Почетна » како да » Подешавање наменског виртуелног Веб сервера

    Подешавање наменског виртуелног Веб сервера

    Када добијете наменски виртуелни сервер за покретање вашег веб сајта, добре су шансе да је конфигурисан за све, а није прилагођен да би максимизовао перформансе за покретање веб сајта.

    Цонтентс

    [сакрити]

    • 1 Преглед
    • 2 Конфигурација Линука
      • 2.1 Онемогући ДНС
      • 2.2 Онемогући СпамАссассаин
      • 2.3 Онемогући кинетд
      • 2.4 Ограничавање употребе Плеск меморије
      • 2.5 Онемогући или искључи Плеск (опционално)
    • 3 МиСКЛ конфигурација
      • 3.1 Омогућите кеш за упите
      • 3.2 Онемогући ТЦП / ИП
    • 4 Апацхе конфигурација
    • 5 ПХП Цонфигуратион
      • 5.1 Уклоните непотребне ПХП модуле
      • 5.2 ПХП Опцоде Цацхе
    • 6 Бацкупс
      • 6.1 Креирајте скрипту за аутоматску резервну копију
      • 6.2 Синхронизација резервних копија са локације са Рсинц
    • 7 Безбедност
      • 7.1 Онемогући роот пријаву преко ССХ
      • 7.2 Искључивање ССХ верзије 1
      • 7.3 Поново покрените ССХ сервер
      • 7.4 Проверите отворене портове
      • 7.5 Подешавање заштитног зида
    • 8 Види такође
    • 9 Референце

    Преглед

    Постоји велики број проблемских области у којима желимо да максимизирамо перформансе:

    • Линук цонфигуратион
      Обично се покрећу сервиси који не морају бити, трошећи меморију која се може користити за више веза.
    • МиСКЛ конфигурација
      Често се подразумеване поставке заснивају на малом серверу, можемо додати неколико кључних промјена како бисмо увелико повећали перформансе.
    • Апацхе конфигурација
      По подразумеваној вредности, већина хостинг провајдера инсталира Апацхе са скоро свим инсталираним модулима. Нема разлога за учитавање модула ако их никада нећете користити.
    • ПХП цонфигуратион
      Подразумевана ПХП конфигурација је слично проширена, обично је инсталирана тона непотребних додатних модула.
    • ПХП Опцоде Цацхе
      Уместо да дозвољава ПХП-у да рекомпајлира скрипте сваки пут, опцоде кеш кешира компајлиране скрипте у меморији за велике перформансе.
    • Резервне копије
      Вероватно би требало да подесите неке аутоматске резервне копије, пошто ваш хостинг провајдер то неће учинити за вас.
    • Безбедност
      Наравно, Линук је довољно сигуран по дефаулту, али обично има неких очигледних безбедносних проблема које можете поправити са неколико брзих подешавања.

    Конфигурација Линука

    Постоји доста подешавања које можете урадити, што ће се мало разликовати у зависности од сервера који користите. Ова подешавања су за сервер који користи ЦентОС, али би требало да раде за већину ДВ сервера.

    Онемогући ДНС

    Ако ваш хостинг провајдер управља ДНС-ом за ваш домен (вероватно), онда можете да онемогућите извршавање ДНС услуге.

    онемогући днс /етц/инит.д/намед стоп цхмод 644 /етц/инит.д/намед

    Наредба цхмод уклања дозволу извршења из скрипте, заустављајући је од покретања при покретању.

    Онемогући СпамАссассаин

    Ако не користите налоге е-поште на свом серверу, не би требало да се мучите са анти-спам алатима. (Такође би требало да погледате Гоогле Аппс, много боље решење за е-пошту)

    /етц/инит.д/пса-спамассассин стоп цхмод 644 /етц/инит.д/пса-спамассассин

    Онемогући кинетд

    Ксинетд процес садржи низ других процеса, од којих ниједан није користан за типични веб сервер.

    /етц/инит.д/кинетд стоп цхмод 644 /етц/инит.д/кинетд

    Ограничите употребу Плеск меморије

    Ако користите панел са плескањем, можете га присилити да користи мање меморије додавањем датотеке са опцијама.

    ви /уср/лоцал/пса/админ/цонф/хттпсд.цустом.инцлуде

    Додајте следеће линије у датотеку:

    МинСпареСерверс 1 МакСпареСерверс 1 СтартСерверс 1 МакЦлиентс 5

    Имајте на уму да је ова опција позната да ради на МедиаТемпле ДВ серверима, али није проверена ни на једном другом. (Погледајте референце)

    Онемогући или искључи Плеск (опционално)

    Ако Плеск користите само једном годишње, нема много разлога да га уопште оставите да ради. Имајте на уму да је овај корак потпуно опционалан и мало напреднији.

    Покрените следећу команду да бисте искључили плеск:

    /етц/инит.д/пса стоп

    Можете га онемогућити да се покрене при покретању покретањем следеће команде:

    цхмод 644 /етц/инит.д/пса

    Имајте на уму да ако је онемогућите, не можете га покренути ручно без промене права на датотеку (цхмод у + к).

