Введение
Приветствую читателей! В рамках текущей серии статей я рассказываю о том, как настроить сервер для простых проектов. Имеется ввиду сервер для работы нескольих сайтов, с небольшой нагрузкой под наиболее популярной CMS такой например как Bitrix. Основная цель статьи указать на ошибки допускаемых младшими специалистами при выполнении подобной настройки. Также указать на какие то вещи, которые сделают troubleshooting простым и удобным.
Это не совсем стэк LEMP, так как здесь используется Apache2, но вы можете использовать PHP-FPM вместо этого, если разработчик не против внедрения такого решения.
В комментариях к статьям я часто вижу сообщения, о том, что Apache2 уже не актуален и вместо него можно поднять другое ПО. От себя могу сказать, что до сих пор большое количество небольших и средних организаций, встающих на обслуживание используют Apache2 и файлы .htaccess, поэтому я не согласен с данным утверждением. Но опять же если вы опытный администратор, понимающий как работает эта связка, вы можете пропустить эту статью и поднять то, что вашей душе угодно.
Статья написана не с целью взять и бездумно скопировать все команды и получить готовый сервер для размещения площадки. Также если в вашей конкретной компании используется другой стэк, я очень за вас рад, но это не отменяет того факта, что то ПО которое описано в этой статье все еще популярно, используется и администрируется без каких-либо проблем.
Предыдущие части статей доступны по следующим ссылкам:
https://habr.com/ru/company/nixys/blog/645451/ - первая часть
https://habr.com/ru/company/nixys/blog/646023/ - вторая часть
Рекомендую ознакомиться перед прочтением данного материала.
Ну что же, приступим.
В первой и второй частях серии статей мы выполнили следующие действия:
Установили базовые пакеты
Настроили git autocommit для фиксации изменений в системных конфигурациях
Выполнили базовую настройку exim4, ssh, ftpd
Дали администратору соответвующие права для администрирования сервера
Выполнили базовую настройку Apache2, Nginx, MySQL.
В текущей статье будет описано:
Установка и настройка PHP
Создание виртуальных хостов для площадок
Настройка отправки почты
Выдача разработчикам доступов к площадке
Установка и настройка PHP
Приступим к установке PHP. Наша площадка будет базироваться на PHP 7.4, однако вы можете развернуть любую требуемую версию.
Устанавливаем пакеты, необходимые для установки gpg ключа:
apt -y install lsb-release apt-transport-https ca-certificates
Скачиваем ключ репозитория sury и прописываем его в apt:
wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" | tee /etc/apt/sources.list.d/php.list
Можно переходить к установке PHP и его базовых модулей:
apt-get update && apt-get install php7.4 php7.4-cli php7.4-common php7.4-curl php7.4-gd php7.4-geoip php7.4-imagick php7.4-imap php7.4-intl php7.4-mcrypt php7.4-mysql php7.4-apc
После выполнения всех действия проверяем версию PHP:
php -v
PHP 7.4.27 (cli) (built: Dec 20 2021 21:32:33) ( NTS )
Copyright (c) The PHP Group
Zend Engine v3.4.0, Copyright (c) Zend Technologies
with Zend OPcache v7.4.27, Copyright (c), by Zend Technologies
Также проверяем установленные на данный момент модули PHP:
php -m
[PHP Modules]
apc
apcu
calendar
Core
ctype
curl
date
exif
FFI
fileinfo
filter
ftp
gd
geoip
gettext
hash
iconv
imagick
imap
intl
json
libxml
mcrypt
mysqli
mysqlnd
openssl
pcntl
pcre
PDO
pdo_mysql
Phar
posix
readline
Reflection
session
shmop
sockets
sodium
SPL
standard
sysvmsg
sysvsem
sysvshm
tokenizer
Zend OPcache
zlib
[Zend Modules]
Zend OPcache
Вы всегда можете установить дополнительные модули под ваш проект, здесь речь идет только о базовых модулях.
Для просмотра доступных модулей PHP, которые можно установить через apt используется команда:
apt-cache search 'php7.4'
Если необходимых вам модулей нет в репозитории sury, вы можете выполнить их установку через pecl, для его установки вы можете воспользоваться следующей статьей:
https://www.mkfoster.com/2009/01/04/how-to-install-a-php-pecl-extensionmodule-on-ubuntu/
Приступим к установке базовых параметров PHP. У нас имеется два окружения cli и apache2 ( в нашем случае), для каждого окружения имеется свой php.ini файл:
/etc/php/7.4/apache2/php.ini
/etc/php/7.4/cli/php.ini
Файл php.ini расположенный в apache2 отвечает за настройки PHP используемые при передаче скриптов на обработку Apache2, в нашем случае это будут настройки при использовании площадки клиентами на сайте.
