Выделенный сервер своими руками

Многим владельцам выделенных серверов пришлась по нраву такая панель управления хостингом как Directadmin. Стоимость лицензии ниже чем у сипанели, не такая тяжелая, достаточно функциональная, да и просто удобная. По мне, эти панели отличаются друг от друга как, например, кухонный комбайн(cpanel) и мясорубка(directadmin). Если сипанель достаточно многогранна, то директадмин имеет одну четкую задачу, управление хостингом и все. Никаких автоматический инсталляций форумов, магазинов и так далее в нем не предусмотрено. Эти вещи ложаться на плечи самих пользователей хостинга.
Оба подхода имеют своих приверженцев, кто-то любит комбайны, а кто-то простые мясорубки, это дело вкуса каждого . Лично я предпочитаю специализированные вещи.
Читаем дальше »

На самом деле пара слов всего. Если в двух словах - то от DDOS вообще никак не спастись. Реальный ботнет из 100.000 ботов завалит практически любую систему. А если не завалит, то забьет каналы связи, что в общемто приведет к тому же результату - отказу в обслуживании.
Но это не значит что с DDOS не нужно бороться. Мелкий DDOS или DOS можно побороть следующими пакетами:

tcpdump
mod_evasive
(D)DoS-Deflate
APF

Более подробно о настройке всего этого дела постараюсь написать в следующей заметке.

Что такое eAccelerator?
eAccelerator это свободно-распространяемый PHP акселератор, оптимайзер и средство для кеширования динамического контента. Он увеличивает производительность PHP скриптов за счет их кеширования в скомпилированном состоянии, тем самым предотвращая их постоянную перекомпиляцию. В результате происходит увеличение скорости их выполнения. eAccelerator обычно уменьшает нагрузку на сервер и увеличивает скорость исполнения PHP кода на величину от 1 до 10 раз.
В результате моих экспериментов, было выяснено, что скорость выдачи контента, например, для сайтов на Drupal увеличивается до 30 раз!!!
В этой маленькой заметке опишу процесс установки eAccelerator на linux систему.
Итак приступим. Читаем дальше »

Одним из наиболее важных показателей правильности настройки веб сервера (будь то apache или nginx или любой другой веб сервер) безусловно, является его производительность. Для оценки производительности и были разработаны специальные инструменты. Читаем дальше »

Частенько владельцы выделенных серверов получают свои сервера от провайдеров с неверно сконфигурированной локалью. Как следствие в консоли не отображаются русские буквы. На тему русификации уже написана гора всяческих заметок, но я в двух словах опишу  методы  установки правильной локали в CentOS linux  4.x, 5.x

Читаем дальше »

В этой статье я расскажу как настроить Samba 3.x без LDAP, AD и т.д. Для небольших компаний это идеальный вариант. Суть данного способа заключается в том что, User включив компьютер и при входе в систему Windows введя Login: ХХХХ и Password: XXXX может зайти на SMB сервер в ту папку, которую вы ему разрешите. Важно чтобы пользователь в виндозе был зареган с логином на латинском и паролем не менее 6 а лучше 12 символов.
Читаем дальше »

Ну вот. После всех настроек нашего выделенного сервера, наконец-то приступим к установки самой панели управления ISPConfig. В качестве примера будем использовать CentOS 4.4, хотя практически ничем установка не будет отличаться для любого rpm based дистрибутива.
Итак.
Заходим в консоль и для начала устанавливаем flex.

yum install flex

Затем качаем исходник ISPConfig и запускаем инсталляцию:

cd /usr/local/src
wget http://prdownloads.sourceforge.net/ispconfig/ISPConfig-2.2.18.tar.gz?download
tar zxf ISPConfig-2.2.18.tar.gz
cd install_ispconfig
./setup

После чего запустится инсталлятор и начнется установка ISPConfig.
Читаем дальше »

Одной из наиболее важных служб в выделенном сервере либо VDS, несомненно, является сервер доменных имен. Одной из реализаций ДНС сервера в linux является пакет bind. Опишу простую установку и настройку пакета bind на CentOS 4.х linux. Хотя практически без изменений эту конфигурацию можно использовать для всех linux дистрибутивов.
Читаем дальше »

Про спам уже написано много. Но проблема все равно остается. Особенно актуален вопрос рассылки спама с шаред хостингов. Покупает, к примеру, спамер самый дешевый тарифный план на хостинге, закачивает туда скрипт и спамит. В результате от такого урода страдают все клиенты данного хостинга. Потому как ip адрес такого сервера на вторые сутки попадает чуть ли не во все известные черные списки и стоит больших трудов его из них убрать.

