Comment google a commencé à aimer les sites https, de plus, l'installation de masse SSL et les. Généralement, en outre, en plus de l'intimidation pour les serveurs de chez nous et la dégradation de la vitesse. Bien, que HTTP2 la norme est déjà plus de la moitié de l'intégration dans tous les principaux serveurs http et les navigateurs, et son contenu est assez stable. Malheureusement, debian stable pas de paquets, qui prennent en charge HTTP2 dans les serveurs http. Les versions qui nous sont nécessaires pour le travail dans les HTTP2 de la façon suivante:

J'ai мешаницата grande et dépend de l'utilisation d'apache ou nginx. Je n'avais pas encore joué, pour faire sortir un apache, debian http2 8 comme je n'ai pas dû mais dans les backports репото il ya tellement, ce n'est pas un gros problème. Pour nginx c'est déjà nous avons joué quelques fois. Généralement, les étapes et plusieurs sont relativement simples:

  1. Ajoutons nginx repo officiel – dans la version debian - 1.6.x 🙄
  2. L'installer openssl de debian est actuellement 1.0.2 k – il nous le faut pour ALPN support pour tous de travailler et rapidement
  3. installer le paquet devscripts – ici, le temps de partager ce que sera билднем notre paquet, parce que le fonctionnaire a été compilé avec openssl 1.0.1 t qui ne fonctionne pas ALPN et les navigateurs ne réagissent pas et fonctionne http2-seulement si son форсираш
  4. инкрементираме version, pour ne pas faire de hold циганията avec les paquets et comme il y a dans la nouvelle version, seulement синкенм сорсовете

Commençons étape par étape

Ajouter nginx ретроград

deb http://nginx.org/packages/debian/ codename nginx
deb-src http://nginx.org/packages/debian/ codename nginx

Ajouter openssl 1.0.2 k et dev de la bibliothèque, sinon sa билднем encore avec 1.0.1 t que de nous n'est pas le but

echo 'deb http://ftp.debian.org/debian jessie-backports main' | tee /etc/apt/sources.list.d/backports.list

apt update && apt install libssl-dev -t jessie-backports

 

Maintenant, est resté pour ajouter les bibliothèques nécessaires à la compilation de nginx

apt install devscripts

apt build-dep nginx

mkdir nginx-build

cd nginx-build

apt-get source nginx

Si vous avez travaillé correctement, vous devez avoir une structure de type

~/nginx-build # ll
total 1004
drwxr-xr-x 10 root root   4096 Feb 21 18:37 nginx-1.10.3
-rw-r--r--  1 root root 103508 Jan 31 17:59 nginx_1.10.3-1~jessie.debian.tar.xz
-rw-r--r--  1 root root   1495 Jan 31 17:59 nginx_1.10.3-1~jessie.dsc
-rw-r--r--  1 root root 911509 Jan 31 17:59 nginx_1.10.3.orig.tar.gz

Entre dans papta dans lequel la source décompressé de nginx dans mon cas et nginx-1.10.3 exécuter des commandes avec la version incrémenter, personnellement, je préfère ajouter 1 sur la version

debchange --newversion 1.10.3-1

Après avoir ajouter le changelog-et à choisir, vous pouvez procéder à une véritable compilation

debuild -us -uc -i -I -b -j6

Un peu d'explications sur la configuration de la commande:

-us-uc disent le script ne “signe” .dsc et .changes de fichiers. -je et -je font un script pour ignorer les fichiers de contrôle de version. -B seulement de générer un paquet binaire. -j et lorsque make combien de processus parallèles de collecte 🙂

 

Après avoir terminé le processus précédent devra installer nos nouveaux paquets. Si vous avez déjà installé nginx est un bien, vous devez le supprimer

apt remove nginx nginx-*

Pas non plus une mauvaise idée de faire une sauvegarde de dossier nginx dans / etc. En général, une mise à niveau 1.6.5 À 1.10.3 Je n'avais pas des drames, mais on ne sait jamais. De nouvelles paktei se trouvent dans le dossier du niveau supérieur et doivent être installés avec une commande comme:

dpkg -i ../*.deb

Si tout ce que vous est bien passé ne reste plus qu'à exécuter processus nginx et peut être configuré HTTP2 n'est plus objectif de cet article.