    МиСКЛ Цонфигуратион

    Омогући кеш за упите

    Отворите /етц/ми.цнф фајл и додајте следеће линије у ваш [мисклд] одељак овако:

    [мисклд] куери-цацхе-типе = 1 куери-цацхе-сизе = 8М

    Ако желите, можете додати више меморије у кеш упита, али не користите превише.

    Онемогући ТЦП / ИП

    Изненађујући број хостова подразумевано омогућава приступ МиСКЛ-у на ТЦП / ИП, што нема смисла за веб сајт. Можете да схватите да ли мискл слуша ТЦП / ИП тако што ћете покренути следећу команду:

    нетстат -ан | греп 3306

    Да бисте онемогућили, додајте следећу линију у датотеку /етц/ми.цнф:

    скип-нетворкинг

    Апацхе Цонфигуратион

    Отворите датотеку хттпд.цонф, која се често налази у /етц/хттпд/цонф/хттпд.цонф

    Пронађите линију која изгледа овако:

    Тимеоут 120

    И промените га у ово:

    Тимеоут 20

    Сада пронађите одељак који садржи ове линије и прилагодите нешто слично:

    СтартСерверс 2 МинСпареСерверс 2 МакСпареСерверс 5 СерверЛимит 100 МакЦлиентс 100 МакРекуестсПерЦхилд 4000

    ПХП Цонфигуратион

    Једна од ствари које треба имати на уму приликом подешавања сервера на ПХП платформи је да ће сваки појединачни апацхе тхреад учитати ПХП на засебну локацију у меморији. То значи да ако неискоришћени модул дода 256 кила меморије у ПХП, преко 40 апашких тема трошите 10МБ меморије.

    Уклоните непотребне ПХП модуле

    Потребно је да пронађете вашу пхп.ини датотеку, која се обично налази на /етц/пхп.ини (Имајте на уму да ће у неким дистрибуцијама постојати директоријум /етц/пхп.д/ са бројем .ини датотека, по један за сваки модул.

    Коментирајте било које линије учитавања у овим модулима:

    • одбц
    • снмп
    • пдо
    • одбц пдо
    • мискли
    • ионцубе-лоадер
    • јсон
    • имап
    • лдап
    • нцурсес

    Тодо: Додајте више информација овде.

    ПХП Опцоде Цацхе

    Постоји више кеш опцоде које можете да користите, укључујући АПЦ, еАццелератор и Ксцацхе, а последњи је моја лична преференција због стабилности.

    Преузмите кцацхе и извуците га у директоријум, а затим покрените следеће команде из кцацхе изворног именика:

    пхпизе ./цонфигуре --енабле-кцацхе маке маке инсталл

    Отворите датотеку пхп.ини и додајте нову секцију за кцацхе. Потребно је да подесите стазе ако се ваши пхп модули учитају негде другде.

    ви /етц/пхп.ини

    Додајте следећи одељак у датотеку:

    [кцацхе-цоммон] зенд_ектенсион = /уср/либ/пхп/модулес/кцацхе.со [кцацхе.админ] кцацхе.админ.усер = "миусернаме" кцацхе.админ.пасс = "путанмд5хасххере" [кцацхе]; Промените кцацхе.сизе да бисте подесили величину опцоде цацхе кцацхе.сизе = 16М кцацхе.схм_сцхеме = "ммап" кцацхе.цоунт = 1 кцацхе.слотс = 8К кцацхе.ттл = 0 кцацхе.гц_интервал = 0; Промените кцацхе.вар_сизе да бисте прилагодили величину кеш варијабле кцацхе.вар_сизе = 1М кцацхе.вар_цоунт = 1 кцацхе.вар_слотс = 8К кцацхе.вар_ттл = 0 кцацхе.вар_макттл = 0 кцацхе.вар_гц_интервал = 300 кцацхе.тест = Искључено кцацхе.реадонли_протецтион = На кцацхе.ммап_патх = "/ тмп / кцацхе" кцацхе.цоредумп_дирецтори = "" кцацхе.цацхер = На кцацхе.стат = На кцацхе.оптимизер = Искључено

    Тодо: Потребно је мало проширити и повезати се на кцацхе у референцама.

    Резервне копије

    Врло је мало важније од аутоматског прављења резервних копија вашег веб сајта. Можда ћете моћи да добијете резервне копије снимака од вашег провајдера хостинга, које су такође веома корисне, али ја више волим да имам и аутоматске резервне копије..

    Направите аутоматску резервну копију

    Ја обично креирам креирањем директоријума / бацкупс, са директоријумом / бацкупс / филес испод њега. Можете прилагодити ове стазе ако желите.

