LINUX.ORG.RU

Посоветуйте актуальный и годный howto по настройке сервера под web?


0

2

Склоняюсь к мысли новый сайт размещать без вебмина уже. Раз уж вы все годами меня от него отговариваете.

Нужен nginx с поддержкой php, мускуль.

Актуальный мануал в духе «вот эти команды пиши или копипасть» (а мой уровень понимания всего этого около копипасты как раз) посоветовать кто может? Гуглится нередко всякая хрень с апачем.

Обязательно ли через ссш ходить по ключам? логин\пасс сильно плохо?

Еще же фтп принято осуждать, да?


Обязательно ли через ссш ходить по ключам? логин\пасс сильно плохо?

ключ подобрать невозможно, а пароль можно.

Deleted
()
Ответ на: комментарий от Deleted

Но ключ можно... ну эта, пролюбить в общем. А пароль в голове.

А можно прицепить нечто чтоб по ЭЦП ходить? Ну той же, что для налоговой и т.п.

dk-
() автор топика

логин\пасс сильно плохо?

Ну у меня каждые несколько секунд кто-то пытается пароль root подобрать.

theNamelessOne ★★★★★
()
Ответ на: комментарий от Deleted

ведь ssh не для этого предназначен, а для шифрования передаваемых данных.

filequest
()

в джобсы размещай объявление :)

Harald ★★★★★
()
Ответ на: комментарий от theNamelessOne

вообще, я уже щас не помню, но вроде если злоумышленнику удастся подобрать логин-пароль, он все равно сможет войти по ssh. Там разница в том, что можно входить без пароля, скопировав ключ локальной машины на удаленную, а в остальном, разницы нет. По паролю все равно можно будет войти, ЕМНИП.

у ssh основное отиличие в том, что данные шифруются.

filequest
()
Ответ на: комментарий от dexitry

Возможность входа по паролю нужно отключить!

fixed

anonymous
()

ставь пакеты: nginx php php-fpm

в /etc/nginx/nginx.conf есть директива http { }, внутри неё и пиши:

upstream php {
	ip_hash;
	server unix:/var/run/php-fpm.sock;
}

server {
	listen 80;

	server_name localhost;

	root /var/www/localhost/www;
	index index.html index.php;

	charset utf-8;

	location / {
		try_files $uri $uri/ /index.php$is_args$query_string;

		error_page 404 /404.html;
		error_page 500 502 503 504 /50x.html;

		location ~ \.php$ {
			try_files $uri =404;

			fastcgi_split_path_info ^(.+\.php)(/.+)$;
			fastcgi_intercept_errors on;

			fastcgi_pass php;
			fastcgi_index index.php;

			include fastcgi.conf;
		}
	}
}

теперь в /etc/php/php-fpm.conf (или подобном) допиши одну единственную строку include=/etc/php-fpm.d/*.conf

создай директорию /etc/php-fpm.d, внутри неё создай файлик, например /etc/php-fpm.d/localhost.conf

в нём пиши

[nobody]
user = nobody
group = nobody

listen = /var/run/php-fpm.sock
listen.owner = www-data
listen.group = www-data

php_admin_value[disable_functions] = exec,shell_exec,system,passthru
php_admin_flag[allow_url_fopen] = off

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
pm.max_requests = 500

chdir = /var/empty

создай директорию сайта, которая указана в конфиге nginx

# mkdir -p /var/www/localhost/www

создай тестовый файлик

# echo "<?php phpinfo(); ?>" > /var/www/localhost/www/index.php

запусти nginx и php-fpm

# service nginx start
# service php-fpm start

в зависимости от дистрибутива это могут быть systemctl start nginx и т.п.

попробуй зайти http://localhost

к вопросу безопаности.

nginx работает с правами пользователя в зависимости от дистрибутива: в Debian это www-data, в Arch Linux это http.

php-fpm работает с правами пользователя nobody, а так же в listen.owner и listen.group указан пользователь www-data — это права, с какими будет создан файл /var/run/php-fpm.sock, к которому должен подключаться nginx.

все страшные функции php запрещены на исполнение в конфиге, в случае, если хакер взломает твой сайт и получит доступ к исполнению php-кода, сделать он ничего не сможет т.к. у php права nobody и запускать программы на исполнение нельзя.

целевая система в безопасности, однако сайт взломщик всё равно дефейснит. не забывай делать бэкапы.

такая конфигурация называется по типу shared-хостинга, когда много сайтов находится в одной системе, на каждый сайт желательно создавать отдельного пользователя, затем копируешь конфигурацию /etc/php-fpm.d/localhost.conf, меняшь пользователя/группу nobody на другую и всё.

если захочешь фтп, то не сложно настроить так, чтобы каждый владелец сайта мог логиниться в свою /var/www/директорию-сайта/ и работать там. пиши если дойдёшь до этого и потребуется помощь.

