🏻 🤯 👨🏼‍🚀 自宅でのNginx + LAMPサーバーの構成。パート1：フロントエンドのセットアップ-バックエンド 🎫 👩‍🎤 🦅

こんにちは。最近、一連の記事の作成について質問しました。これが最初の記事です。

この一連の記事では、LAMPサーバーを正しく構成する方法を学習しますが、「ホスティングはより強力なだけです」。

次のスタックを使用します：nginx-apache-mpm-itk-mod_php-mysql-linux / debian。

次のトピックについて説明します。

フロントエンドのセットアップ-バックエンド
サーバー機能の計算、mysqlおよびバックエンドのセットアップ
Intel S3420GPに基づいた体験談

LAMPサーバーのセットアップは、構成ファイル内の特定の行をインストールおよびコメント解除するための6〜10個のコマンドに限定されないと自信を持って言えます。

例：デフォルトでは、nginxは1Mを超えるリクエスト本文をサーバーにアップロードすることを許可しません。このパラメーターを構成しない場合、一連の小さな写真を追加しようとするとエラー414（Request-URI Too Large）が発生します。

Apacheには正反対があります。デフォルトでは、リクエストの本文は無制限です。これにより、ダーティートリックを実行できます。

この記事では、セットアップ全体を完全に理解します。この記事では、私が準備した構成ファイルを見つけることができます。私の設定ファイルは、常に「パフォーマンス」、「コンテンツ生成」、「エラーページ」、「圧縮」、「その他の設定」、「一般設定」など、種類ごとにグループ化されています。これらのファイルをグループ化すると、これらのファイルの可読性がはるかに向上するように思えます。

単純な攻撃とそれらに対する防御方法について学びます。 nginxに直面したフロントエンドの基本構成では、バックエンドApacheは依然として脆弱なままです。

1つの記事にすべてを収めることはできないと確信しています。猫へようこそ。

-はじめに：

最近、サーバーがクラッシュし始めました。何らかの理由で、彼は夕方から夜に転倒し、日中は自分のためにかなり働きました。大きな負荷がかかったとは言えません。フォール中に、ApacheでのRAMの割り当てが、プロセスあたり700メガグラムを超える、理解できないほど大きなジャンプを発見しましたが、PHPは最大256Mでした。サーバーはスワップに入り、その後クラッシュしました。サーバーには当初8G RAMがあり、その後16Gをインストールしました。

これらのクラッシュが発生する前、サーバーは1年間機能し、問題を認識していませんでした。私たちはすでにホスティングから追い出されていたので、彼はひざにひどい構成をしていました。 Debianリポジトリからの設定は次のとおりです。

Apache2.2.16_mpm_itk + php5.3.0は、一般的な攻撃に対する保護なしで、インターネット上で同時にフロントエンドとバックエンドでハングしました。 Habré=）に記載されているすべての攻撃を実行できました。

Mysql5.1は、RAMを最大限に活用しない基本構成で構成されました。

その瞬間から、私はすべてを非常によく研究しなければなりませんでした。ところで、すべてを微調整した後、仮想ホスト構成での不要な冗長性の量は劇的に減少しました！

セットアップを始めましょう

-リポジトリは異なります：

最初に発生した問題は、ソフトウェアの更新です。ご存じのように、debianリポジトリにはかなり古いソフトウェアがあります。彼らは十分にテストされていると言いますが、本当に古いです！ちなみに、このソフトウェアの選択を見つけたとき、私自身も驚きました。

今、私はここからLAMPリポジトリを取りますwww.dotdeb.org

www.dotdeb.org/instructionsのセットアップガイドはこちらです。

初めて非常に乾燥している人のために（しかし、結局のところ、彼自身は一度きりで、Google以外に助けてくれる人はいませんでした）：

-debianをインストールし、すぐにDawを置いてSSHサーバーを配置します（他には何もありません!!!）。VGAモニターのIPサーバーがもう座っていないことがわかります。サーバーをデータセンターに転送できます。