    мкдир -п / бацкупс / филес

    Сада креирајте скрипту бацкуп.сх унутар директоријума резервних копија:

    ви /бацкупс/бацкуп.сх

    Додајте следеће у датотеку, прилагођавајући путање и лозинку мисклдумп по потреби:

    #! / бин / сх ТХЕДАТЕ = "датум +% д% м% и% Х% М" мисклдумп -уадмин -пПАССВОРД ДАТАБАСЕНАМЕ> /бацкупс/филес/дббацкуп$ТХЕДАТЕ.бак тар -цф / бацкупс / филес / ситебацкуп $ ТХЕДАТЕ .тар / вар / ввв / вхостс / ми-вебсите-патх / хттпдоцс / гпс /бацкупс/филес/ситебацкуп$ТХЕДАТЕ.тар финд / бацкуп / филес / сите * -мтиме +5 -екец рм  \ т финд / бацкупс / филес / дб * -мтиме +5 -екец рм  \ т

    Скрипта ће прво креирати датумску варијаблу тако да ће сви фајлови бити именовани исто за једну резервну копију, а затим ће потиснути базу података, тарс уп веб датотеке и гзипс их. Наредбе за проналажење користе се за уклањање свих датотека старијих од 5 дана, с обзиром да не желите да вам диск понестане.

    Направите скрипту извршном наредбом:

    цхмод у + к /бацкупс/бацкуп.сх

    Затим морате да га доделите да се аутоматски покреће од стране црон-а. Уверите се да користите налог који има приступ директоријуму резервних копија.

    цронтаб -е

    Додајте следећу линију у цронтаб:

    1 1 * * * /бацкупс/бацкуп.сх

    Скрипту можете тестирати унапред тако што ћете је покренути док сте пријављени на кориснички налог. (Обично изводим резервне копије као роот)

    Синхронизација резервних копија са локације са Рсинц

    Сада када имате аутоматизоване сигурносне копије вашег сервера, можете их синхронизовати негде другде помоћу услужног програма рсинц. Желите да прочитате овај чланак о томе како да подесите ссх тастере за аутоматску пријаву: Додај јавни ССХ кључ на удаљени сервер у једној команди

    Ово можете тестирати тако што ћете покренути ову команду на линук или Мац машини на другој локацији (код куће имам линук сервер који је место на ком то радим)

    рсинц -а усер@вебсите.цом: / бацкупс / филес / * / оффситебацкупс /

    Ово ће потрајати неко време да се покрене први пут, али на крају ваш локални рачунар треба да има копију директоријума датотека у директоријуму / оффситебацкупс /. (Обавезно креирајте тај директоријум пре покретања скрипте)

    Можете то да планирате додавањем у линију цронтаб:

    цронтаб -е

    Додајте следећу линију, која ће покренути рсинц сваког сата на 45 минута. Приметићете да овде користимо пуну путању за рсинц.

    45 * * * * / уср / бин / рсинц -а усер@вебсите.цом: / бацкупс / филес / * / оффситебацкупс /

    Можете га испланирати да ради у различито време или само једном дневно. То је до тебе.

    Имајте на уму да постоји много услужних програма који ће вам омогућити да синхронизујете преко ссх или фтп. Не морате да користите рсинц.

    Безбедност

    Прва ствар коју желите да урадите је да проверите да ли имате обичан кориснички налог за коришћење преко ссх-а, и уверите се да можете да користите су да бисте се пребацили на роот. То је веома лоша идеја да се дозволи директна пријава за роот преко ссх-а.

    Онемогући Роот Логин Овер ССХ

    Уредите датотеку / етц / ссх / ссхд_цонфиг и потражите следећу линију:

    #ПермитРоотЛогин иес

    Промените ту линију тако да изгледа овако:

    ПермитРоотЛогин но

    Побрините се да имате редован кориснички налог и можете да га покренете пре него што направите ову промену, у супротном можете да се закључате.

    Онемогући ССХ Версион 1

    Заиста нема разлога да користите било шта друго осим ССХ верзије 2, јер је сигурније од претходних верзија. Уредите датотеку / етц / ссх / ссхд_цонфиг и потражите следећи одељак:

    Протокол 2.1 Протокол 2

    Уверите се да користите само протокол 2 као што је приказано.

    Рестартујте ССХ Сервер

    Сада ћете морати да поново покренете ССХ сервер да би то учинило ефектом.

    /етц/инит.д/ссхд рестарт

    Проверите отворене портове

    Можете користити следећу команду да видите које портове сервер слуша:

    нетстат -ан | греп ЛИСТЕН

    Заиста не би требало да слушате ништа осим портова 22, 80 и можда 8443 за плеск.

    Подешавање заштитног зида

    Главни чланак: Коришћење Иптаблес на Линуку

    По жељи можете поставити иптаблес фиревалл да блокира више веза. На пример, обично блокирам приступ било којим другим портовима осим из моје радне мреже. Ако имате динамичку ИП адресу, желите да избегнете ту опцију.

    Ако сте досад већ пратили све кораке у овом водичу, вероватно није потребно додати заштитни зид у мешавину, али добро је разумети ваше опције.

    Такође видети

    • Коришћење Иптаблес на Линуку

    Референце

    • Оптимизација ДВ сервера (медиатемпле.нет)
    • КСЦацхе