Руководство по настройке сервера

Что такое сервер и как его настроить

Изучите основы серверов и их настройки, включая виды серверов, общие шаги настройки и пример развертывания веб-сервера на базе Nginx.

Сервер — это компьютер или система, предоставляющая услуги или ресурсы другим компьютерам, называемым клиентами, через сеть. В контексте веб-разработки серверы обычно обрабатывают запросы пользователей, отправляют страницы и данные, а также выполняют различные задачи, такие как хранение информации или обработка форм. В этой статье мы рассмотрим основные аспекты серверов и их настройки. 🌐

Виды серверов

Существует множество видов серверов, и они могут выполнять разные функции. Некоторые из наиболее распространенных типов серверов включают:

• Веб-серверы: хостят веб-сайты, обрабатывают HTTP-запросы и отправляют HTTP-ответы (например, Apache, Nginx).
• FTP-серверы: предоставляют доступ к файлам через протокол передачи файлов (FTP) (например, ProFTPD, FileZilla Server).
• Базы данных: хранят, обрабатывают и управляют данными (например, MySQL, PostgreSQL, MongoDB).
• Почтовые серверы: обрабатывают и отправляют электронную почту (например, Postfix, Exim).

Настройка сервера

Настройка сервера — это процесс настройки аппаратного и программного обеспечения для определенных задач и требований. Вот несколько общих шагов для настройки сервера:

1. Выбор хостинга: Выберите подходящий хостинг-провайдер (например, AWS, DigitalOcean, Heroku), который предоставит вам аппаратные ресурсы и поддержку для развертывания сервера.

2. Установка операционной системы: Установите подходящую операционную систему для вашего сервера (например, Ubuntu, CentOS, Windows Server).

3. Настройка сети: Настройте сетевые параметры, такие как IP-адрес, маска подсети и шлюз, чтобы обеспечить корректное подключение сервера к сети.

4. Установка и настройка серверного ПО: Установите и настройте необходимое для вашего сервера программное обеспечение (например, веб-сервер, базу данных, почтовый сервер).

5. Настройка безопасности: Настройте меры безопасности, такие как брандмауэр, антивирусное программное обеспечение и обновления безопасности, чтобы защитить ваш сервер от угроз.

6. Развертывание приложений: Разверните свои веб-приложения или другие ресурсы на сервере и протестируйте их работоспособность.

Пример: настройка веб-сервера на базе Nginx

1. Установите Nginx на вашем сервере, используя пакетный менеджер вашей операционной системы. Например, для Ubuntu:

sudo apt update
sudo apt install nginx

1. Настройте файл конфигурации Nginx (обычно расположен в /etc/nginx/nginx.conf или /etc/nginx/sites-available/default), указав корневую директорию вашего веб-сайта и другие параметры, такие как:

server {
    listen 80;
    server_name example.com;
    root /var/www/html;
    index index.html;
}

1. Перезапустите Nginx для применения настроек:

sudo systemctl restart nginx

1. Проверьте, что ваш веб-сайт доступен, перейдя по адресу http://example.com.

Теперь вы знаете, что такое сервер и как его настроить. Удачи в вашем пути в мир веб-разработки! 🚀

Время на прочтение
12 мин

Количество просмотров 29K

Ведение

Данный материал является серией статей, вы можете ознакомиться с остальными частями по следующим ссылкам:

https://habr.com/ru/company/nixys/blog/646023/ — вторая часть

https://habr.com/ru/company/nixys/blog/646545/ — третья часть

Приветствую читателей. В практике нашей компании часто появляется потребность в настройке серверов для простых односерверных проектов или небольших кластеров. В этой статье я бы хотел рассказать вам о нашем опыте подобной настройки, выделить особенности, которые могут вам пригодиться при дальнейшем администрировании. Статья предназначена для людей, которые только вникают в администрирование, а также для тех, кто самостоятельно администрирует свой небольшой проект и хочет набраться опыта в этом деле. Если вы являетесь опытным администратором, то можете смело пропускать данный материал.

Целью серии статей является описание подготовки работы сервера со стеком LEMP (Linux, Nginx, MySQL, PHP, Apache), развертывание стэка и поднятие на нем работающих площадок. Инструкция подойдет для небольших Bitrix проектов, а тажке для проектов развернутых под любой популярной CMS.

Не смотря на то, что тема уже достаточно подробно отражена в сети, мы решили подробно описать общие стандарты администрирования с нуля, по-скольку регулярно получаем большое количество базовых вопросов от людей, так или иначе, связанных с нашей сферой.

Большая часть проектов базируется на ОС Ubuntu, Debian в статьях будут отражены настройки для этих систем. 

В данной статье будут описаны такие вещи как:

• Общая схема работы сервера

• Базовые пакеты

• Настройка git-autocommit

• Базовая настройка SSH, добавление на сервер администратора

• Базовая настройка FTP:

• Базовая настройка exim4 (smarthost)

Общая схема работы сервера:

Представим, что вы получили сервер с установленной ОС, без каких-либо дополнительных настроек и кастомизаций со стороны ДЦ. Целью работы сервера является обслуживание сайта с развернутым на нем LEMP стэком.