-SSH経由で接続します。勝つにはパテをお勧めします。

-dotdebの指示に従ってnano /etc/apt/sources.listがそこに挿入されます。（注：Windowsバッファーからコンソールへのテキストの挿入は、マウスの右ボタンで行われます）

-指示に従って他のことを実行する

-以下に書いたコマンドの大きなブロックを実行する

-私たちは白人としてMCを介して動作します

-それはすべてあなた次第です！ =）

注、ここに私のハードウェア構成があります：Intel s3420gp、xeon x3450、16GB ECC RDIMM、3 * 1Tb 3.5 "SATA" WD BE "（2x-raid1（25G /、20Gスワップ、100G / var、〜800G / home）+ 1single （1Tb / mnt / unsafe））。初心者向けの注意：私は、Black Editionディスクを入れることにひどく足を踏み入れました-Raid Editionをインストールする必要がありました。

など。ディスクを分割し、debianミニディスク（190Mb）からオペレーティングシステムをインストールし、リポジトリの設定を行いました。続けましょう。操作中に、dpkgから質問があります。それらに答える必要があります。

apt-get update apt-get upgrade apt-get install nginx apache2 apache2-mpm-itk php5 php5-apc php-pear php5-dev php5-gd mysql-server mysql-client php5-mysql postfix mc -y apt-get install libapache2-mod-rpaf -y echo all done!

nginx-フロントエンド、apache2-mpm-itk-バックエンド、mod_php5.3-言語、mysql5.5-データベース、postfix-PHPからのメール送信。

-システムアーキテクチャを構成します。

視覚的な画像がなければ、システムを構成するのは、構成した場合よりも難しいことが常に知られています。最初は、2台のサーバーでメインドキュメントの半分以上を読み、mysqlを使用したApacheについて少しだけ読んだ後、私自身はそれを想像することができませんでした。今、私は読者のためにそれをすぐに描いたので、彼らが構成を研究するのがより簡単でより便利になるでしょう。この図によれば、将来的にシステムの狭い部分を分析することは非常に簡単になり、システムのサポートと、おそらくそのスケーリングにプラスの影響を与えると思います。 （クリック可能な画像）

次の記事で写真のすべての部分を説明します。この記事では、フロントエンドとバックエンドの設定を明らかにします。 Apacheの保護。

フロントエンド：nginxセットアップ

プロキシモードでnginxを構成します。これにはいくつかの理由があります。

攻撃に対するApacheサーバーの保護
軽量サーバーで静的コンテンツを圧縮してレンダリングする
サーバーブレインの保存
実装のしやすさ
Apache mod_phpはPHP FastCGIよりも動作します（それほど || 悪くはありません）が、mod_php設定はより明確で標準的です

-スタジオの構成！

プロキシサーバーに使用する構成ファイルは次のとおりです。

yadi.sk/d/w0SNSFIM0nyk1

リポジトリから取得したものは、容赦なくこれらのファイルに置き換え、対応するMIMEタイプの反対側のMIMEに.docx、.pptx、.xlsx拡張子を追加する必要があります。デバイス構成を見てみましょう。

 /nginx.conf -    -      .          . /proxy_params -  ,   nginx    proxy.         :  ,   killapache.pl,  , , . /conf.d -         .     error-docs -  , ngx_http_core_module -   , ngx_http_gzip_module -  .

