Forum Debian Users Gang

Oba serwery są lepsze od Apacha pod względem wydajności, oba nie mają modułu na miarę mod-security, także trzeba znacznie staranniej skonfigurować  ustawienia na poziomie serwera i aplikacji www, na każdym serwerze warto wyrzeźbić regexa, który będzie filtrował dopuszczalne zapytania GET i POST.

Nginx jest najszybszy, Lighttpd trochę wolniejszy od Nginxa, ale znacznie prostszy w konfiguracji, php na obu przez php-fpm.

SElinux? jak poradzisz sobie z konfiguracją, to ok, ja wolę Grsecurity, w nim potrafię postawić coś mocniejszego, niż "schron atomowy".
Do Selinuxa z resztą przyda się PAX obecny w łatce Grsecurity.
Sznurki:
http://www.gentoo.org/proj/pl/hardened/primer.xml
http://www.gentoo.org/proj/pl/hardened/pax-quickstart.xml

Roundcube jest fajne, ja bym tylko radził wypuścić tylko po ssl i autoryzację wywalić z roundcube na poziom serwera  - http-auth, jest to bezpieczniejsze, niż skrypty w php.
tak samo phpmyadmin i inne panele do zarządzania napisane w php czy cgi.

Poczta, mój typ - Netqmail + Dovecot - najbezpieczniejsze, co w życiu stawiałem, może też być Postfix, ale zdecydowanie nie podobna mi się proces master wiszący z uprawnieniami roota na publicznych portach.
Qmail wisi jako Qmaild, a nie root, i w ogóle jest dużo prostszy w konfiguracji, choć ma też swoje wady.

Z tego samego powodu lubię Lighttpd, choć Nginxa też  można upoważnić, żeby wisiał jako nie root tylko user, przez mechanizm capabilities.
Sznurki:
https://wiki.archlinux.org/index.php/Using_File_Cap … ad_Of_Setuid.
https://wiki.archlinux.org/index.php/Nginx
http://redmine.lighttpd.net/projects/1/wiki

Lighttpd ma IMHO najlepiej ze wszystkich serwerów rozwiązany problem skryptów cgi.

Plesk? nie używam, ale spróbuj Webmina, i Usermina/Virtualmina, choć to nie ideały, to jakośtam działają.

Zależy do czego i dla kogo jest ten panel.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-06-28 01:28:29)

-A czym się różni webmin usermin i virtualmin? Bo jedni producenci bodajze. Potrzebuje konkretow bo nie rozumiem dlaczego to jest podzielone ;]
-W sumie grsecurity poczytalem tu i tam i to jest to
-Decyduje sie na ngnix
-Roundcube zostawiam i co dokladnie miales na mysli z ta autoryzacja? Na chlopski rozum.

redelek napisał(-a):

Ja przepraszam, ale nie mogę się nadziwić wiedzy @Jackalex , szacunek szacunek i pokłony w pas dla Ciebie. Kiedy Twoja książka na temat Debiana się pokaże ?:))) Ile trzeba wydać kasy żeby Cię zatrudnić ?

Wiedza o Debianie - to raczej Arni albo azhag.
Ja zdecydowanie wolę Gentoo.

Jak potrzebne wsparcie komercyjne, to proszę na PW. :D

Ostatnio edytowany przez Jacekalex (2013-06-28 17:29:12)

Tak testowałem wlasnie webmina i reszte. I powiem ze bardzo mi sie podba. Nawet bardziej zadowala niz plesk :)

Jezeli chodzi o grsecurity, iptables .To jeszcze co powinienem wiedziec odnosnie zabezpieczen serwa?  :)