Файл php.ini расположенный в cli используется при выполнении скриптов из консоли и крон задач при вызове скриптов через php обработчик.
Мы будем вносить изменения в оба файла. Стандартные изменения для бызовой работы PHP следующие:
-short_open_tag = Off
+short_open_tag = On
-post_max_size = 8M
+post_max_size = 128M
-upload_max_filesize = 2M
+upload_max_filesize = 64M
-;date.timezone =
+date.timezone = Europe/Moscow
-session.gc_probability = 0
+session.gc_probability = 10
-session.gc_divisor = 1000
+session.gc_divisor = 100
-session.gc_maxlifetime = 1440
+session.gc_maxlifetime = 14400
Я не буду подробно останавливаться на данных настройках, так как все они достаточно подробно описаны в мануале PHP.
Для работы PHP с минимально возможными досутпами в системе потребуется задачть следующие права на директории:
chmod -R o-rwx /etc/php/7.4
chmod 751 /etc/php/7.4
chmod -R o+rX /etc/php/7.4/cli
chmod -R o+rX /etc/php/7.4/apache2
chmod -R o+rX /etc/php/7.4/mods-available
На данном пункте установку и базовую настройку PHP можно считать завершенной.
Все минимально необходимые компоненты для работы площадки были установлены, теперь мы можем приступить к созданию площадки.
Создание виртуальных хостов
В нашей конфигурации каждая площадка сервера будет работать от своего пользователя системы. При такой настройке площадки будут изолированы друг от друга, соответсвенно при доступе к коду сайта при обнаружении какой либо уязвимости, злоумышленник не сможет получить доступ к остальным площадкам сервера, как в случае, если бы все площадки работали от одного пользователя.
Создадим пользователя системы:
groupadd -g 10002 DOMAIN_NAME
useradd -g 10002 -u 10002 -s /bin/bash -d /var/www/DOMAIN_NAME DOMAIN_NAME
Где DOMAIN_NAME это имя площадки, например site.ru.
Далее создадим каталог площадки, по стандартам все площадки будут расположены в /var/www:
mkdir -p /var/www/DOMAIN_NAME
После перейдем в директорию площадки и создадим каталог для файлов площадки:
cd /var/www/DOMAIN_NAME
mkdir data
Далее также создадим каталог для временных файлов, каталог для хранения логов и каталог для хранения файлов сессий:
mkdir log sess tmp upload log/apache2 log/nginx
После присвоим площадке права и владельца. В нашем случае права на файлы стандартны 644, права на директории 755, при этом права на основной каталог /var/www/DOMAIN_NAME будут 751, для ограничения пользователей не являющимися владельцами и не входящих в группу площадки:
chown -R DOMAIN_NAME: /var/www/DOMAIN_NAME
chmod 751 /var/www/DOMAIN_NAME
chmod -R o-rwx /var/www/DOMAIN_NAME/*
chmod o+x data log log/nginx
После того, как были созданы все необходимые директории, потребуется создать виртаульные хосты Nginx и Apache2, начнем со второго.
Создаем файл виртульного хоста Apache2. Создаем файл виртуального хоста:
touch /etc/apache2/sites-available/DOMAIN_NAME.conf
В нашем случае его содержимое будет выглядеть следующим образом:
<VirtualHost *:81>
ServerAdmin webmaster@DOMAIN_NAME
DocumentRoot /var/www/DOMAIN_NAME/data
ServerName DOMAIN_NAME
ServerAlias www.DOMAIN_NAME
AssignUserId DOMAIN_NAME DOMAIN_NAME
php_admin_value session.save_path "/var/www/DOMAIN_NAME/sess"
php_admin_value upload_tmp_dir "/var/www/DOMAIN_NAME/upload"
php_admin_value open_basedir "/var/www/DOMAIN_NAME:."
CustomLog /var/www/DOMAIN_NAME/log/apache2/access.log combined
ErrorLog /var/www/DOMAIN_NAME/log/apache2/error.log
LogLevel error
<Directory "/var/www/DOMAIN_NAME/data">
AllowOverride All
Options FollowSymLinks
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
За работу веб-сервера от пользователя здесь отвечает параметр AssignUserId, в котором мы указываем имя и группу пользователя площадки. По-скольку имя пользователя и имя площадки идентичны, то во всех случаях это будет название площадки.
