Страница 1 из 1

Production на Open Server: можно ли? Ваши рекомендации?

Добавлено: 06 сен 2014, 16:41
Oriander
Есть мощный компьютер с SSD, на котором Win 8.1 Можно ли использовать Вашу сборку в качестве продакшн-сервера, для раскрытия потенциала, или лучше устанавливать WAMP самостоятельно? Или все-таки лучше использовать LAMP? Виртуалку как-то не хочется устанавливать, т.к. приходится выделять конкретное количество ресурсов. Использовать чисто Linux пока не могу, т.к. необходимы программы, которые работают лишь на полноценной Windows, запущенной не с виртуалки. Если же можно, то какие рекомендации? Мельком увидел тему "страницы медленно грузятся", где человеку посоветовали отключить защиту от внешнего вмешательства. Это немного удручает, особенно если сборка изначально не оптимизирована под продакшн. Как избежать подобных подводных камней? Есть ли мануал по настройке Open Server под продакшн?

Добавлено: 06 сен 2014, 17:26
salex772
Наверное можно, но я бы не стал. продакшен должен быть на хостинге, есть оч дешевые варианты. У опенсервера периодические проблемы со стартом, но если он запущен, то у меня он не падал.

Другое дело конфигурации PHP, которые на продакшен должны быть другими совсем.

Добавлено: 06 сен 2014, 17:38
Oriander
но я бы не стал
Почему?
Другое дело конфигурации PHP, которые на продакшен должны быть другими совсем.
Какими?

Добавлено: 08 сен 2014, 08:41
Vlad_Starkovsky
Oriander писал(а):
но я бы не стал
Почему?
Другое дело конфигурации PHP, которые на продакшен должны быть другими совсем.
Какими?
1. Во-первых сервер запускается с правами администратора.
Во-вторых конфигурация всех компонентов сделана исключительно для локального использования.
..... еще 1000 и 1 причина ....
Если вы заморочитесь, можно переконфигурировать и сделать все правильно, но сил вы потратите в этом случае больше, чем купите самый дешевый хостинг.
Да и если где-то, что то забудите то сервер будет так же не защищен.

2. Что касается конфига PHP то там стоит достаточно большой лимит на соединения и довольно большой таймаут, что на обработку скрипта, что на соединение с mySQL а значит, маленькая ошибка и сервер просто сожрет все ресурсы компа. И 10 человек не понадобится.

Тем более "геморой" выводить его во внешнюю сеть...

Вообщем не придумывайте велосипед.

Добавлено: 08 сен 2014, 12:15
Oriander
Vlad_Starkovsky писал(а): 1. Во-первых сервер запускается с правами администратора.
Если я WAMP установлю самостоятельно, то он тоже будет работать с правами администратора?
Vlad_Starkovsky писал(а): Во-вторых конфигурация всех компонентов сделана исключительно для локального использования.
Плохо, так как при их установке с нуля идет выбор: локалка или продакшн. По крайней мере у МySQL
Vlad_Starkovsky писал(а): Если вы заморочитесь, можно переконфигурировать и сделать все правильно, но сил вы потратите в этом случае больше, чем купите самый дешевый хостинг.
Дешевый - не всегда означает качественный. Даже на линуксе забывают закрывать порты и серваки хакают. Я не ищу легких путей. Если я научился программированию, значит и научусь как сделать стабильный и отказоустойчивый домашний сервер. Главное - не ленится и желательно найти отзывчивых и компетентных по данному вопросу людей. Тем более у меня есть для этого новейший и производительный компьютер, который не сравнится с ресурсами дешевого хостинга.
Да и если где-то, что то забудите то сервер будет так же не защищен.
Основной упор в мануале по защите у вашего опен сервера идет на порты. У меня у роутера закрыты все порты кроме 80. Позволять загружать на свой сервер пользователям файлы с расширением .exe я тоже не позволю.
Тем более "геморой" выводить его во внешнюю сеть...
Выводил во внешнюю сеть на старом компе с роутером с подключением домена, - геморой не обнаружен.

[upd=1410171645][/upd]
Когда сервер открыт для доступа из сети Интернет он становится крайне уязвимым, особенно с настройками которые установлены по умолчанию. Множество пауков и вирусов постоянно сканируют Интернет на предмет открытых портов и, как правило, незащищенный сервер оказывается взломанным уже через несколько часов после появления в сети.
Можно было сделать опцию настроек под продакшн. Или хотябы намекнуть о каких конкретно настройках идет речь.
Смените стандартные пароли FTP пользователя [Меню → Настройки → FTP сервер];
Сменю.
Установите собственные пароли для root (и других) пользователей всех модулей СУБД;
Установлю.
Включите защиту веб-инструментов и диска от доступа из внешних сетей в настройках программы [Меню → Настройки → Сервер];
Выбор опции [Защитить сервер от внешнего доступа] отключит часть опасных функций PHP, доступ к веб-инструментам извне будет заблокирован, а доступ к диску для PHP скриптов будет ограничен корневой папкой доменов. Данная опция снижает производительность PHP скриптов в 3-4 раза.
Извращение, не подходит. Какой альтернативный метод защиты данного пункта? Использовать только грамотный backend? Ведь и в линуксе могут загрузить на сервер какой-нить shell? Объясните более детально? И есть ли подобная проблема, если устанавливать WAMP с нуля?
Теперь перезапустите саму управляющую программу (не сервер);
Сам Open Server?
Выполните настройку фаервола закрыв на доступ извне ВСЕ порты кроме тех, которые планируется использовать (например: 80,443,21,990,53);
У роутера открыт только 80 порт. Надо ли еще и на компьютере фаервол и почему?

PS: выполнив все эти пункты, насколько будет стабильным сервер по сравнению с LAMP? Ведь даже и на Линуксе забывают порты закрывать, так что всё относительно...

[upd=1410171946][/upd]
PSS: чем грозит работа сервра под администратором? Смогут загрузить и запустить какое-то приложение на моём сервере? Я знаю, что ставят администраторский пароль: перед установкой приложений идет запрос этого пороля. Решит ли это данную проблему?

Добавлено: 08 сен 2014, 20:41
Dragon_Knight
У меня OS стоит на 4 серверах в паблике и работают хорошо.
Сейчас жду версию Open Server 5.2 и ставлю его на высоконагруженный сервер, у себя дома.
Была идея поставить всё на Debian'е, но там проблема с моим RAID контроллером, и по этому стоять будет на Win2003R2x64.

Что касается конфигов, тут каждый для себя настраивает и по обстановке, но по факту они были переписаны почти полностью.

[upd=1410198450][/upd]
Oriander писал(а):работа сервра под администратором
Это местная истерическая паранойя. Согласно легенде, если в Ваших скриптах есть дырки, благодаря которым можно загрузить и выполнить код, будь то exe, cmd или vbs, на сервере, то административная учётная запись позволить спокойно выполнять этот код, т.к. дочерние процессы не спрашивают разрешения на запуск.
По факте это паранойя и не более, т.к. школьник такое не сделает, а если займутся серьёзные люди, то ничего не спасёт Ваш сервер, разве что вытащенный провод LAN...

[upd=1410198576][/upd]
Могу дать только три совета. Делайте бекабы, ведите логи нетипичной активности, если есть на чём их вести и проверяйте установленные скрипты и по возможности обновляйте их.

Добавлено: 09 сен 2014, 17:30
Oriander
Dragon_Knight, благодарю Вас, вдохновили. Чувствуется компетентность администраторская. Если Вы не против, добавлю Вас в скайп.