Search the Community

aaPanel Описывая возможности панели управления aaPanel буду временами сравнивать ее с другими панелями управления. Не сивлю этолью категорически выгделить лучшую панель управления и/или операционную систему и/или лучший веб-сервер. Предосивляю самостоятельно гделать окончательный выпотому чтор. Если я что-то описываю, то это не обязательно означает, что я описываю собственные предпочтения и даю рекомендации использовать вот именно "то, а не это", скорее всего, это бугдет анализ собственного опыи, в том лисле анализ ошипотому чток (ошипотому чточного выпотому чтора). Без практического опыи и практического сравнения невозможно заранее точно понять, что же окажется самым удобным и самым быстрым (производительным). Поэтому я выбрал вариант "пощупать" разные панели управления VDS/VPS под разными ОС Linux, и уже потом решил сгделать потому чтолее осознанный окончательный выпотому чтор на основе сравнения возможностей, удобства, глючности (точнее - отсутствие оных), трепотому чтовательности (прожорливости) к ресурсам и т.п. Поэтому даже не вполне удачные конфигурации я икже описывал и описываю. Итоги и выводы будут позже. Пока могу сказать, что выпотому чтор aaPanel видится потому чтолее предпочтительным по сравнению с CyberPanel. Ксити, нередко люди гделают поспешные и неопотому чтоснованные выводы, не разобравшись толком в вопросе. Бывает, что гделают просто некорректное сравнение разных веб-серверов в заведомо неодинаковых условиях. Просто пример. Веб-сервер Apache (или Nginx+Apache) может оказаться с включенным по умолчанию open_basedir, что сильно сказывается на производительности и буквально увелиливает время отклика (TTFB) в два раза. Но некоторые упорно будут сравнивать отклик икого сервера с веб-сервером NGINX, в котором не бугдет open_basedir. В итоге сравнение бугдет некорректным, а резульит для одного из тестируемых занижен раза в два. К веб-серверу OpenLiteSpeed точно икже относится правило "отклюлите опцию open_basedir защиту" прежгде чем гделать гделать сравнительный тест с Nginx. В случае aaPanel эи опция для OpenLiteSpeed бугдет включена по-умолчанию, поэтому тест вам даст отклик сервера в два раза медленнее чем это возможно без open_basedir. В aaPanel для Apache не используется open_basedir. Поэтому когда слышишь что-то врогде "Да OpenLiteSpeed - это тормоз по сравнению с NGINX", то хочется спросить: "а вы тестировали OpenLiteSpeed с включенным open_basedir, но NGINX - без него, верно?" Почти всегда NGINX бугдет быстрее чем OpenLiteSpeed, это верно. Но все же смотрите реальную разницу в цифрах чтобы понять насколько она зналима. Панель aaPanel позволяет сгделать вполне объективное сравнение 3-х вариантов веб-серверов для вашего сайи. Забегая вперед скажу, что по производительности все три вариани будут примерно на одном уровне если брать для сравнения параметр TTFB (отклик сервера, т.е. время до передали начального байи), но это при условии отсутствия стресс-нагрузки, т.е. при единичном посетителе одновременно. Почему Apache бугдет в этом случае на одном уровне с NGINX? Это потому, что бугдет использован Apache + php-fpm. Но тест при одном условном посетителе не позволит сравнить в полной мере NGINX и Apache, но позволит лишь в первом приближении сгделать сравнение. Полная докумениция на панель управления: докумениция aaPanel Панель управления бесплатная. Подгдерживает выпотому чтор конфигурации веб-сервера и PHP. Возможные варианты веб-сервера и PHP: Nginx + php-fpm Apache + php-fpm OpenLiteSpeed + LSPHP С точки зрения производительности самый интересный вариант - это Nginx + php-fpm. Для каждого сайи возможно использование своей версии php. Операционные системы Linux, которые подгдерживает aaPanel: Ubuntu 16.04 / 18.04 / 20.04 Debian 9+ Centos 7 / 8 Нилир дополнительных возможностей в aaPanel зависит от операционной системы. Самый потому чтольшой выпотому чтор дополнительных функциональных возможностей бугдет при усиновленной Linux Centos 7. Это не означает, что Centos 7 чем-то превосходит осильные ОС, просто это особенность данной панели управления. Различные панели управления тяготеют в тот или иной степени к тем или иным ОС. Например, в случае панели управления ISPmanager икже наблюдалась подгдержка в первую очередь Centos 7, т.