Здесь же мы задаем директорию файлов сессий, временных файлов и базовую директорию, ограничивающую обращения веб-сервера для конкретной площадки:
php_admin_value session.save_path "/var/www/DOMAIN_NAME/sess"
php_admin_value upload_tmp_dir "/var/www/DOMAIN_NAME/upload"
php_admin_value open_basedir "/var/www/DOMAIN_NAME:."
Хочется сразу отметить, что параметры PHP можно задать в трех местах, так как на этот вопрос вызывает большое количество проблем на собеседовании на вакансию junior:
в первом случае параметры PHP задаются в .htaccess файлах площадки параметры PHP заданные здесь будут действовать только для директории в которой размещён такой файл. Параметры имеют обычный приоритет.
во втором случае вы можете задать параметры PHP внутри файла php.ini для соотвтетствующего окружения, как мы делали выше. Эти параметры будут также иметь обычный приоритет. При этом если будут осуществляться обращения к скриптам, то параметры указанные в .htaccess будут иметь приоритет выше чем параметры заданые в php.ini
в третьем же случае вы можете задать параметры на уровне виртуального хоста Apahce2, такие параметры будут применяться только к php окружению для Apache2 соответвенно, то есть будут применяться только для обращений по http/https. При этом если вы задаете параметры через функцию php_value, то такие параметры по приоритету будут равны параметрам заданным в php.ini, но относительно них будут выше. Если же параметр PHP задаваемый внутри виртуального хоста задается через php_admin_value то он будет иметь наивысший приоритет для apahche2 окружения. То есть параметр заданный в php_admin_value будет игнорировать все идентичные параметры заданные в других местах (htaccess или php.ini) Использование php_admin_value позволяет задать особенные настройки для отдельной площадки. Чаще всего через данную функцию задаются директории или, например функция отправки почты, для конкретной площадки.
После создания виртуального хоста Apache2 его необходимо применить с помощью команды:
a2ensite DOMAIN_NAME
Данная команда создаст символьную ссылку из директории /sites-available в директорию /sites-enabled
После обязательно тестируем синтаксис Aapche2 на наличие ошибок и перечитываем файлы конфигурации веб-сервера:
Apache2ctl -t
Service apache2 reload
После создания виртуального хоста для Apache2 приступим к созданию виртуального хоста для Nginx:
Создаем файл виртуального хоста:
touch /etc/nginx/sites-available/DOMAIN_NAME
В базовой конфигурации такой файл будет иметь следующее содержание:
server {
listen 80;
server_name DOMAIN_NAME www.DOMAIN_NAME;
access_log /var/www/DOMAIN_NAME/log/nginx/access.log nixys;
error_log /var/www/DOMAIN_NAME/log/nginx/error.log;
location ~ /\.(svn|git|hg) {
deny all;
}
location ~* ^.+\.(css|jpg|jpeg|gif|png|ico|zip|tgz|gz|rar|bz2|doc|xls|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf)$ {
root /var/www/DOMAIN_NAME/data;
expires max;
access_log off;
}
location / {
proxy_pass http://127.0.0.1:81; # apache
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
client_max_body_size 10m;
client_body_buffer_size 1280k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
}
Location вида:
location ~* ^.+\.(css|jpg|jpeg|gif|png|ico|zip|tgz|gz|rar|bz2|doc|xls|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf)$ {
root /var/www/DOMAIN_NAME/data;
expires max;
access_log off;
}
Отвечает за обработку статики на уровне Nginx. В location перечислены форматы файлов для обработки, в случае если среди файлов площадки есть статика других форматов, достаточно просто дописать формат в location и перечитать конфигурацию веб-сервера.
В предудыщей статье меня спрашивали как будет разделена обработка статики на уровне Nginx и передача запросов PHP к Apache2, за счет этого location осуществляется передача подобных запросов.
Все остальные запросы будут прокcированы на Apache2, а именно на 81 порт серверa:
proxy_pass http://127.0.0.1:81; # apache
На этом настройку виртуального хоста Nginx можно считать завершенной. Создадим символьную ссылку виртуального хоста в sites-enabled:
ln -s /etc/nginx/sites-available/DOMAIN_NAME /etc/nginx/sites-enabled/DOMAIN_NAME
Протестируем конфигурацию Nginx и перечитаем ее:
nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
service nginx reload
После обязательно проверим, что веб-сервер запущен
service nginx status
Создание базового виртуального хоста для Nginx можно считать завершенной.
