"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Apache PHP und MySQL für kommerziellen Server

vossi 05.12.2003 - 10:22 1098 14
Posts

vossi

been there, done that
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1436
Hi dudes,

also folgendes .. ein paar Freunde und ich haben zusammen einen Server mit Debian Linux darauf bestellt der in Deutschland steht mit direkter Level1 Anbindung. Jetzt ist dieser Server mit Debian SSH usw. vorinstalliert wir wollen aber auch unsere Projekte als Freelancer im Webprogrammierungs-Bereich dort hosten und brauchen dazu natürlich ein LAMP System.

Ich möchte nun nur das Leute die erfahrung in diesem Bereich haben mir Tipps geben können auf was ich besonders achten soll damit mir niemand dreinpfuschen kann und mir den WebServer abschiesst oder Lücken nützt.

Auch über Tutorials die EUCH geholfen haben wäre ich froh.

tia vossi

Rektal

Here to stay
Registered: Dec 2002
Location: Inside
Posts: 4452
1) Alle Ports dicht machen ausser die, die du wirklich brauchst (Port 80 ;)), also kein MySQL auf 3306 usw.
2) SSH Port auch nur auf bestimmte IP Adressen firewallen
3) Beten das kein Exploit fuer den Apache schneller aufkommt als du apt-get upgrade tippen kannst
4) Und immer im klaren sein das das kleinste PHP Script, das nicht gewissenvoll programmiert ist (Never trust user input data, error_reporting(E_ALL), display_errors = 0, log_errors = on, error_log = /var/log/php.log) Probleme machen kann (stichwort: sql injection, XSS, information leakage).

atrox

in fairy dust... I trust!
Avatar
Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782
also falls die "LAMP" komponenten noch nicht installiert sein sollten:

apt-get update
apt-get upgrade -u
apt-get install apache mysql-server php4 php4-gd php4-mysql phpmyadmin php4-pear

wenn man will, kann man auch statt 'apache' 'apache-ssl' einsetzen.

PS: wo gibts vorinstallierte debian server ?

spunz

Super Moderator
Super Moderator
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 11241
-neuen kernel bauen
-iptables lernen und verwenden
-debian harden howto lesen
-backup

vossi

been there, done that
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1436
Kernel bauen übernimmt der zweite Admin der kann auch IPtables.

http://www.hetzner.de/price_performance.htm // Paket Entry

Server ist schon up ... jetzt gehts aufs ganze :)

dio

Here to stay
Registered: Nov 2002
Location: Graz
Posts: 4884
keine dienste unter root laufen lassen (apache, mysql, etc.)

Smoldi

rape diem
Avatar
Registered: Oct 2000
Location: Wien
Posts: 1371
postfix statt sendmail, alle unnötigen services abdrehen und access über ssh nur gewissen ips erlauben, die software aktuell halten, evtl. tripwire oä installieren,...

Rektal

Here to stay
Registered: Dec 2002
Location: Inside
Posts: 4452
aide und logcheck auch gleich installieren

vossi

been there, done that
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1436
thx für die super Tipps .. der andre Admin meint allerdings das wir den Apachen selber kompilieren sollten .. wobei ich für die FS (faule Sau) Lösung apt-get bin .. gibt es klare Vorteile die für eine Self-Compiled Version sprechen oder umgekehrt?

Rektal

Here to stay
Registered: Dec 2002
Location: Inside
Posts: 4452
Ausser das die selbst compilierte Version schneller sein kann (wenn du sie mit optimization fuer deine CPU) kompilisiert, gibts keine Vorteile.

Warum? Wenn es ein security hole gibt, was machst dann? Musst wieder neu compilieren. Darfst keinen Fehler machen; musst genau mit den selben Parametern wieder compilieren und am besten ueber die andere installation drueber installieren damit alles reibungslos klappt. Aehm. Das faellt sich nicht unter humane Wartung.

Debian package installiere, wenns ein security problem gibt, apt-get upgrade, die Sache ist vergessen; weniger humanse resourcen overhead.

Du kannst aber, und das ist nicht abwegig, von dem Debian packet die sourcen holen und diese neucompilieren. Das ist quasi wie Step 2; nur halt das package neu compilieren. Im prinzip musst du aber keine Compile-Time Einstellung o.ae. machen; ausser fuer CPU Optimization (sonst waer das ganzig nicht interessant):

apt-get source apache
ins eben downgeloadete apache verzeichnis rein
dpkg-buildpackage

Am Anfang schmeisst er dir ein paar Fehler wegen nicht erfuellter Packetabhaengigkeiten hin (du musst natuerlich die ganzen libs inc. -dev packages fuer header auch installierne). Aber da alles immer noch unter Obhut der Package-Management-Software laeuft ist das Problem der Migration fuer neue Packete/Versionen gegen Null gesunken.

