🤘🏽 🏤 🐺 छोटों के लिए debian / ubuntu सर्वर को बढ़ावा देना 👃 🖐️ 🤴🏿

सभी को नमस्कार। हाल ही में मामूली पैसे के लिए डेबियन 7 पर वीपीएस बढ़ाने की आवश्यकता थी।
मैं यहां घंटियों के साथ नृत्य करने के बारे में विस्तार से वर्णन करना चाहूंगा।
इस पोस्ट में सब कुछ इंटरनेट पर एकत्र किया गया था, अंतिम रूप दिया गया, चबाया गया और एक लेख में फेंक दिया गया।

लेख सामग्री

पसंद इस पैसे के लिए कम कीमतों और अच्छी स्थिरता के कारण https://account.nt-vps.ru/register/ पर गिर गई (हालांकि 2 दिनों के लिए नेटवर्क के साथ गंभीर समस्याएं थीं)। वीपीएस को प्रति दिन 5 रूबल (या प्रति माह 150 रूबल के लिए) लिया गया था, जिसमें 128 जीबी के छोटे रैम कॉन्फ़िगरेशन और डिस्क के साथ 10 जीबी था।

डेबियन 7.0 x86-64 व्हीजी स्वचालित रूप से स्थापित किया गया था और वीपीएस जाने के लिए तैयार था।
64-बिट सिस्टम को केवल मेरी व्यक्तिगत आवश्यकताओं के लिए चुना गया था, लेकिन मैं आपको इस VPS पर x86 स्थापित करने की सलाह देता हूं।

शुरुआत

सर्वर बनाने के बाद, आपको एक ईमेल प्राप्त करना चाहिए जैसे:

शुभ दोपहर

वर्चुअल सर्वर: vps3456
कॉन्फ़िगरेशन: 1xAMD-Opteron / 128Mb / 10Gb / 1xIPv4 @ 100
ऑपरेटिंग सिस्टम: डेबियन 7.0 x86-64 व्हीजी

Ssh2 के माध्यम से सर्वर तक पहुंच:
आईपी: 93.189.xx.xx
पोर्ट: 22
उपयोगकर्ता: रूट
पासवर्ड: xxxxxxxxxxx

सर्वर से कनेक्ट करने के लिए पोटीन का उपयोग करें
ssh2 प्रोटोकॉल से अधिक https://www.putty.org/

निष्ठा से,
तकनीकी सहायता

यदि आपके पास खिड़कियां हैं, तो विनम्रतापूर्वक पत्र में दिए गए निर्देशों का पालन करें और आगे के निर्देशों के लिए https://www.putty.org/ लिंक का अनुसरण करें, यदि आपके पास लिनक्स (डेबियन / उबंटू, आदि) हैं, तो हम इस तरह से सर्वर से जुड़ते हैं:

$ ssh root@93.189.xx.xx -p 22

हमें मुख्य सुरक्षा प्रणाली संवाद क्या मिलता है:

 The authenticity of host '[93.189.xx.xx]:22 ([93.189.xx.xx]:22)' can't be established. ECDSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx. Are you sure you want to continue connecting (yes/no)?

हम सहमत हैं और हां लिखते हैं।
बधाई हो, आप सिस्टम में हैं।
आइए अपडेट करें:

 # apt-get update && apt-get dist-upgrade -y

जड़ वें के नीचे मत बैठो!

डिफ़ॉल्ट रूप से, हमें रूट के रूप में बैठने के लिए आमंत्रित किया जाता है, जो सुरक्षा कारणों से बहुत अच्छा नहीं है।

1. एक उपयोगकर्ता बनाएं जिसके तहत हम काम करेंगे (सबसे आसान तरीका):

 # adduser user

जहां उपयोगकर्ता उपयोगकर्ता नाम है
आगे हम एक डायलॉग कुछ इस तरह देखेंगे:

   «user» ...    «user» (1001) ...    «user» (1001)   «user» ...    «/home/user» ...    «/etc/skel» ...    UNIX:     UNIX: passwd:        user      ENTER        []:   []:   []:   []:  []:   ? [Y/n] Y

हम एक जटिल पासवर्ड लिखते हैं (जिसे आप नहीं भूलेंगे!) और उस डेटा को भरें जिसे हम आवश्यक मानते हैं, या बस एंटर दबाएं।

2. उपयोगकर्ता को sudo निष्पादित करने की अनुमति दें
उपयोगकर्ता को विशेष sudo समूह में जोड़ें:

 # usermod -a -G sudo user

जहां उपयोगकर्ता उपयोगकर्ता नाम है।
यह सब, हम बाहर जा सकते हैं और उपयोगकर्ता के रूप में लॉग इन कर सकते हैं

