Здравствуйте.
Нужно поднять веб-сервер (nginx+php-fpm) на Debian 7.1. Ранее пользовался тем, что установит хостер или какая-то панелька. Теперь есть выделенный сервер и хочется все собрать с 0. Хотел попросить у вас советов, о том какие пакеты/сервисы нужны для обеспечения стабльнои и продуктивной работы сервера, и защищенности.
Как быть с фаерволом (есть на примете csf) и какие правила использовать, чтобы хоть немного защитить сервер?
Как лучше настроить связку nginx+php-fpm, который конфиг использовать чтобы получить хорошую скорость работы и безопасность?
Какой mysql сервер выбрать (есть на примете mariadb) и как его лучше настроить?
Какие еще сервисы нужны?
(почта и dns(bind) не нужны)
Буду очень благодарен всем вашим советам. Спасибо.
1. Vaio - 06 Сентября, 2013 - 01:03:49 - перейти к сообщению
2. Мелкий - 06 Сентября, 2013 - 09:53:21 - перейти к сообщению
0) сервисы и пакеты - самый защищённый и стабильный сервис это тот, которого нет.
1) файрволл - типичный iptables. Раскурить маны - и он становится прост и понятен. Придерживайтесь политики "запрещено всё, что не разрешено явно".
2) Отталкивайтесь от дефолтного, посмотрите мануалы. Подкрутите настройки до желаемого результата. Они напрямую зависят от проекта.
3) Разве есть много вариантов? MySQL - и есть MySQL. Он один.
Есть, в целом, бинарно совместимый форк MariaDB. Из-за завинчивания гаек ораклом - лучше на маньку мигрировать. Ещё лучше - на postgresql
4) разумеется те, которые нужны для решения стоящих задач.
1) файрволл - типичный iptables. Раскурить маны - и он становится прост и понятен. Придерживайтесь политики "запрещено всё, что не разрешено явно".
2) Отталкивайтесь от дефолтного, посмотрите мануалы. Подкрутите настройки до желаемого результата. Они напрямую зависят от проекта.
3) Разве есть много вариантов? MySQL - и есть MySQL. Он один.
Есть, в целом, бинарно совместимый форк MariaDB. Из-за завинчивания гаек ораклом - лучше на маньку мигрировать. Ещё лучше - на postgresql
4) разумеется те, которые нужны для решения стоящих задач.
3. Vaio - 07 Сентября, 2013 - 11:58:29 - перейти к сообщению
Мелкий пишет:
1) файрволл - типичный iptables. Раскурить маны - и он становится прост и понятен. Придерживайтесь политики "запрещено всё, что не разрешено явно".
Перечитав много информации на эту тему в интернете удалось составить такой набор правил:
Спойлер (Отобразить)
Ваше мнение? Есть что-то лишнее или чего-то не хватает?