Хостинг - Обзор: эпицентр русскоязычного хостинга

Здравствуйте, гость ( Вход | Регистрация )

> Правила раздела

Настоящие Правила Раздела являются дополннением к Общим Правилам Конференции. В случаях противоречий отдельных пунктов, действуют Правила Раздела.

Запрещается

  1. Обсуждение хостинговых компаний и качества предоставляемых ими услуг.
  2. Реклама и антиреклама услуг хостинговых компаний.
  3. Навязывание собственных услуг в любом виде.
    Участникам Клуба хостинг-провайдеров разрешено давать ссылки на профайл своей компании в каталоге хостинга только в случае явного запроса услуг потенциальным клиентом. При поиске автором темы уникальных или специфических услуг, не описанных в каталоге хостинга, допускается информирование клиента о предоставлении таковых только персонально в личных сообщениях или с использованием другой контактной информации из профайла автора темы.

> Сборка ядра линукса для собственного сервера (хостинг php- python-проектов, включая приложения для соцсетей, планируется высокая нагрузка)
Lord Daedra
сообщение 01.05.2011, 12:19
Сообщение #1





Группа: Старые пользователи
Сообщений: 746
Регистрация: 11.05.2005
Из: Entropia
Пользователь №: 1,273


Репутация: 222


Всем привет!

Не нашёл подходящего раздела, поэтому напишу тут.

Мне бы хотелось составить примерный шаблончик конфигурации ядра линукса под серверное использование на высоконагруженных серверах. Думаю, это было бы многим полезно.

Вообще, я использовал Ubuntu Server и был счастлив, но сейчас захотелось собрать что-то более оптимизированное под мои задачи, к тому же Ubuntu, увы, не rolling release.

Использовать на сервере я планирую Gentoo (но возможно передумаю в сторону ArchLinux), так как она отличается достаточной гибкостью и при этом является rolling-release'ом (то есть пакеты свежие, что мне очень нравится).

Потестировав немного Gentoo на домашней впске я обнаружил такие технологии как grsecurity (http://grsecurity.net/), pax (http://pax.grsecurity.net/) ( для использования этой технологии используется патченый gcc (туда добавляется поддержка SSP и(или) PIE)), rbac, selinux...

Вообщем, это классные фишки, но они тормозят. Так как я не админ, то хотелось бы спросить более опытных в этом плане людей - что из этого имеет смысл использовать на сервере при условии, что на этом сервере нет пользователей кроме администратора (и каких-либо скриптов, про которые администратор не знает) и вход на ssh только по ключам, нет ftp, нет почты, нет днс, нет апача (есть nginx), есть mysql, есть couchdb, есть python и всё что с ним связано (деплоймент через uWSGI), есть php-fpm с suhosin? То есть взлом возможен лишь через какие-то кривые скрипты (php, python)...

Имеет ли вообще смысл в hardened-ядре или лучше не стоит это всё ставить (hardened ядро со всеми этими патчами) и использовать vanilla ядро? То есть насколько большая плата производительностью за безопасность, не слишком ли она большая?

Кроме того, что точно следует отключать в ядре или как-то настраивать? (ну, помимо неиспользуемого оборудования и файловых систем)

Было бы интересно собрать в этой теме примерные рекомендации по настройке ядра.

Забыл добавить, что пока я поэкспериментировал только с Btrfs-raid1 (как замена software raid1+LVM) на / и systemd, и то и другое у меня ок заработало. Btrfs имеет оптимизации для SSD-дисков, поэтому интересная вещь на мой взляд, а systemd - просто потому что после убунтушного upstart'a мне показалось как-то неправильным возвращаться на обычный gentoo-шный sysvinit...

Потом попробовал подключить grsecurity и отключить ненужные вещи, правда эта попытка была не очень удачной :-) Но планирую разобраться в этом.

Не стал делать тему в закрытых разделах, думаю, это будет интересно многим владельцам обычных серверов...

Возможно, кто-то сможет посоветовать интересные статьи по теме или расскажет о своём опыте... Спасибо!
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
Reply to this topicStart new topic
Ответов
MiksIr
сообщение 02.05.2011, 17:25
Сообщение #2





Группа: Старые пользователи
Сообщений: 347
Регистрация: 23.09.2005
Пользователь №: 1,646


Репутация: 228


Нельзя генту на сервере. Как и большинство дистрибутивов. Реально подходят только энтерпрайз версии ну или centos.
Попробую объяснить почему. Нормальные сервера живут годами. Это сейчас вам кажется год - огромной величиной, а потом окажется, что уже 4-й год пошел. Сервера не обновляются глобально. Т.е. меняются пакеты с известными секьюрити дырами ну и пакеты, которые нужно поменять ибо потребовалась новая функциональность. Администраторы, которые постоянно обновляют систему аргументируя "новое - значит лучше" - долго не работают на своем месте.
Так вот, для серверного дистрибутива важно, что бы вы смогли поставить обновленный или новый (но стабильный) пакет не обновляя весь дистрибутив по связям. Ну, и что бы эти новые пакеты появлялись.

