מאז גוגל התחיל לאהוב באתרי https, פריסה צורכת יותר של SSL-ואיפה אתה. בסך הכל יותר מ טרדה לשרתים יש שפלה מהירה. החדשות הטובות הן, כי HTTP2 תקן במשך למעלה משנה וחצי משולב בכל השרתים ודפדפני http הגדולים ושמירה מספיק יציב. למרבה הצער דביאן יציב אין חבילות לשמור HTTP2 בשרתי http הראשי. גרסאות שאנחנו צריכים לעבוד HTTP2 הן כדלקמן:

בשבילי ערבוביה גדולה ולפי תלוי נהנה אפאצ'י או nginx. אני עדיין לא שחקתי כדי לנהל את עסקיהם של http2 אפצ'י של דביאן 8 כי זה לא היה אבל backports ריפה יש את זה כל כך, זה לא יהיה בעיה גדולה. עבור nginx שכבר שיחק מספר פעמים. באופן כללי הצעדים הם מעטים יחסית פשוטים:

  1. להוסיף ריפו הרשמי nginx – מהדורת דביאן, אנא 1.6.h הוא 🙄
  2. התקן OpenSSL מ backports שלך הוא כרגע 1.0.2k – כי אנחנו צריכים אורה מזרחי תחזוקה על מנת הכל כדי לעבוד והוא barzichko
  3. להתקין devscripts שלך – עכשיו זה הזמן לחלוק את זה יהיה bildnem החבילה שלנו משום הרשמי נערך עם 1.0.1t OpenSSL זה לא עובד ALPN ודפדפנים לא מגיבים היטב ולעבוד http2-רק אם הוא נאלץ
  4. גרסה מוגדלת לא מחזיקה צוענית עם חבילות כגרסה חדשה מקור היחיד sinkenm

נתחיל צעד אחר צעד

להוסיף ריפו nginx

deb http://nginx.org/packages/debian/ codename nginx
deb-src http://nginx.org/packages/debian/ codename nginx

להוסיף OpenSSL 1.0.2k ו dev הספרייה אחרת ואנו bildnem שוב עם 1.0.1t לא המטרה שלנו

echo 'deb http://ftp.debian.org/debian jessie-backports main' | tee /etc/apt/sources.list.d/backports.list

apt update && apt install libssl-dev -t jessie-backports

 

עכשיו נותר להוסיף ספריות הכרחיות אוסף של nginx

apt install devscripts

apt build-dep nginx

mkdir nginx-build

cd nginx-build

apt-get source nginx

אם אתה עובד כראוי חייב יש לך מבנה כמו

~/nginx-build # ll
total 1004
drwxr-xr-x 10 root root   4096 Feb 21 18:37 nginx-1.10.3
-rw-r--r--  1 root root 103508 Jan 31 17:59 nginx_1.10.3-1~jessie.debian.tar.xz
-rw-r--r--  1 root root   1495 Jan 31 17:59 nginx_1.10.3-1~jessie.dsc
-rw-r--r--  1 root root 911509 Jan 31 17:59 nginx_1.10.3.orig.tar.gz

הזן PPTA שבו משתמשים קוד nginx במקרה שלי, זה nginx-1.10.3 להפעיל את הפקודה עם אשר incrementare גרסה, אני אישית מעדיף להוסיף 1 לבנות זה

debchange --newversion 1.10.3-1

לאחר שתוסיף changelog-ובמידה להמשיך ההידור בפועל

debuild -us -uc -i -I -b -j6

הבהרה קטנה על פקודת התצורה:

-לנו -uc לומר את התסריט לא “חתם” .קבצי DSC ו .changes. -אני ו -אני לגרום התסריט להתעלם קבצים של בקרת גרסאות. -B כדי ליצור חבילה בינארית בלבד. -j כמו איך לעשות תהליך מקביל לקמפל 🙂

 

לאחר התהליך לעיל כדי להתקין החבילות החדשות שלנו. אם כבר התקנת nginx עדיף להסיר

apt remove nginx nginx-*

Също не лоша идея е да си направите бекъп на nginx папката в /etc. По принцип при ъпгрейд от 1.6.5 כדי 1.10.3 нямах драми но никога не се знае. Новите пактеи се намират в папката от по горно ниво и следва да се инсталират с команда от рода на:

dpkg -i ../*.deb

Ако всичко е минало гладко ви остава само да си пуснете nginx процеса и да си се конфигурира http2 което вече не е цел на тази статия.

אנחנו יכולים בקלות להרוג כל השאילתות mysql למשתמש ספציפי עם אלגנטי:

select concat('KILL ',id,';') from information_schema.processlist where user='user123';

תחליף user123 איתנו, המשתמשים רוצה ואתה אנו מיישמים ב- mysql הכל בסדר 🙂

החדש Stable דביאן עובדה כשבוע והידיים גירדו לשדרג virtualkata אליו אבל לא היה לי זמן היום. מאז היום התחלתי מוקדם, החלטתי להקדיש את הזמן שלי כדי לשדרג. שיניתי את רשימת מקורות כמו שיניתי את. ג'סי את תירגע

sed -i "s/wheezy/jessie/g" /etc/apt/sources.list && apt-get update

כאן שאג 2 מראה:

  • MariaDB – לא על המראה כבר לא צריך ג'סי כולל גרסה 10.0.6 בעצמי אני לא יושב טוב רב. אז 5.5 michetodb ו- MySQL אינו עקביים למדי משום שבאותו הזמן הסתובב חזרה mysql 5.5.42 – הוא ג'סי מחדל
  • DotDeb – השתמשתי בו לפני עבור php55 כאן הוא גם מיותר כי ג'סי מגיע עם 5.6.7-1

לאחר שהעלה את מראות תוספת והסתובב ידי MariaDB ל MySQL apt-get dist שלי השדרוג נקי, לאתחל ונאלצתי דביאן 8.0. פתחתי השרת ואת האינטרנט שלי ולהפתעתי עבדתי כאן סיפור ארוך – כמה מילים Nginx-ואני הידור ממקור נוסף עם הוראות נוספות. dpkg nginx-מלא -l 1.2 כן שמישהו שכח חבילות בטל שהייה-לא. הכל בטל שהייה ולשדרג הוא על לוח זמנים ועל nginx השביר 😆 . Nginx-ועבודה מעבדת שאילתות תהליך PHP-FPM הוא מעלה runnign אבל קוד PHP אינו מבוצע ולא לירוק שגיאות 🙄 המועדפים שלי.

לאחר חיפוש של מידע על השינויים מצאתי את הקטע הבא

FastCGI בעיות תצורה ============================

nginx מכרה fastcgi_params שונה, אשר הכריז SCRIPT_FILENAME fastcgi_param. קו זה עכשיו הוסר. מעכשיו אנחנו גם משלוח fastcgi.conf ממאגר הזרם, הכולל ערך פרמטר SCRIPT_FILENAME שפוי.

כך, אם אתה משתמש fastcgi_params, אתה יכול לנסות לעבור fastcgi.conf או להגדיר באופן ידני את params הרלוונטי.

בינגו. שיניתי את המארחים הווירטואליים להשתמש fastcgi.conf במקום לעשות חדירות גסות והכל מוארים. ואז פגע הבדל מהיר כדי לראות מה ההבדל בין config 2

diff /etc/nginx/fastcgi_params /etc/nginx/fastcgi.conf
1a2
> fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;

מה שהזכיר לי כי תצורות גדולות לשפוך פנימה מארחים וירטואליים הן רעיון מגניב. נותר רק הידור מחדש שוב Nginx-ו-ons שרוצים mod_sec + Pagespeed אבל זה יכול לחכות. הרבה יותר חשוב, הכלל. אני חוזר, אם את לא מסתכלת על המקורות והופעות של 3 תלבושות לא dist דביאן השדרוג הפסקת-!

https://www.youtube.com/watch?v = gEQCny6zNF0

מי עוסק אירוח אתרים יודע מה האיום נגוע משתמש בתוכנות זדוניות, אינטרנט פגזים וכו. במקרים זה שימוש כללי h לא תסריט רע. הוא כולל 3 דברים

  1. האם איטי להחריד
  2. זה איטי להחריד ואם זה לתת במצב ניטור izgavri שרת אתה
  3. שומר על מסד נתונים משלו של הגדרת MD5 / hex של קוד רע.

רק המאפיין האחרון עושה את זה שימושי, מלבד כי מכל דבר אחר יכול sabmitvash קבצים אשר לא זוהו עד כה, ובשלב מאוחר יותר יכנס מסדי נתונים. כפי שהבאתי בפניכם נקודות 1 ו 2 מהירות היא מזעזעת נמוכה – בעומס נמוך בקובץ 70K המכונית נסרק במשך כשעה וחצי. מסיבה זו התחלתי לעזור חבר טוב שלי עם ShadowX מאלמו – maldet אלטרנטיבה כתוב Python עם מעט גמישות. למרבה הצער, חוסר זמן (בעיקר אך לא רק) אנחנו לא סיימנו את הפרויקט, אשר כרגע הוא לא מאוד שמיש – יש באגים רבים שצריך להיות מסומנים. בימים האחרונים היו לי בעיות עם לקוחות נגוע CryptoPHP שהיה public_html קבצים ענקיים ~ 60k + inod-ו משתמש. מאחר שהסכום הכולל היה לסריקה מעל 200k קובץ אשר בערך ייקח 5+ שעות החלטתי לכוון את התצורה של maldet, כדי להפחית את הקבצים ייסרקו למספר וזמן סביר יותר. בעוד לקטוף קונפי לב את השורות הבאות

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

מעניין… כנראה קיימת אפשרות להשתמש ClamAV – אשר כולל גם מהיר, אך למה לא לנסות. הותקן במהירות

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-לרוץ על תיקייה קטנה – אני לא רואה שום הבדל מהירות והתנהגות – הוא משתמש סורק perl-הסקי שלו שלו במקום של ClamAV. לאחר ניפוי קצר דרך מקור maldet מצא את השורות הבאות

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

כן עשה אשר תכנית אנטי-וירוס להפתעתי הרבה גיליתי ש-clamav הזה אינו נמצא נתיב-מה טיפשי ש-cpanel הותיר לו רק/usr/local/cpanel/3rdparty/bin/מתוך שבו הוא משתמש binarkite. פתרון מהיר בעוד הבעיה:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

In re דוחות העליון של maldet עכשיו סריקה

{scan} found ClamAV clamscan binary, using as scanner engine...

לאחר שכבר שימושים ClamAV maldet מסתיים הסריקה 3-4-5 פעמים מהר יותר מאשר בעבר. הבדיקה הראתה – 70k-izt″rkla inod אותם על 25 МИН КОЕТО СИ Е ОКОЛО 3 ПЪТИ שומוש ПОЛОВИНА ПО БЪРЗО В СРАВНЕНИЕ שלנו ПРЕДИ.

עוד לפני שהחל עם עוד שנאה אקראית 50 OS s'tinki אני מתכוון, שכל יום אני צריך לנהל מכיר אותה בגוף ראשון יחיד די טוב. היום ביליתי זמן iztestvam קסם החדש שדרוג distrubitiven תכונה מדומה, סמויה (פסאודו) 😀 . הדבר הראשון שהדהים אותי הוא, RedHat כי בחוכמתו האינסופית שלה החליט להפסיק את תמיכת ארכיטקטורת x86 🙄 . Напълно съм наясно че сме 2014-та година и сървърни процесори с 32 הוראה קצת ארוכה חסר. Мда ама какво правят потребителите на малки VPS-и – x64 כפה יותר של זיכרון RAM, כפי שאתה מסתכל על זה אם יש לך מכונה וירטואלית דקה עם 512MB-1GB של RAM יילחם בכל megabay זה ולא לבזבז 20-30% רק כדי להשתמש קבוצה גדולה של הוראות. Prepsuvah כי הייתי instalil x86 CentOS ו- x64 משך אחד. מיד ראיתי הבדל ISO-ה – ~ При מינימום 100MB 6.5. Prepsuvah עוד פעם אחת. התקנתי שוב virtualkata החלטתי לראות כמה טוב RedHat עשה את העבודה שלהם – נתתי / var ו / usr מחיצות LVM נפרדות 😈 . לאחר ההתקנה לשדרג את כל החבילות המותקנות ו- Apache, php, לאגד и mysql – זה היה מעניין כי יתפוס שירות אש. נפתח כהנהגת תלמיד טובה של CentOS לעדכן וחל בחריצות לעקוב צעד אחר צעד. כשהגעתי לרגע כדי להתחיל את השדרוג בפועל אריות ההר הזה מגולף לי, че имам критичен проблем 🙄 . סקור פלט מפורט – mdaaaa / usr היא אינה יכולה היא מחיצה נפרדת 😆 ידעתי, לא הייתי מאוכזב ג'ים וויטהרסט החברה. להציל “קיצוני” הבעיה היתה הודעות למדי שאינן חתומות חבילות, קבצים konfizi שאינם תואמים, וכו '. WTF לא היה אפילו להשתמש בכל דבר מאגרים שלישי מראות המשוך שלי לא הייתי עושה את כל הגדרות פשוט סתם יאם להתקין. עכשיו הכל היה ברור כל כך בלי גינונים מיותרים נאלץ שדרוג. הפעל מחדש שוב במלוא המרץ כמו שאני סוף סוף להנחות את התסריט שהכל נגמר עבור המחיצה / usr. התעצלתי, המנסה לתקן, בכל מקרה זה היה רק ​​למטרות מדעיות אין מוצר שרת דרך לשדרג בזמן. תפסתי מחדש virtualkata שלך הפעם הכל ולתקוע אותה 1 נתח. כמו כן לקחתי לקח, אין עדכוני sarvasi נוסף, לאחר שדרוג ההתקנה ישיר. השלב האחרון שוב ניגש דיאלוג דוסא שאמר לי, יש לי הרבה צרות גבוהות – מנות לא חוקיות, konfizi וכו אבל יכול להמשיך. ידעתי בהתחלה לא עושה אותם דברים הלא נכונים. אני מחדש שוב וחיכיתי – אוי איזה שדרוג נס הושלם בהצלחה. וזה עבד, או לפחות אתחול ולא ניסה להתקין חבילות נוספות, אבל לעצור פקודה תלויה – sys עדיין היה צריך להיות באג 💡 . לאחר Tarapoto הזה החליט להתקין נקי Centos 7 כדי לראות אם אנחנו נוהמים עבור מחיצה / boot LVM – 6.5 אינו מאפשר יהירות כזה. ISO-לי להפעיל אותו הייתי בהלם במתינות על ידי המתקין – זה לא היה מאוד נוח “מסודר”, לא הגיוני לחלוטין יפה. След известна борба успях със заветната цел и аха да се инсталира и гръмна, че трябва да си изнеса /boot-а извън LVM-a 👿 Това е крайно не сериозно и досадно, ако поради някаква причина забравиш да си увеличиш размера на boot дяла от 200МБ и понатрупаш стари ядра какво се случва.

В общи линии нищо не очаквах и пак съм разочарован от CentOS.