Для удобства ниже представлена схема работы такого сервера со всем необходимым для работы ПО:

 В нашем случае вместо PHP-FPM будет развернут Apache2, поэтому данный стэк является не совсем LEMP, но вместо Apache2 можно без каких-либо проблем развернуть PHP-FPM, целью статьи является все же указать на основные базовые моменты при настройке серверов для простых проектов.

На данной схеме отражено не все ПО, необходимое для работы и анализа проблем, это лишь основные компоненты, требуемые для работы нашей будущей площадки. В статье будет приведен более полный список ПО, а также более подробно описана работа каждого компонента данной схемы.

Базовые пакеты:

Для того, чтобы начать развертывание проекта, необходимо установить базовые пакеты для работы. Для их развертывния актуальны следующие команды:

apt-get update && apt-get install dirmngr mc iotop htop telnet tcpdump nmap curl console-cyrillic hexedit sudo zip unzip patch pwgen vim less parted subversion ntp bzip2 lsof strace mutt s-nail ncdu smartmontools tree dnsutils logrotate rsyslog

Здесь мы устанавливаем инструменты для работы на сервере, а также инструменты для анализа будущих проблем в работе сервера. Я не буду останавливаться на всех пакетах, а лишь перечислю самые необходимые:

• dirmngr – необходим для добавления ключей репозиториев.
  mc – он же Midnight Commander, файловый менеджер, не нуждающийся в представлении

• iotop – утилита, показывающая каналы ввода/вывода; будет полезной при анализе работы дисков.

• htop – наше все, могучий монитор ресурсов, отображающий всю информацию о текущем потреблении ресурсов системы. Позволяющий также отправлять системные вызовы процессам, менять их приоритет в системе и многое другое.

• telnet – на практике, часто используем для проверки доступности удаленных портов. В случае если порт закрыт, мы будем точно знать, что проблема не на нашей стороне.

• tcpdump и nmap – утилиты для анализа сетевого трафика

• Curl – используем для отправки различных запросов, отладки работы веб-серверов.

• console-cyrillic — пакет для русификации консоли (поддержки кириллицы в локальном терминале).

• hexedit —  пакет для редактирования данных, в котором данные представлены как последовательность байтов.. 

• zip, unzip, bzip2 – также не нуждаются в представлении, известные архиваторы данных.

• pwgen – утилита для генерации паролей, будет полезна для оперативного создания доступов любого уровня.

• strace – утилита для анализа системных вызовов процесса, используется для расширенного анализа работающих в системе процессов. По факту мы используем strace в тех случаях, когда логи сервисов не указывают на конкретную проблему.

• ncdu – удобный инструмент для быстрого отображения размера данных в директории.

• logrotate – инструмент для ротации логов в системе, также в отдельном представлении не нуждается.

После установки базовых пакетов устанавливаем время на сервере согласно текущему часовому поясу, с помощью команды:

dpkg-reconfigure tzdata

Далее выбираем нужные локали в системе (RU-UTF8, RU-KOI8R, RU-CP1251):

dpkg-reconfigure locales

Применяем локали:

/etc/default/locale

Устанавливаем MC как редактор по умолчанию:

update-alternatives --config editor

где выбираем пункт mcedit.

Настройка git-autocommit

В процессе администрирования мы часто сталкиваемся с тем, что необходимо оперативно выяснить, кто и когда внес изменения в те или иные конфигурационные файлы. Для решения этой проблемы мы используем git-autocommit, который фиксирует изменения в конфигах в локальный git репозиторий сервера. Ниже будет описана его настройка:

Ставим на сервер Git:

apt-get install git

Создаем файл конфигурации в корневой директории root пользователя с нужными правами:

touch ~/.gitconfig
chmod 600 ~/.gitconfig

Файл имеет следующее содержание

[user]
           	name = root
           	email = root@$HOSTNAME

$HOSTNAME заменяем на соответствующее название сервера в проекте. Далее потребуется создать репозиторий, с помощью команд:

cd 
git init && mv .git config.git
chmod 700 /root/config.git
echo "gitdir: /root/config.git" > /.git && chmod 600 /.git

Далее задаем директории, для который автокоммит не должен фиксировать изменения, в файл ~/config.git/info/exclude:

/*
!/etc
!/usr
/usr/*
!/usr/local
/usr/local/*
!/usr/local/scripts
!/var
/var/*
!/var/spool
/var/spool/*
!/var/spool/cron
/var/spool/cron/*
!/var/spool/cron/crontabs

На практике же нас интересуют директории /usr и /etc. В случае, если на проекте есть конфигурации docker контейнеров, не помещенных во внешний git репозиторий, мы также добавляем директорию в которой расположен docker-compose к автокомиту для отслеживания изменений. С недавних пор мы также отслеживаем изменения в пользовательских кронатобов /var/spool/cron/crontabs, так как существует проблема потери крон задач на Битрикс проектах. Также некоторые клиенты могут удалить нужную задачу по невнимательности.