Spoofing ★★★★★
()
Последнее исправление: Spoofing (всего исправлений: 1)

google://digitalocean lemp

Deleted
()
Ответ на: комментарий от Spoofing

Пасиба. Поразбираюсь. Сайт только один. Мой.

//боженька, ну почему все так Череж Жёпу?! Дай им нормальный удобный гуй!

dk-
() автор топика
Ответ на: комментарий от dk-

GUI не может быть нормальным и удобным одновременно для таких сложных систем. Хотя для твоего упрощённого случая, конечно, что-нибудь могло бы быть.

anonymous
()
Ответ на: комментарий от dk-

по хистрески это нужно мускл и nginx+php-fpm через докер пускать, там реально пару команд и сайт уже крутится, причем все самых свежих версий.

Novell-ch ★★★★★
()
Ответ на: комментарий от dk-

боженька, ну почему все так Череж Жёпу?! Дай им нормальный удобный гуй!

Ведь очевидно, что каждое произносимое нами слово сопряжено с некоторым изнашиванием легких и, следовательно, приводит к сокращению нашей жизни. А так как слова суть только названия вещей, то автор проекта высказывает предположение, что для нас будет гораздо удобнее носить при себе вещи, необходимые для выражения наших мыслей и желаний. Это изобретение благодаря его большим удобствам и пользе для здоровья, по всей вероятности, получило бы широкое распространение, если бы женщины, войдя в стачку с невежественной чернью, не пригрозили поднять восстание, требуя, чтобы языку их была предоставлена полная воля, согласно старому дедовскому обычаю: так простой народ постоянно оказывается непримиримым врагом науки! Тем не менее многие весьма ученые и мудрые люди пользуются этим новым способом выражения своих мыслей при помощи вещей.

Единственным его неудобством является то обстоятельство, что, в случае необходимости вести пространный разговор на разнообразные темы, собеседникам приходится таскать на плечах большие узлы с вещами, если средства не позволяют нанять для этого одного или двух дюжих парней. Мне часто случалось видеть двух таких мудрецов, изнемогавших под тяжестью ноши, подобно нашим торговцам вразнос. При встрече на улице они снимали с плеч мешки, открывали их и, достав оттуда необходимые вещи, вели таким образом беседу в продолжение часа; затем складывали свою утварь, помогали друг другу взваливать груз на плечи, прощались и расходились.

Впрочем, для коротких и несложных разговоров можно носить все необходимое в кармане или под мышкой, а разговор, происходящий в домашней обстановке, не вызывает никаких затруднений. Поэтому комнаты, где собираются лица, применяющие этот метод, наполнены всевозможными предметами, пригодными служить материалом для таких искусственных разговоров.

Другим великим преимуществом этого изобретения является то, что им можно пользоваться как всемирным языком, понятным для всех цивилизованных наций[110], ибо мебель и домашняя утварь всюду одинакова или очень похожа, так что ее употребление легко может быть понято. Таким образом, посланники без труда могут говорить с иностранными королями или министрами, язык которых им совершенно неизвестен.

sin_a ★★★★★
()
Ответ на: комментарий от dk-

Свифта? Он да, упарывался. А про количество слов и количество кнопачек тебе предыдущий оратор отметил.

sin_a ★★★★★
()
Ответ на: комментарий от Deleted

Ну чего ты ругаешься, братишка, все ж мы люди! У человека своё видение вещей, пока он с ними ещё не сталкивался.

Spoofing ★★★★★
()

Нужен nginx с поддержкой php, мускуль.


https://www.digitalocean.com/community/tutorials/how-to-install-linux-nginx-m...

Обязательно ли через ссш ходить по ключам?


https://www.digitalocean.com/community/tutorials/how-to-create-ssh-keys-with-...

Еще же фтп принято осуждать, да?


https://www.digitalocean.com/community/tutorials/how-to-deploy-a-hugo-site-to...

А можно прицепить нечто чтоб по ЭЦП ходить?


https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-factor-a...

Erfinder
()
Ответ на: комментарий от Deleted

Не будь дебилом понимающим все утрированно буквально.

Ясен пень конфиг nginx, большую его часть (кроме совсем базовых), а то и вообще весь удобнее редактировать «блокнотом».

Но вообще все принципиально через набивание пальцами в консольке - хреновый вариант. Для работы с файлами удобнее двухпанельник с поддержкой архиваторов. А то все эти cd\mv\cp\rm\tar -бла -блабла порядком задалбывают.

dk-
() автор топика

Кто чего в sysctl.conf пишет ?

Deleted
()
Ответ на: комментарий от sin_a

Нортон командер!) Я вспомнил детство!) Ура!)

\\ нано - это для садомазохистов только годится.

dk-
() автор топика

что-то я о тебе был лучшего мнения

unt1tled ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.