debian-config

1. ##############################################################################
2. =============Fast KVM VPS 2017 (Frontend Nginx 1.11.10 + Backend Apache 2.4 PHP (5/7) + VestaCP) fast server http://vk.cc/5VDdBb ===========
3.  
4. Debian 8.7 PHP 7.0.16-1 Apache 2.4.10 Nginx 1.11.10 https://habrahabr.ru/post/282554/
5. Linux 4.9.0-0.bpo.1-amd64 #1 SMP Debian 4.9.2-2~bpo8+1 (2017-01-26) x86_64 GNU/Linux
6. (Работает все также и на php5* Apache 2.2.*)
7.  
8.  
9.  
10. #  Test VPS !KVM  1x1024RAM 20Gb SSD
11. ## ab -n 10000 -c 10000 http://site.com/ (wordpress)
12. #Document Length:        162 bytes
13. #Concurrency Level:      10000
14. #Time taken for tests:   1.239 seconds
15. #Complete requests:      10000
16. #Failed requests:        0
17. #Total transferred:      3200000 bytes
18. #HTML transferred:       1620000 bytes
19. #Requests per second:    8071.25 [#/sec] (mean)
20. #Time per request:       1238.965 [ms] (mean)
21. #Time per request:       0.124 [ms] (mean, across all concurrent requests)
22. #Transfer rate:          2522.27 [Kbytes/sec] received
23. #Connection Times (ms)
24. #             min  mean[+/-sd] median   max
25. #~Total:        782  945 106.2    935    1132
26. #
27. =============================Инструкци по установке ( без больших и средних бубнов )===========================================================
28.  
29. Для работы качаем https://www.bitvise.com/ssh-client-download  (SSH+FTP) для полноценной работы.
30.  
31. Условимся, что nginx будет слушать 80 порты, а перекидывать будет на 81 порт, который и будет слушать apache.
32.  
33. Установка php 7 на Debian (если надо) https://rusadmin.biz/web-server/ustanovka-php-7-0-5-na-debian/
34.  
35. APACHE : Файлы настроек подключений с расширением .conf в директории сервера /etc/apache2 и подпапки, если include прописан и незакоментирован в основном файле apache2.conf
36. NGNIX  : Файлы настроек подключений с расширением .conf в директории сервера /etc/nginx и подпапки, если include прописан и незакоментирован в основном файле nginx.conf
37.  
38. VPS берем тут http://vk.cc/5VDdBb (Высокое качество, низкие цены и вежливая техподдержка)
39.  
40. #### 1.  Настраиваем APACHE ##########
41.  
42. В нашем случае на сервере установлена Vesta CP.
43. 1.Настройки сайтов расположены /home/admin/conf/web/apache2.conf (Этот путь прописан в файле vesta.conf в папке /etc/apache2/conf.d)
44. Меняем <VirtualHost *:*>  на <VirtualHost *:81>
45. для всех указанных в нем сайтов
46. 2. Меняем также и в шаблоне добавления сайтов, в весте
47. В шаблонах Vesta  /usr/local/vesta/data/templates/web/apache2
48.  
49. В файле default.tpl  (Если у Вас другой, выбирайте его. Смотреть в Veste в Packages в настройках Вашего профиля)
50.  
51. 3. В файле /etc/apache2/conf.d/*ип сервера*.conf заменяем все на:
52.  
53. Для апач 2.2*
54. Listen 127.0.0.1:81
55. Listen вставить-ip-вашего-сервера:81
56. NameVirtualHost 127.0.0.1:81
57. NameVirtualHost вставить-ip-вашего-сервера:81
58. Listen вставить-ip-вашего-сервера:8443
59.  
60.  
61. Для апач 2.4*
62. Listen 127.0.0.1:81
63. Listen вставить-ip-вашего-сервера:81
64. Listen вставить-ip-вашего-сервера:8443
65.  
