1. С 1 марта 2017 на форуме запущен платный закрытый раздел. Вся информация по сабжу ЗДЕСЬ

Администрирование, поддержка и оптимизация VPS и dedicated

Тема в разделе "Поиск и предложение услуг", создана пользователем redeyer, 24 ноя 2015.

  1. efs

    efs Повелитель дескрипторов

    да ладно, и именно поэтому в кодексе есть раздел посвященный переносу правил на энжиникс?
    https://codex.wordpress.org/Nginx
     
  2. redeyer

    redeyer Постоянец

    Пол:
    Мужской
    Отрадно слышать, спасибо! Кстати, на днях там появился кейс по оптимизации дешевого VPS.
    А бэкапы тестировали - вы ручками делали скрипт или через сервис? Он ещё в альфе, но для винды вроде нормально генерит :)

    Скоро доделаем генерацию серверных бэкап-скриптов и для винды допишем фичи.

    Я бы не рекомендовал пользоваться этим клиентом. Как минимум, потому что он графический, для его использования придётся ставить GUI на сервер. А гуи - это тормознО и ненадёжно. Это субъективно, конечно, но по опыту. Особенно если у вас vps не особо мощный, до 1гб RAM - туда даже противопоказано ставить графическую оболочку.
    Жаль конечно, что у mail.ru нет доступа по webdav, так-то у меня тоже есть 100гб :)

    А во-вторых, когда cloud.mail.ru только запустился, я тестировал этот их клиент и оно жутко глючило, до такой степени что было неюзабельным. Я даже багрепорт им слал:) Но это было год назад, или даже больше, возможно и что-то изменилось, с тех пор не проверял. Но если всё работает - пробуйте, конечно вариант.
    Не исключаю варианта, что майлрушники клиент допилили и дали какой нибудь консольный режим non-interactive - то будет даже хорошо работать.

    У яндекса с этим гораздо проще - он доступен по webdav и это хороший вариант. Правда там за большой диск надо платить.

    Я не знаю что там за шаблоны у vesta, не знаю что там за правила чпу в htaccess. У меня вручную настроено, вот такой минимальный конфиг работает:
    Код:
    server {
    			  server_name site.ru;
    		root /var/www/site.ru;
    		index index.php;
    		 location / {
    							 try_files $uri $uri/ /index.php?$args;
    		}
    		 location ~ \.php$ {
    				include /etc/nginx/fastcgi_params;
    				fastcgi_intercept_errors on;
    				fastcgi_pass 127.0.0.1:9000;
    		}
     }
    
    Любые плагины работают(кроме тех, что умеют работать только на апаче), админка, чпу. Насколько я понимаю, чпу здесь замечательно обрабатываются конструкцией try_files, никаких особых rewrite, как видите, не стоИт.
     
    • Дабллайк Дабллайк x 1
  3. freeman

    freeman Активный участник

    Пол:
    Мужской
    Уже перечитал, восспользуюсь информацией.
    Скрипт правил руками, на Виндовс 7 работает отлично!
    Этот клиент на линукс еще не ставил, поэтому точно и не знаю, есть ли там консольный режим. Теперь знаю, что нет :) На счет глючности. Вот сейчас хочу сделать бекап файлов на винде (фотографии, другие файлы), гигов на 300. Так клиент больше недели просто индексирует файлы, и не загружает.
    Здесь можно попробовать купить ящик с 200-ми гигами на вечно, конечно не знаю на сколько это надежно ( в смысле покупать у незнакомого человека. Чтобы потом ящика не лишиться)
    У vesta есть возможность запустить сайт и для таких чайников как я и для профи. Конечно, в плане развития это не очень хорошо. Так как нужно учиться все самому править.
     
    • Нравится Нравится x 1
  4. redeyer

    redeyer Постоянец

    Пол:
    Мужской
    Т.е. у яндекса есть такие аккаунты? Где брать?
    Ну чтобы не лишиться - просто надо не привязанный к телефону акк брать и привязывать к своей мобилке.
     
