С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
 Добавлено: 23/02/09 в 00:32 |
|
|
|
|
| |
all in
С нами с 18.11.08
Сообщения: 780
Рейтинг: 631
|
| Добавлено: 23/02/09 в 08:25 |
Хорошие статьи  , хотелось бы увидеть продолжение, что то типа полного сетапа для дедика под сиджи 
|
|
|
|
| |
С нами с 29.07.03
Сообщения: 682
Рейтинг: 440
|
| Добавлено: 23/02/09 в 11:33 |
Под фрю аналогичное есть?
|
|
|
|
| |
С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
| Добавлено: 23/02/09 в 12:24 |
Bruno: Пока что нету, но обязательно будут.
xxxio: Заявка принята, опишем установку софта для сиджев.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 13:43 |
Отличные статьи  Наиболее информативная часть статьи:
yum install foobar
Про то что 30-50% модулей апача нужно выкинуть из конфига, чтобы он стал полегче, так же как и 70% остальных директив, запретить всякие прокси, трасы и траки...
по статье vsftpd. сделайте как они сказали и кто попало будет лазить где попало на вашем сервере
/etc/passwd - суръезный файл. Редактировать его лучше специальной утилитой vipw.
А чтобы его вообще не редактировать после useradd, нужно:
useradd -d /var/www -s /sbin/nologin имя_юзера
passwd имя_юзера
Статья сократилась на 30%
Далее, да будет всем известно что дефолтный конфиг vsftpd не делает chroot. Т.е. заходим от этого юзера на ФТП и шаримся по всему серверу.
И в дефолтном конфиге разрешен anonymous login!
Рекомендуемый же продакшен конфиг vsftpd с chroot и запретом анонимных подключений:
| Код: | # cat /etc/vsftpd/vsftpd.conf
# Access rights
anonymous_enable=NO
local_enable=YES
write_enable=YES
file_open_mode=0666
local_umask=022
syslog_enable=NO
idle_session_timeout=900
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
# Security
secure_chroot_dir=/var/empty
anon_world_readable_only=NO
connect_from_port_20=YES
hide_ids=YES
pasv_min_port=50000
pasv_max_port=60000
passwd_chroot_enable=YES
chroot_local_user=YES
ftp_username=nobody
# Features
background=YES
listen=YES
force_dot_files=YES
xferlog_enable=YES
ls_recurse_enable=NO
ascii_download_enable=NO
async_abor_enable=YES
# Performance
one_process_model=NO
data_connection_timeout=300
accept_timeout=120
connect_timeout=120
anon_max_rate=50000
pam_service_name=vsftpd
|
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 14:22 |
По апачу - вот список модулей которые наверняка совершенно ни к чему
| Код: | LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule authn_dbm_module modules/mod_authn_dbm.so
LoadModule authz_dbm_module modules/mod_authz_dbm.so
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
LoadModule logio_module modules/mod_logio.so
LoadModule ext_filter_module modules/mod_ext_filter.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule usertrack_module modules/mod_usertrack.so
LoadModule dav_module modules/mod_dav.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule info_module modules/mod_info.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule speling_module modules/mod_speling.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule cache_module modules/mod_cache.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule file_cache_module modules/mod_file_cache.so
LoadModule mem_cache_module modules/mod_mem_cache.so
LoadModule version_module modules/mod_version.so
|
Жирным выделены модули которые дают конкретные тормоза (mime_magick,negotiation), а так же снижают безопасность сервера (autoindex)
Соответственно после отключения оных модулей нужно выкинуть половину конфига httpd.conf
Случай настройки сервера с nginx - особо полезное дело для сиджеев.
В этом случае, надо апач повесить слушать на 127.0.0.1, добавить модуль mod_rpaf и следовать инструкциям:
http://www.pentarh.com/wp/2008/07/18/using-nginx-apache/ (Статья под FreeBSD, для линукса там чуток отличие в конфигах nginx - httpready фильтр нах)
|
|
|
|
| |
С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
| Добавлено: 23/02/09 в 14:33 |
Pentarh: Спасибо за критику Я не пытался написать все тонкости, я пытался описать максимально простой способ установки, без всякого тюна.
подефолту chroot для анонимного логина завернут в pub так что никуда анонима не пустит. Для созданного в статье юзера chroot не укан - это верно.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 14:37 |
| Bruno писал: | | Под фрю аналогичное есть? |
# make install clean -C /usr/ports/ftp/vsftpd
# vi /usr/local/etc/vsftpd.conf
вставить мой конфиг кроме строчки pam_service_name=vsftpd
# echo vsftpd_enable="YES" >> /etc/rc.conf
# /usr/local/etc/rc.d/vsftpd start
|
|
|
|
| |
С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
| Добавлено: 23/02/09 в 14:44 |
vi таки не так удобен как mc. И кстати попутно к тебе Pentarh вопрос по vi - почемуто в putty он глючит, backspace нетак както работает, буквы едут одна на другую, в итоге нормально с ним работать неполучается. Как это лечить?
ЗЫ локаль UTF-8
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 14:50 |
Кстати Линукс это такая хуета, которая стоит максимум месяц установленная и нетронутая. Потом неизвестно через что и как, ну в общем там оказывается целый притон хацкеров.
По этому настоятельно рекомендую
firstboot --reconfig => System services
И повыключать нафик все avahi*,cups,isdn,netfs,nfslock,nscd,rpc* и портмапы
ребутнуть. посмотреть "netstat -lnp" что у нас слушает сеть. Сеть должны слушать только знакомые сервисы: http,ftp,ssh,mysql,directadmin,sendmail и т.п.
