Da Google gestartet https-Sites zu lieben, notwendiger Einsatz von SSL-und wo Sie. Insgesamt mehr als Belästigung für Server und haben eine Verschlechterung der Geschwindigkeit. Die gute Nachricht ist,, dass HTTP2 Standard seit über einem Jahr und eine Hälfte ist in allen wichtigen http-Server und Browser integriert und die Aufrechterhaltung stabiler genug. Leider debian stabil keine Pakete HTTP2 in den wichtigsten http-Server zu erhalten. Versionen, die wir brauchen HTTP2 zu arbeiten, sind wie folgt:

Für mich ist mishmash groß und nach depends genießt Apache oder nginx. Ich habe noch nicht zu ihrem Lauf von Apache http2 von debian gespielt 8 weil sie nicht über hatte aber updates Repo haben es so, es wird kein großes Problem sein,. Für nginx haben wir bereits mehrmals gespielt. Im Allgemeinen sind die Schritte wenigen und relativ einfachen:

  1. In nginx offiziellen Repo – Die Debian-Ausgabe, 1.6.h bitte ist 🙄
  2. Installieren Sie OpenSSL von updates ist derzeit 1.0.2k – dass wir müssen ALPN Instandhaltungsauftrag für alles und zu arbeiten, ist barzichko
  3. Installieren Sie Ihre devscripts – Jetzt ist die Zeit, das zu teilen unser Paket bildnem, weil die Beamten mit OpenSSL 1.0.1t kompiliert wurde, die nicht ALPN funktioniert und Browsern reagieren nicht gut und arbeiten http2-nur, wenn es gezwungen
  4. erhöht Version nicht halten Zigeuner mit Paketen und als neue Version einzige Quelle für sinkenm

Lassen Sie uns beginnen Schritt für Schritt

In nginx Repo

deb http://nginx.org/packages/debian/ codename nginx
deb-src http://nginx.org/packages/debian/ codename nginx

In OpenSSL 1.0.2k und dev Bibliothek sonst werden wir bildnem wieder mit 1.0.1t nicht unsere Absicht,

echo 'deb http://ftp.debian.org/debian jessie-backports main' | tee /etc/apt/sources.list.d/backports.list

apt update && apt install libssl-dev -t jessie-backports

 

Jetzt links Bibliotheken für notwendig hinzufügen Zusammenstellung von nginx

apt install devscripts

apt build-dep nginx

mkdir nginx-build

cd nginx-build

apt-get source nginx

Wenn Sie korrekt arbeiten müssen Sie eine Struktur haben, wie

~/nginx-build # ll
total 1004
drwxr-xr-x 10 root root   4096 Feb 21 18:37 nginx-1.10.3
-rw-r--r--  1 root root 103508 Jan 31 17:59 nginx_1.10.3-1~jessie.debian.tar.xz
-rw-r--r--  1 root root   1495 Jan 31 17:59 nginx_1.10.3-1~jessie.dsc
-rw-r--r--  1 root root 911509 Jan 31 17:59 nginx_1.10.3.orig.tar.gz

Melden Sie sich an Papta, wo Razarhiviran die Nginx-Quelle in meinem Fall ist, ist der Nginx-1.10.3 ausgeführten Befehl mit der Version inkrementirate, Ich persönlich bevorzuge hinzufügen 1 bauen diese

debchange --newversion 1.10.3-1

Sobald Sie eine hinzufügen Changelog-und gegebenenfalls auf die tatsächliche Kompilierung zu gehen

debuild -us -uc -i -I -b -j6

Ein wenig Aufklärung über Konfigurationsbefehl:

-uns -uc sagen Sie das Skript nicht “unterzeichnet” .dsc und .changes Dateien. -ich und -ich führen Sie das Skript zu ignorieren Dateien der Versionskontrolle. -B nur Binär-Paket zu erzeugen,. -j wie in, wie parallelen Prozess zu kompilieren zu machen 🙂

 

Nach dem obigen Verfahren unserer neuen Pakete zu installieren. Wenn Sie bereits installiert haben, ist nginx besser zu deinstallieren

apt remove nginx nginx-*

Auch keine schlechte Idee, ein Backup des Ordners in der Nginx/Etc zu machen. In der Regel beim upgrade 1.6.5 zu 1.10.3 Ich hatte keine Dramen, aber man weiß ja nie. Die neuen Paktei befinden sich im Ordner "" von der oberen Ebene und sollte mit einem Befehl wie installiert werden:

dpkg -i ../*.deb

Wenn alles glatt ging müssen Sie spielen Ihren Nginx-Prozess und http2, die nicht mehr den Zweck dieses Artikels ist zu konfigurieren.

