Author: evgeniy

Добавление нового сайта в Virtualmin на сервере с Nginx

При добавлении нового сайта в Virtualmin вылезает пара косяков, если вы используете в качестве веб-сервера не Apache, а Nginx.

Последовательность действий:

1) Зайдите на веб-морду Виртуалмина, например https://yourdomain.com:10011/ и залогиньтесь. Затем нажмите Create Virtual Server  и введите данные о вашем сайте. Не забудьте ввести в поле
Default database name имя новой базы. Также можно убрать флажок Allow Mailman mailing lists? – по-умолчанию будет ругаться, если оставить 🙂 Пецкаем Create Server и ждем окончания всех процедур.

2)  Идем в Edit Databases и создаем БД с именем, которое ввели в шаге 1 – БД не создается автоматически.

3) Теперь косяки. Статический контент отображаться не будет просто так 🙂 Надо сделать следующее.

Идем по SSH на наш сервер, лезем в конфиг Nginx:

nano /etc/nginx/nginx.conf

И в разделе

http {
    …
    server {
    … <———-тут
    }
}

Создаем запись такого вида:

location ~* ^.+.(jpg|jpeg|gif|png|ico|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|mov|swf|flv|css|js)$ {

            if ($host ~* ^(yourdomain.com|www.yourdomain.com)$) {
                root /home/yourdomain/public_html/;     ##путь к папке с сайтом
                expires max;
            }

}

Далее идем в:

nano /etc/group

И находим внизу запись типа:
yourdomain::531:apache
Добавляем туда группу nginx:
yourdomain::531:apache,nginx
Рестартуем nginx… Всё, должно работать.
http://geckich.blogspot.com/

Рецепт вкусного грога :)

Вот такую вот статью запостю в админский блог 🙂

В общем, рецептик такой:

– 50 мл темного рома;
– 100 мл теплой воды;
– половина свежевыжатого лимона (если лимон большой и сочный, то хватит четверти вполне)
– ложка меда.

Сам пробовал так делать – получается отличное пойло 🙂 Нагреваем воду (до кипения или нет, но чтобы была теплая), разливаем по кружкам и добавляем по 50 мл рома, сок лимона и ложку меда. Выпиваем не быстро. наслаждаясь вкусом 🙂

http://geckich.blogspot.com/

Ошибка апача: [warn] _default_ VirtualHost overlap on port 443, the first has precedence

Такая ошибка вылазит при перезагрузке или переконфигурировании апача.

Причина такой ошибки очень простая – в конфиге апача (httpd.conf, apache2.conf – смотря какой линукс у вас) не хватает строчки:

NameVirtualHost *:443

Добавьте – и будет вам счастье 🙂
http://geckich.blogspot.com/

Настройка mod_proxy в Apache

В общем, был такой таск: есть у нас локальная сетка и маршрутизатор Peplink. В локальной сетке на многих тазиках крутятся сайты, которые должны быть доступны извне. Как это сделать? Разносить по портам – не вариант, т. к. пользователю неудобно всё-таки набирать  URL типа блаблабла:8081. Решение – использовать HTTP-прокси, а на тазик с ним открыть в маршрутизаторе порты 80, 443. Для проксирования обычно используют nginx, но апач тоже отлично справляется с этой задачей.

Так сложилось, что тазик с прокси был Убунтой (клиент категорически н ехотел работать с другими дистрибутивами Linux), а “в Убунте всё не как у людей” (с) 🙂 потому конфигурация её несколько отличается от других дистрибутивов. Но, приняв философию Убунты, я понял, что многие решения в ней очень даже удобны, хотя некоторые мне не нравятся – например, отсутствие пользователя root. Но это уже философия, грозящая холиваром, потому перейдем к делу 🙂

В убунте манипулирование апачем происходит с помощью глобальных команд: включение/выключение виртуал хостов – a2ensite / a2dissite с одним аргументом – пути к конфигу, в котором прописан виртуал хост. Включение/выключение модов или расширений происводится командами a2enmod / a2dismod.

В общем, алгоритм работы такой:

1) Нужно включить необходимые модули апача. Устанавливаем модули:

sudo apt-get install libapache2-mod-proxy-html libapache2-mod-gnutls

Активируем модули:

sudo a2enmod proxy
sudo a2enmod ssl
sudo a2enmod cache
sudo a2enmod proxy_connect
sudo a2enmod proxy_html
sudo a2enmod proxy_ftp
sudo /etc/init.d/apache2 restart

2) Делаем конфиг виртуал хоста (по 1му файлу на 1 хост!) и помещаем его в /etc/apache2/sites-available. Пример HTTPS конфига проксирования на тазик с Confluence – это такая джавовская веб-морда для программистов и не только, работающая на Apache Tomcat (с портом 8444):