 $ ssh user@93.189.xx.xx -p 22

यदि रूट विशेषाधिकारों की आवश्यकता हो तो sudo का उपयोग करना जारी रखें

SSH को थोड़ा सुरक्षित करें

सर्वर शुरू करने के लगभग तुरंत बाद, मैंने संदिग्ध गतिविधि पर ध्यान दिया ~~अनु में ।।~~ पोर्ट 22 पर। जाहिर तौर पर, चीनी पोर्न स्कैनर सूँघने लगे और पासवर्ड क्रैक करने लगे।
सबसे आसान तरीका है 22 से ssh पोर्ट को किसी अन्य में बदलना।
1. ऐसा करने के लिए, ssh सर्वर कॉन्फ़िगरेशन फ़ाइल खोलें:

 $ sudo nano /etc/ssh/sshd_config

हम स्ट्रिंग "पोर्ट 22" की खोज करते हैं और इसे "पोर्ट 354" से बदल देते हैं, जहां 354 1 और 65535 के बीच कोई भी संख्या है
बस मामले में, आइए खुले बंदरगाहों को देखें:

 netstat -tupln | grep LISTEN

और इस सूची में से किसी एक को चुनें।
मैं तुरंत कहूंगा, पोर्ट 80, 443, 3306, 22, 21, 8080 - मैं आपको इसका उपयोग न करने की सलाह देता हूं।
2. अगला, हम कनेक्ट करने के लिए पते के प्रकार (IPv6 या IPv4) को सीमित करेंगे। यदि आपका सर्वर IPv6 का उपयोग नहीं करता है, तो फ़ाइल / etc / ssh / sshd_config जोड़ें:

 AddressFamily inet

3. रूट के रूप में प्राधिकरण अस्वीकार, PermitRootLogin फ़ाइल में देखें और सेट न करें। यदि यह पैरामीटर मौजूद नहीं है, तो जोड़ें:

 PermitRootLogin no

4. हम केवल कुछ लॉगिन द्वारा कनेक्शन की अनुमति देते हैं, फ़ाइल / etc / ssh / sshd_config जोड़ें:

 AllowUsers user

जहां उपयोगकर्ताओं की सूची एक स्थान के साथ लिखी गई है।

5. हम एक खाली पासवर्ड के साथ लॉगिन प्रयासों को रोकते हैं। हम PermitEmptyPasswords की तलाश करते हैं और सेट नहीं करते हैं

 PermitEmptyPasswords no

6. ssh डेमॉन को सहेजें और पुनः आरंभ करें:

 $ sudo /etc/init.d/ssh restart

शुरू करने के लिए, हम नए मापदंडों ($ ssh user@93.189.xx.xx -p 354) के साथ लॉग इन कर सकते हैं, बाद में लेख में हम सुरक्षा के मुद्दे पर लौटेंगे।

SWAP स्थापना

जैसा कि यह स्वचालित मोड में निकला था, स्वैप सेट नहीं किया गया था, और इस तरह के मेमोरी आकार के साथ - यह महत्वपूर्ण है।
चेतावनी! यह मेरा विशिष्ट मामला है, आप जांच कर सकते हैं कि क्या इस तरह स्वैप है:

 $ sudo swapon -s

Dd का उपयोग करके, हम स्वैप क्षेत्र के लिए आवश्यक आकार की फ़ाइल बनाते हैं, जहाँ / स्वैप फ़ाइल का नाम और पथ है, और गणना = 1024K इसका आकार है, इस मामले में 512 एमबी
(सामान्य सूत्र स्वैप = ram * 1.5 है, लेकिन यह हमारा मामला नहीं है):

 $ sudo dd if=/dev/zero of=/swap bs=1024 count=512K

अगला, हम फ़ाइल सिस्टम जानकारी की शुरुआत में लिखते हैं जो कर्नेल द्वारा पेज फ़ाइल के साथ काम करने के लिए उपयोग किया जाएगा:

 $ sudo mkswap /swap

ऑपरेशन पूरा होने के बाद, कुछ इस तरह:

      1,  = 536868   , UUID=54c60583-e61a-483a-a15c-2f1be966db85

अगला कदम नव निर्मित SWAP फ़ाइल को सक्रिय करना है:

 $ sudo swapon /swap

अगली बार, आपको सिस्टम बूट करने के लिए अगली बार स्वैप कनेक्ट करने के लिए fstab फ़ाइल को संपादित करने की आवश्यकता है:

 $ sudo echo "/swap swap swap defaults 0 0" | sudo tee -a /etc/fstab

बस इतना ही, स्वैप तैयार है।
कमांड द्वारा जाँच की गई:

 $ free

और प्राप्त करना चाहिए:

  total used free shared buffers cached Mem: 510116 502320 7796 4380 1212 452548 -/+ buffers/cache: 48560 461556 Swap: 524284 0 524284