Также нам потребуется создать БД для будущей площадки, для этого переходим в консоль управления MySQL и создаем БД и пользователя для нее:
mysql
CREATE DATABASE DOMAIN_NAME_db CHARSET utf8;
GRANT ALL ON DOMAIN_NAME_db.* TO 'DOMAIN_NAME_usr'@'localhost' IDENTIFIED BY 'XXXXXXXXXXXXXX';
FLUSH PRIVILEGES;
Для того что бы не возникло путаницы среди большого количества БД, мы рекомендуем создавать продакшн БД для сайта по следюущему принципу, если сайт имеет доменное имя site.ru, то имя БД должно быть site_db, а имя пользователя site_usr. Пароль в данном случае это случайная последовательность символов от 15 штук, мы выпускали его ранее в предыдущих частях статьи.
Обеспечение доступа к файлам площадки разработчикам
После выполнения всех операций, необходимо выдать нашему пользователю площадки возможность подключения по SSH и FTP:
Для выдачи доступов по SSH необходимо будет добавить имя пользователя в файл /etc/ssh/sshd_config, секция
AllowUsers DOMAIN_NAME
После, перезапускаем SSH
/etc/init.d/ssh restart
И проверяем статус:
/etc/init.d/ssh status
Далее приступим к настройке FTP, так как ранее мы настроили Vsftpd, нам потребуется просто добавить имя пользователя площадки в системе в файлы:
/etc/vsftp/vsftpd.chroot_list
/etc/vsftp/vsftpd.user_list
После создаем файл с описанием доступа пользователя:
touch /etc/vsftp/vsusers/DOMAIN_NAME
Содержащий строки:
chroot_local_user=YES
local_root=/var/www/DOMAIN_NAME
local_umask=022
После, перезапустить FTP-сервер
/etc/init.d/vsftpd restart
И проверить статус работы:
/etc/init.d/vsftpd status
После выполнения всех действий необходимо создать пароль для пользователя площадки:
генерируем пароль от 15 символов:
pwgen 15 1
присваиваем этот пароль пользователю площадки в системе:
passwd DOMAIN_NAME
Обязательным пунктом настройки доступов является проверка их корректности, для начала зайдем на свою машину и проверим возможность подключения по SSH:
SSH EXTERNAL_IP@DOMAIN_NAME
Если подключение прошло корректно, значит проблем нет и можно проверить соедиение по FTP, для этих целей проще всего использовать ПО с графическим интерфейсом, например FileZilla, устанавливаем программу на любую ОС, вводим реквизиты подключения и проверяем. В случае, если подключение по каким-либо причинам не проходит, то, вероятно вы где то допустили ошибку ранее.
Настройка отправки почты с сервер
После создания площадки и выдачи доступов, переходим к настройке отправки почты с сервера. Настройку можно считать завершенной, после получения наибольшего балла спам фильтра, самой распространенный СПАМ фильтр на текущий момент это SpamAssassin.
Тестировать отправку почты с сервера возможно с помощью сайта www.mail-tester.com, который проанализирует ваше письмо и выдаст всю необходимую информацию и недочеты. Целью нашей настройки будет получение 10 балов на данном ресурсе.
Для корректной отправки почты, нам потребуется создать ряд записей в DNS зоне домена, а именно DKIM ( публичный ключ), SPF, DMARC. Также потребуется попросить саппорт дата-центра указать PTR запись в обратной зоне, или сделать это самостоятельно, если функционал вашего ДЦ предусматривает такую функцию.
Начнем с DKIM:
Для выпуска ключа DKIM нам потребуется установить пакет opendkim-tools, пакет доступен в стандартных репозиториях, для его установки дополнительных действий не требуется
apt update
apt install opendkim-tools
Далее создадим директорию в exim для хранения всех наших ключей DKIM:
mkdir /etc/exim4/dkim
И перейдем в нее:
cd /etc/exim/dkim
Далее генерируем публичный и приватный ключ DKIM:
opendkim-genkey -D /etc/exim4/dkim/ -d DOMAIN.RU -s DKIM_SELECTOR -b 1024
где DKIM_SELECTOR является указателем, для поиска публичной части ключа (как правило, это mail).