<VirtualHost *:443>
    ServerAdmin admin@mydomain.com
    DocumentRoot "/etc/httpd/docs/dummy-host.example.com"
    ServerName conf.mydomain.com
    ServerAlias www.conf.mydomain.com

    #настройки SSL - включение SSL и пути к файлам ключей
    SSLEngine On
    SSLCertificateFile /etc/ssl/server.crt
    SSLCertificateKeyFile /etc/ssl/server.key

    #включение прокси для данного виртуал хоста и некоторые настройки. 
    SSLProxyEngine On
    ProxyRequests Off
    ProxyPreserveHost On
    ProxyVia full

    <proxy *>
    Order deny,allow
    Allow from all
    </proxy>

    #что и куда проксируем / означает что проксируются все запросы к сайту, начиная с корня
    ProxyPass        /  https://192.168.1.132:8444/
    ProxyPassReverse /  https://192.168.1.132:8444/

</VirtualHost>

Замечание: Не забываем создать ssl-сертификаты либо использовать готовые в папку /etc/ssl/ и выставить права (chmod 700 /etc/ssl/ и на файлы: chmod 600 /etc/ssl/server.crt и chmod 600 /etc/ssl/server.key)

Для HTTP virtual host убираются строчки, связанные с SSL и меняется порт 443 на 80, SSLProxyEngine On меняется наProxyEngine On. Ну и в директиве ProxyPass https на http – понятное дело.
Затем а ктивируем наш виртуал хост. После чего необходимо перезагрузить апач командой:

sudo a2ensite /etc/apache2/sites-available/конфиг_виртуал_хоста 
sudo /etc/init.d/apache2 reload

Для RHEL нужно установить модули:

yum install httpd mod_ssl openssh

И добавить нужные конфигурации в папку /etc/httpd/conf.d/

Для удобства все прокси для 80го порта добавим в файл /etc/httpd/conf.d/proxy-80.conf, а для 443 порта – в файл /etc/httpd/conf.d/proxy-443.conf. Где первый сайт сразу проксируется в конечную точку, а 2й сначала идёт на SSL-версию.

proxy-80.conf:

NameVirtualHost *:80
<VirtualHost *:80>
        ServerName server1.example.com
        ServerAlias www.server1.example.com
        ServerAdmin admin@example.com
        Options -Indexes

        ProxyRequests Off
        ProxyPreserveHost On
        ProxyVia Full

        ProxyPass        /  http://192.168.0.10:8080/
        ProxyPassReverse /  http://192.168.0.10:8080/
        ProxyPreserveHost On
</VirtualHost>

<VirtualHost *:80>
        ServerName server2.example.com
        ServerAlias www.server2.example.com
        ServerAdmin admin@example.com
        Redirect permanent / https://server2.example.com/
</VirtualHost>

proxy-443.conf:

# Path to certificate:
<IfModule mod_ssl.c>
        SSLCertificateFile /etc/ssl/2025/server.crt
        SSLCertificateKeyFile /etc/ssl/2025/server.key
        SSLCertificateChainFile /etc/ssl/2025/bundle.crt
</IfModule>

<VirtualHost *:443>
        ServerName webpage.example.com
        ServerAlias www.webpage.example.com
        ServerAdmin admin@example.com

        SSLEngine On

        Redirect permanent / https://website.com
</VirtualHost>

<VirtualHost *:443>
        ServerName server2.example.com
        ServerAlias www.server2.example.com
        ServerAdmin admin@example.com
        Options -Indexes

        SSLEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off

        SSLProxyEngine On
        ProxyRequests Off
        ProxyPreserveHost On
        ProxyVia Full

        ProxyPass        /  https://192.168.0.11/
        ProxyPassReverse /  https://192.168.0.11/
        ProxyPreserveHost On
</VirtualHost>

Расширение EBS Volume на Amazon AWS

Амазон славится своей масштабируемостью. И вот если нам стало мало места на нашем виртуальном жестком диске, то его очень легко увеличить.

Заходим в AWS, например: https://console.aws.amazon.com/ec2/home?region=us-east-1#s=Volumes

Тут у нас два пути: 1 – создаем снапшот со старого диска, затем разворачиваем его на новом (но придется вручную увеличивать его объем, т. к. он будет как у старого, а остаток пространсва – неразмеченным), 2 – создать пустой диск и скопировать, например rsync’ом данные со старого диска на новый.
Я пошел по 1му более тернистому пути 🙂

Создаем снапшот нашего старого EBS volume. Дожидаемся окончания.

Далее пецкаем Create Volume и там выбираем наш только что созданный снапшот. Ждем окончания (не забывая обновлять страничку).

В контекстном меню EBS раздела выбираем Attach volume – далее вирт машину, куда надо его присоединить и то как она будет видна в /dev (например, /dev/sdf) – только выбираем еще не занятое обозначение! иначе операция залипнет.