On peut facilement tuer requête mysql un utilisateur spécifique élégant:

select concat('KILL ',id,';') from information_schema.processlist where user='user123';

User123 avec notre substituant utilisateur souhaité et exécuter dans une base MySQL et tout est OK 🙂

Le nouveau Stable de Debian C’est un fait environ une semaine et s″rbâha me remet au nadgradâ virtualkata lui mais je n’avais pas le temps à ce jour. Étant donné que ma journée commence très tôt, j’ai décidé de consacrer mon temps pour mettre à niveau. J’ai changé ma liste source que j’ai changé le jessie wheezy

sed -i "s/wheezy/jessie/g" /etc/apt/sources.list && apt-get update

Izg″rmâha ici 2 miroirs:

  • MariaDB – de ce miroir n’est plus besoin de Jessie inclut la version 10.0.6 C’est en soi était très. Après 5.5 mičetodb et mysql ne sont pas tout à fait compatibles, qui, à l’époque, j’ai basculé vers mysql 5.5.42 – Il est par défaut dans jessie
  • DotDeb – Je l’ai utilisé avant pour php55 ici est également redondant parce que Jessie est livré avec 5.6.7-1

Après je me suis débarrassé des miroirs supplémentaires et j’ai renversé de Mysql-MariaDB pour obtenir le dist-upgrade apt mien marque, reboot et j’étais déjà à Debian 8.0. J’ai ouvert mon serveur web- et à ma grande surprise, il a travaillé ici, c’est une longue histoire – en quelques mots mon Nginx est compilé plus éloigné de la source avec des directives additionnelles. dpkg -l nginx-complet 1.2 Oui, quelqu'un a oublié de reprendre-packages. Reprendre toutes les mise à niveau et planifiée nginx-pause 😆 . Nginx-а работи обработва заявки и php-fpm процеса е vers le haut et runnign но php code не се изпълнява и не плюе грешки 🙄 ЛЮБИМОТО МИ.

СЛЕД ИЗВЕСТНО ТЪРСЕНЕ НА ИНФОРМАЦИЯ ЗА ПРОМЕНИТЕ ОТКРИХ СЛЕДНИЯТ ПАСАЖ

Problèmes de configuration FastCGI ===

Nginx expédié une mis à jour le fastcgi_params, qui a déclaré SCRIPT_FILENAME fastcgi_param. Cette ligne a été supprimée. Par la suite nous expédions aussi fastcgi.conf du référentiel en amont, qui inclut une valeur de paramètre SCRIPT_FILENAME sain d’esprit.

Alors, Si vous utilisez fastcgi_params, vous pouvez essayer de passer à fastcgi.conf ou définir manuellement les paramètres pertinents.

Bingo. J’ai changé les hôtes virtuels pour utiliser fastcgi. conf au lieu de faire des intrusions grossier et tout s’enflamme. Alors j’ai frappé un rapide diff pour voir quelle est la différence entre les 2 konfiga

diff /etc/nginx/fastcgi_params /etc/nginx/fastcgi.conf
1a2
> fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;

Qui m’a rappelé que le versant accueille de grandes configurations dans virtuanite n’est pas une idée fraîche. Reste à être prekompiliram avec Nginx Add-ons que je veux mod_sec + pagespeed, mais il peut attendre. Est beaucoup plus important, la règle, que je le répète, si vous ne regardez pas les sources et les performances de costume 3e pas en pause mise à niveau dist Debian-!

https://www.youtube.com/watch?v = gEQCny6zNF0

Toute personne qui s’occupe de l’hébergement professionnel sait ce qu’une menace qu’ils représentent infecté par des logiciels malveillants, les utilisateurs, coquilles de Web etc.. L’obšiât cas est utilisée h pas un mauvais script. Il se distingue par 3 choses

  1. Terriblement lent
  2. C’est horriblement lent et si vous le déposez dans le régime de surveillance salira avec votre serveur
  3. Maintenir votre propre base de données avec md5/hex definici pour mauvais code.

Juste son dernier long métrage rend utile, comme vous pouvez s″bmitvaš les fichiers qui n’ont pas été détectés jusqu'à présent et à un stade ultérieur entrera dans la base de données. Comme j’ai partagé dans la section 1 et 2 sa vitesse est scandaleusement basses – à faible charge du fichier machine 70 k sont analysés pour environ une heure et demie. Pour cette raison, j’ai commencé à aider mon bon ami par ShadowX Martin – une alternative à le maldet, écrit en python avec un peu plus de flexibilité. Malheureusement, par manque de temps (principalement mais pas seulement) Nous ne sommes pas un projet fini, qui pour le moment n’est pas très utilisable – Il y a quelques bogues qui doivent être nettoyées. Au cours des derniers jours, j’ai eu des problèmes avec les clients infectés par CryptoPHP qui avaient les fichiers énormes public_html ~ 60 k + Léo-utilisateur. Étant donné que le total devait être analysé plus de 200 fichiers k qui en rough comptes prendrait 5+ heures, que j’ai décidé de Nip/Tuck maldet configuration, afin de réduire les fichiers qui seront analysés à un nombre plus raisonnable et le temps. Tout en čopleh konfa, j’ai remarqué les lignes suivantes

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Intéressant… Apparemment, il est possible d’utiliser le ClamAV – qui est aussi distingué par sa grande vitesse, mais pourquoi ne pas essayer. L’il installe rapidement

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Je lance maldet et cliquez sur le petit dossier – Je ne vois pas une différence dans la vitesse et le comportement – Il a utilisé son scanner de perl-ski au lieu de clamav. Après une brève plonger par la source, j’ai trouvé maldet les lignes suivantes

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Oui j’ai fait un quel clamscan et à ma grande surprise, je trouve que ClamAV est pas dans un chemin, mais muet Cpanel laissé que dans / usr / local / cPanel / 3rdparty / bin / où il a utilisé binarkite. A En rapide résoudre le problème:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Dans rescan maldet haut déjà rapporté

{scan} found ClamAV clamscan binary, using as scanner engine...

