На момент написания этой заметки FastVDS предлагает вдски с чистыми образами Debian вплоть до 8, а также с панелями ISP Manager по 4,6 евро в месяц, а также со своей бесплатной панелью. ISP Manager не смотря на свою не слабую стоимость ( вдски у фастов есть дешевле ) выглядит уже совсем не клево. Я пробовал FastPanel скажем откровенно — убог. Базовые потребности вроде поднять домен, настроить почту, крон и всё такое позволяет но не более. Интерфейса к статистике не дает, fail2ban, iptables всё ручками. А ещё для работы FastPanel нужно запускать lighttpd. Ну вобщем странный продукт.
Я перебрал множество разных панелей и Vesta CP просто поразила меня своей простотой, глубокой продуманностью, богатым функционалом и при этом бесплатностью. Для кого-то может стать жирным минусом отсутствие в базе файлового менеджера. Он сейчас есть в виде платного плагина. Если панель вам нужна для это, то имейте ввиду.
Мне Vesta CP настолько понравилась, что я даже отказался от ISP Manager по спеццене ( фасты давали её тем кто когда то давно брал FPS с бесплатной панелью ) и поставил на все свои вдски Vast CP. И сегодняшний пост как раз об установке и лёгком тюнинге Vesta CP. Не подробный разбор, а, скорее, заметки для себя.
Итак, приступим. Всё ниже описаное опробовано на версии Vesta 0.9.8.15.
Подробные доки по Весте здесь, там же есть табличка с путями до всех конфигов. Также там есть форум поддержки даже по бесплатной версии. Авторы активны, помогают и вообще большие молодцы.
Установка чистого образа
У меня вдс были уже рабочие, поэтому я выбирал переустановку ОС, где в выборе ОС брал Debian 7 x86_64 minimal. Это чистый образ, без лампы.
Первым делом я меняю порт sshd /etc/ssh/sshd_config , port 22022.
|
1 |
service ssh restart . |
Сделать это лучше до установки весты. Она сразу пропишет этот порт в iptables. Перезагрузка вдс.
|
1 2 |
apt-get update apt-get upgrade |
Установка временной зоны
|
1 |
dpkg-reconfigure tzdata |
Где через интерфейс устанавливаем нужную нам зону.
Установка Vesta CP
Идем на https://vestacp.com/#install , где нам нужно сгенерить команду для установки весты. Казалось бы элементарщина, но чем лопатить мануалы тут вот простой генератор. Молодцы.
Мне нужна минимальная установка. DNS у меня фришный от фастов — DNS не нужен, почта на ПДД от Яндекса — ничего кроме exim не нужен, на машине один юзер и один сайт — обойдемся без квот. Имя хоста, емейл и пароль вы ставите свои. В итоге получается такая команда:
|
1 |
bash vst-install.sh --nginx yes --apache yes --phpfpm no --vsftpd no --proftpd no --exim yes --dovecot no --spamassassin no --clamav no --named no --iptables yes --fail2ban yes --mysql yes --postgresql no --remi yes --quota no --hostname azzrael --email almaut@azzrael.ru --password moi_parol |
Возвращаемся в putty:
|
1 2 3 4 |
apt-get install curl cd /var/tmp curl -O http://vestacp.com/pub/vst-install.sh |
и дальше вставляем сгенеренную выше команду. Веста ставится около 5-15 минут. После чего становится доступна на порту 8083.
Защита админки Vesta CP
Ребята пишут что их ещё не разу не ломали, но ведь радости от того что весту будут брутить тоже не много, поэтому нужно доступ сюда закрыть. Для этого генерим .htpasswd и кладем его в /usr/local/vesta/.htpasswd . Открываем /usr/local/vesta/nginx/conf/nginx.conf и делаем так
|
1 2 3 4 5 6 7 8 9 10 11 12 |
... server { listen 8083; server_name _; root /usr/local/vesta/web; charset utf-8; auth_basic "Restricted"; auth_basic_user_file /usr/local/vesta/.htpasswd; ... |
ЗЫ.: После всех настроек, когда вдска уйдет в свободное плаванье доступ в весту вообще можно закрыть просто остановив службу, так и лучше — панель не будет висеть в процессах и жрать память. Для этого service vesta stop ( для запуска start соотв. ).
В Firewall дропаем все не нужные порты. У меня остается соотв. пинги, веста, 80, 443, и ssh. У вас может быть что-то ещё, в зависимости от того какие службы вам ещё нужны.
При установки весты также ставится phpmyadmin. Его бы тоже спрятать от брутеров. В файле /etc/phpmyadmin/apache.conf меняем имя в алиасе на нужный. При этом доступ в phpmyadmin из весты пропадет ( вероятно его можно прописать, но я не заморачивался ).
Меняем пароли на MySQL
По умолчанию в доступа к MySQL идет root и пароль к весте. Так не пойдет.
|
1 |
mysqladmin -u root -pOLD_PASSWORD password ''NEW_PASSWORD' |
Затем меняем старые пароли на новый заданный в /usr/local/vesta/conf/mysql.conf и /root/.my.cnf
Поднимаем модули апача
|
1 2 3 |
apt-get install libapache2-mod-rpaf -y a2enmod rewrite headers expires rpaf |
Чтобы заработал server-status
|
1 |
a2enmod status |
и в mod_stasus.ini меняем всё на
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
Listen 127.0.0.1:8081 <Location /server-status> SetHandler server-status Order deny,allow Deny from all Allow from 127.0.0.1 Allow from 111.111. Allow from SERVER_IP ADMIN_IP1 ADMIN_IP2 <IfModule mod_ruid2.c> RUidGid www-data www-data </IfModule> </Location> |
Настройка ротации логов
|
1 2 3 |
/etc/logrotate.d daily size 500M |
В целом на этом можно остановиться, залить базу, сайт и работать. Очень надеюсь что веста будет развиваться оставаясь при этом бесплатной, по крайней мере в том функционале что есть сейчас.
Ребятам спасибо за работу ещё раз!