Как правильно администрировать VPS?


#1
Dar_Adal
Ни в коем случае не ставить никаких ISP Manager / Vesta / CPanel, иначе никогда не научитесь тому, чему хотите научиться. Кроме того, они жрут ресурсы. Даже Vesta, которая самая легкая, их жрет прилично, а я сильно сомневаюсь, что у вас VPS c 8+ Gb памяти.
Порядок, плюс-минус, такоq:
- развернули ось
- сделали сразу апдейты
- создали и настроили swap
- поменяли пароль рута на что-нибудь супер-мега-сложное (его мы использовать все равно не будем)
- создали себе обычного юзера с паролем нормальной сложности (он будет использоваться для sudo)
- дали юзеру права sudo
- закрутили гайки по SSH - сменили порт, запретили вход руту и вход по паролю (только по ssh-ключам), разрешили вход только одному своему новому логину
- настроили UFW - простой, но эффективный firewall на основе iptables - default deny, allow http, https, свой кастомный ssh-порт. Если логиниться будете только из нескольких мест (офис, дом) - можно вообще ssh разрешить только на эти IP.
- sudo dpkg-reconfigure tzdata чтобы установить свою временную зону, так логи потом легче читать и понимать
- настроили logrotate
- настроили logwatch
- настроили Postfix, чтобы сервер вам письма мог слать (мы его настраиваем на внешний мейлер, например Mandrill, чтобы все письма точно в спам не падали)
- настроили fail2ban (потом, после установки и настройки веб-сервера и сайтов, в fail2ban можно дополнения писать)
- дальше ставим все что нужно - Git, Nginx, HHVM, PHP5-FPM, MariaDB, Memcached/Redis и так далее.
Регулярно заходите на сервер, делайте apt-get update && apt-get dist-upgrade. 10:44:05 0

Порядок, плюс-минус, такоq:
- развернули ось
- сделали сразу апдейты
- создали и настроили swap
- поменяли пароль рута на что-нибудь супер-мега-сложное (его мы использовать все равно не будем)
- создали себе обычного юзера с паролем нормальной сложности (он будет использоваться для sudo)
- дали юзеру права sudo
- закрутили гайки по SSH - сменили порт, запретили вход руту и вход по паролю (только по ssh-ключам), разрешили вход только одному своему новому логину
- настроили UFW - простой, но эффективный firewall на основе iptables - default deny, allow http, https, свой кастомный ssh-порт. Если логиниться будете только из нескольких мест (офис, дом) - можно вообще ssh разрешить только на эти IP.
- sudo dpkg-reconfigure tzdata чтобы установить свою временную зону, так логи потом легче читать и понимать
- настроили logrotate
- настроили logwatch
- настроили Postfix, чтобы сервер вам письма мог слать (мы его настраиваем на внешний мейлер, например Mandrill, чтобы все письма точно в спам не падали)
- настроили fail2ban (потом, после установки и настройки веб-сервера и сайтов, в fail2ban можно дополнения писать)
- дальше ставим все что нужно - Git, Nginx, HHVM, PHP5-FPM, MariaDB, Memcached/Redis и так далее.
Регулярно заходите на сервер, делайте apt-get update && apt-get dist-upgrade. 10:44:05 0