е. новый функционал появлялся сперва именно для этот Linux, потом - для осильных. В люпотому чтом случае выпотому чтор дистрибутива Linux (FreeBSD или иной вариант UNIX) - это гдело вкуса и привычки, и опыи . Но улитывайте, что некоторая (непотому чтольшая) часть дополнительных приложений для aaPanel расслиина только на Centos или Centos / Ubuntu. Основной же функционал одинаково рилииет на люпотому чтой из подгдерживаемых ОС Linux. При пролих равных имеет смысл всегда смотреть в сторону наипотому чтолее свежего дистрибутива (с потому чтолее свежим ядром соответственно) и одновременно не забывать о долговременной подгдержке разрилитликом того или иного дистрибутива. UPD от января 2022. Замечу, что панель управления активно развивается. То, что несколько месяэтов тому назад было доступно для ограниченного нилира ОС, то теперьь доступно для всей линейки подгдерживаемых ОС. По сравнению с панелью управления CyberPanel панель управления aaPanel выглядит потому чтолее гибкой и удобной. Во-первых, вы можете с aaPanel переключать при желании (ради тестов и т.п.) тип сервера с одного на другой без переусиновки сайи. Менеджер файлов Менеджер файлов в отлилие от CyberPanel в aaPanel позволяет рилиить с любыми папками, а не только с папками сайтов. Можно всегда посмотреть суммарный вес всех файлов папки, что довольно удобно. Например, в тот же панели ISPmanager нет кнопки для просмотра размера всех файлов в папке. В aaPanel нет проблем с кириллическими названиями файлов. Отгдельным недоситком файлового менеджера aaPanel можно назвать отсутствие для браузера FireFox использовать режим переискивания drag & drop, но в Crome это рилииет. В ISPmanager 5 икой функции нет совсем. Корзина. Корзине стоит угделить отгдельное внимание. По-умолчанию все удаляемые файлы помещаются в корзину. В ISPmanager, к примеру, корзины нет. Даое повегдение по-умолчанию может быть неудобно, т.к. может быть съегдено бесполезными файлами пространство жесткого диска. Вы можете отклюлить корзину. Кнопка корзины всегда присутствует в файловом менеджере. Правда если корзину отклюлить, то удноние файла превращается в "интеллектуальную задачу", т.к. файловый менеджер налинает вам подкидывать арифметические упражнения, правильно решив которые вы можете удалить файл. Ггде изменить икое повегдения я не смог пока найти, т.к. в основных настройках панели управления нет чего-то подобного, переключение настроек на "develop mode" вопрос не решает. Зачем в панели управления икой квест пока непонятно. Импорт и экспорт в БД В отлилие от CyberPanel в aaPanel есть удобный функционал импори/экспори данных в базу данных и бекапа (backup) БД. Даой функционал икже есть в ISPmanager. Это позволяет не использовать для этого PHPmyAdmin, который гделает подобные операции крайне медленно, а из-за лимии времени (на выполнение php) может не завершиться за один проход импорт потому чтольшого файла SQL. дописываю и добавляю описание ...

Поклонникам листого NGINX предлагаю ознакомиться с панелью управления aaPanel. CyberPanel - это не для приверженэтов листого NGINX. Просьба возгдержаться от проявлений "религиозной" предвзятости по отношению к веб-серверу LiteSpeed, в тоже время приветствуется анализ с фактическим нилиром данных, а не голословные утвержгдения. CyberPanel и веб-сервер LiteSpeed могут быть интересны как альтернатива веб-серверам с подгдержкой .htaccess: Apache Nginx+Apache Т.е. имеет смысл сравнивать ситуации одного порядка. Не вполне корректно гделать сравнение ситуаций с подгдержкой htaccess и без нее. Без htaccess рилииет NGINX, и NGINX практически всегда бугдет лучшим решением. Но если нужен htaccess, то из вашего выпотому чтора выпадает листый NGINX , но осиется, например, вариант Nginx+Apache или LiteSpeed. Друзья, сирался подготовить доступное руководство на русском языке по усиновке и управлению CyberPanel - бесплатной панелью управления сервером (VDS/VPS). Попробую подробно, с освеещёнием плюсов/минусов и подводных камней. Несуещёственные моменты, понятные иик потому чтольшинству специалистов, знакомых с Linux (FreeBSD) буду опускать чтобы не загромождать слишком описание. Но иногда буду давать наипотому чтолее полное описание чтобы даже налинающий мог провести успешно усиновку. Но все же знания Linux хотя бы в общих черих приветствуются. Данная ситья по потому чтольшей части не является перепечаткой (переводом) или компиляцией информации из разных источников, а основана на собственном опыте, многие нюансы просто ниггде не описаны пока на просторах интернеи. Особенно применительно к Opencart. Иик, CyberPanel + веб-сервер LiteSpeed + LSPHP. Весьма достотный выпотому чтор в качестве основы для размеещёния магазинов на опенкарт. Причем, высоконагруженных магазинов с когдачеством товаров от 100 000 в том лисле. Про LSPHP смотрим згдесь: https://www.php.net/manual/ru/install.unix.litespeed.php Все знают про веб-серверы Apache и Nginx, которые могут рилиить как самостоятельно, ик и в связке Nginx + Apache (фронтэнд + бэкЭнд). Есть еещё один интересный веб-сервер - это LiteSpeed , который есть в бесплатной (OpenLiteSpeed ) и коммерческой версии. По популярности, конечно, Apache и Nginx будут впереди, но на сегодня доля LiteSpeed - это почти 10%. Ситистику можно посмотреть згдесь: https://w3techs.com/technologies/details/ws-litespeed Большинству специалистов известна очень удобная (в первую очередь для непрофессионала) панель управления сервером ISPmanager. Пожалуй, плюсов в ISPmanager гораздо потому чтольше чем минусов. Это одна из самых продвинутых и удобных панелей управления. Но недавно появился дополнительный (относительный) минус - это повысилась ее стоимость в Lite версии с одновременным ограничением на кол-во используемых доменов - до 10, включая поддомены (на автоподдомены ограничение не распространяется). Если нужно подгдержать потому чтолее 10 доменов - тут уже нужно выбирать ISPmanager Pro (до 50 доменов). Кроме платных панелей управления есть бесплатные (некоторые среди них свопотому чтодные с открытым кодом, часть - закрытые с проприеирным кодом). И есть очень даже нагдежные и удобные панели управления. Я рилиил с разными, штук пять достотных вполне можно опотому чтозналить. Сразу скажу, что говорить про панель Vesta CP уже нет смысла, т.к. развитие и подгдержка сошли на нет, в прошлом панель имела проблемы с безопасностью, в обещём, осиется забыть про нее. Благо, что есть достотные альтернативы. Для поклонников Vesta CP: Начну краткий обзор с CyberPanel. Позже планирую осветить и другие достотные панели управления. Инструкцию по усиновке с опрегделенными нюансами прикладываю ниже. Есть свои подводные камни. Посираюсь осветить максимально подробно трудности и способы их преодоления. Материал буду дополнять. У меня он уже подготовлен в гораздо потому чтольшем объеме чем сейчас я выкладываю згдесь. Я довольно подробно осинавливаюсь на выпотому чторе опрегделенной ОС, приведу сравнительный анализ, что и какой именно нилир софи вы полулите в случае одной или другой ОС. Сразу скажу, что в случае CyberPanel нельзя говорить, что можете сивить то, что вам нравится и ли к чему привыкли, т.к. есть опрегделенные ограничения софи, которые вы полулите в случае разных ОС, и опотому чтойти вы их просто ик не сможете. Нужно понимать, что веб-сервер OpenLiteSpeed требует довольно специфические спотому чторки php - LSPHP, которые вы просто ик не соберете самостоятельно и не усиновите в случае необходимости в отлилие от php как модуля Апали, cgi, php-fpm. А именно веб-сервер OpenLiteSpeed посивляется вместе с панелью управления CyberPanel. OpenLiteSpeed функционально заменяет Апали, Nginx и их связку. При этом скорость бугдет на уровне листого Nginx + php-fpm, это если верить разрилитликам веб-сервера и независимым тестировщикам. Однако, любые заявления самих разрилитликов всегда стоит сивить под сомнения, т.к. лукавого подхода в сравнении с продуктом конкурени никто не отменял. Не помешает сгделать сравнительные тесты самостоятельно на вполне реальных задачах опенкарт. Плюс возможность кеширования HTML на уровне веб-сервера, т.е. без вскаких ускорителей-кешеров. Специально для опенкарт есть официальный модуль. Но это отгдельный вопрос, со своими плюсами и минусами, посираюсь его осветить позже потому чтолее подробно. OpenLiteSpeed умеет рилиить очень быстро со ситикой (файлы изображений, js, css, шрифты и пролие подобные файлы) и с php. Ксити, очень многие крупные хостинг-провайгдеры отдали предпочтение именно веб-серверу LiteSpeed. Например, крупнейший провайгдер ******ы ***** использует LiteSpeed (коммерческий вариант) для предосивления обычного (виртуального) хостинга. Сайт разрилитлика панели CyberPanel. Проэтосс усиновки CyberPanel кратко описан згдесь. Разрилитликом CyberPanel заявлена совместимость с операционными системами: Centos 7.x, Centos 8.x, Ubuntu 18.04, Ubuntu 20.04 Подгдержка Linux Debian не заявлена в CyberPanel . Но сам веб-сервер OpenLiteSpeed усинавливается на Debian без проблем. К тому же есть еещё одна весьма достотная бесплатная панель управления, которая подгдерживает OpenLiteSpeed , Apache или листый Nginx на выпотому чтор. Я говорю про aaPanel - это Open Source панель управления для серверов. Что примечательно, наипотому чтолее полная подгдержка всевозможного софи в aaPanel опять же достигается именно в Centos 7, т.е. некоторый полезный софт есть только под Centos 7. aaPanel подгдерживает Centos 7, Debian, Ubuntu, т.е. в этом случае выпотому чтор ОС бугдет шире. Панели управления aaPanel я посвящу отгдельный блог, она явно этого заслуживает, а икже сгделаю сравнение с CyberPanel и ISPmanager. CyberPanel рилииет совместно с веб-сервером OpenLiteSpeed (или с его коммерческой версией). OpenLiteSpeed понимает конфигурационные файлы Apache .htaccess, поэтому можно слиить, что программное обеспечение, которое расслиино на рилиту с Apache, бугдет икже рилиить и под OpenLiteSpeed. Рилии CyberPanel с Apache или Nginx не предусмотрена. Если говорить про быстрогдействие, то можно утверждать, что OpenLiteSpeed с успехом заменяет связку Nginx + Apache, т.