Статьи из рубрики «Администрирование»
Администрирование web-серверов, Windows, Linux и всё в том же духе
Использование R1Soft CDP в Debian Squeeze
R1Soft CDP — это, на мой взгляд, одна из лучших разработок для высокопроизводительного резервного копирования под Linux. Хотя данный продукт платный и с закрытым кодом, он оправдывает свою стоимость. Заниматься рекламой не буду, кому интересно, те сами найдут нужную информацию, лишь расскажу об одной проблеме, с которой пришлось недавно столкнуться. Далее »
Автор: Vladimir, опубликовано в: Linux, Администрирование, комментариев: 1Дек
2009
Профиль AppArmor для nginx
Данный профиль AppArmor предназначается тем, кто знает, что такое AppArmor и сознательно решил использовать профиль для nginx. Профиль не является законченным решением, работающим из коробки, а должен рассматриваться только как шаблон.
При построении профиля молчаливо предполагалось:
- рабочие процессы nginx выполняются от имени
www-data:www-data; - файлы конфигурации nginx находятся в
/etc/nginx(/etc/nginx/sites-enabled,/etc/nginx/sites-available,/etc/nginx/conf.d/*.conf,/etc/nginx/ssl); - пользовательские сайты расположены в
/home/<user>/htdocs; - логи записываются в
/var/log/nginx/*.log
Ноя
2009
ACL как одно из решений проблемы работы web-сервера под root
Я довольно часто встречал конфигурацию, когда web-сервер работает под root, чтобы обойти жёсткие права доступа, установленные на каталоги пользователей. Рассмотрим на примере: предположим, что пользовательские сайты расположены в /home/<username>/, при этом права на каталог home установлены в 0711 (rwx--x--x), а права на пользовательские каталоги установлены в 0700 (rwx------). Такие права устанавливаются, чтобы изолировать пользователей друг от друга — один пользователь не сможет зайти и посмотреть домашний каталог другого пользователя. Такая мера популярна у администраторов виртуального (shared) хостинга.
Для того, чтобы web-сервер мог нормально обслуживать сайты, обычно используется одно из следующих решений:
- web-сервер работает под учётной записью root;
- права на домашний каталог устанавливаются в 0750 (
rwxr-x---), а пользователь, под которым работает web-сервер, вносится в группу, которой принадлежит пользователь.
Ноя
2009
nginx и gzip_static: еще один способ снизить нагрузку на сервер
Чем меньше размер страниц сайта, тем меньше расход трафика, загрузка канал и выше скорость загрузки страниц. Один из самых распространённых способов уменьшения страниц — сжатие перед отправкой пользователю.
В Apache для этих целей используется mod_deflate, в nginx — ngx_http_gzip_module.html. В других web-серверах используются похожие решения.
Что mod_deflate, что ngx_http_gzip_module используют сжатие «на лету» — файл сжимается перед отдачей пользователю. Но сжатие — операция, нагружающая процессор, и чем выше степень сжатия, тем больше нагрузка. Это не было бы проблемой, если бы один и тот же файл не приходилось сжимать каждый раз заново. Далее »
Ноя
2009
Модуль поддержки tcpwrappers для nginx
TCP Wrappers — система контроля доступа, используемая для ограничения доступа к серверам на UNIX-подобных операционных системах (Linux, BSD). Контроль доступа может осуществляться, например, по имени хоста (полному или частичному), адресу, подсети. Подробности приведены здесь.
TCP Wrappers очень удобно использовать с программами для защиты от червей (BlackHosts, DenyHosts, Fail2ban), в частности, для защиты от HTTP-сканирования.
Огромным достоинством TCP Wrappers является возможность динамической конфигурации списков контроля доступа (что избавляет от необходимости перезапускать защищаемый сервис) и простота файлов конфигурации (это субъективно).
К сожалению, nginx не поддерживает TCP Wrappers из коробки. К счастью, это можно исправить. Далее »
Автор: Vladimir, опубликовано в: C/C++, Администрирование, Безопасность, комментариев: 1Окт
2009
Меня зовут Владимир, я программист-фрилансер, специализирующийся на Web-программировании и програмировании под Linux.
По совместительству занимаюсь администрированием LAMP/LNMP-серверов и техническим переводом.