После делаем первый коммит и проверяем:

git add -A && git commit -m 'Создание репозитория @system'

Также мы реализуем постоянное отслеживание установленных пакетов на сервере с помощью git autocommit, для этого записываем все текущие установленные пакеты в файл с помощью крон задачи:

* *      	* * *   	root     	/usr/bin/dpkg -l > /etc/package_list

Сам автокоммит запускается с помощью следующего крона:

* *          	* * *       	root        	sleep 10;cd / && git add -A && git commit -m "Autocommit @system" > /dev/null

Таким образом мы можем посмотреть, какие именно изменения вносились в конфигурации сервиса и в какое время. Пример коммита для файла etc/nginx/nginx.conf вызываем командой:

git log --follow -p /etc/nginx/nginx.conf

Результат:

git log --follow -p /etc/nginx/nginx.conf
 
Результат:
commit be993a2734e9f206ed7cb8ee52f54a52ca642cc9
Author: root 
Date:   Tue Oct 12 14:37:11 2021 +0300
 
    Autocommit @system
 
diff --git a/etc/nginx/nginx.conf b/etc/nginx/nginx.conf
index 8c9ed7c..8d694c9 100644
--- a/etc/nginx/nginx.conf
+++ b/etc/nginx/nginx.conf
@@ -52,12 +52,12 @@ deny 178.166.163.237;
     	#limit_conn_zone  $binary_remote_addr  zone=cglob:16m;
 
 
-    	map $http_user_agent $spam_bots {
-            	default '';
-            	~*(321039152) 1;
-    	}
+#    	map $http_user_agent $spam_bots {
+#            	default '';
+#            	~*(321039152) 1;
+#    	}
 
-    	limit_req_zone   $spam_bots      	zone=spambots:16m  rate=2r/s;
+#    	limit_req_zone   $spam_bots      	zone=spambots:16m  rate=2r/s;
 
     	include /etc/nginx/conf.d/*.conf;
     	include /etc/nginx/sites-enabled/*;
 
commit 2df8332dc97681489e43e9aaa85f9078fc50e321
Author: root 
Date:   Tue Oct 12 14:11:11 2021 +0300
 
    Autocommit @system
 
diff --git a/etc/nginx/nginx.conf b/etc/nginx/nginx.conf
index 8d694c9..8c9ed7c 100644
--- a/etc/nginx/nginx.conf
+++ b/etc/nginx/nginx.conf
@@ -52,12 +52,12 @@ deny 178.166.163.237;
     	#limit_conn_zone  $binary_remote_addr  zone=cglob:16m;
 
 
-#    	map $http_user_agent $spam_bots {
-#            	default '';
-#            	~*(321039152) 1;
-#    	}
+    	map $http_user_agent $spam_bots {
+            	default '';
+            	~*(321039152) 1;
+    	}
 
-#    	limit_req_zone   $spam_bots      	zone=spambots:16m  rate=2r/s;
+    	limit_req_zone   $spam_bots      	zone=spambots:16m  rate=2r/s;
 
     	include /etc/nginx/conf.d/*.conf;
     	include /etc/nginx/sites-enabled/*;

Таким образом, мы видим, кто и когда внес изменения. Данное решение крайне полезно при возникновении спорных ситуаций внутри команды или когда проблема в конфигурации всплыла после внесения изменений не сразу, а спустя время.

Базовая настройка SSH, добавление на сервер администратора

После можно приступить к установке и настройке базовых сервисов. Начнем с SSH. Устанавливаем службу, если по каким-то причинам она не была установлена ранее

apt update
apt install ssh

На наших серверах мы ограничиваем всех SSH пользователей через директиву AllowUsers, добавляем и удаляем пользователей по мере необходимости:

AllowUsers USERS_NAMES

Сразу же отключаем доступ для пользователя root путем изменения строки в /etc/ssh/sshd_config:

PermitRootLogin no

Вносим изменения в права на директорию SSH, в целях безопасности:

chmod 750 /etc/ssh

Перезапускаем службу для применения изменений:

/etc/init.d/ssh restart

Дальнейший вход на сервер по SSH будет доступен только для пользователей указанных в AllowUsers. Добавление системных администраторов на сервера происходит с помощью наших внутренних утилит, однако я опишу процесс добавления так, если бы это происходило ручным способом:

Для добавления на сервер системного администратора вам потребуется:

Авторизоваться на сервере от пользователя root

Создать пользователя системы и группу (пользователи площадок и администраторы имеют UID и GID от 10000 это общий стандарт для несистемных пользователей):

groupadd -g 10001 v.pupkin
useradd -g 10001 -u 10001 -s /bin/bash -d /home/v.pupkuin v.pupkuin

Далее создаем домашнюю директорию пользователя и права для него:

mkdir -p /home/v.pupkuin v.pupkuin
cd /home/v.pupkuin v.pupkuin
chown -R v.pupkuin: /home/v.pupkuin v.pupkuin
chmod 751 /home/v.pupkuin v.pupkuin
chmod -R o-rwx /home/v.pupkuin v.pupkuin/*

После нам останется только прокинуть публичный SSH ключ для пользователя v.pupkuin на сервер, а также дать пользователю права на выполнение sudo. Для этого достаточно добавить строку в файл /etc/sudoers вида:

v.pupkuin ALL=(ALL) NOPASSWD: ALL

Делать это нужно исключительно путем выполнения команды:

visudo

Она проверит синтаксис файла /etc/sudoers перед сохранением. Так как если отредактируете файл вручную и он будет с синтаксической ошибкой, вы не сможете авторизоваться в системе от нужного пользователя или перейти в /etc/sudoers, что по сути поломает систему.