Die neue Debian Stable eine Tatsache, über eine Woche und Händen juckte virtualkata, um es zu verbessern, aber ich hatte heute keine Zeit. Da der Tag, als ich früh begann, habe ich beschlossen, meine Zeit zu widmen, zu aktualisieren. Ich habe meine Quellliste geändert, indem ich die Wheezy von Jessie geändert habe

sed -i "s/wheezy/jessie/g" /etc/apt/sources.list && apt-get update

hier brüllten 2 Spiegel:

  • Mariadb – auf Spiegel müssen nicht mehr Jessie Version enthält 10.0.6 in selbst habe sitze ich nicht gut viele. dann 5.5 michetodb und MySQL sind nicht ganz konsistent, weil zu der Zeit sie um zurück zu mysql gedreht 5.5.42 – es ist der Standard jessie
  • Dotdeb – Ich habe es vor für php55 hier ist auch nicht erforderlich, da Jessie kommt mit 5.6.7-1

Nachdem die zusätzlichen Spiegel treten und drehte sich um von MariaDB zu Mysql apt-get dist-upgrade Mine sauber, Neustart und ich musste Debian 8.0. Ich öffnete meine Web-Server-und zu meiner Überraschung war hier eine lange Geschichte – ein paar Worte Nginx-und ich von der Quelle weiter mit zusätzlichen Richtlinien zusammengestellt. Dpkg-L Nginx-Full 1.2 Yep jemand vergessen zu Unhold-Pakete nicht. Unhold und Upgrade alles ist im Zeitplan und nginx-breaking 😆 . Nginx-und Arbeitsprozesse Abfragen und php-fpm Prozess ist und runnign aber PHP-Code nicht ausgeführt wird, und spucken keine Fehler meiner Favoriten 🙄.

Nach einer Suche von Informationen über die Änderungen fand ich die folgende Passage

Fastcgi Konfigurationsprobleme ============================

nginx verschifft eine modifizierte fastcgi_params, die erklärte SCRIPT_FILENAME fastcgi_param. Diese Linie wurde nun entfernt. Ab sofort versenden wir auch aus dem Upstream-Repository fastcgi.conf, welcher einen sane SCRIPT_FILENAME Parameterwert.

Damit, wenn Sie mit fastcgi_params, Sie können Schalt versuchen, fastcgi.conf oder manuell an die entsprechenden params.

Bingo. Ich habe die virtuelle Hosts unhöflich Einbrüche machen verwenden fastcgi.conf und alles beleuchtet. Dann traf eine schnelle diff, um zu sehen, was ist der Unterschied zwischen dem 2 Config

diff /etc/nginx/fastcgi_params /etc/nginx/fastcgi.conf
1a2
> fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;

Welche erinnerte mich, dass Gießen großen Konfigurationen in virtuellen Hosts coole Idee sind. Es bleibt wieder Nginx-und-ons neu kompiliert werden, die mod_sec wollen + Page Speed, aber das kann warten. Weitaus wichtiger, Dass meine Regel wiederholt wird, wenn Sie keinen Blick von der 3. Quelle haben und das Geld aus Debian nicht bricht, wenn Dist-upgrade!

https://www.youtube.com/watch?v = gEQCny6zNF0

Jeder, der in Web-Hosting beschäftigt weiß, was Bedrohung Benutzer mit Malware infiziert sind, Web-Schalen usw.. In Fällen dieser Allgemeine Verwendung h kein schlechtes Skript. Es verfügt über 3 Dinge

  1. Ist schrecklich langsam
  2. Es ist schrecklich langsam, und wenn es im Überwachungsmodus lassen wird izgavri Server, den Sie
  3. Behält seine eigene Datenbank von md5 / hex Definition von fehlerhaftem Code.

Erst letzte Eigenschaft macht es sinnvoll,, denn abgesehen kann von allem anderen Dateien bisher nicht sabmitvash, die nachgewiesen haben, und zu einem späteren Zeitpunkt in Datenbanken kommen. Wie ich bereits in Punkt geteilt 1 und 2 Geschwindigkeit ist erschreckend niedrig – bei niedriger Last wird die Maschine 70K Datei für etwa eine Stunde gescannt und eine Hälfte. Aus diesem Grund begann ich meinen guten Freund mit ShadowX helfen Malmö – Alternative maldet in Python mit wenig Flexibilität geschrieben. Leider Zeitmangel (hauptsächlich, aber nicht nur) wir haben das Projekt nicht beenden, das ist im Moment nicht sehr brauchbar – es gibt viele Fehler, die ausgeglichen werden müssen. In den vergangenen Tagen hatte ich Probleme mit Kunden mit CryptoPHP infiziert, die große Dateien public_html ~ 60k + inod-und hatte Benutzer. Da insgesamt über 200k Datei gescannt werden musste, was in etwa würde 5+ Stunden, die ich zur Abstimmung beschlossen, die Konfiguration von maldet, um die Dateien zu verringern, die zu einer angemessenen Anzahl und Zeit gescannt werden. Während Kommissionierung bemerkt Confit die folgenden Zeilen

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

interessant… Anscheinend gibt es eine Möglichkeit, zu verwenden ClamAV – die auch große Geschwindigkeit verfügt, aber warum nicht versuchen,. Ein schnell installiert

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-Lauf und auf einem kleinen Ordner – Ich sehe keinen Unterschied in der Geschwindigkeit und Verhalten – Er ist mit seinem seine perl-Ski-Scanner statt dessen von ClamAV. Nach einer kurzen Sichtung durch Quelle maldet gefunden die folgenden Zeilen

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Yep machte ein die clamscan Und zu meiner großen Überraschung entdeckte ich, dass ClamAV überhaupt nicht in PATH ist - ein Brunnen, den der dumme Cpanel nur in/usr/local/part/3rdparty/ gelassen hat, von wo aus er seine Bicarks benutzt. Ein schnelles ln Sie lösen das Problem:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Beim erneuten Scannen ist der Maldet bereits

{scan} found ClamAV clamscan binary, using as scanner engine...