66. 3.1. В /etc/apache2/mods-enabled  очисть конфиги, если они там есть файлы    *prefork.conf
67.  
68. 4. Для apache v 2.2 Файл /etc/apache2/apache2.conf Выглядит так . Заменям/дополняем свой (не забыв сохранить содержимое начального)
69. ===========================================
70. http://pastebin.com/36xr3gru
71. ===========================================
72.  Для apache v 2.4 Файл /etc/apache2/apache2.conf Выглядит так . Заменям/дополняем свой (не забыв сохранить содержимое начального)
73. ===========================================
74. http://pastebin.com/sCs33xZA
75. ===========================================
76.  
77. *Если версия Apache ниже 2.2.4  ( проверить можно командой apache2 -v  )
78. Установка модуля RPAF (
79.  
80. Т.к. теперь все запросы к Apache приходят не от удалённых клиентов, а от Nginx, то в итоге IP-адрес клиента Apache определяет как локальный (127.0.0.1). Для решения этой проблемы нам нужен модуль RPAF. Он берет тело заголовка X-Forwarded-For, присланного от фронтенда (Nginx) и заменяет значение заголовка REMOTE_ADDR на бекенде (Apache).
81.  
82. В Debian или Ubuntu установка и включение модуля RPAF в Apache выполняется следующими командами:
83. apt-get install libapache2-mod-rpaf
84. a2enmod rpaf
85.  
86. Настройка модуля RPAF
87. Файл конфигурации RPAF находится:
88. Debian/Ubuntu: /etc/apache2/mods-enabled/rpaf.conf
89.  
90. Он должен содержать следующие строки:
91. #
92. RPAFenable On
93. RPAFsethostname Off
94. RPAFproxy_ips 127.0.0.1
95. RPAFheader X-Real-IP
96. #
97.    
98. *Если версия Apache 2.2.4 =========================Изменения https://httpd.apache.org/docs/2.4/upgrading.html
99.    
100. Apache начиная с версии 2.2.4 НЕ поддерживает mod_rpaf поэтому для отображения реальных ип делаем следующее.
101.     a2enmod remoteip
102.     nano /etc/apache2/conf-available/remoteip.conf
103. Вписываем строчки в файл remoteip.conf
104.     RemoteIPHeader X-Forwarded-For
105.     RemoteIPTrustedProxy 127.0.0.1
106. Далее снова пишем в консоли
107.     a2enconf remoteip
108. Редактируем /etc/apache2/apache2.conf
109. Меняем
110.     LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
111. на
112.     LogFormat "%a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
113. Применяем и смотрим результат
114.    /etc/init.d/apache2 restart
115.    
116.  
117. #### 2.  Настраиваем Nginx##########
118. Узнать текущую версию:
119. nginx -v
120. Обновление если надо (лучше обновить!) http://nginx.org/en/linux_packages.html#mainline   http://artana.ru/blog/all/obnovlenie-nginx-do-posledney-versii-debian/
121. Полная информация о дистрибутиве операционки для выбора Codename при обновлении:
122. lsb_release -a
123.  
124. Файл настройки  http://pastebin.com/aRLRiYwu заменить на свой /etc/nginx/nginx.conf .  (Прописать там свой ипшник в раздел upstream B)
125. =======================================================
126. Не забываем создать соответствующие каталоги командами: (где root , имя пользователя)
127.  
128. mkdir -p  /var/lib/nginx/cache
129. chown -R root /var/lib/nginx/cache
130. chmod 700 /var/lib/nginx/cache
131.  
132. =======================================================
133. Дополнительно: помещаем кэш nginx в ramdisk (tmpfs)
134. Сейчас у нас кэширование настроено, но кэш хранится на жестком диске, что не является хорошим решение.
135.  Оптимальнее будет смонтировать директорию с кэшем nginx в память.