  5. freeman

    freeman Активный участник

    Пол:
    Мужской
  6. Думка

    Думка Постоянец

    Пол:
    Мужской
    Яндексовские не видел по 200 гигов, а вот майл у меня знакомый продает акки с 1тб, ценник там что то в районе 20$ (хотя могу и ошибаться, если кому нужно то могу уточнить)
     
  7. freeman

    freeman Активный участник

    Пол:
    Мужской
    видел дешевле. Таких аков много. Выше описаны причины почему данное хранилище не идеальный вариант.
     
  8. freeman

    freeman Активный участник

    Пол:
    Мужской
    @redeyer, могли бы подсказать, правильно ли я понимаю. Если есть впс, даже если создать для каждого сайта отдельного юзера, то сайты все равно не изолированы один от другого, в плане возможного заражения? поскольку сервисы работают от одного пользователя, и могут выполнять скрипты на всех сайтах? Или я не правильно понимаю? то есть, отдельный пользователь -не панацея, в плане безопасности.

    Могли бы посоветовать, как изолировать сайты на PVS?
    Спасибо!
     
  9. redeyer

    redeyer Постоянец

    Пол:
    Мужской
    Всё верно понимаете. Изолировать можно. Для этих целей можно использовать apache.itk или отдельные пулы php-fpm для каждого сайта. Разумеется, это не панацея. Я с этим не заморачиваюсь, но некоторый смысл имеет, конечно.

    Вопрос в другом - почему вдруг на сайтах могут появиться какие-то скрипты, которые затем ещё и будут выполнены?
     
  10. freeman

    freeman Активный участник

    Пол:
    Мужской
    Есть пару старых сайтов, с которыми заниматься нет желания, но есть потенциальная возможность что они немножко дырявые, так как были случаи взлома. вот и думаю, чтобы от греха подальше, так сделать. Даже в случае взлома, сразу понятно какой сайт взломан. Да и не охота держать рядом более важные сайты со всеми подряд.
    Вот спросил у разработчиков Vesta, написали что у них для этого есть свой шаблон "hosting". Это как раз тот вариант, когда можно дать нескольким пользователям свой акаунт. но к сожалению, сейчас данный шаблон доступен только при стеке apache + nginx, а у меня Nginx+php-fpm. Буду разбираться как сделать такое в моем случае.
     
    • Нравится Нравится x 1
  11. redeyer

    redeyer Постоянец

    Пол:
    Мужской
    Создайте отдельных пользователей. У вас на сервере есть конфиг основного пула в /etc/php5/fpm/pool.d/www.conf Копируйте его в /etc/php5/fpm/pool.d/site.ru.conf и замените дефолтного пользователя и группу на тех, от которых должны работать сайты. (user и group). И в listen прописываете ему отдельный порт, если через tcp к пулам обращетесь или отдельный сокет в файловой системе. Потом в конфигурации сайта на nginx в директиве fastcgi_pass задаете этот порт или сокет. В принципе, всё. Ну рестарт обоих сервисов понадобится и смена владельца на файлы сайта (chown -R user:user /var/www/site_dir/ )
     
    • х10 лайк х10 лайк x 1
  12. freeman

    freeman Активный участник

    Пол:
    Мужской
    Спасибо! Что интересно, прошелся по этим файлам, так как вы написали уже все это сделано! :)
    У меня и так был отдельный пользователь, порт отличается, пользователь прописан, fastcgi_pass порт тот что нужно и т.д.

    Понятное дело, возникает вопрос, почему я хотел что то менять. Дело в том, что с проблемой изоляции сайтов, обратился к разработчикам Веста, они сказали что нужно выбрать конкретный шалон (которого для моей конфигурации нет). Вот я и думаю, изолированы сайты в данный момент, или нет.. если учитывать что все что вы описали уже выполнено.
     