При этом обязательно в файле /etc/sudoers  необходимо закомментировать строку:

%sudo ALL=(ALL) ALL

для ограничения выполнения sudo других пользователей. После внесения всех

После внесения всех изменений администратор v.pupkuin сможет попадать на сервер, а для перехода в root достаточно будет ввести команду sudo su —. Обратите внимание на “-“ в данной команде, зачастую многие начинающие системные администраторы забывают об этом. Дефис нужен для подтягивания системных окружений, так, например, без него вы не сможете корректно запустить скрипты на сервере.

После внесения всех изменений перейдите в консоль пользователя v.pupkuin и сгенерируйте пару SSH ключей:

su v.pupkuin -
ssh-keygen -t rsa

В завершении обязательно сгенерируйте пароль для пользователя v.pupkin в системе:

pwgen 15 1

Данная команда сгенерирует случайный 15 значный пароль. После примените его, для этого от пользователя root выполните команду:

passwd v.pupkin

На этом настройку SSH и предоставление доступов администратору можно считать завершенной. Дальнейшие администраторы будут добавлены также по этой схеме.

Базовая настройка FTP:

Далее переходим к настройке доступа к серверу по FTP. Для этих целей будем использовать пакет Vsftpd, который есть в стандартных репозиториях. Устанавливаем пакет:

apt install vsftpd

Стандартный файл конфигурации Vsftpd расположен по пути /etc/vsftpd.conf, но хранить конфигурации всех FTP пользователей в одном файле не совсем удобно для администрирования, поэтому мы создадим отдельный каталог для конфигураций службы и создадим символическую ссылку на конфигурационный файл /etc/vsftpd.conf, чтобы предотвратить конфликты в системе.

Удаляем основной файл конфигурации службы:

rm /etc/vsftpd.conf

Создаем новую директорию, которая будет основной для конфигураций сервиса:

mkdir /etc/vsftp/

Далее создаем основной файл конфигурации /etc/vsftp/vsftpd.conf:

touch /etc/vsftp/vsftpd.conf

Со следующим содержимым:

listen=YES
log_ftp_protocol=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
dirmessage_enable=YES
pasv_enable=YES
port_enable=NO
connect_from_port_20=NO
pasv_max_port=30005 #
pasv_min_port=30000 #
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
ascii_upload_enable=NO
ascii_download_enable=NO
ftpd_banner=Welcome to FTP server.
local_umask=0777
user_config_dir=/etc/vsftp/vsusers
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftp/vsftpd.chroot_list
userlist_file=/etc/vsftp/vsftpd.user_list
userlist_enable=YES
userlist_deny=NO
allow_writeable_chroot=YES
seccomp_sandbox=NO
force_dot_files=YES
pasv_promiscuous=YES

Здесь приведены основные настройки, вы можете их менять в зависимости от своих потребностей. Здесь же мы указываем файлы и директорию, в которых будем описывать FTP пользователей:

/etc/vsftp/vsftpd.chroot_list
/etc/vsftp/vsftpd.user_list
/etc/vsftp/vsusers

Логирование службы вынесено в отдельный файл:

xferlog_file=/var/log/vsftpd.log

Опционально вы можете воспользоваться следующими функциями при необходимости:

Для отображения скрытых файлов в листинге подключения, вне зависимости от настроек FTP-клиента можно использовать параметр force_dot_files.:

force_dot_files=YES

Для исключения постоянных проверок соответствия IP адресов соединения и управляющего, чтобы исключить ошибку «425 Security: Bad IP connecting.», необходимо добавить в файл /etc/vsftp/vsftpd.conf параметр:

pasv_promiscuous=YES

Далее создадим необходмые файлы и директории:

touch /etc/vsftp/vsftpd.chroot_list
touch /etc/vsftp/vsftpd.user_list
mkdir /etc/vsftp/vsusers

А также создадим символьную ссылку для корректной работы сервиса:

ln -s /etc/vsftp/vsftpd.conf /etc/vsftpd.conf

После вам потребуется открыть 21 и 30000:30005 порты для внешних подключений на уровне файрволла, например, следующим образом:

IPTABLES -A tcp_packets_inet  -p tcp -s 0/0 --dport 30000:30005 -j allowed
IPTABLES -A tcp_packets_inet  -p tcp -s 0/0 --dport 21 -j allowed

Мы рекомендуем открывать порты не для всех адресов, а только для тех IP, которым необходим доступ по FTP. 