В текущей директории будет создано два файла mail.private (приватный ключ) и mail.txt (публичный ключ, который потребуется прописать в DNS зоне домена. Для удобства и дальнейшего применения в конфигурации exim4, переименуем оба файла:
mv /etc/exim4/dkim/mail.private /etc/exim4/dkim/DOMAIN.RU.key
mv /etc/exim4/dkim/mail.txt /etc/exim4/dkim/DOMAIN.RU.txt
В целях безопасности меняем права на части ключа и директорию хранения:
chown -R root:Debian-exim /etc/exim4/dkim
chmod 750 /etc/exim4/dkim
chmod 640 /etc/exim4/dkim/DOMAIN.RU.key
chmod 640 /etc/exim4/dkim/DOMAIN.RU.txt
Теперь, когда у нас созданы ключи, необходимо указать конфигурации exim4 их расположение, для этого добавляем в начало файла /etc/exim4/exim4.conf.template строки:
# DKIM settings
DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = /etc/exim4/dkim/${lc:${domain:$h_from:}}.key
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}
Также добавляем в блок remote_smtp в файле /etc/exim4/exim4.conf.template следующие записи:
remote_smtp:
driver = smtp
dkim_domain = DKIM_DOMAIN
dkim_selector = $DKIM_SELECTOR
dkim_private_key = DKIM_PRIVATE_KEY
где в качестве $DKIM_SELECTOR необходимо подставить selector, заданный при создании ключа. Параметры DKIM_DOMAIN и DKIM_PRIVATE_KEY здесь являются переменными, и имеют точно такой же вид в файле как описаны в статье.
Также хотелось бы уточнить, что почтовый сервер в дальнейшем сможет работать только с одним селектором DKIM. Соответственно, если подпись для первого домена указана mail, то она должна быть таковой для всех последующих доменов, для которых будет осуществляться генерация DKIM ключа.
После нам потребуется добавить TXT запись в DNS зону домена, содержимое записи указано в файле DOMAIN.RU.txt. Пример записи:
DKIM_SELECTOR._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCWtRUr0hse/k2csH1KtA3YrM2hrSiDxyhRDEV53LvDxjcN8rH5913j0N/5P48kotw0tVKlyaW6x9sJJPs7fjCsuoSQNQUpwjJrPKjH/r7fTBESFMOx6SHMpIC57GadCCmQfGEiI0IHPG0zqakDNUKtLaWBc71BLdRAApsbZ97ooQIDAQAB" ) ; ----- DKIM key DKIM_SELECTOR for DOMAIN.RU
После выполняем удаление уже не нужного ключа:
rm -f /etc/exim4/dkim/DOMAIN.RU.txt
Перезапускаем exim4 и проверяем его работу:
service exim4 restart
service exim4 status
Обновление DNS записей происходит в течении 72 часов, однако для большинства DNS серверов запись обычно появляется в течении часа. В качестве теста мы можем проверить наличие записи у DNS серверов Google:
dig @8.8.8.8 +short -ttxt DKIM_SELECTOR._domainkey.DOMAIN.RU
В случае, если на запрос dig, вы получаете публичный ключ, значит все настройки выполнены верно. Также вы можете отправить письмо на любой почтовый ящик, для которого не осуществляется фильтрация входящей почты. С сервера это делается с помощью команды вида:
echo "Hello there" | mail -s "world" -r test@DOMAIN_NAME address@recipient
Пример отправки письма для домена site.ru, на почтовый ящик test@gmail.com:
echo "Hello there" | mail -s "world" -r test@site.ru test@gmail.com
После вам потребуется найти письмо в почтовом ящике и открыть его полную текстовую версию, если вы видите там строку вида:
dkim=pass
Значит заголовок письма был подписан приватным ключом со стороны exim4 сервера и дешифрован с помощью публичного ключа, прописанного в DNS зоне. Иными словами все работает корректно.
После приступим на стройке SPF записи. SPF запись это запись указывающая на те сервера, с которых можно отправлять почту для данного домена. Я не буду углубляться в работу SPF записи, так как для нашей площадки необходима только отправка почты для конкретного сервера, поэтому создадим TXT запись, в DNS зоне нашего домена вида
DOMAIN.RU. IN TXT "v=spf1 +a +mx ip4:EXTERNAL_IP ~all"
Где EXTERNAL_IP внешний IP адрес нашего сервера соответсвенно.
Важный момент, в DNS зонах также присутвует возможность указать запись типа SPF, данная запись является устаревшей, для применения SPF записи она должна иметь именно TXT формат.