Затем логинимся на целевую вирт. машину по ssh и монтируем наш новый раздел. У меня тут вылез косяк такого метода, заключающийся в том, что из-за снапшота на новом разделе выделилось столько же места, сколько и на старом. А остальное осталось неразмеченным, потому пришлось расширять раздел:

1) делаем

fsck -c /dev/sdf 

(sdf – имя, которое мы указывали при аттаче).
2) делаем

resize2fs /dev/sdf

(по умолчанию команда расширяет указанный раздел до конца свободного пространства на диске)

Затем можно еще раз чекнуть ФС – на всякий случай.

Если данные на старом разделе во время всей процедуры могли измениться, то сделаем следующее:

mount /dev/sdf /mnt/sdf/
rsync -av /mnt/oldebs/ /mnt/sdf/

Утилита rsync синхронизирует данные из 1го на 2й раздел, сохраняя права.

Теперь стопнем все службы, которые могут использовать старый диск и отмонтируем старый раздел:

umount /mnt/oldebs

И примонтируем на его место новый:

mount /dev/sdf /mnt/oldebs

Теперь остается подправить файл /etc/fstab – чтобы при загрузке ОС монтировался новый раздел, а не старый.

Идем в AWS консоль и делаем старому разделу Detach Volume.

Усё.

http://geckich.blogspot.com/

Установка и использование антивируса Clamav

Бывает, что rkhunter и chkrootkit недостаточно чтобы точно определить, есть ли зловредный руткит или типа того в вашей системе. Тут нам на помощь приходит антивирус для Linux – Clamav.

Установка. В зависимости от дистрибутива используем одну из следующих команд:

yum install clamav, urpmi clamav, apt-get install clamav, pacman -S clamav

Для обновления антивирусных баз юзаем команду:

freshclam

Для сканирования каталога:

clamscan -r <каталог>

 Также можно использовать следующие опции:

– управление информационными сообщениями

  • –verbose 
  • –no-summary (не выдавать итоговый отчёт) 
  • –infected (сообщать только об обнаруженных вирусах) 
  • –quiet (об обнаруженных вирусах также не сообщается!) 
  • –bell (звенеть при обнаружении вируса; звенит даже при –quiet) 
  • –debug 
  • –log=имя-файла (файл дополняется) – очень полезная штука, иначе вы не узнаете, что у вас заражено в принципе, если файлов много 
  • –stdout 

– действия при обнаружении вирусов

  • –move=имя-каталога (перемещать инфицированные файлы в указанный каталог; д.б. права на запись) 
  • –copy=имя-каталога (копировать инфицированные файлы в указанный каталог; д.б. права на запись) 
  • –remove (удалять файлы с вирусами; не советую)
    http://geckich.blogspot.com/

    Использование hosts.deny и hosts.allow

    Бывают ситуации, когда надо заблокировать доступ злоумышленникам на наш компьютер. Если разбираться с правилами iptables не нужно, то самое простое решение – добавить ip злоумышленника в hosts.deny. А hosts.allow служит как раз для противоположной цели

    Синтаксис этих файлов очень прост:

    <служба или ALL>: <IP-адрес или имя хоста или подсеть>

    Так, например, если мы хотим блокировать все smtp-пакеты, идущие к нашему серверу от mail.test.ru, нам необходимо ввести в файл hosts.deny следующую строчку:

    smtp: mail.test.ru

    Для ssh:

    sshd: 210.123.134.56

    А если мы хотим запретить подключение по ssh всем, кроме локальной сети, то:

    /etc/hosts.deny
    sshd: ALL
    /etc/hosts.allow
    sshd: 192.168.1.
    В этом примере 192.168.1. значит 192.168.1.0..255
    Всем удачи 🙂
    http://geckich.blogspot.com/

    SCP – утилита копирования файлов по LAN/WAN

    Часто возникает задача скопировать файл (например, конфиг) с одной Linux машины на другую.  Если надо скопировать 1-2 файла, то поднимать FTP сервер нет смысла – проще воспользоваться командой SCP, которая копирует файлы по протоколу SSH.

    Пример копирования из машины-источника (назовем ее так) на нашу:

    scp -P 230 root@192.168.1.5:/etc/ssl/server.key /etc/ssl/

    где

    • -P 230 – указание порта (если SSH на машине-источнике работает не по стандартному 22-му, а как в примере по 230);
    • root – имя пользователя на машине-источнике;
    • 192.168.1.5 – адрес машины источника;
    • /etc/ssl/server.key – путь к файлу, который надо скопировать;
    • /etc/ssl/ – путь, куда копировать (на нашей машине).

    Вот так вот всё просто 🙂

    ssh -t user@192.168.1.2 scp /home/user/some_file user2@192.168.1.3:/home/user3/

    http://geckich.blogspot.com/