Jeśli mogę coś polecić od siebie. Jeśli zarabiasz jakieś złotówki i chcesz aby klienci byli zadowoleni z panelu jaki i rozwiązań które oferujesz, to jak najbardziej polecam Tobie Direct Admina. W tym panelu nie kradną tak pieniędzy z Ciebie jak z Pleska ( szczerze jak wpadłeś aby tyle siana im płacić?:P) jest super sprawa z licencją lifetime którą płacisz raz i masz aktualizacje na zawsze. Oprócz tych zabawek z jądrami jakie Jacek polecił ja mogę dodać że w tym panelu masz banalne instalowanie aplikacji które są ręcznie kompilowane ze źródeł poprzez specjalny zestaw zwany custombuildami i podczas instlacji możesz zlecić nawet modrui które jest obecnie dość popularne gdyż userom nie chce się już bawić z uprawnieniami do plików podczas instalacji bądź aktualizacji najnowszych wordpressów. W codzienności mogę śmiało polecić nginx'a jako ostatnio najbardziej wzrostowy serwer www który generuje podan 80% CDNów na świecie i jest ideralny wszelakiego rodzaju stawianiu serwerów proxy bądź jeśli chcesz być naprawdę już pro i połączyć apache i nginx to polecam zestawienie reverse proxy czyli masz wszystkie moduły z apacha które są normalnie obsługiwane + kontent statyczny, dynamiczny zaś jest obsługiwany poprzez serwer nginx co znaczenie poprawia wydajność na serwerze a co za tym idzie nie trzeba go rozbudowywać i tracić złotówek.

Panel dla klientów? ok.
Dla admina? w Webminie można elegancko klikać strefy dla Binda, (o ile ktoś nie zapiął DNSa do serwera SQL), i  Quoty dyskowe, a także kilka innych  prostych rzeczy.

Resztę lepiej robić w konsoli, bo i tak kiedyś panel administracyjny coś spartoli, i będzie trzeba rzeźbić w konsoli i edytować pliki konfiguracyjne.
Tak to już jest, umiesz liczyć, licz na siebie.

Wtedy przynajmniej wiadomo, co jest grane w systemie.

Wszelkie DA i Pleski są o tyle wspaniale, że łatwiej nimi conieco popierzyć, niż cokolwiek skonfigurować, Webmina też nie polecam do SSH, Apacha czy Postfixa, bo to zazwyczaj się źle kończy, prędzej czy później.
Ładnie się w nim klika serwer dhcp i Binda.

Do zarządzania domenami i skrzynkami pocztowymi najlepszy jest Vpopmail, jednak niekompatybilny z Postfixem niestety.
Przy nim Postfixadmin to ciężkie nieporozumienie, choć można trochę Postfixadmina uprościć, jak np Dovecot automatycznie zakłada skrzynki pocztowe, i nie trzeba zewnętrznych skryptów podpinać i z sudo kombinować.


Spamassassina też w jakimkolwiek panelu można tylko spartolić, tam jest o wiele za dużo  dużo ustawień, żeby to jakiś konfigurator ogarnął.
Lepiej go podpiąć do Mysql, i w RoundCube jest bardzo fajny panel do konfigurowania najprostszych opcji Spamassasiina per/pacjent, są też wtyczki sieve dobrze działające z Dovecotem.

Natomiast DA i Pleski do administrowania serwerami to ja polecam lamerom, żeby się fascynowali, jaka to "wygoda", i jaka specjalna "wydajność".

Ostatnio edytowany przez Jacekalex (2013-06-29 02:28:14)

Tzn wydaje mi sie ze webmin a dla klientow virtualmin bo wlasnie klienci oczekuja mozliwosc wlasnej konfiguracji jakis ustawien dns , poczty czegokolwiek. Mi np w parralelsie nie podoba si epredkosc za duzo grafii wszystko zamula. Panel to cos do czego sie wchodzi =by cos ustawic i wychodzi i zerka dopiero pozniej. Wiec po co robic z tego przeladowana syfem "nasza klase". Webmin jest szybki a dla klientow tym bardziej wszybki virtualmin. Nad webminem sie jeszcze zastanowie czy wogole z tego korzystac ale virtualmin na pewno zainstaluje.
Ngnix musze poczytac many o tym jak to dobrze skonfigurowac by n serwie miec i php5 i koniecznie ruby. Bede musial tylko posiedziec nad przerobka kodu roundcube bo jest troche przesmiecony dobrze ze w php.

Sam osobiscie wole jednak po sutawiac cos w konsoli, configach bo konfiguratory tworzarozne swoje pliki porozrzucane nie wiadomo gdzie