После указания SPF записи выполним запрос с помощью dig и проверим, что все верно:
dig TXT DOMAIN_NAME
Если среди полученных записей имеется ваша SPF запись, то все было добавлено верно.
Далее создадим политику dmarc. Она указывает принимающему серверу, что делать с письмом, если записи DKIM и SPF окажутся некорректны. В нашем случае минимальными требованиями политики будут указаны с помощью следующей TXT записи:
_dmarc.DOMAIN.RU. IN TXT "v=DMARC1; p=reject; aspf=r; sp=reject"
Не советуем отключать политику dmarc, как это рекомендует сделать mail-tester, так как с отключенной политикой письма могут попадать в СПАМ некоторых почтовых ящиков.
Для проверки указания dmarc воспользуемся командой:
dig +short -ttxt _dmarc.DOMAIN.RU
После необходимо будет указать PTR запись. Она используется при отправке письма, когда почтовый сервер представляется каким-либо именем. Она должна связать домен указанный в primary_hostname конфигурации exim4 и внешний IP нашего сервера. По-скольку в нашем случае параметр primary_hostname имеет значение основного доменного имени площадки, нам необходимо указать PTR запись вида:
DOMAIN.RU. IN TXT "EXTERNAL IP"
Где DOMAIN.RU это имя домена указанное в primary_hostname текущего сервера exim4, а EXTERNAL IP это внешний IP адрес нашего сервера.
Данную запись можно указать в панели управления ДЦ или, если такая функция не предусматривается, попросить указать запись через саппорт дата центра. Для проверки PTR записи используется следующая команда Dig:
dig -x DOMAIN_NAME
Как только все записи отражены и указаны, можно приступить к отправке тестового письма на mail-tester, отправляем письмо с помощью уже знакомой команды:
echo "Hello there" | mail -s "world" -r test@DOMAIN_NAME test-nfl7dosjr@srv1.mail-tester.com
После всех выполненных настрое мы должны получить 10/10 балов сервиса mail-tester, что является наивысшим результатом.
Завершающие шаги
На этом настройку сервера можно считать завершенной. Вы можете залить код площадки в /var/www/DOMAIN_NAME/data (от пользователя площадки!), а также разместить БД площадки в MySQL, указать реквизиты БД на уровне кода и проверить работу сайта. Однако, перед этим обязательно проверьте права и владельца файлов.
Для резервирования кода площадок и БД вы можете воспользоваться нашей утилитой nxs-backup, описанной в статье https://habr.com/ru/company/nixys/blog/424717/.
Обязательно предоставте разработчикам доступы к MySQL пользователя БД площадки, и доступы SSH и FTP для пользователя площадки в системе (DOMAIN_NAME).
Плюс работы площадки от пользователя в том, что разработчики кода имеют доступ только к файлам площадки и работают от своего пользователя, при этом площадки абстрагированы друг от друга на уровне системы, так как у каждой площадки свой пользователь системы.
Статьи и так получились достаточно грамоздкой в связи с чем я не буду подробно описывать настройку работы домена по https, в сети очень много информации о том как прикрутить SSL сертификат к Nginx. Могу сказать лишь то, что если вам нужен бесплатный сертификат, вы можете выпустить его с помощью certbot на сервере, а после, как пример, в нужном виртуальном хосте Nginx настроить безусловный редирект с http на https, для этого в виртуальном хосте в начале дописать:
server {
listen 80;
server_name DOMAIN_NAME www.DOMAIN_NAME;
return 301 https://DOMAIN_NAME$request_uri;
}
А ниже отредактировать теущую конфигурацию для 80 порта, изменив его на 443 и указав собранный сертификат и ключ:
server {
listen 443 ssl;
server_name DOMAIN_NAME www.DOMAIN_NAME;
ssl_certificate /etc/nginx/ssl/DOMAIN_NAME/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/DOMAIN_NAME/private.key;
Заключение
Спасибо за внимание, надеюсь, что данные статьи помогут разобраться начинающим системным администраторам уберут множество стандартных вопросов, возникающих во время работы.
Также приглашаем всех желающих вступить в наше сообщество в Telegram DevOps FM по ссылке. Где мы выкладываем интересные новости из мира IT, а также ведем дискуссии на различные темы.
Комментарии (20)
FanatPHP
20.01.2022 00:14+1Я специально ждал этой части, но так и не понял, как РНР подключается к апачу. Я правильно понимаю, что установщик РНР прописывает в httpd.conf LoadModule?
pae174
20.01.2022 10:55В httpd.conf должно быть:
LoadModule для загрузки модуля, который умеет обрабатывать скипты PHP.