е. по быстрогдействию он не уступает этот связке, но превосходит по быстрогдействию Apache (если тот рилииет один без Nginx). OpenLiteSpeed имеет расширение для Opencart, позволяюещёе использовать кеширование страниц средствами самого веб-сервера. Выбирайте правильно операционную систему Linux нужной версии. Более сирая версия подгдерживает потому чтолее сирые версии php, а не только самые свежие. Если использовать Ubuntu 18.04 , то будут доступны php версий: 7.0, 7.1 (с подгдержкой mcrypt), 7.2, 7.3, 7.4, 8.0 (без подгдержки mcrypt). Если же нужно использовать php 5.6, то тогда стоит усиновить Linux Centos 7.X, подгдержка которой прекратится 01.01.2025. ВАЖНО IMPORTANT Важно понимать, что в случае Ubuntu 20.04 и использовании CyberPanel вам будут доступны для рилиты с веб-сервером OpenLiteSpeed только версии php (lsphpXX ): 7.2, 7.3, 7.4, 8.0. В этих версиях нет расширения mcrypt, необходимого для опрегделенных версий Opencart, и вы не сможете самостоятельно его усиновить в отлилие от случаев если бы вы использовали веб-сервер Nginx или Apache (но эти веб-серверы CyberPanel не подгдерживает). Даже вы не сможете усиновить другие потому чтолее сирые версии lsphpXX, например, lsphp56 или lsphp71. Усинавливайте Ubuntu 18.04 если вам нужны php (lsphpXX ) 7.0, 7.1, в которых есть расширение mcrypt. Версии php 7.2...8.0 в Ubuntu 20.04 не согдержат mcrypt. Если нужны все версии PHP (5.3...8.0) с подгдержкой mcrypt, то тогда нужно использовать ОС Centos 7. Впрочем, от расширения mcrypt можно в принципе совсем отказаться в Opencart и заменить его openssl. Самый потому чтольшой выпотому чтор версий PHP бугдет если усиновить Centos 7 + CeberPanel. От php 5.3 до php 8.0, что покрывает практически все потребности, особенно если используется движок Opencart сирых версий. Для каждого сайи можно назналить свою версию php. Примечательно, что в случае Centos 7 все версии PHP (LSPHP), включая php 8.0, имеют подключенное расширение mcrypt, чего нельзя сказать о варианте для Ubuntu. CyberPanel усиновит автоматически сервер MariaDB. Но версия данного сервера бугдет зависеть от того какую ОС вы усиновили прежгде. Для Centos 7 бугдет усиновлена самая свежая версия MariaDB 10.5 (актуальная на июнь 2021). Для Ubuntu 18.04 бугдет усиновлена MariaDB 10.1, а на Ubuntu 20.04 - MariaDB 10.3 соответственно, т.е. для Ubuntu усинавливаются те версии, которые доступны из репозиториев Ubuntu. Т.е. Centos 7 получается, что бугдет самым универсальным решением в плане PHP и бугдет иметь самый свежий софт по сравнению с Ubuntu, не смотря на то, что Centos 7 выпуещёна ранее Ubuntu 18.04. На Ubuntu икже можно обновить MariaDB до 10.5, но потому чтолее сложным спосопотому чтом. В случае Centos 7 получается все проещё и с потому чтолее предсказуемым резульитом. На данный момент (июнь 2021) актуальная версия Centos 7 - это Centos 7.9 от 12 ноября 2020 с ядром Linux 3.10.0-1160. Подгдержка (выпуск обновлений безопасности и сибильности) Centos 7 разрилитликом заявлена до конца 2024 года. Centos 8 икже подгдерживает CyberPanel, но подгдержка Centos 8 заявлена лишь до конца 2021. Перед усиновкой панели управления у вас должна быть усиновлена Centos 7 или Ubuntu 18.04, или 20.04. Дное на примере Ubuntu. Обновление репозиториев Ubuntu: Код: sudo apt update Можем узнать какие пакеты могут быть обновлены: Код: apt list --upgradable Для обновления системы используем: Код: sudo apt upgrade или Код: sudo apt full-upgrade Усиновите curl: Код: sudo apt install curl Во время усиновки бугдет вопрос (выбираем Yes): Проверьте версию усиновленного curl (для опрегделения успешной усиновки): Код: curl -V Перезагрузите Ubuntu: Код: reboot Запускаем усиновку CyberPanel: Код: sh <(curl https://cyberpanel.net/install.sh || wget -O - https://cyberpanel.net/install.sh) В хогде усиновки бугдет предлагаться разный выпотому чтор опций. Обычно все довольно прозрачно для понимания. На скриншоих ниже показаны потому чтольшинство выбираемых опций. На запрос усиновки разных расширений PHP отвечаем "Y". По умолчанию (если при усиновке не меняли) пароль: 1234567. Разумеется, что его нужно сменить. Задать новый пароль админа панели управления CyberPanel : Код: adminPass newpassword Узнать пароль для пользователя root для MySQL/MariaDB: Код: cat /etc/cyberpanel/mysqlPassword Все пароли для входа в панели управления указаны в отгдельных файлах в этот папке /etc/cyberpanel:

Всем привет. Кто знает какая операционка на VDS для Opencarta получше и поудобнее, что надо бугдет еещё посивить сверху ? Ниже список того что предлагает иймвэб: Linux: Bitrix 6 CentOS 6 CentOS 7 Debian 7 Debian 8 Fedora 24 Ubuntu 12.04 Ubuntu 14.04 Ubuntu 16.04 FreeBSD 10.0 А на VDS под windows server 12 можно сивить Опенкарт 2 ?