После выполнения этих действий, применяем права на каталог /etc/vsftp/ в целях безопасности:

chmod 750 /etc/vsftp/

Перезапускаем сервис:

service vsftpd restart

И проверяем, что он работает и запущен:

service vsftpd status
● vsftpd.service - vsftpd FTP server
   Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
   Active: active (running) since Sun 2021-12-19 17:08:13 MSK; 1s ago
  Process: 1285 ExecStartPre=/bin/mkdir -p /var/run/vsftpd/empty (code=exited, status=0/SUCCESS)
 Main PID: 1286 (vsftpd)
    Tasks: 1 (limit: 1171)
   Memory: 608.0K
   CGroup: /system.slice/vsftpd.service
       	└─1286 /usr/sbin/vsftpd /etc/vsftpd.conf
Dec 19 17:08:13 31-31-192-22.cloudvps.regruhosting.ru systemd[1]: Starting vsftpd FTP server...
Dec 19 17:08:13 31-31-192-22.cloudvps.regruhosting.ru systemd[1]: Started vsftpd FTP server.

В завершении всех действий, проверяем, что нужные порты открыты и слушаются службой. Для проверки доступности используем telnet:

telnet 0.0.0.0 21

Где 0.0.0.0 — внешний IP адрес вашего сервера. Если команда выдает статус connected, то порты открыты корректно и служба vsftpd слушает их.

На данном этапе базовая настройка FTP завершена, как добавить конкретного пользователя я расскажу в третьей части статьи.

Базовая настройка exim4 (smarthost)

После настройки работы по FTP переходим к настройке отправки почты с сервера. Так как у нас простой сервер для небольшого проекта, мы будем настраивать exim4 в конфигурации smarthost. То есть почтовый сервер будет осуществлять только отправку почты с сервера, не более.

Приступим к установке пакета:

apt update
apt install exim4 exim4-base exim4-config exim4-daemon-light

После переходим к редактированию файла /etc/exim4/update-exim4.conf.conf, и приводим его к следующему виду:

dc_eximconfig_configtype='internet'
dc_other_hostnames='DOMAIN.RU'
dc_local_interfaces='127.0.0.1 : EXTERNAL_IP'
dc_readhost=''
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets='127.0.0.1 : RELAY_FROM_HOST_IPs'
dc_smarthost=''
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname=''
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'

Где:

1. DOMAIN.RU — Доменное имя сервера, прописанное в обратной зоне.

2. EXTERNAL_IP — Внешний IP данного сервера

3. RELAY_FROM_HOST_IPs — IP адреса satellit-серверов, если они есть.

Параметр dc_eximconfig_configtype отвечает за режим работы почтового сервера, по умолчанию он будет установлен в local, что запретит вам отправлять почту на удаленные сервера.

Далее переходим к файлу /etc/exim4/exim4.conf.template и меняем там значения двух строк:

qualify_domain = DOMAIN.RU
primary_hostname = DOMAIN.RU

Здесь также задаем основное доменное имя, к ДНС зоне которого мы имеем доступ. Данные настройки потребуются нам в дальнейшем, при настройке почтовых записей.

Для системного администрирования важно, чтобы уведомления служб сервера для пользователя root отправленные по почте, отправлялись на нужный почтовый ящик, для этого в exim4.conf.template потребуется  внести следующие изменения, обеспечивающие доставку почты, адресованной пользователю root:

mail_for_root:
  driver = redirect
  domains = DOMAIN.RU
  condition = ${if eq{$local_part}{root}}
  data = admin@nixys.ru

где:

DOMAIN.RU  — это название проекта

admin@nixys.ru – почтовый ящик администратора сервера

После выполнения всех действий перезапускаем exim4:

service exim4 restart

проверяем, что он запущен:

service exim4 status
● exim4.service - LSB: exim Mail Transport Agent
   Loaded: loaded (/etc/init.d/exim4; generated)
   Active: active (running) since Sun 2021-12-19 18:18:11 MSK; 1s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 943 ExecStart=/etc/init.d/exim4 start (code=exited, status=0/SUCCESS)
    Tasks: 1 (limit: 1171)
   Memory: 2.1M
   CGroup: /system.slice/exim4.service
       	└─1191 /usr/sbin/exim4 -bd -q30m

Проверяем, что права на файлы и каталоги exim следующие:

drwxr-x--- 3 root Debian-exim [...] exim4

Помните, что для работы почтового сервиса в режиме smarthost открытие 25 порта не требуется, так как осуществляется только отправка почты.

На данном этапе вы можете проверить отправку почты из консоли, достаточно будет просто ввести команду вида:

echo "Hello there" | mail -s "world" -r адрес@отправителя адрес@получателя

Однако с учетом текущих настроек, почта для вашего домена вряд ли дойдет до получателей. В третьей части статьи мы расскажем, как настроить все почтовые записи таким образом, чтобы ваша почта не оказалась в СПАМе.

Заключение

Обратите внимание, что в данной статье не описывается настройка фаервола. Вы можете настроить правила фаервола любым из доступных вам решений. Для простых проектов мы используем надстройку над iptables в виде пакета nxs-ferm, в основу которого лег стандартный ferm с небольшими изменениями.

Во второй части статьи мы расскажем о настройке веб-серверов. 

Создание площадок и пользователей площадок, обеспечения ими доступов, а также о настройке почтовых записей для отправки почты будет отражено в третьей части статьи.

