Apache PHP und MySQL für kommerziellen Server

1) Alle Ports dicht machen ausser die, die du wirklich brauchst (Port 80 ), also kein MySQL auf 3306 usw.
2) SSH Port auch nur auf bestimmte IP Adressen firewallen
3) Beten das kein Exploit fuer den Apache schneller aufkommt als du apt-get upgrade tippen kannst
4) Und immer im klaren sein das das kleinste PHP Script, das nicht gewissenvoll programmiert ist (Never trust user input data, error_reporting(E_ALL), display_errors = 0, log_errors = on, error_log = /var/log/php.log) Probleme machen kann (stichwort: sql injection, XSS, information leakage).

-neuen kernel bauen
-iptables lernen und verwenden
-debian harden howto lesen
-backup

keine dienste unter root laufen lassen (apache, mysql, etc.)

aide und logcheck auch gleich installieren

Ausser das die selbst compilierte Version schneller sein kann (wenn du sie mit optimization fuer deine CPU) kompilisiert, gibts keine Vorteile.

Warum? Wenn es ein security hole gibt, was machst dann? Musst wieder neu compilieren. Darfst keinen Fehler machen; musst genau mit den selben Parametern wieder compilieren und am besten ueber die andere installation drueber installieren damit alles reibungslos klappt. Aehm. Das faellt sich nicht unter humane Wartung.

Debian package installiere, wenns ein security problem gibt, apt-get upgrade, die Sache ist vergessen; weniger humanse resourcen overhead.

Du kannst aber, und das ist nicht abwegig, von dem Debian packet die sourcen holen und diese neucompilieren. Das ist quasi wie Step 2; nur halt das package neu compilieren. Im prinzip musst du aber keine Compile-Time Einstellung o.ae. machen; ausser fuer CPU Optimization (sonst waer das ganzig nicht interessant):

apt-get source apache
ins eben downgeloadete apache verzeichnis rein
dpkg-buildpackage

Am Anfang schmeisst er dir ein paar Fehler wegen nicht erfuellter Packetabhaengigkeiten hin (du musst natuerlich die ganzen libs inc. -dev packages fuer header auch installierne). Aber da alles immer noch unter Obhut der Package-Management-Software laeuft ist das Problem der Migration fuer neue Packete/Versionen gegen Null gesunken.

Ich wuerd' mich nie auf selbst- (nicht kompilierte Software) einlassen. In der Praxis hab ich das so erlebt: Admin vor mir hat Software X installieren & konfiguriert. Ich musste dann ein security update machen (auf einem mit damals unbekanntem system, SuSe). Zuerst die Frage: hat ers von Package oder source installieren? Aha, Source. Suchen wo ist Source. Neue version runterladen, dann rausfinden mit welchen compile einstellungen. Nicht immer(!) sind diese im zuvor source ompilierte dir zu finden; dann wirds ziemlich oarsch. Ok, dann hab ich die Compile einstellungen gefunden, aber es gab probleme mit den abhaengigkeiten; dir abhaengigen Packete waren auch von Hand installiert. Na toll. Usw.

Im Endeffekt hab ich in diesem System (SuSe) ein chroot-Debian installiert und drauf geschissen rumzumurken. Debian packages genommen und aus. Die besagte Software war cyrus mit ein paar bloeden dependencies auf sasl,apc und noch andere bloedheiten. Das kostet nervig viel Zeit. So gut wie kein Admin Dokumentiert irgendwas.

Wenn ich Performance unbedingt brauche, gut. Dann compilier ich vom Package weg. Immer noch g'scheiter.

Oder anders rum, ich sags so:
Nur Wussies und Warumduscher kompilieren ihr Software selbst (*); get a real life.

(*) Extraordinary umstaende koennen das immer niederfechten, kommt halt drauf an (wenn z.b. Packege nicht mit den gebrauchten features daherkommt; aber in so einem Fall sehe ich mich dann immer nach alternativen um und werde meistens fuendig).

auf einem server zählen stabile software, getestete verhältnisse, schnelle reaktionszeiten und kurze downtimes.

sobald ein server nicht mehr von einer einzigen person gewartet wird, oder wehe der sysadmin ist in ulraub, nicht erreichbar oder hat die firma verlassen, und man hat einen berg an slebstkompilierten programmen vor sich, und keine 1a geführte doku, dann ist man im notfall total aufgeschmissen.

@DOA: Ja, ich sag auch nicht das andere Einstellungen falsch sind (der Satz mit den Wussies ist ja nicht ernst zu nehmen). Ich hab eben nun mal diese Erfahrungen selbst gemacht und desshalb diese Einstellungen zu den Dingen. Den diese Art der Wartung, wie Atrox begepflichtet hat, ist im Notfall viel einfacher zu handeln als andersum.

Und, zu Debian, das ist fuer mich genau die Distribution bei der ich eben wirklich nur das Installieren muss am System was ich wirklich brauch; IMHO kann da keine andere Linux Distro mithalten. BSD hin und her, es ist hier um Linux gegangen (siehe erste Post).