136. Для этого откроем
137. nano/etc/fstab
138. и добавим туда:
139. tmpfs /var/lib/nginx/cache tmpfs nodev,nosuid,size=110M 0 0
140. Если в настройках nginx вы указали больший размер кэша, то параметр size необходимо изменить в соответствии с указанным размером кэша (max_size), плюс небольшой запас.
141. Сразу смонтируем директорию в память:
142. sudo mount -a
143. service nginx restart; service apache2 restart; reboot;
144. Теперь при каждой загрузке системы, директория /var/lib/nginx/cache будет помещаться в память, что должно уменьшить время отдачи страницы.
145.  
146. =======================================================
147. !!!!!!!!!!!!!!!! В настройках указан режим reuseport, он требует ядро линкса от версии 3.9 (Устанавливаем сами или просим ТП хостинга установить)
148. Команада показать версию ядра
149. uname -r
150. Полная инфа о системе
151. uname -a
152.  
153. Eсли версия ядра ниже и не будем его использовать, то
154. меняем
155. listen 80 reuseport;
156. на
157. listen 80;
158.  
159. #### 3.  Обновления Ядра Linux для !KVM (OpenVZ не поддерживает) (Времени занимает 10 мин) ( пропускаем если не будем обновлять ядро)##############################################
160. Желательно с прямыми ручонками своими, и не обливая клаву кофем )
161. По иструкции https://codebeer.ru/obnovlenie-yadra-debian/ , после apt-get update
162. apt-get install -t jessie-backports linux-headers-4.9.0-0.bpo.1-amd64
163. apt-get install -t jessie-backports linux-image-4.9.0-0.bpo.1-amd64
164. update-grub
165. reboot
166. ======================
167.  
168. #### 4. Быстродействие системы ##########
169. !!!!Важный момент, снимаем лимиты (Проверка командой ulimit -n       (1024 изначально))
170. В конец файла /etc/security/limits.conf  
171. добавить строки (где root - имя пользователя от которого работает апач)
172.  
173. * soft nproc 65535
174. * hard nproc 65535
175. * soft nofile 65536
176. * hard nofile 65536
177. root soft nofile 65536
178. root hard nofile 65536
179.  
180.  
181. 1.В файле php.ini  /etc/php/7.0/apache2
182. memory_limit = 36M
183. short_open_tag = On
184. realpath_cache_size=16M
185. realpath_cache_ttl=1200
186. session.name = session
187. session.auto_start = 0
188.  
189. 1.1 Файл подкачки
190. www.youtube.com/watch?v=IYmYiAiFUN0
191. #Подкачка как расширение памяти на VPS с SSD
192. #установка
193. fallocate -l 1G /swapfile
194. chmod 0600 /swapfile
195. mkswap /swapfile
196. swapon /swapfile
197. #свободное место
198. df -h    
199. #В файл
200. vim /etc/fstab  
201. #добавить строку для автозагрузки свапа
202. /swapfile       none            swap    sw              0       0
203.  
204. 2.Для простого редактирования всего этого дела есть отличная утилитка –sysv-rc-conf, которая хоть и выполнена в текстовом виде, но очень удобна для этих целей.
205. В официальном репозитории Debian она есть. В репозитории Ubuntu, кстати, тоже есть.
206. Для ее установки выполняем команду:
207. apt-get install sysv-rc-conf
208. http://adminway.ru/avtozagruzka-v-debian
209.  
210. Или можно отключить все не нужное в весте
211. https://ваш ип:8083/list/server/
212.  
213. 3.Ковыряем системные переменные, защищаемся от некоторых видов атак
214. Редактируем /etc/sysctl.conf
215. nano /etc/sysctl.conf
216.  