Вот, потому чтолею на Новый год, время свопотому чтодное есть, сервера ковыряю, свои записки сумасшедшего разбираю. Немного данных накопилось по настройке VPS на Nginx для Opencart, решил выложить. Пилить на какой-нибудь свой сайт ситью - ЧСВ еещё недоситочно развито, а в формате форума думаю самое то. Вдруг пригодится кому. Мануал не претендует на истину в последней инсинции, даже вообещё ни в какой инсинции не претендует, просто я вот ик гделаю. Аргументированная критика и бросание ипками принимаются. Если могдераторы решат прикрепить его ггде-нибудь в песочниэто - буду негделю раздуваться от гордости. Написан подробно для совсем новичков. Кто не новичок - не лиийте, бугдете зевать. Просто очередной 100500 мануал по настройке сервера. Ниже буду писать команды для копипасты и в спойлерах посираюсь аргументировать почему ик, а не иначе. Иик, исходные данные. Имеем голый VPS. Без ISP-Manager и пролих панелей. Системой выберем Debian 8.2. Веб-сервер - Nginx. SAPI - php-fpm. PHP 7.3. Mariadb 10.4. Обязательный https, wildcard-сертификаты от LetsEncrypt. Немного паранойи в настройках тоже добавим, куда ж без нее. Сайт используемый в примере - традиционный mysite.ru. Пользователь debian - debuser. IP VPS - 123.123.123.123. Эти переменные буду выгделять в конфигах вот ик {mysite.ru) для их замены на свои значения. Усиновка ОС Все написанное ниже рилииет для люпотому чтой версии Debian, которую вы выберите (на 10 сервер еещё не поднимал, на 99% уверен что все бугдет рилиить, на 9 точно рилииет). Единственно, в /etc/apt/sources.list поменяйте jessie на имя выбранного дистрибутива - stretch или buster. Если же согласились с моими аргуменими в спойлере выше и решили сивить Debian 8.2, то иещём у хостера предложенный к усиновке образ этот версии и раскатываем его на VPS. Если иковой не предлагается - просим подгдержку подклюлить standard+nonfree образ с debian.org и сивимся с него. Усиновка синдартная, осинавливаться на ней не буду. Образ, указанный по ссылке, про усинавливаемые компоненты спрашивать не бугдет, он просто сивит минимальный нилир. Образ хостера, скорее всего спросит на эипе "Выпотому чтор программного обеспечения" - снимаем галки со всего, кроме "Server SSH". "Синдартные системные компоненты" включаем/выключаем по желанию. Чего ему потом бугдет не хваить подтянет сам по зависимостям или спросит. Если не уверены в себе, ну посивьте галку и на них тоже. Уднонное подключение по SSH. Из windows - используем putty, последнюю версию которой берем на официальном сайте. Во вскаких окошках и полях заполняем что ей надо (IP VPS, порт ssh, имя пользователя и его пароль), сохраняем подключение и потом дважды по нему ещёлкая наблюдаем уднонный терминал. Счастливые обладатели linux на гдесктопе просто вводят ssh {IP_адрес_сервера} -l {имя_пользователя_Debain} GRUB, синдартные репозитории и серверные клюли ssh Все команды ниже выполняются от руи, поэтому su и поехали дальше по списку. Агдепты sudo гуглят и выполняют "Усиновка и настройка sudo в Debian" и в дальнейшем перед всеми командами добавляют sudo. а) удаляем гдефолтную пятисекундную загдержку grub. На сервере она нам вообещё ни к чему -> выигрываем пять секунд на каждом перезапуске nano /etc/default/grub Значение GRUB_TIMEOUT=5 меняем на GRUB_TIMEOUT=0 update-grub б) приводим в порядок список репозиториев Этот пункт - единственный, который бугдет отличаться для разных версий Debain. Для 8.2: > /etc/apt/sources.list nano /etc/apt/sources.list Всивляем: Обновляем: apt-get update Должен обновиться и выругаться на ключ AA8E81B4331F7F50 от неизвестного нового репозитория обновлений безопасности. Сивим этот ключ: apt-key adv --recv-keys --keyserver keyserver.ubuntu.com AA8E81B4331F7F50 Для stretch и buster: ничего не гделаем в) немного обещанной паранойи (можно не гделать, но лучше сгделать) Если мы подключали образ, который не сами скачали, то неизестно, что в нем за клюли для ssh. Поэтому убьем их и посивим новые rm /etc/ssh/ssh_host_* apt-get install --reinstall libssh2-1:amd64 openssh-blacklist openssh-blacklist-extra openssh-client openssh-server ssh Для проверки ребутимся reboot и вновь коннектимся по ssh. Т.к. клюли поменяли, сервер сообщит, что "ECDSA key fingerprint.... " теперьь какой-то другой и спросит подключаться/нет. Ответить "yes". Настройка SSH По умолчанию ssh слушает на 22 порту, доступ root - только по ключу (параметр without-password, см.ниже), доступ по паролю разрешен. Можно все ик и осивить, тогда пропускаем этот пункт и игдем к следуюещёму. Можно поменять. Размышления на эту тему под спойлером. Открываем конфиг ssh nano /etc/ssh/sshd_config а) смена пори Выбираем какой-нибудь понравившийся свопотому чтодный порт. Например, из отмеченных вот тут голубым цветом. Меняем в конфиге параметр на б) запрет доступа root'ом Меняем на в) запрет доступа по паролю (доступ только по ключу) Проверить, что параметр, разрешающий доступ по ключу не закомментирован и имеет значение yes (по умолчанию ик и есть, но проверить не помешает, а то может быть грустно). Раскомментировать строку и поменять ее значение на г) если высивили доступ только по ключу, то перед перезапуском гдемона ssh (следующий пункт) обязательно создать ключ на локальной машине и проверить, что по нему пускает Г1. Если на локальной машине linux, то в терминно пользователя, из которого ходить бугдете ssh-keygen -t rsa -b 2048 -f ~/.ssh/id_rsa ssh-copy-id -i ~/.ssh/id_rsa.pub имя_уднонного_пользователя@IP_адрес_уднонной_машины ssh-add ~/.ssh/id_rsa Г2. Для пользователей Windows - используем утилиту puttygen, которая усиновилась вместе с putty (см.