Ich wuerd' mich nie auf selbst- (nicht kompilierte Software) einlassen. In der Praxis hab ich das so erlebt: Admin vor mir hat Software X installieren & konfiguriert. Ich musste dann ein security update machen (auf einem mit damals unbekanntem system, SuSe). Zuerst die Frage: hat ers von Package oder source installieren? Aha, Source. Suchen wo ist Source. Neue version runterladen, dann rausfinden mit welchen compile einstellungen. Nicht immer(!) sind diese im zuvor source ompilierte dir zu finden; dann wirds ziemlich oarsch. Ok, dann hab ich die Compile einstellungen gefunden, aber es gab probleme mit den abhaengigkeiten; dir abhaengigen Packete waren auch von Hand installiert. Na toll. Usw.

Im Endeffekt hab ich in diesem System (SuSe) ein chroot-Debian installiert und drauf geschissen rumzumurken. Debian packages genommen und aus. Die besagte Software war cyrus mit ein paar bloeden dependencies auf sasl,apc und noch andere bloedheiten. Das kostet nervig viel Zeit. So gut wie kein Admin Dokumentiert irgendwas.

Wenn ich Performance unbedingt brauche, gut. Dann compilier ich vom Package weg. Immer noch g'scheiter.

Oder anders rum, ich sags so:
Nur Wussies und Warumduscher kompilieren ihr Software selbst (*); get a real life.

(*) Extraordinary umstaende koennen das immer niederfechten, kommt halt drauf an (wenn z.b. Packege nicht mit den gebrauchten features daherkommt; aber in so einem Fall sehe ich mich dann immer nach alternativen um und werde meistens fuendig).
Bearbeitet von Rektal am 07.12.2003, 23:01

DAO

Si vis pacem, para bellum
Avatar
Registered: Mar 2001
Location: Austria
Posts: 4964
ein guter admin merkt sich "die config" oder hatt a mini doku zum vorgang geschrieben um sich selbst die arbeit zu erleichtern.

es braucht ned jeder die 0815 compilierten packete mit sinnlosen funktionen die durch die 0815 compilation enthalten sind und nicht gebraucht werden und wer sagt nicht das gerade diese so man diese drin hatt nicht das problem darstellen.

meiner meinung nach hatt auf an server nur das was das system und die benoetigten dienste +tools die wirklich gebraucht werden was zu suchen und ned irgend a 0815 compiled version die fuer "jeden" funkt.

a firma ohne doku zu den servern is selber schuld wenns probleme gibt.
auch wenns probleme gibt und wenig zeit a doku zu den wichtigsten sachen drin muss imma sein.
auch wenn wenig zeit is die zeit muss sein, neben der install die wichtgsten sachen dokumentiern is bessa als gar keine doku.

aba wurscht wichtig is fuer mich das ich keine rpms apt-get spielerein mach bei an server, ok wuerd auch nix bringen unta bsd :)

aba auch als ich noch linux server administriert hab gabs sowas bei mir ned du kannst ned einfach auf an echten server mit sowas hackln da musst wissn wast tust und vor allem wie :)

btw und real life hab ich denk ich inzwischen genug trotz dem ich compile

atrox

in fairy dust... I trust!
Avatar
Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782
auf einem server zählen stabile software, getestete verhältnisse, schnelle reaktionszeiten und kurze downtimes.

sobald ein server nicht mehr von einer einzigen person gewartet wird, oder wehe der sysadmin ist in ulraub, nicht erreichbar oder hat die firma verlassen, und man hat einen berg an slebstkompilierten programmen vor sich, und keine 1a geführte doku, dann ist man im notfall total aufgeschmissen.

Ringding

Pilot
Avatar
Registered: Jan 2002
Location: Perchtoldsdorf/W..
Posts: 4300
Zitat von Rektal
Zitat von jAcKz
wenn dann hätten wirs als adventaktion machen sollen ;)
Pah, nur Warmduscher verwenden Binaries :D

Rektal

Here to stay
Registered: Dec 2002
Location: Inside
Posts: 4452
@DOA: Ja, ich sag auch nicht das andere Einstellungen falsch sind (der Satz mit den Wussies ist ja nicht ernst zu nehmen). Ich hab eben nun mal diese Erfahrungen selbst gemacht und desshalb diese Einstellungen zu den Dingen. Den diese Art der Wartung, wie Atrox begepflichtet hat, ist im Notfall viel einfacher zu handeln als andersum.

Und, zu Debian, das ist fuer mich genau die Distribution bei der ich eben wirklich nur das Installieren muss am System was ich wirklich brauch; IMHO kann da keine andere Linux Distro mithalten. BSD hin und her, es ist hier um Linux gegangen (siehe erste Post).

DAO

Si vis pacem, para bellum
Avatar
Registered: Mar 2001
Location: Austria
Posts: 4964
ich weiss das um linux gangen is.
egal ob redhat debian oda sonst ein linux is fuer mich alles is selbe in punkto compilen ;)
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz