Fórum Root.cz
Hlavní témata => Server => Téma založeno: vana-hb 31. 03. 2014, 17:59:07
-
Dobrý den,
přicházím s víc tématem do diskuse než dotazem.
Reviduji práci na administraci jednoho malého webhostingového serveru. Chystám jeho nevyhnutelnou přeinstalaci a chtěl bych si ověřit jestli jsem šel „správnou cestou“. Popíši moje nastavení a moc prosím o jeho zrevidování a případnou radu.
Když jsem ten server prvně instaloval tak mi přišlo výhodné použít apache s modulem apache-itk který spouští virtuálhosty pod určeným uživatelem. Zdálo se mi to výhodné z hlediska dalšího nastavení práv pro souborový systém a možná trochu bezpečnosti. Přijde mi to že to tak dělaji všichni poskytovatelé prostoru.
Jako příklad vezmu stránky stranky.cz. V systému je založen uživatel stranky, který má zakázaný login do shellu. Pod tímto uživatelem se spouští virtuálhost v apache, a funguje zároveň jako ftps login na server. V mysql je založen uživatel sqlstranky s databází stranky. Hosting je u ostatních v /var/www/stranky s právy zápisu pro uživatele stranky (jinak nikoho).
Tak jak to popisuji tak to funguje. Docela by mě zajímal názor z praxe jestli jsem se vydal správnou cestou a konkrétně ten itk modul je možná kontroverzní protože se někdy píše ze je pomalý. Ale zase zjednodušuje administraci. Rád bych slyšel nějaké názory z praxe. Předem moc dík za ochotu sdílet vědomosti. P
-
Používám MPM_ITK a zatím po letech mohu říci bez problémů (VPS pro více uživatelů). Ještě je populární kombinace suEXEC a FastCGI.
-
Místo apache-itk bych spíš doporučil nginx a PHP-FPM. Je to o dost výkonnější (i více než dvojnásobně), žere to o hodně míň paměti, nehrozí tam případný zisk rootovských práv, které ten Apache má, aby mohl měnit uživatele (pokud by se objevila díra, kterou by šlo využít) a umí to chroot. Na druhou stranu s tím může být problém, protože tam nefunguje .htaccess, takže záleží, jak moc ho hostované stránky potřebují. U chrootu je taky potřeba používat pro databázi 127.0.0.1 nebo ::1 místo localhost.
Místo FTPS bych doporučil SFTP (s chrootem). Já sám povoluji pouze SFTP s klíči, takže nehrozí uhádnutí hesla, a při prozrazení se zahodí jen ten ukradený klíč, nebo pokud najmete firmu, aby vám něco udělala, tak její klíč tam přidáte a po skončení práce zase odeberete, pro všechny ostatní se nic nezmění. Může tam být trochu problém s generováním klíčů u klientů, není to úplně triviální.
-
Místo apache-itk bych spíš doporučil nginx a PHP-FPM. Je to o dost výkonnější (i více než dvojnásobně), žere to o hodně míň paměti, nehrozí tam případný zisk rootovských práv, které ten Apache má, aby mohl měnit uživatele (pokud by se objevila díra, kterou by šlo využít) a umí to chroot.
Úplne súhlasím, nginx->php-fpm je výborná voľba. Sám ju preferujem a doporučujem, iba pre skalných a zarytých priaznivcov .htaccess, prípadne pre hotové projekty, ktoré sa nikomu nechce prerábať, nastavujem nginx(proxy)->apache->php-fpm. Pokusne, ale celkom spoľahlivo mi beží už aj nginx+apache2.4+php5.5.
-
apache-mpm-itk sem naplacal uz na 50+ serveru dohromady s php5.3,5.4,5.5 + ISPconfigem a frci to vpohode. php-fpm konkretne v mem zamestnani miva trochu problemy a zustava semtam viset ale spis podezrivam prasaky vyvojare :D
ale z duvodu kompatibility a stability bych se radsi drzel apache
jo a pokud mas dost ramky tak hodne udelat kdyz posadis pred apache varnish a das mu tak 1-2GB ramky, pokud bys mel serveru vic tak budes mit pak varnish jako loadbalancer a traffic budes rozhazovat na ty apache... 8)