеки ну вообщем девочки все такое без пошлины + тату. И что ! Его осудили вообще нелепо, за его ВИД ! Что он мол там на женщин и т д вообщем придумали.. и сочинили. А теперь вопрос, как одеваетесь вы ?
Вообщем мало по малу разбираюсь со всеми этими пакетами, панелью управление и что для чего нужно.
Так вот, все рекомендуют ставить, чистыми руками типы сборок.
1.Nginx PHP-FPM
2.Nginx + Apache
Но, я заметил что это все есть в Plesk !, т.е в плеске можно установить связку типа
Nginx + PHP-FPM и тот или инной модуль можно включить или вообще удалить его.
Так вот чем же так плохи панели как о них говорят, если с одной стороны все наглядно и удобно ? а не лазить всегда в конфигах ? (Ну да конечно единсвенный минус который я заметил в панели, это то что если нужна работа с конфигами то там намудренно не мало) в отличии от установки связок прямыми руками.
Но если к примеру допустим, устанавливать панель, отключать все лишнее, там все эти модули, закрывать все порты, панельки и пускать только по определенному апи адрессу, который можно менять с помощью супер скрытого соединение по SSH. Т.е даже если апи динамический, мы то к SSH все равно подключимся, и сможет в апитаблесе сменить апишку к порту 8443 к примеру.
Ваше мнение по поводу всего, так как я только изучаю, хочу слышать профессионалов уже опытных в этом деле с какими пробелемами вообще сталкивались и почему удобно так, и не иначе.
Простите меня если что.
Так же желаю вам всем простить кого из близких и не только.
Вообщем скидывайте свой камень сегодня.
Вообщем ситуация такая, я не могу создать в Talks
А собсвенно хотел задать вопрос вам всем обитателям сего форума,
Почему вы те кто вы есть ?
Перемещено beastie из general
Вообщем лазил по папках, и везде есть какие то файлы типа yum.log и т д т п, как я понимаю это все типа логи моих всех всех действий за все время ? а их можно как то скопом удалить ? ну что бы там ничего вообще небыло ? или они нужны ? к примеру тоже самое когда я ставлю пакеты, они опять где то появляються.
Вообщем, установил я сие чудо, но дело в том что я не много не пойму логику его работы, дело в том что при установки мне в логах писало что есть конфликт с IPV6.. ну вообщем то удалось решить проблему, вписав адресс 127.0.0.1.
А теперь сам вопрос.
Как я понял /etc/munin/munin.conf - отвечает за локальные действие ? т.е где будут храниться отчеты, и по какому адрессу к ним будет доступ ?
а /etc/munin/munin-node.conf - указывает за каким доменом следить ? ну в том плане с какого собирать отчет ?
Если все верно, тогда я верно сделал что оставил там адресс 127.0.0.1 ? в munin.conf
На счет настроей файла httpd.conf
/var/www/vhosts/localhost.localdomain/httpdocs - Сдесь располагается мой сайт.
DocumentRoot - По дефауту стоит /var/www/html/ - я вот не пойму на что она указывает ? и на что должна указывать ? что будет если я в нее пропишу «/var/www/vhosts/localhost.localdomain/httpdocs»
Если я пропишу, то по дефауту будет отображаться так /var/www/vhosts/localhost.localdomain/httpdocs/index.html
Но ! тогда зачем мне указывать данные сдесь ?
#<VirtualHost *:80> # ServerAdmin webmaster@dummy-host.example.com # DocumentRoot /www/docs/dummy-host.example.com # ServerName dummy-host.example.com # ErrorLog logs/dummy-host.example.com-error_log # CustomLog logs/dummy-host.example.com-access_log common #</VirtualHost>
Вот не много запутлася, как я понимаю «DocumentRoot» нужен для того что бы отображать страницу по дефауту, если к примеру страница не найдена ??? в указаном VirtualHost ???
1.Как узнать что в системе происходит что то не то. 2.Могут ли проникать вирусы через yum install ? к примеру установил munin а там вирус ?
Изучаю пятый день, никс. (На счет безопасности знаю только вот что)
1.Установить все апдейты системы 2.Создать юзера к примеру админ из под которого можно выполнять команду sudo введя пароль от рута 3.Удалить все правила фаервола, и добавить только нужные порты 4.Поставить правильные права на папки (на сервере) 5.Почистить историю установок
В осномном меня интересует безопасность сервера, там будет только один сайт, и я хотел бы как то проверить, к примеру безопасно ли настрое сервер ? т.е понятно что я пока что по мануалам учусь что то не много знал читал давно, но все же вот написал может что посоветуете как проверить что все хорошо, что нет лишних прав и так далее, я как то думал может есть какой то софт, который запускаеш на сервере а он говорит вот там то и там то, не верные права или какае то опасная настройка ?
Ситуация такая, установил плеск, до настройки домена, адресс
http://localhost/ - работает.
После установки домена в плеск localhost.localdomain
http://localhost - перестает работать
и так же не заходит по адресу
И Заходит если добавить
http://localhost.localdomain:7080
Вопрос, как сделать так что бы нормально можно было заходить по адресу
Без указание порта ?
| ← назад |