217. Дописываем в конец
218. =========================
219. # Защита от smurf-атак
220. net.ipv4.icmp_echo_ignore_broadcasts = 1
221. # Защита от неправильных ICMP-сообщений
222. net.ipv4.icmp_ignore_bogus_error_responses = 1
223. # Защита от SYN-флуда
224. net.ipv4.tcp_syncookies = 1
225. # Запрещаем маршрутизацию от источника
226. net.ipv4.conf.all.accept_source_route = 0
227. net.ipv4.conf.default.accept_source_route = 0
228. # Защита от спуфинга
229. net.ipv4.conf.all.rp_filter = 1
230. net.ipv4.conf.default.rp_filter = 1
231. # Мы не маршрутизатор, если конечно это так
232. net.ipv4.ip_forward = 0
233. net.ipv4.conf.all.send_redirects = 0
234. net.ipv4.conf.default.send_redirects = 0
235. # Включаем ExecShield при атаках направленных на переполнение буфера или срыв стэка
236. kernel.exec-shield = 1
237. kernel.randomize_va_space = 1
238. # Расширяем диапазон доступных портов
239. net.ipv4.ip_local_port_range = 2000 65000
240. # Увеличиваем максимальный размер TCP-буферов
241. net.ipv4.tcp_rmem = 4096 87380 8388608
242. net.ipv4.tcp_wmem = 4096 87380 8388608
243. net.core.rmem_max = 8388608
244. net.core.wmem_max = 8388608
245. net.core.netdev_max_backlog = 5000
246. net.ipv4.tcp_window_scaling = 1
247.  
248. #ускоряем высвобождение памяти(см. "Ускоряем общую работу системы")
249. vm.swappiness=10
250. =======================
251.  
252.  
253. 4.Ускоряем общую работу системы
254.  
255. Prelink и Preload.
256. Prelink для создание статичных адресов библиотек, Preload это небольшое приложение, которое следит за файлами наиболее часто используемых приложений, и загружает их в память, когда система простаивает.
257. 1. Установка Prelink:
258. apt-get -y install prelink
259.  
260. Редактируем файл /etc/default/prelink:
261. nano /etc/default/prelink
262.  
263. Измените строку с PRELINKING=unknown на PRELINKING=yes
264. Запускаем:
265. /etc/cron.daily/prelink
266.  
267. 2.Установка Preload:
268. apt-get -y install preload
269.  
270. Все, больше ничего не требуется
271.  
272. Завершение настройки (перезапуск сервисов)
273. service nginx restart; service apache2 restart; reboot;
274.  
275. Теперь связка работает, Nginx обрабатывает статичные данные, Apache - динамические.
276.  
277.  
278. ===========Cписок используемой литературы======================
279. Кэширование в nginx - один из лучших мануалов
280. https://syrog.ru/?p=314
281.  
282. Увеличиваем производительность с помощью SO_REUSEPORT в NGINX 1.9.1
283. https://habrahabr.ru/post/259403/
284.  
285. Разбираемся в HTTP прокси NGINX, балансировке нагрузки, буферизации и кешировании
286. http://devacademy.ru/posts/razbiraemsya-v-http-proksi-nginx-balansirovke-nagruzki-buferizatsii-i-keshirovanii/
287.  
288. Оптимизируем VPS за 5$ (512MB RAM / 1 CPU) так, что сайт на wordpress выдерживает нагрузку в 42,735,587 хитов в день
289. https://habrahabr.ru/post/242011/
290.  
291. Прокачка debian/ubuntu сервера для маленьких
292. https://habrahabr.ru/post/186362/
293.  
294. Прозрачное кэширование в nginx для всех и каждого
295. https://habrahabr.ru/post/124684/
296.  
297. Динамические виртуальные хосты (dynamic vhost) в nginx
298. https://the-bosha.ru/2013/11/08/dinamicheskie-virtualnyie-hostyi-dynamic-vhost-v-nginx/
299.  
300. Установка и настройка связки Nginx+Apache
301. http://lib.clodo.ru/web-Сервер/webserver-lna.html
302.  
303. Настройка сервера Debian 7 + nginx + apache
304. http://desome.net/nastrojka-servera-nginx-apache.html
305. http://desome.net/nastrojka-servera-debian-7-nginx-apache-chast-2.html