Один из методов защиты от рассылки спама на хостинге с использованием панели управления Directadmin описан на их сайте. И еще тут.
Приведу произвольный перевод:
Скачиваем новые конфиги exim с сайта directadmin, выставляем права, создаем кучу файлов, назначаем им права.

wget -O /etc/exim.conf http://files.directadmin.com/services/exim.conf
wget -O /etc/exim.pl http://files.directadmin.com/services/exim.pl
chmod 755 /etc/exim.pl
cd /etc/virtual
touch blacklist_domains whitelist_from use_rbl_domains bad_sender_hosts blacklist_senders whitelist_domains whitelist_hosts whitelist_senders
echo 100 > limit
mkdir usage
chown mail:mail blacklist_domains whitelist_from use_rbl_domains bad_sender_hosts blacklist_senders whitelist_domains whitelist_hosts whitelist_senders limit usage

После чего рестартуем exim:

/sbin/service exim restart

Основная строка:
echo 100 > limit

В файле /etc/virtual/limit указываем количество почтовых сообщений в сутки для одного клиента. Если в этом файле указано число отличное от 0, то exim.pl начинает подсчет количества почтовых отправлений для каждого пользователя. В директории /etc/virtual/usage создается два типа файлов: ‘username’ и ‘username.bytes где ‘username’ - это логин пользователя в directadmin. В файле ‘username.bytes’ в каждой строке хранится еще и размер каждого почтового сообщения. Конечно изучать надо будет строки содержащие method=outgoing, так как мы изучаем исходящую почту. В файле ‘username’ при отправке кажого письма просто дописывается одна единица. Количество байт в файле и указывает на количество исходящих почтовых сообщений. Таким образом, анализируя эти два файла можно выявлять спамеров и соответственно их наказывать.

Надеюсь моя заметка поможет владельцам выделенных серверов и VDS в выявлении спамеров.

Полсе установки и начальной настройки почтовой системы, необходимо проверить ее функционирование.
Для проверки подключаемся к postfix с помощью telnet:

telnet localhost 25

В результате выполнения команды видим примерно такое:
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 server.domain.com ESMTP Postfix
Вводим следующую команду:

ehlo localhost

В результате мы должны увидеть примерно следующее:
250-server.domain.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME

Если в выдаче присутствуют строки вида:
250-STARTTLS
и
250-AUTH
Значит конфигурация настроена правильно.
Набираем

quit

и выходим в шелл.
Читаем дальше »

При настройке iptables владельцы VDS созданных на базе OpenVZ часто испытывают трудности. Скрипты типа apf и csf не запускаются, и в результате сервер имеет меньшую степень защиты. В чем же причина некорректной работы iptables. На самом деле все просто: этих модулей просто нет в VDS либо они есть, но не все.
Итак, что можно предпринять.
Если вы сами являетесь владельцем OpenVZ ноды, то есть основного физического сервера, на котором и работают VDS, то нужно предпринять следующие шаги.
1. Сначала на основном сервере в файле /etc/sysconfig/iptables-config изменить переменную IPTABLES_MODULES. Обычно она выглядит вот так:
IPTABLES_MODULES=""
А поменять ее нужно на такую:
IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"
и перезагрузить службу iptables:

service iptables restart

Следующим шагом будет редактирование файла /etc/sysconfig/vz на основном сервере(ноде)
меняем переменную IPTABLES на:
IPTABLES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"
После чего перезагружаем все VDS командой:

service vz restart

На этом все.
Для установки apf на VDS разработчики OpenVZ также рекомендуют увеличить значение numiptent для VDS. Это значение лимитирует суммарное количество правил которые могут использоваться данным VDS. По умолчанию это значение равно 200, но сам скрипт apf создает около 200 правил. Поэтому разработчики OpenVZ рекомендуют устанавливать значение numiptent около 400 следующей командой:

vzctl set 103 --numiptent 400 --save

где 103 - номер VDS для которого это значение устанавливается.