AddType для указания тех расширений файлов, которые этой модуль должен обрабатывать.
DirectoryIndex для указания на то, что в качестве индексной страницы теперь можно использовать не только статическую HTMLку, но и PHP скрипт.
Но у автора вообще это как-то осталось за кадром, да.
FanatPHP
20.01.2022 12:28+2Ну меня в первую очередь интересует именно LoadModule. Потому что например в RHEL оно уже 5 лет как объявлено нежелательным в пользу php-fpm. В целом же тут очень смешная ситуация — Aпач служит исключительно в качестве интерпретатора файла .htaccess.
И если делать по уму, при жесткой необходимости поддержки этого файла, то надо ставить только Апач без Нжинкса, но не с mod_php, а с mpm_event/php-fpm, чтобы ПХП не грузился в память при отдаче каждой картинки плюс нормальная многопоточность. Соответственно, производительность на статике будет вполне приемлемой, и Nginx станет не нужен.
pae174
20.01.2022 13:25Апач без Nginx страдает от архитектуры типа "одно соединение - один воркер". Злоумышленник относительно легко может задосить апач, насыпав ему на вход пачку "медленных запросов" и потом еще медленно скачивая ответный контент (не важно что это за контент - статика или результат работы скрипта). В результате будет быстро израсходован критически важный ресурс - воркеры. Их всегда относительно мало т.к. каждый воркер жрет много памяти - в нем же запускается интерпретатор PHP. Плодить воркеры в неограниченном количестве на сервере нельзя т.к. это будет просто выстрел в ногу из пушки.
Nginx решает эту проблему путем буферизации запросов, буферизации ответов, и удержания keep-alive соединений своими силами с экстремально малыми затратами памяти на каждое такое соединение. То есть резко снижается потребность в воркерах Апача при той же нагрузке на входе.
При использовании связки Nginx + Apache с точки зрения Апача все выглядит так, как будто у него есть один единственный клиент, который достучался до Апача один раз и с тех пор использует очень малое количество keep-alive соединений и очень малое количество воркеров к которым сплошным потоком идут запросы к скриптам. Эти запросы с точки зрения Апач поступают мгновенно и никогда не тормозят. Ответы с точки зрения Апач улетают к клиенту мгновенно и сразу после этого воркер имеет возможность взять следующий запрос. В результате каждый воркер Апач близко к 100% работает только на исполнение какого-либо скрипта.
FanatPHP
20.01.2022 13:30mpm_event uses a dedicated thread to deal with the kept-alive connections, and hands requests down to child threads only when a request has actually been made (allowing those threads to free back up immediately after the request is completed).
Я не вижу здесь особой разницы.
FanatPHP
20.01.2022 14:03Если что, меня не надо агитировать за советскую власть, я уверен что конфигурация Nginx+php-fpm удалает mpm_event+php-fpm в любой день недели. Но для целей, заявленных в статье, производительности mod_event должно быть достаточно с избытком.
init0
20.01.2022 01:00+8Забыли "must have" расширение для php - mbstring, его "попросит" любой нормальный проект от Wordpress до Symfony.
-short_open_tag = Off +short_open_tag = On
Вредный совет т.к. противоречит стандарту PSR-1
Хочется сразу отметить, что параметры PHP можно задать в трех местах
Ну большинство значений можно еще и самом php файле изменить с помощью ini_set
Далее приступим к настройке FTP
Боже, ну какой FTP в 2022 году? Это устаревшая практика, но самое важное что протокол не зашифрован, нельзя такому учить начинающих. Вы выше уже настроили SSH, так в чем проблема дать доступ по SFTP или SCP?
return 301 https://DOMAIN_NAME$request_uri;
Я бы сделал более универсальным
return 301 https://$host$request_uri;
А еще было бы хорошо включить поддежку HTTP2 в nginx и вместо
listen 443 ssl;
использовать
listen 443 ssl http2;
И тут еще конечно много чего можно и нужно добавить, как минимум настроить TLS ну и как максимум выкинуть к чертям Apache :)
FanatPHP
20.01.2022 10:26+1Надо понимать, что это инструкция не для standalone проектов, а для организации копеечного шаред хостинга на коленке. То есть упор на клиентуру qna.habr.com с вопросами типа "у меня в базу данных не добавляеца". Для которой PSR это пустой звук, а надо запустить какой-нибудь вордпресс или битрикс. То же самое касается и всех остальных претензий, типа .htaccess (без которого данная клиентура как без рук) или FTP. В какой-нибудь инструкции из прошлого века для 1С прописано фтп, значит вынь да положь фтп.