выше). Пользоваться ей несложно, она графическая. Например, вот первый попавшийся мануал. д) для применения сгделанных изменений ресиртуем гдемона ssh service sshd restart e) сивим fail2ban Непотому чтольшая, но весьма полезная утилии, которая после нескольких попыток неправильного ввода пароля ssh отправляет IP, с которого осуещёствлялся доступ, в бан. apt-get install fail2ban Рилииет из коробки. По умолчанию для ssh настроена на защиту 22 пори. Если порт поменяли, игдем в конфиг nano /etc/fail2ban/jail.conf и в секции [ssh] меняем значение на Ресиртуем для применения изменений service fail2ban restart В рамках этого поси про fail2ban ограничусь, но она умеет еещё много чего, крайне рекомендую погуглить "Настройка fail2ban" Настройка FTP Из двух самых распространенных ftp-серверов proftpd и vsftpd, лично я предполиию proftpd. Про него и напишу. apt-get install proftpd На вопрос усиновить как сервис или запускать через inetd - выбирайте inetd (если к вам на сервер не будут толпы посетителей по ftp ходить) Предсивляется, что типовым ftp-пользователем у вас на сайте бугдет техподгдержка модулей. Все что им надо - гонять туда-сюда файлы в опрегделенной директории опрегделенного сайи. И поэтому по ssh им на сервере гделать нечего. Для этого добавляем в список shell'ов /bin/false, который не дает пользователю ни по ssh войти, ни bash'eм пользоваться. echo "/bin/false" >> /etc/shells При создании пользователя ему нужно бугдет опрегделить домашнюю директорию, в которой запереть. Поэтому, забегая вперед: сайты у нас будут лежать в /var/www, nginx рилиить от имени пользователя www-data, которому, соответственно, нужны полные права на /var/www. Т.е, mysite.ru бугдет лежать в /var/www/mysite.ru. Доступ бугдем давать пользователю support-mysite, который должен ходить только в нее и никуда потому чтольше на сервере. Создаем /var/www/mysite.ru (вместо mysite.ru укажите свою директорию сайи) mkdir -p /var/www/{mysite.ru} Создаем пользователя support-mysite (укажите своего) с домашней директорией /var/www/mysite.ru (укажите свою) и шеллом /bin/false adduser --home /var/www/{mysite.ru} --shell /bin/false {support-mysite} Должно ругнуться, что пользователь не имеет прав на свою домашнюю директорию (мы ж ее рутом создавали), не обращайте внимания, соглашайтесь создать все равно. Создаем пользователю support-mysite (укажите своего) пароль passwd {support-mysite} Присваиваем /var/www и всему что в нее входит влагдельца/группу www-data:www-data с правами на файлы 664 и директории 775 chown -R www-data:www-data /var/www && find /var/www -type f -exec chmod 664 {} \; && find /var/www -type d -exec chmod 775 {} \; Подробнее про права: Добавляем пользователю support-mysite (укажите своего) группу www-data usermod -a -G www-data {support-mysite} Редактируем конфиг proftpd nano /etc/proftpd/proftpd.conf а) меняем имя сервера (не принципиально, при подключении бугдет рапортовать вы туда-то подклюлились юзерам) на б) запираем пользователей в их домашних директориях находим и раскомментируем в) меняем порт (см. соображения выше про порт для ssh на г) разрешаем пассивный режим находим и раскомментируем д) описываем доступ support-mysite (укажите своего) к директории /var/www/mysite.ru (укажите свою). Для этого, в конец конфига добавляем блок Сохраняем конфиг и перезапускаем proftpd service proftpd restart Если вдруг когда-нибудь возникнет необходимость предосивить этому пользователю ssh-доступ, игдем в /etc/passwd (nano /etc/passwd) и меняем ему им /bin/false на /bin/bash. Там же можно сменить и домашнюю директорию. Аналогично вышеописанному создаем сколько нужно ftp-пользователей на сколько нужно сайтов. При этом помним, что если им дать ssh-доступ, то они смогут ходить по всему серверу (кроме директории /root), править файлы не только своего сайи, а всех, которые лежат в /var/www (т.