Что вы получите в случае генту? Обновляемое полностью в лучшем случае раз в год (а то и быстрее) окружение. Т.е. через два года, решив поставить какой-то пакет или его версию поновей вам придется рисковать делать это без соблюдения зависимостей, ибо эти зависимости потянут пересборку всей системы. Просто пересобрать пакет ибо там потркбовалась какая-то опция вы не сможете - его уже давно нет в портатже, только версии новее.... которые потянут за собой библиотеки новее - а вы уверены, что ваш код будет работать с более новой библиотекой? Переодически всплывают потерянные зависимости, круговые зависимости и прочие косяки - гентушная багзила станет вышим лучшим другом. В общем года через два-три вернувшись к серверу с генту вы выясните, что ничего там не можете тронуть не ывзвав лавину перекомпиляции и вам придется все это пытаться фиксировать оверлеями и в итоге делать свой дистрибутив.

Приблизительно то же самое вы получите с другими "не серверными" дистрибутивами. Так как поддержание разных релизов в рабочем обновляемом состоянии годами - это очень дорго, так что мало кто может себе это позволить. Реально это энтерпрайз шапки или суси, центос как базирующийся на шапке... ну может есть еще подобные "базирующиеся" системы.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Сообщений в этой теме
Lord Daedra   Сборка ядра линукса для собственного сервера (хостинг php- python-проектов, включая приложения для соцсетей, планируется высокая нагрузка)   01.05.2011, 12:19
Boris A Dolgov   Добрый день! 1) Хочу предупредить, что при ис...   01.05.2011, 17:25
eSupport.org.ua   Ничего они не тормозят, если железо нормальное А з...   01.05.2011, 18:29
Lord Daedra   Спасибо за ваши ответы! Борис, 1) Вообще да, ...   02.05.2011, 08:26
Boris A Dolgov   И всё это время Ваш сайт будет простаивать :) В...   02.05.2011, 16:38
eSupport.org.ua   Железо обычное (планирую взять в хетзнере с SSD-д...   02.05.2011, 17:42
MiksIr   Нельзя генту на сервере. Как и большинство дистриб...   02.05.2011, 17:25
Lord Daedra   Мне кажется как-то так: - если сервер используетс...   03.05.2011, 16:19
eSupport.org.ua   eSupport.org.ua, А чем обычный самосборный компью...   03.05.2011, 16:39
Boris A Dolgov   Лучше обновления делать ночью, ночной аптайм не я...   03.05.2011, 20:14
Lord Daedra   Ок, если аналогия с машинами - то Toyota. :-) Отли...   03.05.2011, 16:50
eSupport.org.ua   хетзнер не тойота? :-) Кому и кобыла невеста.   04.05.2011, 06:29
MiksIr   Нет, это написано базируясь на опыте того, чем я ...   03.05.2011, 21:11
Lord Daedra   Boris A Dolgov, Согласен: конечно же, чем больш...   04.05.2011, 22:39
eSupport.org.ua   Твоя ошибка в том, что на первое место ты ставишь ...   05.05.2011, 06:06
MiksIr   Нет, ничего из этого двух не использовал. Как пра...   05.05.2011, 03:03
Lord Daedra   MiksIr, я наткнулся на это сравнение http://affec...   10.05.2011, 00:28
eSupport.org.ua   Выбор только по критерию качества тоже неправильн...   10.05.2011, 05:45
MiksIr   я наткнулся на это сравнение [url=http://affectio...   10.05.2011, 19:19
Lord Daedra   MiksIr, Если в общих чертах - как я понял из в...   12.05.2011, 06:52
Lord Daedra   eSupport.org.ua, к сожалению, у 99% населения Р...   12.05.2011, 07:31
eSupport.org.ua   eSupport.org.ua, к сожалению, у 99% населения Рос...   12.05.2011, 07:46
Lord Daedra   В/На Украине есть хорошая пословица, перевод кото...   12.05.2011, 14:03
eSupport.org.ua   p.s. если инвестор даёт денег столько, что старта...   12.05.2011, 15:37
Lord Daedra   А какой смысл заниматься тем, что не имеет огромн...   13.05.2011, 06:17
eSupport.org.ua   выгодно заниматься тем, где есть свободная узкая ...   13.05.2011, 07:22
Lord Daedra   Выгодно или нет, а так же шансы на успех - это вс...   13.05.2011, 12:52
MiksIr   Нет, наоборот. Но зависит от бекенда и средств ке...   12.05.2011, 12:33
Lord Daedra   Нет, наоборот. Но зависит от бекенда и средств ке...   12.05.2011, 14:49
MiksIr   Вы, пожалуйста, только будьте честны со своими пар...   12.05.2011, 15:52
2 страниц V  1 2 >


Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 24.05.2024, 19:17
Яндекс.Метрика