Управление виртуальным сервером осуществляется с помощью командной строки. Для этих целей удобнее всего использовать бесплатную программу PuTTy. Она не требует установки: скачав и запустив утилиту, вы можете тут же подключиться к VDS по протоколу SSH, введя IP-адрес (номер порта по умолчанию — 22) и нажав на кнопку “Open”. После этого на экране появится окно консоли с приглашением к авторизации “login as:”. Введите root, нажмите “Enter”, далее укажите полученный при заказе услуги пароль и вновь подтвердите действие клавишей ввода. Теперь можно начинать работу.

Сама процедура настройки VDS представляет собой ввод в консоль текстовых команд, с помощью которых можно осуществлять практически любые операции над сервером. Ниже рассмотрена последовательность базовых действий, которые необходимо осуществить сразу после запуска виртуальной машины, а также пошаговая установка связки программного обеспечения, необходимого для размещения веб-сайтов. Примеры адаптированы для двух наиболее распространенных семейств Линукс: Debian (к ней относится, например популярный Ubuntu) и Centos (в него входит сам Centos, Fedora и ряд других).

Внимание! Для ОС версии Bitrix 6, устанавливаемой на VDS, установка LEMP не требуется!

Первоначальная настройка VDS

Обновление программного обеспечения

Начинать настройку VDS необходимо с глобального обновления. Запустить апдейт в Debian-подобных операционных системах можно следующим образом:

apt-get update && apt-get upgrade

для Centos команда иная:

В процессе обновления вас спросят о том, хотите ли вы установить новые пакеты. Отвечайте утвердительно, используя клавишу Y, и подтвердите свой выбор, нажав “Enter”.

Добавление нового пользователя

Работать с сервером под учетной записью root настоятельно не рекомендуется — лучше всего создать нового пользователя и передать ему необходимые права. В Debian-подобных системах это делается командой:

где username следует заменить на желаемое имя пользователя. После ее выполнения вас попросят задать пароль, а затем предложат заполнить дополнительные поля (делать это необязательно — их можно оставить пустыми).

При работе с Centos также используется команда:

Однако пароль задается отдельно:

Передача привилегий root

После создания нового пользователя ему необходимо передать права суперадминистратора, в противном случае вы не сможете полноценно настроить VDS. Делается это через добавление вновь созданной учетной записи в соответствующую группу. Для Debian-подобных:

для Centos-подобных:

gpasswd -a username wheel

Управление SSH

В целях безопасности необходимо проделать ряд манипуляций с конфигурационным файлом sshd_config, который, как легко догадаться, отвечает за настройку удаленного подключения к серверу по SSH. В разных дистрибутивах Линукс для редактирования используются различные утилиты, соответственно, и команды для них будут несколько различаться. В Debian-подобных применяется nano:

nano /etc/ssh/sshd_config

Для сохранения внесенных изменений необходимо нажать комбинацию клавиш Ctrl+X, затем Y и “Enter”. Centos имеет в своем составе редактор vi:

Сохранение информации осуществляется командой :x, после чего необходимо нажать “Enter”.

В sshd_config следует запретить вход с помощью учетной записи root, заменив

на

а также поменять порт SSH, используемый по умолчанию, заменив

например, на

Номер порта лучше выбирать из диапазона 49152-65535 — это позволит избежать возможных конфликтов с различными службами и сервисами Линукс. После описанных манипуляций необходимо перезапустить SSH. В Debian это делается так:

а в Centos:

Теперь необходимо переподключиться к серверу через назначенный порт под новой учетной записью, после чего настройку VDS можно продолжать.

Установка и настройка LEMP

Большинство современных CMS написаны на языке программирования PHP. Это означает, что для размещения практически любого сайта, независимо от типа и функционала, нам понадобится LEMP. Данная аббревиатура обозначает связку современного и очень быстрого веб-сервера Nginx, интерпретатора php-fpm и системы управления базами данных MySQL. Процедура установки достаточно проста и не займет много времени.

Установка Nginx

Начнем с установки Nginx. В Debian-подобных дистрибутивах это делается одной строчкой:

sudo apt-get install nginx

после чего сервер будет автоматически запущен.

В Centos сперва необходимо добавить репозиторий EPEL:

sudo yum install epel-release

и только после этого производить установку:

Финальный этап — запуск Nginx:

sudo systemctl start nginx

Установка MySQL

В Debian-подобных операционных системах сервис баз данных устанавливается командой:

sudo apt-get install mysql-server mysql-client

В процессе вас попросят задать пароль администратора MySQL.

В Centos-подобных дистрибутивах вместо MySQL используется форк MariaDB, обладающий теми же функциональными возможностями. После его установки:

sudo yum install mariadb-server mariadb

сервер баз данных необходимо запустить, а также добавить в список автозагрузки:

sudo systemctl start mariadb
sudo systemctl enable mariadb

Настройка MySQL

Первичная настройка сервера баз данных осуществляется с помощью специального скрипта, идущего в комплекте с основным ПО:

sudo mysql_secure_installation

После запуска вас попросят ввести пароль администратора MySQL, который мы задали на предыдущем этапе, а затем зададут ряд вопросов, отвечать на которые необходимо кнопками Y (да) и N (нет), подтверждая выбор клавишей “Enter”:

• Хотите ли вы сменить пароль? (Change the root password?) — Нет (N)
• Удалить анонимных пользователей? (Remove anonymous users?) — Да (Y)
• Запретить удаленную авторизацию с правами суперпользователя? (Disallow root login remotely?) — Да (Y)
• Удалить тестовую базу данных? (Remove test database and access to it?) — Да (Y)
• Перезагрузить таблицу привилегий? (Reload privilege tables now?) — Да (Y)

Добавление новой базы данных

Управление базами данных осуществляется через консоль MySQL. Чтобы в нее войти, необходимо ввести команду:

после чего авторизоваться, используя пароль администратора.