Если чето лишнее, найти и уничтожить как в памяти так и в автозагрузке.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 14:54 |
| rst630 писал: | vi таки не так удобен как mc. И кстати попутно к тебе Pentarh вопрос по vi - почемуто в putty он глючит, backspace нетак както работает, буквы едут одна на другую, в итоге нормально с ним работать неполучается. Как это лечить?
ЗЫ локаль UTF-8 |
Я говорил не за vi. Я говорил за vipw. Это специальная утилита редактирования passwd файла и последующего обновления зависимостей типа shadow и т.п.
Т.е. passwd можно редактировать прямым редактором, только в случае изменения шелла. И вообще в линуксе столько условностей с этим passwd, что напрямую его лучше не трогать. Через vipw, указывая свой любимый редактор.
Если не нравится VI, сделай так
# EDITOR=твой_любимый_эдитор vipw :
# EDITOR=nano vipw
# EDITOR=ee vipw
...etc...
|
|
|
|
| |
С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
| Добавлено: 23/02/09 в 15:05 |
| Pentarh писал: | # make install clean -C /usr/ports/ftp/vsftpd
# vi /usr/local/etc/vsftpd.conf
вставить мой конфиг кроме строчки pam_service_name=vsftpd
# echo vsftpd_enable="YES" >> /etc/rc.conf
# /usr/local/etc/rc.d/vsftpd start |
вот тут то ты про vi говориш
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 15:24 |
Ну я к vi привык, оттого и говорю. Многим он хорошо на самом деле. Ну кому не нравится, башка на плечах есть, yum/apt/emerge/ports есть. Юзайте чего хотите.
|
|
|
|
| |
С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
| Добавлено: 23/02/09 в 15:25 |
| Pentarh писал: |
| Код: | # cat /etc/vsftpd/vsftpd.conf
# Access rights
anonymous_enable=NO
local_enable=YES
write_enable=YES
file_open_mode=0666
local_umask=022
syslog_enable=NO
idle_session_timeout=900
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
# Security
secure_chroot_dir=/var/empty
anon_world_readable_only=NO
connect_from_port_20=YES
hide_ids=YES
pasv_min_port=50000
pasv_max_port=60000
passwd_chroot_enable=YES
chroot_local_user=YES
ftp_username=nobody
# Features
background=YES
listen=YES
force_dot_files=YES
xferlog_enable=YES
ls_recurse_enable=NO
ascii_download_enable=NO
async_abor_enable=YES
# Performance
one_process_model=NO
data_connection_timeout=300
accept_timeout=120
connect_timeout=120
anon_max_rate=50000
pam_service_name=vsftpd
|
|
Затестил только что твой конфиг, работает, но на centos надо прописать в /etc/ftpusers свой логин и никак не в /etc/vsftpd/ftpusers - оно почемуто его не хавает оттуда.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 15:50 |
Ээээ... а нафига тебе свой логин в ftpusers прописывать?
|
|
|
|
| |
С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
| Добавлено: 23/02/09 в 15:51 |
ну потому что если этого не сделать то оно непускает и говорит 530 login incorrect
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 23/02/09 в 15:53 |
ты чего то попутал. ftpusers это файл с юзерами, которые НЕ должны ходить на ФТП. там обычно прописаны руты, даэмоны всякие.
| Цитата: | FTPUSERS(5) Linux Programmer’s Manual FTPUSERS(5)
NAME
ftpusers - list of users that may not log in via the FTP daemon
DESCRIPTION
The text file ftpusers contains a list of users that may not log in using the File Transfer Protocol (FTP) server daemon. |
|
|
|
|
| |
С нами с 19.03.06
Сообщения: 331
Рейтинг: 139
|
| Добавлено: 23/02/09 в 15:58 |
у него два варианта, либо всех пускать на фтп из него либо всех НЕ пускать. Так написано в доке по vsftpd, но там еще говорится про userlist_enable=YES/NO - попробовал с ним поиграться - и нифига. Далее в доке написано что оно хавает /etc/vsftpd.ftpusers. Ненашел его, зато нашел /etc/ftpusers и вот прописав там логин сразу все заработало.
Еще работает если в конфиге прописать:
pam_service_name=login
Мож я чето непонял, мож такая сборка в репозитарии.
Вобще странно, щас убрал запись оттуда, рестартанул vsftpd и пускает. Тогда непонятно почему было 530
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 24/02/09 в 01:39 |
|
|
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 24/02/09 в 01:54 |
| Pentarh писал: | | по статье vsftpd. |
апиридил
|
|
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 24/02/09 в 01:58 |
| rst630 писал: | | vi таки не так удобен как mc. |
mc - имеет единственный в мире текстовый редактор для юникса, который понятия не имеет, что такое текстовый файл в юникс формате Говоря проще, он умудряется не ставить в последней строке символ конца строки.
|
|
|
|
| |
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
| Добавлено: 24/02/09 в 13:40 |
| Цитата: | LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so |
Pentarh: А зачем это говно оставил?
По статьям имхо бесполезны... для тех кто знает что и как ставить поставит и без них для тех кто не знает задаст еще 1К дурацких вопросов. Полезны только с целью - не получилось, забашляйте нашим админам и всё получится.
| Цитата: | | eAccelerator – это кешер для php – очень хорошо ускоряет работу сервера, за счет сохранения бинарного кода выполняемого скрипта. Ведь каждый раз при запуске php скрипта php интерпритатор переводит его в бинарный код. |
Не бинарного а опкода - разные вещи. Ну и прогоните через спеллчекер чтоли, а еще лучше корректора возьмите часиков на несколько - глаза режет.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 25/02/09 в 18:20 |
| Gourad писал: | | Pentarh: А зачем это говно оставил? |
Там все что я выделил нахер не надо. Жирным я выделил то, что особенно тормозит сервер.
|
|
|
|
| |