Une fois utilisé maldet ClamAV termine la numérisation de votre 3-4-5 fois plus rapide qu'auparavant. tests ont montré – 70k-INOD et frotter autour 25 min qui est d'environ 3 fois et demie plus vite que le prieur.

Avant de commencer avec une autre haine aléatoire vers 50 avec OS ’ trouvé qu’à l’intérieur de la grotte, je veux dire, qui chaque jour doivent administriram lui et connais assez bien de la première personne du singulier. Aujourd'hui j’ai pris mon temps pour iztestvam la mise à niveau de fonctionnalité nouvelle magique distrubitiven inconnu et invisible (Pseudo) 😀 . La première chose qui m’a étonné est, que RedHat dans leur infinie sagesse ont décidé de cesser la prise en charge pour le x 86 architecture 🙄 . Je suis pleinement conscient que nous sommes en 2014 et les processeurs du serveur 32 longueur de bits est manque d’instructions. Oui, mais qu'est-ce que les utilisateurs de petites et VPS – h64 patte plus de RAM, Cependant, vous le regardez si vous mince machine virtuelle avec 512 Mo-1 Go de RAM se battra pour chaque megabaj hors de lui et je ne vais pas perdre 20-30% d’elle juste à utiliser sur le grand jeu d’instructions. Prepsuvah comme je l’ai instalil x 86 et CentOS tiré un h64. Immédiatement, j’ai vu une différence de sensibilité ISO – ~ 100 Mo au minimum 6.5. Prepsuvah une fois de plus. J’ai installé à nouveau comme virtualkata a décidé de voir comment bien le RedHat ont fait leur travail – J’ai pris/var et / partitions LVM d’usr 😈 individuels . Après l’installation, j’ai mis à jour tous les paquets que j’ai installé apache et, php, bind et mysql – C’était intéressant si ils s″rvisite. J’ai ouvert un guide de bon élève de CentOS pour la mise à jour et a commencé avec diligence à le suivre étape par étape. Quand je suis arrivé le moment de commencer la réelle mise à niveau cette excuse bâclée Millennium, J'ai un problème critique 🙄 . Examinez la sortie détaillée – Yo/usr ne peut pas être sur une partition séparée, j’ai su 😆, vous ne serez pas déçu par Jim Whitehurst et compagnie. En plus de “extrême” Il y avait beaucoup de messages de problème pour les packages non signés, konfizi dossiers de ne pas correspondre, etc... WTF je n’ai même utiliser 3e que tous les référentiels de leurs miroirs tiré vers le bas, que je n’avais pas fait tous les réglages juste une simple yum installer. Il était déjà clair alors très franchement forsirah mise à niveau. Qu’elles gèlent retour diligemment me demande finalement le script et c’est plus pour / usr actions. J’étais trop paresseuse, J’ai essayer de fiksna, Quoi qu’il en soit, c’était uniquement à des fins de recherche scientifique il n’y a aucun produit à serveur nadgraždam pour le moment. J’ai attrapé mon virtualkata j’ai réinstallé cette fois tout ce que je l’ai poussé dans 1 Partager. Aussi, j’ai pris une leçon, ne met à jour toute s″rv″si supplémentaire, Après l’installation d’une mise à niveau directe. L’étape finale est venu à nouveau de dialogue dosaniât qui m’a, J’ai un problème assez élevé – Paquets non valides, konfizi et si sur et ainsi de suite mais peuvent continuer. Je savais dès le départ qu’ils ne les font pas comme si vous avez des choses. Il gèle et attendu pour le – Oh ce qu’un miracle, la mise à niveau terminée avec succès. Et tout a fonctionné, ou du moins le chargeur de démarrage et j’ai essayé d’installer des paquets supplémentaires, mais son commandement stopper zavisvaše – hein a toujours eu à bug 💡 . Après cela, l’ensemble bondé j’ai décidé d’installer un Centos propre 7 voir si il grogne pour partition LVM dans / boot – 6.5 ne permet pas cette audace. J’ai commencé mon ISO et j’ai été légèrement choqué par l’installateur – Il n’était pas très pratique “mettre de l’ordre”, mais afin de pleinement est belle. Après une lutte, j’ai réussi avec le but caressé et oui pour installer le joint d’étanchéité, Vous devriez mettre out/boot-et au-delà-👿 un LVM c’est extrêmement grave et pas ennuyeux, Si pour une raison quelconque, vous avez oublié d’augmenter la taille de la partition de démarrage de 200 Mo et certains noyaux anciens ce qui se passe.

Fondamentalement, je ne m’attendais à quelque chose et je suis toujours déçu dans CentOS.