Для размещения динамического сайта необходимо создать базу данных, с которой будет работать движок. Обычно для каждого проекта создается отдельная БД и отдельный пользователь, который может ей управлять. Давайте создадим базу данных sitedb, пользователя site_user, а затем передадим последнему права на управление sitedb (вы можете заменить предложенные имена на любые другие).

Делается это следующим образом:

Создаем базу данных:

Создаем пользователя (вместо password укажите уникальный пароль)

CREATE USER site_user@localhost IDENTIFIED BY 'password';

Передаем права управления sitedb пользователю site_user:

GRANT ALL PRIVILEGES ON sitedb.* TO site_user@localhost IDENTIFIED BY 'password';

Обновляем данные о привилегиях:

По завершении всех операций выйдите из консоли MySQL:

Установка PHP

Важный этап настройки VDS — установка и конфигурирование интерпретатора PHP. Команды для разных дистрибутивов Линукс отличаются. Инсталляция в Debian осуществляется так:

sudo apt-get install php5-fpm php5-mysql

В Centos — немного иначе:

sudo yum install php php-mysql php-fpm

Конфигурация PHP

Первый шаг — редактирование файла php.ini. В Debian и Ubuntu он располагается здесь:

sudo nano /etc/php5/fpm/php.ini

В Centos-подобных дистрибутивах — непосредственно в каталоге etc:

В обеих системах сперва необходимо раскомментировать и поменять значение в следующей строчке:

на

Таким образом, мы закрыли важную уязвимость, с помощью которой злоумышленники могли бы получить несанкционированный доступ к сайту. На этом настройка интерпретатора на Debian завершена, осталось перезапустить PHP-процессор:

sudo service php5-fpm restart

В Centos же необходимо отредактировать и файл www.conf:

sudo vi /etc/php-fpm.d/www.conf

Здесь требуется найти строчку

и заменить на

listen = /var/run/php-fpm/php-fpm.sock

Также меняем

listen.owner = nobody
listen.group = nobody

на

user = nginx
group = nginx

Далее запускаем интерпретатор, а также вручную добавляем его в автозагрузку:

sudo systemctl start php-fpm
sudo systemctl enable php-fpm

Создание директории

Теперь необходимо создать каталог, в котором будут располагаться файлы вашего ресурса. В любой операционной системе Линукс это делается следующей командой:

sudo mkdir /var/www/sitename.ru/public_html

В данном примере sitename.ru необходимо заменить на доменное имя сайта. Что касается файлов CMS, их следует загрузить в папку public_html. По завершении загрузки необходимо передать права управления веб-серверу. Здесь есть различия в именах, используемых для обозначения Nginx. Для Debian-подобных дистрибутивов команда будет выглядеть так:

sudo chown -R www-data:www-data /var/www/html/*

В Centos иначе:

sudo chown -R nginx:nginx /var/www/html/*

Добавление нового хоста Nginx

Последний этап настройки VDS для размещения сайта — добавление виртуального хоста Nginx. Нам достаточно отредактировать файл default. В семействе Debian это делается так:

sudo nano /etc/nginx/sites-available/default

В Centos:

sudo vi /etc/nginx/conf.d/default.conf

Открыв файл, удалите из него всю информацию, заменив на код, представленный ниже (вместо sitename.ru подставьте актуальное имя сайта), и сохраните результат:

server {
 listen 80; server_name sitename.ru; server_name_in_redirect off; access_log /var/log/nginx/sitename.access_log; error_log /var/log/nginx/sitename.error_log; root /var/www/sitename.ru/public_html; index index.php index.html index.htm default.html default.htm; location / { try_files $uri $uri/ /index.php?$args; } error_page 404 /404.html; error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } location ~ \.php$ { try_files $uri =404; fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; }
}

Осталось перезапустить Nginx. Команда для дистрибутивов Debian:

sudo service nginx restart

Для Centos:

sudo systemctl restart nginx

Теперь виртуальный сервер полностью готов к эксплуатации, и можно начинать работу непосредственно с веб-ресурсом. Дальнейшие шаги зависят от выбранной CMS.

Предположим, что у нас уже установлена операционная система Windows Server 2019. Рассмотрим базовую настройку.

Минимальные требования:

1. 64-разрядный процессор с тактовой частотой 1,4 ГГц;
2. ОЗУ 512 МБ (2 ГБ для варианта установки «Сервер с рабочим столом»);
3. диск 32 ГБ;
4. доступ к Интернет.

Первоначальные настройки Windows Server 2019 можно разделить на несколько пунктов:

1. Создание новой учетной записи Администратора.
2. Настройка статического IP-адреса сервера.
3. Проверка правильности настройки времени и часового пояса.
4. Установка всех обновлений системы.
5. Задать понятное имя для сервера и, при необходимости, ввести его в домен.
6. Активировать лицензию Windows Server 2019.
7. Настроить основные параметры безопасности.