Nach der Verwendung von ClamAV schließt Maldet den Scan ab 3-4-5 Zeiten schneller als zuvor. Der Test zeigte, dass – 70K Inod-A ließ sie für etwa 25 Min, die um 3 Und eine Halbe schneller als zuvor.

Bevor es begann mit einem anderen zufälligen Hass 50 s'tinki OS ich meine, Ich, dass jeder Tag zu verabreichen, sie wissen, erste Person Singular recht gut. Heute habe ich Zeit, um neue Magie ungehört und ungesehen Funktion distrubitiven Upgrade auf iztestvam (Pseudo-) 😀 . Das erste, was mich erstaunt ist, dass RedHat in seiner unendlichen Weisheit haben, um den Support für x86-Architektur entschieden 🙄 . Ich bin voll und ganz bewusst, dass wir das Jahr 2014 und Serverprozessoren 32 Bit lange Anweisung fehlt. Ja aber was Benutzer tun, auf einem kleinen VPS und – x64 Pfote mehr RAM, wie man es betrachtet, wenn Sie dünne virtuelle Maschine mit 512 MB-1 GB RAM für jeden kämpfen haben megabay es und nicht verschwenden 20-30% Nur um eine große Menge von Anweisungen verwenden. Prepsuvah da war ich instalil CentOS x86 und x64 zog ein. Sofort sah ich einen Unterschied in der ISO-ten – ~ 100MB Minimum при 6.5. Prepsuvah ein weiteres Mal. Ich installierte wieder virtualkata ich, um zu sehen, wie gut entschieden RedHat ihre Arbeit getan haben, – Ich habe / var und / usr separaten LVM-Partitionen 😈 . Nach der Installation alle Pakete aktualisiert installiert und Apache, PHP, binden und mysql – Interessant war, dass die Feuerwehr zu fangen. Eröffnet als guter Schüler Führung von CentOS zu aktualisieren und begann fleißig Schritt zu folgen Schritt. Als ich in dem Moment erreicht das Upgrade dieser Berglöwen geschnitzt mich zu beginnen, Ich habe ein kritisches Problem 🙄 . Überprüfen Sie detaillierte Ausgabe – mdaaaa / usr kann, ist es nicht eine separate Partition 😆 ich wusste,, Ich würde nicht in Jim Whitehurst und Unternehmen enttäuscht sein. speichern “extrem” Problem war ziemlich Nachrichten unsigned Pakete, konfizi Dateien, die nicht übereinstimmen, usw.. WTF war nicht einmal dritte Repositories alles verwenden, um von ihren Spiegel zog meine ich keine Einstellungen gemacht hatte nur einfache yum installieren. Jetzt war alles klar, so ganz ohne Umstände gezwungen Upgrade. Neustart wieder fleißig als ich das Drehbuch schließlich aufgefordert, und es war alles vorbei für / usr-Partition. Ich war zu faul, versuchen, dass zu beheben, trotzdem war es nur für wissenschaftliche Zwecke keine Möglichkeit, Server-Produkt zu dem Zeitpunkt zu aktualisieren. Ich fing Ihre virtualkata dieses Mal alles neu installieren Schubs in 1 Aktie. Auch habe ich eine Lektion, Keine Updates zusätzliche sarvasi, nach der Installation direktes Upgrade. Der letzte Schritt kam wieder DOSA Dialog, der mir sagte, Ich habe eine Menge Ärger hoch – ungültige Pakete, konfizi usw. konnte er aber weiter. Ich wusste, dass am Anfang nicht, sie falschen Dinge machen. Ich Neustart wieder und wartete, – oh, was für ein Wunder Upgrade erfolgreich abgeschlossen. Und es hat funktioniert, oder zumindest Boot und nicht versucht, zusätzliche Pakete installieren, aber halt Befehl hängt – sys hatte noch ein Bug zu sein 💡 . Danach ganze Tarapoto beschlossen, eine saubere Centos installieren 7 zu sehen, ob wir für die / boot-Partition in LVM knurrend – 6.5 erlaubt keine solche Arroganz. ISO-I es zu starten und ich war leicht vom Installateur schockiert – es war nicht sehr komfortabel “ordentlich”, völlig unlogisch zu schön. Nach einigem hin und her gelang es mir mit dem geschätzten Ziel und ja, Dichtung zu installieren, Du sollst/Boot-und darüber hinaus-👿 ein LVM Dies ist äußerst ernst und nicht störend, Was passiert, wenn aus irgendeinem Grund Sie vergessen vergrößern der Startpartition von 200 MB und einige alte Kerne.

Grundsätzlich habe ich nicht alles erwartet und ich bin immer noch enttäuscht in CentOS.