Для теста установлю fsbackup в Ubuntu Server и Debian.
Переключимся на root пользователя:
su
Скачаем архив с fsbackup и распакуем его:
cd /tmp wget https://www.opennet.ru/dev/fsbackup/src/fsbackup-1.2pl2.tar.gz tar -xvzf ./fsbackup-1.2pl2.tar.gz
Вячеслав Гапон — персональный блог, руководства, статьи, заметки, разработка
Для теста установлю fsbackup в Ubuntu Server и Debian.
Переключимся на root пользователя:
su
Скачаем архив с fsbackup и распакуем его:
cd /tmp wget https://www.opennet.ru/dev/fsbackup/src/fsbackup-1.2pl2.tar.gz tar -xvzf ./fsbackup-1.2pl2.tar.gz
Proxmox — система виртуализации с открытым исходным кодом, основанная на операционной системе Debian.
На тесте выполню установку Proxmox в Debian 9.
Переключимся на root пользователя:
su
Откроем файл /etc/hosts в текстовом редакторе:
nano /etc/hosts
Snort — сетевая система предотвращения (IPS) и обнаружения вторжений (IDS) путем анализа трафика.
Читать далее «Установка Snort в Ubuntu»Приведу пример проверки public_html директории c удалением зараженных файлов:
/usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home/user/public_html
Аналогичным образом проверяются и другие директории.
Чтобы запустить проверку только mail и public_html директорий для всех пользователей:
/usr/local/cpanel/3rdparty/bin/clamscan -ri /home/*/mail /usr/local/cpanel/3rdparty/bin/clamscan -ri /home/*/public_html
Для обновления антивирусных баз используется команда:
/usr/local/cpanel/3rdparty/bin/freshclam
Смотрите также мою статью:
Установка и использование ClamAV антивируса
Чтобы открыть порт веб-сервера в IPTables выполним команду:
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Если используется HTTPS, то выполним также:
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
Чтобы открыть доступ только конкретной сети, например 192.168.0.0/24:
sudo iptables -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
Можно также ограничить доступ по IP конфигурацией самого веб сервера, например как я описывал для Apache2 в этой статье — Контроль доступа Apache2.
Чтобы установить лимит подключений на порт 80:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/second -j ACCEPT
Чтобы удалить правило укажем ту же команду, заменив -A на -D, например:
sudo iptables -D INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Посмотреть список правил можно командой:
sudo iptables -nvL
Смотрите также:
Настройка IPTables
Kloxo-MR — бесплатная панель управления для серверов, основанная на Kloxo (https://github.com/lxcenter/kloxo).
Под рукой у меня был CentOS 6.9, рекомендуемая версия Minimal.
Официальный источник Kloxo-MR — mratwork.com и github.com/mustafaramadhan.
Переключимся на root пользователя, если не под ним:
su -
Обновим систему:
yum update -y
Установим необходимые компоненты:
yum install yum-utils yum-priorities vim-minimal subversion curl zip unzip telnet wget -y
Скачаем установочный скрипт:
cd /tmp rpm -ivh https://github.com/mustafaramadhan/rpms/raw/master/mratwork/release/neutral/noarch/mratwork-release-0.0.1-1.noarch.rpm
Удалим кэшированные пакеты и обновим mratwork RPM:
yum clean all yum update mratwork-* -y
Установим Kloxo-MR:
yum install kloxomr7 -y sh /script/upcp
Процесс установки может занять длительное время — ждем.
По завершению установки перезагрузим сервер:
reboot
Kloxo-MR можно будет открыть в браузере http://SERVER:7778 или https://SERVER:7777.
Стандартный логин и пароль — admin.
Перезапустить можно так:
sh /script/restart-all -y
Проверить так:
netstat -tulpn | grep :7777
Службы необходимо перезапускать через WHM интерфейс, открыв меню «Home» > «Restart Services».
Если перезапуск службы через WHM интерфейс не удался, то необходимо использовать скрипт:
/usr/local/cpanel/scripts/restartsrv_*
Если используется IPv6 и была выполнена команда:
service network restart
То IPv6 не заработает, чтобы решить проблему выполним:
/etc/init.d/cpipv6 restart (for cPanel & WHM version 11.52 and earlier) /usr/local/cpanel/scripts/restartsrv_cpipv6 (for cPanel & WHM version 54 and later)
В крайнем случае можно попробовать перезапустить службу напрямую:
/etc/rc.d/init.d/service restart systemctl restart service-name.service
Смотрите также:
Расположение файлов логирования cPanel
Чтобы открыть доступ к SSH серверу в IPTables необходимо добавить правило:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Чтобы открыть доступ только конкретной сети, например 192.168.0.0/24:
sudo iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
Можно также ограничить доступ по IP конфигурацией самого SSH.
Чтобы удалить правило укажем ту же команду, заменив -A на -D, например:
sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT
Посмотреть список правил можно командой:
sudo iptables -nvL
Смотри также:
Установка и настройка SSH
Настройка IPTables
На тесте выполню установку Ministra TV Platform (предыдущее название Stalker Middleware) в Ubuntu Server 14.04 LTS.