Чисто минимизация нагрузки на поддержку. Студенту, на которого эта инструкция рассчитана, надо лабы сдавать, а не отвечать в 100500-й раз на вопрос "почему у миня похапе код не исполняица?".
FanatPHP
22.01.2022 09:36Стоп, а самое главное-то я забыл.
Как хомячки здесь отделяются друг от друга?
Что мешает пользователю перейти в папочку к соседу?
MatthewRunning
22.01.2022 10:27+1Очень полезная статья для начинающих, доступное разъяснение каждого пункта. Спасибо, мне очень помогло понять некоторые моменты
stalker_by
В 2022 у нас есть Ansible, Chef, Puppet, SaltStack ... а люди продолжают писать статьи о том, как поставить 6 приложений, написать кучу конфигов и запустить одно свое (сайт).
Напишите лучше рецепт/формулу/плейбук/манифест для этого всего и объясните как ее/его настроить, люди вам спасибо скажут.
morgeshtern Автор
Вы опять же не понимаете для кого написан данный материал, в первой статье я подробно ответил на аналогичную претензию.
Если вы не умеете поднимать это руками, а статья предназначена для людей которые только входят в администрирование, о какой системе управления конфигурациями может идти речь? На первом же фейле возникнет очень много вопросов.
stalker_by
Ну, если для начинающих, тогда точно Ansible! Ваша статья, даже визуально выглядела бы почти так же, только к ней был бы приложен воспроизводимый результат - github репозиторий, который можно брать и пользовать!
Вы учите писать бумажные письма в век мессенджеров и удивляетесь почему кто-то недоволен. То что вы называете "администрирование" приличные люди называют DevOps, который вполне себе устоялся в плане инструментов и процессов.
Shaz
Приличные люди никогда не назовут установку лампы девопсом. Сисадмины да, они могут и не такое.
cicada3301
А потом такие DevOps, которые вошли в профессию через Ansible не зная базы, в надежде что плейбук на galaxy рабочий, раскатывают его в проде и все падает, а все потому, что прейбук написал "такой же" DevOps который вкатился пол года назад после инфоциганских курсов. Не все конечно плейбуки кривые, но такие встречаются и не редко. По этому знать и понимать как развернуть это руками - необходимо. ИМХО. Как минимум для того, что бы открыть очереджной плейбук и понять, нормальный ли он или там написана какая-то чушь, которая в лучшем случае не заработает. А то умельцев много, начать плейбук с команд:
apt update && apt upgrade
stalker_by
Никто не мешает написать вот точно такую же статью, только добавить немного кода. Плейбуки кривые не потому что использовать CM с самого начала это плохо, а потому что нет культуры его применения. DevOps шагает по планете с 2011 года, но по прежнему есть те кто превращает его в ремесло "системного администрирования" и вместо кода с хорошими комментариями пишет вот такие статьи.
PS
Количество минусов под моими комментариями наводит на мысль что DevOps будет горячей позицией ещё пару лет))
stalker_by
Если цель статьи обучение, обучайте правильно.
Если нет, весь цикл скорее иллюстрация к статье "Почему у нас на проекте на взлетел DevOps".
Shaz
Такое дело, для всех этих инструментов уже написано все что нужно. Для лампов, лемпов, и чертами ступе. Велосипедировать смысла нет.
buldezir
статьи такое дно, что дальше уже некуда падать.
и даже если не хочется связываться с Ansible, Chef, Puppet, SaltStack (не будучи опсом)
то сейчас без докера все равно никуда.
зачем устанавливать кучу хлама напрямую в систему, если можно поднять всё одним docker-compose, благо примеров в инете так же миллион. а заодно научиться пользоваться нормальными реверс проксями типа traefik или jwilder/nginx-proxy
зачем устанавливать это в таком виде (по заверениям автора чтобы научиться основам), если в таком виде никто и нигде не устанавливает. просто вредительство.
самое ужасное что ЭТО кто-то плюсанул.
Bone
А вот создатели traefik и nginx-proxy скорее всего умели всё это делать руками. Практически всё, чем вы пользуетесь чтобы "не думать как это работает", сделано людьми которые думали как это работает.