Долго мучался с apf. Все таки получилось. Постоянно вываливались ошибки типа:
iptables: Memory allocation problem
iptables: Memory allocation problem
Скрипт запускался, но не в полной мере.
Оказалось что все таки значений типа –numiptent 400 недостаточно. Желательно еще увеличить это значение до 500-600.
Альтернативным путем решения этой проблемы является установка другой, более свежей и более гибкой версии настройщика правил для фаервола. Это скрипт csf. Установка практически не отличается от установки apf. Настройка интуитивно понятна, конфигурирование тоже не составляет проблем. Поэтому всем рекомендую.

cd /usr/local/src
wget http://www.configserver.com/free/csf.tgz
tar zxf csf.tgz
cd csf
./install.sh

Самая минимальная последовательность действий при создании нового OpenVZ VDS на ноде. Создаем VDS который будет иметь номер 103. Меньше 100 не рекомендуется. Начинают обычно со 101.


vzctl create 103 --ostemplate centos-4 --config vps1.mytest
vzctl set 103 --ipadd 192.168.0.123 --save
vzctl set 103 --hostname de02.domain.com --save
vzctl set 103 --nameserver 192.168.0.1 --save

Создается VDS с номером 103, шаблоном centos-4 и конфигом vps1.mytest

При необходимости меняем дисковую квоту. (сколько выделить места для всего VDS)
В нашем примере выделили 20 Гигов:

vzctl set 103 --diskspace 20000000:20000000 --save

Выставляем квоты для пользователей, групп внутри нашего VDS: (очень надо если на этом VDS еще и хостинг будет делаться. Потому как панели управления хостингом без этого ругаются)

vzctl set 103 --quotaugidlimit 200 --save
vzctl stop 103
vzctl start 103


Нужно обязательно перегрузить VDS после установки квот. Проверить квоты можно с помощью команды которую запусать нужно уже на самом VDS:

repquota /

Cтартуем новый VDS.

vzctl start 103

Выставляем пароль рута:

vzctl set 103 --userpasswd root:новыйпароль

Вот минимум действий.

Для перезагрузки надо сначала остановить сервер а потом стартануть:


vzctl stop 103
vzctl start 103


Следующим шагом подготовки нашего сервера является установка почтовой системы. Будем ставить Postfix с поддержкой SMTP-AUTH и TLS. А также dovecot который будет использоваться в качестве POP3/IMAP сервера.
Итак пишем:
yum install cyrus-sasl cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 cyrus-sasl-plain postfix dovecot
Этими действиями ставим все что нам для этого нужно. Далее перейдем к конфигурированию postfix.
Открываем в редакторе файл /etc/postfix/main.cf vi /etc/postfix/main.cf, переходит в самый низ и добавляем следующие строки:

smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
mynetworks = 127.0.0.0/8
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Сохраняемся и выходим.
Далее редактируем файл /usr/lib/sasl2/smtpd.conf для того чтобы Postfix понимал методы авторизации PLAIN and LOGIN.
Открываем vi /usr/lib/sasl2/smtpd.conf и добавляем в файл следующие строки:
pwcheck_method: saslauthd
mech_list: plain login
Сохраняемся и выходим.
Далее идет серия команд для создания ssl ключей и сертификатов:

mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr
openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Далее изменяем файл /etc/dovecot.conf так чтобы он обрабатывал протоколы imap imaps pop3 pop3s. Открываем файл
vi /etc/dovecot.conf
изменяем строку
protocols = imap imaps
на
protocols = imap imaps pop3 pop3s
Сохраняемся и выходим.
Теперь пишем для старта postfix, saslauthd и dovecot:


chkconfig --levels 235 sendmail off
chkconfig --levels 235 postfix on
chkconfig --levels 235 saslauthd on
chkconfig --levels 235 dovecot on
/etc/init.d/sendmail stop
/etc/init.d/postfix start
/etc/init.d/saslauthd start
/etc/init.d/dovecot start

Для начала скажу что ISPConfig это панель, которая использует предустановленный на сервере почтовый сервер, веб сервер, php, mysql, perl и другие. То есть прежде чем мы будем устанавливать саму панель ISPConfig, первым делом необходимо подготовить систему, а именно установить и настроить необходимый софт. В своей заметке я опишу необходимые шаги, для подготовки системы CentOS 4.4. С небольшими доработками ее можно использовать для подготовки любой rpm based системы.
Приступим.
Читаем дальше »

Вот раздумываю на тему написания серии заметок по установке, настройке и использованию такой замечательной и незаслуженно обделенной вниманием в рунете панели управления хостингом как ISPConfig. Для владельцев выделенных серверов а также виртуальных выделенных серверов думаю эта панель подойдем оптимально. Да, для шаред хостинга думаю она не подойдет. Но для нужд размещения своих собственных сайтов, а также сайтов своих друзей и хороших знакомых на своих серверах, эта панель подойдет без особых проблем. А главное ее преимущество по сравнению с другими панелями - бесплатность и легкость в установке. Читал на тему ISPConfig несколько отрицательных отзывов. Таким могу только ответить фразой из рекламы: “Вы просто не умеете их готовить!”
Так что скоро приступлю с серии заметок по ISPConfig, в общем то эта - первая из них.