Сначала сделаем запрос на загрузку посетив официальный сайт www.infomir.eu.
Распакуем скачанный архив:
sudo apt-get install unzip unzip stalker_portal-5.3.0.zip
Скопируем файлы в директорию веб сервера:
cp -a infomirgroup-stalker_portal* /var/www/stalker_portal
Установим необходимые компоненты:
sudo apt-get update sudo apt-get -y upgrade sudo apt-get install -y -u apache2 nginx memcached mysql-server php5 php5-mysql php-pear nodejs upstart sudo pear channel-discover pear.phing.info sudo pear install phing/phing
Создадим MySQL базу данных и пользователя:
mysql -u root -p CREATE DATABASE stalker_db; CREATE USER 'stalker'@'localhost' IDENTIFIED BY 'PASSWORD'; GRANT ALL PRIVILEGES ON stalker_db.* TO stalker@localhost IDENTIFIED BY '1' WITH GRANT OPTION; FLUSH PRIVILEGES; exit
Если необходимо изменить параметры в файле конфигурации /var/www/stalker_portal/server/config.ini, то создадим файл custom.ini и добавим параметры которые необходимо изменить:
sudo nano /var/www/stalker_portal/server/custom.ini
Например, пароль к базе данных:
[database] mysql_pass = PASSWORD
Выполним phing (этот процесс может занять длительное время, также в моем случае был запрошен пароль root пользователя MySQL):
cd /var/www/stalker_portal/deploy/ sudo phing
В /etc/mysql/my.cnf укажем:
max_allowed_packet = 32M
Активируем короткие теги PHP в /etc/php5/apache2/php.ini:
short_open_tag = On
Пакет libapache2-mod-php5filter не должен быть установлен в системе:
sudo apt-get purge libapache2-mod-php5filter
Сделаем резервную копию стандартной конфигурации веб сервера apache2 и очистим файл:
sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/000-default_backup.conf sudo nano /etc/apache2/sites-available/000-default.conf
Добавим в него:
<VirtualHost *:88> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /var/www/stalker_portal/> Options -Indexes -MultiViews AllowOverride ALL Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost>
Изменим порт на Listen 88:
sudo nano /etc/apache2/ports.conf
Перезапустим apache2 чтобы применить изменения:
sudo service apache2 restart
Сделаем резервную копию стандартной конфигурации веб сервера nginx и очистим файл:
sudo mv /etc/nginx/sites-available/default /etc/nginx/sites-available/default_backup sudo nano /etc/nginx/sites-available/default
Добавим в него:
server { listen 80; server_name localhost; location / { proxy_pass http://127.0.0.1:88/; proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; } location ~* \.(htm|html|jpeg|jpg|gif|png|css|js)$ { root /var/www; expires 30d; } }
Перезапустим nginx чтобы применить изменения:
sudo service nginx restart
Теперь можно открыть в браузере интерфейс администратора http://SERVER/stalker_portal, логин — admin, пароль — 1.
И клиента — http://SERVER/stalker_portal/c/
Заметил однажды на одном из серверов доступа, что немного растет значение RX overruns.
Выполнил несколько раз команды (где p2p1 и p2p2 — имя сетевых интерфейсов):
ifconfig p2p1 ifconfig p2p2
Увеличивалось только значение RX overruns, на 10 пакетов каждую секунду, при трафике около 2Gb/s (100 000 пакетов в секунду).
На сервере был установлен сетевой адаптер «HP NC552SFP 10Gb 2-Port Ethernet Server Adapter» с сетевым контроллером от Emulex.
Посмотрев размер максимального и текущего буфера:
ethtool -g p2p1 ethtool -g p2p2
Обнаружил, что буферы установлены на максимум, TX буфер — 4096, а максимально возможный RX буфер был только 512.
Смотрите также мою статью — Изменение TX и RX буферов сетевых интерфейсов в Linux
Посмотрев правильно ли распределены прерывания сетевой платы по ядрам процессора:
grep p2p1 /proc/interrupts
Обнаружил что у сетевого адаптера 4 IRQ прерывания максимум, и irqbalance соответственно их распределил на 4 ядра, а ядер то 24.
Проблему решил заменой сетевого адаптера на более дорогой — «665249-B21 Контроллер HP Ethernet 10Gb 2-port 560SFP+ Adapter» с сетевым контроллером Intel 82599.
После этого ошибка не наблюдалась, RX и TX буферы были 4096, а IRQ распределено на все 24 ядра.
Спустя пару дней, счетчики ошибок оставались по нулям:
p2p1 RX packets:62535001155 errors:0 dropped:0 overruns:0 frame:0 TX packets:36343078751 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:77395016742081 (77.3 TB) TX bytes:10991051263063 (10.9 TB) p2p2 RX packets:35672087256 errors:0 dropped:0 overruns:0 frame:0 TX packets:58598868464 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:10996254475480 (10.9 TB) TX bytes:73378418623349 (73.3 TB)
Вероятно предыдущий сетевой адаптер был какой-то урезанной версии, так как цена была в два раза ниже, да и вообще для серьезных целей лучше использовать сетевые адаптеры с контроллером от Intel.
Смотрите также мою статью Настройка сети в Linux