Сказ о том, как я сервер с WP лечил, или 700 юзеров онлайн на 2х ядрах

[selivanov_pavel]

Всё хорошо, но

./configure --prefix=/opt/php-7.0 ...

Я правильно понимаю, что этот php теперь не будут там обновлять до следующего заражения и вызова шамана админа?

[POS_troi]

Вас смущает то что ПхП был собран из сорцов а не установлен пакетом?
Так собственно они всёравно не будут обновлять пакеты а если и будут то имеют не малые шансы всё уронить и всёравно вызывать шамано но только уже «по срочняку».
Уж лучше пусть всё будет как положенно — админы ведут сервер, а остальный тусуются не дальше уютненькой админки WP-шечки.

[nikitasius]

Так, ничего не мешает ручками скачать, проверить хеш и собрать новый php.

Структура простая:
/opt/php-7.0/
/opt/php-7.1/
/opt/src/тут-все-сырцы


Ну и
systemctl ляля php-7.0-fpm.service
systemctl ляля php-7.1-fpm.service

Текущему админу не нужно ломать голову, так как все запускается после старта виртуалки автоматом и автоматом папочки на ремдиске делаются. Если же ему надо будет что-то перезапустить, что вместо ковыряния консоли он запускает mc, следом заходит в /usr/ssi14/ и там пачка скриптов для запуска, статусов и прочего + завтра добавлю ручной бекап (если ему надо сделать до или после того, как автоматический сработает).

И, самое приятное, мне не зачем забивать на этот контакт, так как есть вероятность других совместных проектов, где я сам займусь серверной частью. Поэтому сервер будет периодически проверяться.

Ну и… сейчас в unstable ветке 7.0.15 и 7.1.1, 7.0.16 & 7.1.2 доступны только с сайта, на момент этого коммента.

Далее, я придерживаюсь политики, что лучше всего ставить софт из пакетов, из репы… пока это не оказывает проблем.

А проблема: попробуйте поставить из коробки 7.0.16 + 7.1.2 через apt-get или aptitude (я к последней привык, и приложил усилие отвыкнуть от первой).
Уверен, что решение будет длиннее, чем собрать их ручками, «скопировать файлики» в init.d и в system, подцепить их и…
systemctl ляля php-7.0-fpm.service
systemctl ляля php-7.1-fpm.service
как я писал выше.

[selivanov_pavel]

попробуйте поставить из коробки 7.0.16 + 7.1.2 через apt-get или aptitude

add-apt-repository ppa:ondrej/php && apt-get update && apt-get -y install php7.0-fpm php7.1-fpm

php7.0-fpm  7.0.16-1+deb.sury.org~trusty+2
php7.1-fpm  7.1.2-1+deb.sury.org~trusty+1

Конфиги и сокеты разделены по отдельным папкам, все счастливы. Оно не совсем официальное, но по сути это собранные под убунту пакеты из debian unstable. Аккуратно, может притащить с собой libssl с отключенным SSLv3 для клиентской части, лечится прибиванием гвоздями apt-pin libssl1.0.0 из основных реп.

Я не против ручной сборки, но ИМХО это для проектов, где есть ресурсы чтобы заниматься этим каждый раз при выходе CVE-шек, а для простых смертных лучше нормально обновляющийся репозиторий.

[MxMaks]

Репозиторий с именем ondrej я бы как минимум постеснялся ставить на продакшн.

[LuckyRaul]

Ondřej Surý — maintainer php в debian.

+ Dotdeb отказался делать дальше пакеты в пользу его

[nikitasius]

ppa:ondrej/php

Я в свое время юзал какую-то другую репу из инета, давным давно все тащил из нее, так как в дебианских пакетах не было нужного софта, но

это собранные под убунту пакеты

может притащить с собой

Вот поэтому я скачиваю исходники, сверяю sum и сам их ставлю. Просто разный подход.

[http3]

После первого прочтения какое-то ощущение потока сознания. :)
Возможно из-за того, что рисунки недоступны. Загрузите, пожалуйста, их на хабрахранилище.

Этот сайт не может обеспечить безопасное соединение

На сайте blog-static.saraeff.net используется неподдерживаемый протокол.
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасным.

Кстати, если использовать cloudflare, то в netstat получим его IP :)
Их можно как-то исключить? Вдруг кто лезет напрямую. :)

[evilmind]

исключить через grep -v
либо вообще оставить доступ на 80\443 порты только из подсетей CF https://www.cloudflare.com/ips/

[nikitasius]

А кто или что вам сие выдает?
Ибо SSL lab пишет приятные вещи, а CF не дураки и следят за шифрами.

[http3]

Опера 36.

[nikitasius]

43.0.2442.806 другого мнения, обновите систему.

[http3]

Виндаус XP, последняя под нее. :)
Будет возможность, гляну на 7.
Отпишусь. :)

[http3]

На 7 работают рисунки. Видимо, каких-то корневых сертификатов не хватает.

Хотя иногда и на 7 не работают другие сайты.

[nikitasius]

Писалось в 2014 году, но смысл статьи (blog) не изменился. Её лучше открыть в чем-то современном :)

[lolipop]

сказ про то, как дырявые вордпрессы через свежую дырку захачили(cve от feb 2017), а админ залил снова еще раз старый дырявый вордпресс на другую виртуалку и ждет, пока его еще раз хакнут?

[nikitasius]

То, что системам, которые пишешь не ты верить нельзя — это америку не открыл. Соотвественно максимум что можно сделать, эти теми или иными способами блокировать и фильтровать те или иные запросы, так сказать соломки постелить.
ВП свежий, обновленный.

[vanburg]

Боже, как я раньше с этим порождением дьявола работал вообще? Бррр. С обоими даже.

[nikitasius]

Ну, так если надо работать, то придется :)

[bykvaadm]

Может что-то я не так понимаю, но судя по htop, средняя нагрузка на проц за 15 минут при\без кеша практически не отличается. Или у Вас просто статистика не набрана?

[nikitasius]

Как же не отличается? 60% против 14%, как кеш растолстеет — будет еще меньше.
Так же сегодня будет небольшой апдейт для кеша, чтобы страницы (page) кешировались по 2 минуты, а сам актуальный материал — сутки. Тем самым нагрузка уменьшится + у админа не будет проблем с публикацией нового материала.

[bykvaadm]

Вы меня не поняли. я говорю не о моментальной нагрузке на ядра, а о статистической за 15 минут. на картинке без кеша 0.77, с кешем 0.80. С другой стороны если предположить по разнице аптайма, что картинки были сделаны с разницей в 5 минут, то да, статистика не набежала.

[UA3MQJ]

Обожаю такие картинки с htop. Видно, что техника работает не зря ))

Скрытый текст

[nikitasius]

5 дней всего?)