Создание новой учетной записи Администратора

Первым шагом будет создание новой учетной записи администратора. Сервер может быть подвергнут атакам, т.к. предполагается, что вы используете “Администратор” в качестве основной учетной записи администратора. Поэтому создадим новую учетную запись и выдадим ей права администратора.

Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно Выполнить, в котором для вызова панели Управление компьютером, вам нужно написать:

Затем на вкладке “Локальные пользователи и группы” переходим в “Пользователи” и по клику правой кнопки мыши в основном окне выбираем пункт “Новый пользователь”. После создаем пользователя, задаем ему пароль и выдаем права Администратора. Затем выходим из учетной записи “Администратор” и заходим в свою новую учетную запись.

Повторите все описанные действия выше до момента создания нового пользователя, отключите базовую учетную запись “Администратор” в целях безопасности сервера, так как вы будете выполнять остальные действия по настройке под учетной записью нового администратора.

Настройка статического IP-адреса сервера

Серверы должны иметь фиксированные IP-адреса. Это требование для многих служб (Active Directory,DNS,DHCP).

Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно выполнить, в котором для вызова сетевых настроек, вам нужно написать:

У вас появится окно «сетевые подключения» со списком доступных вам сетевых адаптеров. Щелкните по нужному левой кнопкой мыши дважды.

В окне “Состояние” выберите Свойства -> IP версии 4(TCP/IP) -> Использовать следующий IP-адрес -> Введите данные статического адреса -> Нажмите “Ок”.

Настройка времени и часового пояса

В целях безопасности, таких как правильная работа двухфакторной аутентификации и правильной работы журналов, служб, отдельных программ на Windows Server 2019 — нужно, чтобы время на всех серверах совпадало и было верным по часовому поясу. Иначе неправильное системное время будет отражено во всех программах, где время является критически важным показателем.

Для настройки времени и часового пояса нажмите на: Пуск -> Параметры -> Время и язык.

Установка обновлений

Обновление Windows Server является обязательной ежемесячной рутиной, которая устраняет дыры в безопасности и исправляет неправильно работающие на сервере службы, программное обеспечение. Но, обновляя сервер на последние не протестированные патчи, будьте предельно внимательны, читайте отзывы. Для первоначальной настройки сервера, установить обновления нужно обязательно. Установите обновления Windows: Пуск -> Параметры -> Обновление и безопасность.

В нижней части экрана Центра обновления Windows есть опция “Изменить период активности”. Установите этот параметр, иначе вы станете свидетелем перезагрузки вашего рабочего сервера в рабочее время.

Настройка имени сервера и ввод в домен

Сервер настраивается для определенных целей, ему нужно имя, по которому можно будет проще понимать что это за сервер, отследить его статистику в сетевых подключениях, подключиться к нему, настроить службы и т.д. Меняем имя сервера и его описание (если нужно), вводим в домен.

Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно Выполнить, в котором вам нужно написать:

В окне Панель управления -> Система и безопасность -> Система.

Переходим в свойства системы -> Изменить параметры -> Изменить. Задаем «Имя компьютера», и если нужно, то имя домена. После изменения параметров нужно перезагрузиться.

Активация лицензии

Без активированной лицензии, после того как закончится пробный период пользования, сервер будет перезагружаться каждые 30 минут, чтобы этого не происходило, нужно обязательно активировать сервер для дальнейшей его эксплуатации. Для активации операционной системы нужно: Пуск -> Параметры -> Обновление и безопасность -> Активация -> Изменить ключ продукта. Введите ключ продукта от Windows Server 2019.

Основные параметры безопасности

Как правило, необходимые параметры безопасности связаны с защитой сети, поэтому Брандмауэр Windows должен быть включен, узнайте какие порты нужны вашим службам для работы, настройте его соответствующим образом, но не выключайте брандмауэр.

Дальнейшая настройка заключается в настройке локальной политики безопасности сервера.

Нажимаем сочетание клавиш WIN+R, чтобы у вас открылось окно Выполнить, в котором для вызова панели локальной политики безопасности, вам нужно написать:

В локальной политике безопасности мы установим несколько параметров в разделе Политики учетных записей и Локальные политики. Политика первой учетной записи -> Политика паролей. Установим минимальный срок действия пароля равным 0 (нулю) дней, а минимальную длину пароля — 12 символов.

Политика учетных записей -> Политика Блокировки Учетной Записи -> Порог блокировки учетной записи -> 3 недопустимые попытки входа в систему. Продолжительность блокировки учетной записи и сброса блокировки учетной записи установлена на 30 минут. Если кто-то попытается принудительно ввести ваш пароль Windows Server, то после трех промахов, этот IP-адрес не сможет войти в систему в течение 30 минут.

Перейдем к следующему Локальные политики -> Политика Аудита. Здесь мы установим параметры ведения журнала. У каждого из вариантов, которые установлены, есть карточка с описанием, которую вы можете увидеть для получения более подробной информации.

Нужна помощь? Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг. Также возможны разовые проектные работы.