ロシアのドキュメントがあるので、設定の意味を意図的に説明しません。ただし、それらのいくつかと、なぜそのようなパラメーターを選択したのかを指摘したいと思います。特にそれらを検索する必要がなくなったので、私はそれらの目的に必要な設定を読者に考えたいです;私はそれらをすべてグループ化しました。

client_max_body_sizeを64Mに増やして、サーバーにさまざまなマルチメディアをアップロードできるようにしました。
client_body_buffer_size-デフォルトでは明らかに十分ではないため、標準バッファーを32kに増やしました。多くの場合、入力で「ビッグデータ（10-20k）」を処理する必要があります。一般に、このパラメーターはサーバーで実行されるコードから決定する必要があります。たとえばTwitterの場合、1k以上を費やす必要はありません（ただし、システムの64xメモリページにドロップするために8kを置く必要があります）。あなたがハブの場合、私は8k（デフォルト値未満）を入れます。なぜなら、彼らはしばしば1kを超えるコメントを書きますが、平均して8k未満です（スナップのために、私は間違っているかもしれません）。このパラメーターがオーバーフローした場合はどうなりますか、ドキュメントを読んでください。
large_client_header_buffers-残りのシステムが受け入れることができるもの-apache + phpに合わせて削減しました。
worker_processes-コアの数/ 2でワーカープロセスを設定します。
worker_priority-とりわけ 、バックエンドの残りが生成されたコンテンツの戻りを遅くしないように設定します。
server_tokens off; -あなたが持っているものに照らさないでください=）、あなたはトラブルに巻き込まれる可能性があります。
proxy_read_timeout -300 + 20秒に増やしました。これは、300 + 10秒後に発生するタイムアウトApacheよりもわずかに大きくなります。これは、タイムアウトがバックエンドの「深さから」来て、フロントエンドで不明な理由で途切れないようにするために行われます。デフォルトでは、このパラメーターは60秒です。これは、重いコンピューティングには不十分な場合があります。この構成のphpは、タイムアウトスレッドの開始前に最大300秒実行できることに注意してください。
proxy_paramsファイルのproxy_set_headerディレクティブに注意してください：プロキシされたサーバーのヘッダーを設定するために使用されます。特に、プロキシされたサーバーは、ローカルの127：0：0：1がアクセスしていると考えているため、アドレス指定されたIPアドレスを認識しません。
ローカルポート127.0.0.1:88にプロキシしています。正直に、ソケットまたは松葉杖をそれらに基づいて見つけようとしましたが、うまくいきませんでした=（

バックエンド：Apacheセットアップ

それでは、Apacheをセットアップしましょう。グループ化された設定ファイルの別のパックは次のとおりです。yadi.sk / d / ZqsisoDl0nzrl

Apacheファイルでは、ドキュメントからコピーすることで各パラメーターに署名しました。これは、構成に便利です。繰り返しますが、私はあなたのニーズに合わせてカスタマイズするためのドキュメントにあなたを送り、重要なことについてあなたに伝えています：

ports.confファイル：ポート88および443をリッスンします。
さらに、libapache2-mod-rpafをインストールします （既に完了しています）。これは、プロキシサーバーから送信されたヘッダーを解読するのに役立ちます。はい、proxy_set_headerディレクティブで設定したヘッダーそのものです。
deflateCompressionLevel 1（ファイル/mods-enabled/deflate.conf）deflineで圧縮率を1に設定し、あまり押さないことにしました。いずれにせよ、サーバーに余分な手を持っているなら、なぜ9ではないのでしょうか？
mod_headersモジュールを有効にし、conf.d / securityファイルで、ポート443でハングしているホストのセキュリティのためにいくつかのヘッダーを切り取りました。構成の詳細。なぜこのポートをプロキシなしで放置したのかわかりませんが、それは事実です。何かが私の手に届かなかった、または私は恐れていた、それから私の手は届かなかった。いずれにせよ、普通の人間は彼に連絡することを禁じられています。ところで、Apache version> = 2.2.21では、この問題はカーネルレベルでの特別な調整によって解決されました。
ServerTokens Prod、ServerSignature Off-繰り返しますが、おいしい場所には輝きません。
ディレクトリセクションのセキュリティファイルでは、仮想ホストのファイルの冗長性が少なくなるように、できるだけ多くの異なる設定を説明しました。
TimeOut 310-310秒の理由をすでに書いています。
RLimitMEMは興味深いものです。読むことをお勧めします。 Apacheが全体として消費するメモリを制限できます。他のR *パラメータも興味深いものです。
DefaultTypeアプリケーション/オクテットストリーム -提供するものがわからない場合は、それらをバイナリにします。
AddDefaultCharset Off-すべてが1つのエンコーディングであることが確実でない場合は、有効にしない方が良い