एनजीआईएनएक्स की स्थापना और उन्नत विन्यास

फ्रंटेंड के रूप में, हम प्रसिद्ध नगीनेक्स का उपयोग करेंगे।
यदि आप वेब एप्लिकेशन के लिए सर्वर का उपयोग नहीं करेंगे, तो आप इस भाग को छोड़ सकते हैं।

बेशक, मानक भंडार में पहले से ही nginx है, लेकिन मैं संस्करण नवसिखुआ और नृत्य के बिना पसंद करूंगा।
1. फ़ाइल /etc/apt/source.list बदलें:

 $ sudo nano /etc/apt/sources.list

और बहुत नीचे तक जोड़ें:

 deb http://nginx.org/packages/debian/ wheezy nginx deb-src http://nginx.org/packages/debian/ wheezy nginx

यदि आपके पास 7 के अलावा एक डेबियन है, तो मट्ठे के बजाय हम इसका कोड नाम लिखते हैं।

2. पैकेज स्रोतों को अपडेट करें और nginx स्थापित करें:

 $ sudo apt-get update && sudo apt-get install nginx

3. nginx.conf फ़ाइल की शुरुआत में नए पैरामीटर जोड़ें

 timer_resolution 100ms; #      ,        worker_rlimit_nofile 8192; #       (RLIMIT_NOFILE)    worker_priority -5;#

4. हम कार्यकर्ता_प्रोसेस की तलाश करते हैं और प्रोसेसर कोर की संख्या से संख्या सेट करते हैं, हमारे मामले में 1।

 worker_processes 1;

5. हम घटनाओं को निर्देश के लिए देखते हैं और एक नज़र में लाते हैं:

 events { worker_connections 2048; use epoll; }

6. हम http निर्देश को संपादित करते हैं, निम्न मापदंडों को संशोधित या जोड़ते हैं:

 sendfile on; #      #     gzip on; gzip_min_length 1100; gzip_buffers 64 8k; gzip_comp_level 3; gzip_http_version 1.1; gzip_proxied any; gzip_types text/plain application/xml application/x-javascript text/css; #       client_body_timeout 10; #       client_header_timeout 10; # ,    keep-alive          keepalive_timeout 5 5; #      send_timeout 10;

7. हम /etc/nginx/conf.d/sitename.conf या (ubuntu) /etc/nginx/sites-available/sitename.conf संपादित करते हैं, जहां साइट का नाम आपकी साइट का नाम होगा:

 $ sudo nano /etc/nginx/conf.d/sitename.conf

हम इस फॉर्म को लाते हैं:

 #     limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; server { listen 80; #    server_name sitename.net www.sitename.net; #         client_body_buffer_size 1K; #         client_header_buffer_size 1k; #     ,    Content-Length .      ,     client_max_body_size 1k; #           large_client_header_buffers 2 1k; #    if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; } #  access_log /var/log/nginx/sitename.access.log main; #    error_log /var/log/nginx/sitename.error.log main; #     charset utf-8; location / { #   (slimits),      .   1     32000 ,      5  limit_conn perip 10; limit_conn perserver 100; #        #    ( )   ! if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl|msnbot|scrapbot) { return 403; } #  referer . (     )       if ( $http_referer ~* (babes|forsale|girl|jewelry|love|nudit|organic|poker|porn|sex|teen|pron|money|free|jwh|speed|test|cash|xxx) ) { return 403; } #     location /   } }

बाद में लेख में हम इन सेटिंग्स पर लौट आएंगे।

हम सिस्टम चर चुनते हैं, कुछ प्रकार के हमलों से खुद को बचाते हैं

ये पैरामीटर कुछ तेलहीनता देते हैं और कुछ मामलों में लोड बढ़ाते हैं।
संपादन /etc/sysctl.conf

 $ sudo nano /etc/sysctl.conf

अंत में जोड़ें

 #   smurf- net.ipv4.icmp_echo_ignore_broadcasts = 1 #    ICMP- net.ipv4.icmp_ignore_bogus_error_responses = 1 #   SYN- net.ipv4.tcp_syncookies = 1 #     net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 #    net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 #   ,     net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 #  ExecShield          kernel.exec-shield = 1 kernel.randomize_va_space = 1 #     net.ipv4.ip_local_port_range = 2000 65000 #    TCP- net.ipv4.tcp_rmem = 4096 87380 8388608 net.ipv4.tcp_wmem = 4096 87380 8388608 net.core.rmem_max = 8388608 net.core.wmem_max = 8388608 net.core.netdev_max_backlog = 5000 net.ipv4.tcp_window_scaling = 1 #  (. "   ") vm.swappiness=10