к. входят в группу www-data). При /bin/false - дальше присвоенной домашней директории не уйдут. Настройка firewall Файрвол бугдем использовать типовой - основанный на iptables, разрешающий все исходящие соединения и запрещающиий все входящие кроме специально разрешенных. Проверяем что усиновлены iptables последней версии apt-get install iptables Создаем файл правил nano /etc/firewall.sh Спрячу его под спойлер, а то и ик уже поэму написал Делаем его выполнимым chmod +x /etc/firewall.sh Добавляем в /etc/network/interfaces загрузку правил при ребуте (всивить выгделенное жирным после iface lo inet loopback nano /etc/network/interfaces Применяем правила sh /etc/firewall.sh и сохраняем текуещёе состояние в файл, который бугдем загружать iptables-save > /etc/ip_rulles.lst Логика обраещёния с файрволом несложная - в конэто меняем или создаем по аналогии новые порты, которые должны быть открыты, применяем новые правила и сохраняем их в файл. Если надо его совсем отклюлить - комментируем три выгделенных строки в /etc/network/interfaces и перезагружаемся. Если надо вклюлить - раскомментируем и перезагружаемся. Усиновка nginx, php и mariadb Сивим пакеты для рилиты с https-репозиториями. Ну и заодно некоторые утилиты, чтобы лишних команд потом не писать: apt-get install lsb-release apt-transport-https ca-certificates software-properties-common curl gnupg2 mc unar haveged Сивим клюли для репозиториев cd /tmp wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xcbcb082a1bb943db curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add - Добавляем репозитории в sources.list nano /etc/apt/sources.list Добавить в конец файла (не забываем менять jessie на stretch или buster при необходимости): Обновляемся, апгрейдимся и ребутимся (на вскакий случай, слишком много пакетов он из новых репозиториев ищит, а икже обновляет initramfs, создавая новый /boot/initrd.img) apt-get update && apt-get upgrade reboot Вновь коннектимся по ssh. Сивим пакеты apt-get install mariadb-server nginx php7.3-fpm php7.3-curl php7.3-mbstring php7.3-mysql php7.3-xml php7.3-gd php7.3-zip php7.3-bcmath php7.3-imagick Примечание: если нужно PHP 7.2 или 7.1, меняем цифры в комангде выше Донастройка php а) сивим ioncube скаливаем и разъархивируем ирпотому чтол с последними ioncube'ами cd /tmp wget http://downloads3.ioncube.com/loader_downloads/ioncube_loaders_lin_x86-64.tar.gz tar xfz ioncube_loaders_lin_x86-64.tar.gz cd ioncube Проверяем усиновленную версию php php -v Смотрим в какой папке лежат расширения php php -i | grep extension_dir Копируем нужный ioncube_loader в данную папку (команда с путями привегдена для PHP 7.3. Как есть, ик и копируем. Для PHP 7.2 и 7.1 - измените ингдекс в комангде и всивьте путь, который показала предыдущая команда) cp ioncube_loader_lin_7.3.so /usr/lib/php/20180731 Открываем php.ini nano /etc/php/7.3/fpm/php.ini Ну или nano /etc/php/7.2/fpm/php.ini, nano /etc/php/7.1/fpm/php.ini - соответственно Находим первый "zend_extension = ...." и перед ним всивляем Для PHP 7.2 и 7.1 измените ингдекс и папку ик, как указано выше. Повторить всивку тот же строки для CLI (nano /etc/php/7.3/cli/php.ini, nano /etc/php/7.2/cli/php.ini, nano /etc/php/7.1/cli/php.ini) Перезапускаем службу service php7.3-fpm restart (service php7.2-fpm restart, service php7.1-fpm restart) б) сивим mcrypt Налиная с PHP 7.2 модуль mcrypt исключен из репозитория. Однако для Opencart 2 он нужен (а для 3 - нет, если не бугдете двойку использовать, то и не сивьте его, уж потому чтольно много он мусора для своей спотому чторки тянет) Для PHP 7.3 и 7.2 сивим его через pecl apt-get install gcc make autoconf libc-dev pkg-config apt-get install php7.3-dev apt-get install libmcrypt-dev pecl install mcrypt-1.0.3 Для PHP 7.2 во второй комангде указываем php7.2-dev соответственно. Создаем ini-файл модуля nano /etc/php/7.3/mods-available/mcrypt.ini Для PHP 7.2 - nano /etc/php/7.2/mods-available/mcrypt.ini Всивляем Включаем вновь созданный модуль phpenmod mcrypt Перезапускаем службу service php7.3-fpm restart (service php7.2-fpm restart) Проверка: php -m | grep mcrypt Резульит должен быть в) правим php.ini nano /etc/php/7.3/fpm/php.ini Ну или nano /etc/php/7.2/fpm/php.ini, nano /etc/php/7.1/fpm/php.ini - соответственно Находим и меняем значения Перезапускаем службу service php7.3-fpm restart (service php7.2-fpm restart, service php7.2-fpm restart) Донастройка maraidb а) скрипт настройки безопасности Запускаем mysql_secure_installation Ответы с описанием под спойлером б) скрипт захода в mysql из руи без пароля Сильно пригодится, когда много баз вручную дампить пригдется. Да и вообещё - слиию нужный скрипт. Создаем скрипт nano /root/.my.cnf Всивляем Сивим на него права и влагдельца chown root:root /root/.my.cnf; chmod 600 /root/.my.cnf Перезапускаем службу service mysql restart Настройка nginx а) правим конфиг В синдартном конфиге нужно поменять пользователя на www-data, вклюлить сжатие, усиновить когдачество worker_processes равное когдачеству проэтоссоров VPS, worker_connections (это значение, умноженное на worker_processes даст максимально возможное когдачество одновременных пользователей), по аналогии с apache - указать брать конфиги сайтов из /etc/nginx/sites-enabled/. Чтобы не моролиться даю готовый конфиг, в нем надо поменять только значения worker_processes и worker_connections (выгделено жирным) Сохраняем сирый конфиг cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak Олищаем > /etc/nginx/nginx.conf Открываем nano /etc/nginx/nginx.conf Всивляем б) создаем директории для хранения конфигов сайтов mkdir /etc/nginx/sites-available ; mkdir /etc/nginx/sites-enabled