あなたが注意を払う必要があるもので、私は終わった。次に、ホスティングタスク用に選択されたmpm-itkモジュールに移りましょう。

実際、このモジュールは、新しいサーバーにアクセスするたびに新しいプロセスが作成され、特定のユーザー（www-ru-exampleなど）に切り替わるという点で便利です。つまり、このユーザーは自分のディレクトリで「ロック」されており、オペレーティングシステムが正しく構成されていれば、どこからでもスクリプトを取得できません。私は、debianの多くのデフォルト設定ファイルがすべての人に読むために開かれていることに注意してください!!! ..

このMPMの話は興味深いです。実際には、mpm preforkに基づいて作成されているため、prekのすべての設定がitkにも適用されます。したがって、私の構成ファイルでこれを追跡できます。

MaxClients 150に注意してください。これらは、バックエンドにアクセスする場合と同じ最大150ユーザーです。また、MaxRequestsPerChildにも注意してください。デフォルトではゼロです。少なくとも限定的にインストールすることをお勧めします-これにより、メモリリークの可能性が減少します。

mpm-itkのもう1つの重要なことは、ナイスバリューです。この値を-2に設定します。データベースが結果を返すとすぐに、PHPはすぐに結果を生成して最後まで送信する必要があるためです。 nice-value階層に注意してください。

nginx = -5、apache = -2、mysql =0。これは、コンテンツを可能な限り迅速に生成し、ユーザーに提供するために行われます。オペレーティングシステムは、後で非優先プロセスを置き換える必要があります。

Apacheの基本的な保護について少し説明したいと思います。

システム管理者が知っておくべき攻撃には、killapache.pl、遅い投稿、遅いロリなど、いくつかの種類があります。これらの攻撃はすべて、Apacheを開くのが非常に簡単です。 mod_headersまたはnginxは、特定のヘッダーを禁止することで問題を解決できるkillapache.plから保存します。彼らは、killapache.plはプロトコル自体の問題だと言っています。スローポスト、スローロリは同一の攻撃です。1つは非常に遅いチャネルで大きなPOSTを送信するときに行われ、もう1つは生成されたコンテンツを非常に遅いチャネルでクライアントに送信することで行われます。これらの攻撃は、私たちが背後に隠れていた、強力で筋肉質で可ineなnginxサーバーにとっては怖いものではありません。 Apacheの場合、それは致命的に類似しています。たとえば、サーバーがすべてのデータを提供した後にPHPサンドボックスがクリーンアップされます。次に、消費できるメモリ量を想像してください。

最後に、構成ファイルではファイルだけを送信したと言いたいです。特に、mods-available、sites- *などからmods対応のディレクトリに対してsimulinkiを作成することを忘れないでください。

読んでくれてありがとう、私が選んだ設定が気に入ってくれたら嬉しいです。私は他のトピックで他の多くのことをカバーしようとします。たとえば、バックエンド（php-mysql）のセットアップとサーバー機能の計算。 1番目と2番目の記事が興味深い場合は、「ユーザーアカウンティングシステム」、「エントリレベルのハードウェアの選択に関する経験」、「サーバーでの作業に関するその他」という2つの記事を公開できます。最後に、指定した記事用にサーバーを迅速に構成するための一連のユーティリティを開発できます。

自宅でのNginx + LAMPサーバーの構成。 パート1：フロントエンドのセットアップ-バックエンド

セットアップを始めましょう

フロントエンド：nginxセットアップ

バックエンド：Apacheセットアップ

More articles:

自宅でのNginx + LAMPサーバーの構成。パート1：フロントエンドのセットアップ-バックエンド