अब आप रिबूट कर सकते हैं

समग्र प्रणाली के प्रदर्शन में तेजी

प्रीलिंक और प्रीलोड। स्टैटिक लाइब्रेरी एड्रेस बनाने के लिए प्रीलिंक, प्रीलोड एक छोटा अनुप्रयोग है जो सबसे अधिक उपयोग किए जाने वाले एप्लिकेशन की फाइलों पर नज़र रखता है और सिस्टम के बेकार होने पर उन्हें मेमोरी में लोड करता है।
1. प्रीलिंक स्थापित करना:

 $ sudo apt-get -y install prelink

फ़ाइल / आदि / डिफ़ॉल्ट / प्रीलिंक संपादित करें:

 $ sudo nano /etc/default/prelink

PRELINKING = अज्ञात से PRELINKING = हां पर लाइन बदलें
हम लॉन्च करते हैं:

 $ sudo /etc/cron.daily/prelink

2. प्रीलोडिंग स्थापित करना:

 $ sudo apt-get -y install preload

सब कुछ, और कुछ भी आवश्यक नहीं है

फ़ायरवॉल (फ़ायरवॉल) कॉन्फ़िगर करें

इसके अलावा बहुत ही संदिग्ध विन्यास होंगे। हम एक आईपी पते से कनेक्शन की संख्या को कॉन्फ़िगर करते हैं।
कुछ प्रकार के डॉस हमलों और पाशविक बल से बचाता है।

हम बाहर ले:

 $ sudo iptables -A INPUT -p tcp --dport 80 -i eth0 \ -m state --state NEW -m recent --set

आगे:

 $ sudo iptables -A INPUT -p tcp --dport 80 -i eth0 \ -m state --state NEW -m recent --update \ --seconds 15 --hitcount 20 -j DROP

यह नियम 1 आईपी पते से 15 सेकंड में 80 से अधिक कनेक्शन (वेब) पोर्ट करने के लिए प्रतिबंधित करता है।
(वैसे, एक समान नियम पहले से ही nginx स्तर पर सेट है, लेकिन संसाधनों की एक बड़ी मात्रा को खाता है)

 $ sudo iptables -A INPUT -p tcp --dport 354 -i eth0 \ -m state --state NEW -m recent --set

 $ sudo iptables -A INPUT -p tcp --dport 354 -i eth0 \ -m state --state NEW -m recent --update \ --seconds 60 --hitcount 4 -j DROP

जहाँ आपके ssh सर्वर का 354 पोर्ट है। नियम कनेक्शन की संख्या को सीमित करता है, प्रति मिनट 4 कनेक्शन से अधिक नहीं। वास्तव में, मैं प्रति मिनट 1 से अधिक बार अधिकृत नहीं कर सकता था।
इसके अलावा, आप अपने और अन्य सेवाओं के लिए इस नियम को और भी अनुकूल बना सकते हैं।

सिस्टम को पुनरारंभ करने के बाद, सभी नियम शून्य पर रीसेट हो जाएंगे, इसलिए हम निम्नलिखित करते हैं:
फ़ाइल बनाएँ / संपादित करें /etc/network/if-up.d/00-iptables

 $ sudo nano -w /etc/network/if-up.d/00-iptables

हम इसमें लिखते हैं:

 #!/bin/sh iptables-restore < /etc/firewall.conf

फ़ाइल को सहेजने और निष्पादन योग्य बनाने के लिए:

 $ sudo chmod +x /etc/network/if-up.d/00-iptables

नियमों को फ़ाइल में सहेजें:

 $ sudo iptables-save | sudo tee /etc/firewall.conf

सब कुछ, नियम कॉन्फ़िगर किए गए हैं और सिस्टम रिबूट के बाद बने रहेंगे।

इस पर पहला भाग समाप्त होता है, खाली समय आ गया है।

अगले भाग में मैं nginx को नोड से जोड़ने के बारे में बात करूंगा। nsx को स्थापित करने और कनेक्ट करने के लिए नोड.js को स्थापित और कॉन्फ़िगर करना। ~~+ अनावश्यक नृत्य के बिना गति और सुरक्षा पर कुछ सुझाव।~~

PS यह हैब्रे पर मेरी पहली पोस्ट है और उन्नत डेबियन सेटअप के पहले अनुभवों में से एक है। मुझे आलोचना और सुधार सुनने में खुशी होगी।

अद्यतन: आप लोगों की आलोचना, सुधार, सलाह और जवाब के लिए धन्यवाद। मैं आपकी सलाह से निम्नलिखित लेख को पूरक करूंगा।
अपडेट 04/19/16: लेख को थोड़ा संपादित किया, त्रुटियों को सुधारा और इसे कुछ स्थानों पर पूरक किया। डेबियन 8.1 पर जांचा गया - काम करता है। नया लेख n-th समय तक स्थगित कर दिया गया ...

अपडेट 12/10/2018: सेवा को विभाजित किया गया था। लेख में लिंक अपडेट किया गया

छोटों के लिए debian / ubuntu सर्वर को बढ़ावा देना