  13. redeyer

    redeyer Постоянец

    Пол:
    Мужской
    Это легко проверить. Посмотрите владельца файлов этих сайтов и остальных. Они должны отличаться.
    Код:
    ls -lh /var/www/site_dir/
    Также, посмотрите от чьего имени работают процессы php:
    Код:
    ps -fe|grep php
    В этом списке должны быть процессы, работающие от имен тех пользователей, которые используются для нужных сайтов. Если процессы есть, то, скорей всего, всё ок. Особенно если пользователи, от имени которых запущены процессы совпадают с владельцами файлов из первой команды.

    Как-то так.
     
  14. freeman

    freeman Активный участник

    Пол:
    Мужской
    Спасибо большое!
    Да, процессы под отдельным пользователем есть
    user1 668 833 0 Mar05 ? 00:01:01 php-fpm: pool site.ru
    www-data 889 833 0 Mar05 ? 00:00:00 php-fpm: pool www
    root 27416 27398 0 Mar06 pts/0 00:00:00 /bin/sh /usr/bin/sensible-editor /etc/php5/fpm/pool.d/www.conf
    root 27424 27416 0 Mar06 pts/0 00:00:00 /usr/bin/vim.tiny /etc/php5/fpm/pool.d/www.conf
    admin 27533 727 0 Mar05 ? 00:00:00 php-fpm: pool www
    admin 28763 727 0 Mar05 ? 00:00:00 php-fpm: pool www

    И через htop смотрел раньше, от всех пользователей которые существуют, есть процессы.

    И файлы принадлежат нужным пользователям. Значит ребята-разработчики все предусмотрели.
     
  15. efs

    efs Повелитель дескрипторов

    а теперь сами себез залейте шелл и попытайтесь получить доступ к каталогам других сайтов, внести правки, etc
     
  16. freeman

    freeman Активный участник

    Пол:
    Мужской
    Еще посоветовался с людьми и как говорил redeyer, понял что это далеко не панацея.

    можно будет попробовать, но шеллы бывают разные, так же как и знания того кто его загрузил :) так что эксперемент может быть не объективен.
     
  17. efs

    efs Повелитель дескрипторов

    100% гарантию дает только отключение сервера и спрятать его в шкаф и то возможны варианты
    если у вас не обрастает сайт новыми файлами ежедневно, погуглите inotify и пусть мониторит появление/изменение файлов в каталогах с сайтом/ами и шлет алярм, если у вас появятся соседи.
     
  18. redeyer

    redeyer Постоянец

    Пол:
    Мужской
    Как уже и говорил, предпочитаю защищать сайты бэкапами, бэкапами и ещё раз бэкапами. Чтобы защитить ещё сильней, можно делать бэкапы бэкапов, и бэкапы бэкапов бэкапов :)
     
  19. freeman

    freeman Активный участник

    Пол:
    Мужской
    Бэкап, это защита от потери данных, а если ваш сайт взломали? Тогда нужно искать дыру, так как бэкап тоже дырявый. Поэтому речь идет о предупреждении взлома.
     
    Последнее редактирование: 7 мар 2016
  20. redeyer

    redeyer Постоянец

    Пол:
    Мужской
    Ну взлом в данном случае можно приравнять к потере данных, хоть и с условиями. Вылечить сайт или откатить из бэкапа - как по мне - второе проще. Да, иногда можно потерять какие-то данные за небольшой промежуток времени, но это лучше, чем скомпрометированный сайт на неопределенный срок, пока будете устранять последствия. Вообще, я говорю здесь о бэкапах как о защите, потому что php-шеллы на WP это так, детские шалости, не страшнее какого-нибудь autorun.inf из 2000х :) Есть и более серьёзные угрозы, от которых не спасут ухищрения с разделением пользователей.

    А дальше уже затыкивание дыр и т.д. - это другой процесс. Он никуда не девается и в вашем случае, если сайт всё же поломают.