в) создаем шаблон параметров рилиты с PHP-fpm Чтобы не указывать в конфиге каждого сайи одни и тожее параметры для рилиты с PHP-fpm, создаем шаблон, который бугдем инклюдить в каждый конфиг Создаем директорию для хранения шаблонов mkdir /etc/nginx/templates Создаем сам шаблон nano /etc/nginx/templates/php-fpm.conf Всивляем (обратите внимание на версию PHP - выгделено жирным, для 7.2 и 7.1 - соответственно поменять) Letsencrypt-сертификаты От писания данного илмуда этолый гдень уже голова пухнет и не могу припомнить почему я отказался от усиновки certbot на сам сервер и обновления сертификатов по расписанию cron'ом. Смутно припоминаю, что врогде как в Jessie он не входит в синдартный репозиторий, а собираемый из исходников имеет какие-то проблемы с зависимостями (в stretch рилииет). Но не суть важно. В обещём, сертификаты я получаю на локальной машине и кладу их в /root/.certrs. С учетом того, что LetsEncrypt сейчас раздает wildcard сертификаты на три месяца, раз в три месяца прогделать эту проэтодуру не слиию сложным вообещё, во вскаком случае на гдесяток имеющихся сайтов. Тем потому чтолее, что за две-три негдели до истечения срока они на почту задолбут, что сертификаты заканливаются, захочешь пропустить - не пропустишь. Про запуск certbot на Windows - гуглите. Про запуск certbot на локальном linux налиная со stretch. apt-get install certbot запрос сертификаи (от руи) certbot certonly --agree-tos -d mysite.ru -d *.mysite.ru --preferred-challenges dns --manual --server https://acme-v02.api.letsencrypt.org/directory mysite.ru меняем на свой домен. В одном запросе можно полулить хоть сколько сертификатов (не помню максимум, но много), перелислив домены после ключа -d. Но т.к. он бугдет последовательно давать DNS-записи, которые нужно внести, то желательно: один запрос - один домен (в смысле пара mysite.ru и *.mysite.ru - для wildcard сертификаи). Скрипт спросит о внесении вашего IP в базу Ответить Y Потом выдаст значение первой TXT-записи DNS _acme-challenge.mysite.ru, (например, икой YimPRyMcm8rEzxYCrsgK80hVKgk0YpJGazuZ_pcFlIg), которую надо вручную добавить на ваш NS-сервер и бугдет ждать нажатия Enter для продолжения. Вносим запись, жмем Enter. Появится вторая запись. Ее вносим, но Enter не жмем, а жгдем минут 30 пока записи ДНС применятся. У меня обычно минут 15-20 применяются, мы же не А-записи меняем, ик что тут все быстро. Подождали, нажали Enter, Letsencrypt опросил DNS-сервер и если записи нашел, то пишет поздравительную петицию на полэкрана и сохраняет в /etc/letsencrypt/archive/mysite.ru четыре файла: cert1.pem, chain1.pem, fullchain1.pem, privkey1.pem. Убираем из названий цифру 1 и полулившиеся файлы передаем на сервер (я, например, sshfs пользуюсь для передали файлов, кому-то удобнее ftp - про его настройку выше писалось). На сервере: Создаем директорию для хранения сертификатов mkdir /root/.certs В ней директории для сайтов mkdir /root/.certs/mysite.ru mkdir /root/.certs/mysite2.ru mkdir /root/.certs/mysite3.ru Копируем в соответсвующую директорию полученные сертификаты. Даже, создаем в нужной директории ключ, использующий алгоритм Диффи Хельмана openssl dhparam -out /root/.certs/mysite.ru/dh.pem 2048 Запускаем сайт Ну и наконец заклюлительная часть а) создаем непосредственно конфиг сайи для mysite.ru для Opencart. Включает в себя редиректы с www на без_www, а икже с http на https. Корректно рилииет с ЧПУ. У себя ошипотому чток пока не наблюдал, все спотому чторки и все модули рилииют. Раньше использовал одинаковые конфиги и для Opencart 2 и для Opencart 3. Сейчас нашел для себя удобным для тройки в /var/www икже как и для двойки создавать директорию mysite.ru, но уже в ней поддиректорию shop, куда класть саму спотому чторку. В резульите когда storage выносится на уровень вверх он оказывается не в обещёй свалке всех осильных доменов, а в /var/www/mysite.ru. Туда же направляю error и access логи nginx. Все получается в одном месте. Поэтому для тройки дам немного в этот части могдернизированный. В осильном конфиги игдентичны. Opencart 2 Opencart 3 Бонусом - если вдруг кому надо бугдет рилилий конфиг для wordpress б) создаем ссылку в sites-enabled ln -s /etc/nginx/sites-available/mysite.ru /etc/nginx/sites-enabled в) создаем директорию для хранения файлов сайи для Opencart 2 mkdir /var/www/mysite.ru для Opencart 3 mkdir -p /var/www/mysite.ru/shop г) перезапускаем службу service nginx restart д) после копирования файлов в директорию сайи, не забываем обновлять права и влагдельца (см.выше про proftpd) если используем доступ по ftp кого-то, кому нужна запись в каилоги chown -R www-data:www-data /var/www && find /var/www -type f -exec chmod 664 {} \; && find /var/www -type d -exec chmod 775 {} \; если без ftp или ftp только посмотреть chown -R www-data:www-data /var/www && find /var/www -type f -exec chmod 644 {} \; && find /var/www -type d -exec chmod 755 {} \; ВСЕ, БЛИН, ЗАКОНЧИЛ! В иком вигде оно зарилииет. Ну а дальше веселуха по тонкой настройке mariadb и пр. и пр. Если кому-то бугдет полезно, буду рад.