Решаем задачи администрирования сайтов с ISPmanager

В ноябре 2017 года команда ISPsystem провела вебинар "Решаем непростые задачи администрирования сайтов с ISPmanager". Более 400 пользователей панели управления узнали, как обеспечить продуктивность и безопасность работы сайта, не тратя десятки часов в неделю на администрирование. Сегодня публикуем тезисы вебинара.

Даже базовые задачи администрирования веб-сервера — установка и настройка WordPress, создание доменов и баз данных — отнимают время. С ними успешно справляется ISPmanager. Однако с панелью можно решать и более сложные задачи: подключать SSL-сертификаты, сокращать потребление ресурсов на бэкапы, защищать базы данных от вирусов. Эти и другие малоизвестные возможности ISPmanager экономят время новичкам и опытным админам.

Защита сайта и данных его пользователей от сетевых угроз — одна из важных задач владельца и администратора сайта, но на нее не всегда хочется тратить много ресурсов. ISPmanager помогает быстро обеспечить безопасность на уровне соединения, сайта и ядра.

Безопасность на уровне соединения — это защита передаваемых данных шифрованием; гарантия, что в случае перехвата информация не будет использована злоумышленниками.

SSL-сертификаты выпускают удостоверяющие центры, а устанавливают администраторы сайтов. Для установки SSL нужно вносить изменения в конфигурационный файл веб-сервера.

ISPmanager упрощает работу с сертификатами. Модуль интеграции с автоматизированным центром сертификации Let’s Encrypt позволяет заказать бесплатный сертификат в несколько кликов, а после выпуска устанавливает его на домен, следит за сроком действия и продлевает при необходимости. Let’s Encrypt выпускает сертификаты только определенного вида, они подходят для небольших сайтов, которые не собирают паспортные и платежные данные. Если вы получите SSL в другом месте, ISPmanager также поможет быстро установить его.

Безопасность на уровне сайта — это защита данных на сервере. Одни вирусы повреждают файлы сайта через уязвимости в веб-скриптах. Другие крадут пароли со взломанного компьютера или почты и используют их для входа в админки SSH и FTP.

Зараженный сайт рассылает фишинговые письма, загружает вирусы на компьютер пользователей, показывает баннеры с рекламой или перенаправляет посетителей на порно-сайты и в онлайн-казино. Браузеры блокируют зараженные домены.

Для защиты мы рекомендуем всегда пользоваться антивирусом для сайта. В нашей панели ISPmanager это Virusdie. Он регулярно сканирует сайт на редиректы, трояны, бэкдоры и лечит их. Все это происходит без простоя для сайта. В ISPmanager встроен модуль для работы с Virusdie. Модуль позволяет автоматически устанавливать антивирус, запускать проверку и лечить зараженные файлы. Virusdie подойдет и страницам-визиткам, и интернет-магазинам.

Безопасность на уровне ядра — это защита ядра операционной системы выделенного или виртуального сервера, на котором размещен сайт.

Через уязвимость в ядре Linux злоумышленники могут получить доступ ко всей системе. Мошенники сознательно ищут такие дыры, обмениваются информацией о них на форумах и продают на биржах. Как только об уязвимостях узнают разработчики ОС, они выпускают патч безопасности для ядра — пакет, закрывающий уязвимости.

Чтобы защитить размещенные на сервере данные, сисадмины должны устанавливать патчи безопасности сразу после их появления. Но установка обновлений требует перезагрузки системы, а значит даунтайма сервера. Даунтайм чреват потерей имиджа, лояльности клиентов и прибыли. Поэтому сисадмины делают апдейт в момент минимальной активности, а иногда и вовсе откладывают до лучших времен.

Решить проблему помогает KernelCare — инструмент для установки патчей безопасности в ядро ОС на RPM и DEB версиях Linux. Каждые четыре часа агент KernelCare связывается с серверами распространения патчей безопасности, которые выпускает CloudLinux. KernelCare загружает их и устанавливает на клиентский сервер. Все это происходит в фоновом режиме, перезагрузка после каждой установки не требуется. В ISPmanager установлен модуль для работы с KernelCare. Он позволяет купить, установить и настроить программу.

Как и безопасность, стабильность становится важна уже после завершения основных работ на сайте. Каким бы красивым и удобным он ни был, если в первую половину дня сайт доступен, а во вторую нет — клиент будет недоволен. Для обеспечения стабильности важны резервное копирование и защита от DDoS-атак.

Копирование данных сайта — панацея почти ото всех бед. Начиная от некорректного обновления CMS и заканчивая пожаром на сервере хостинг-провайдера. Корректно и вовремя сделанная копия помогает восстановить данные, даже если они были полностью уничтожены.

За годы разработки ISPmanager мы пробовали несколько систем резервного копирования и выявили две главные проблемы:

В текущей версии модуля резервного копирования мы сокращаем потребление ресурсов сервера: как вычислительных, так и дисковых. Бэкапы запускаются с минимальным приоритетом, а настройка расписания позволяет создавать копии в часы наименьшей посещаемости. Чтобы не занимать много места на диске, ISPmanager делает бэкапы слайсами по 100 МБ и удаляет их сразу после копирования во внешнее хранилище. Хранилищем может быть Яндекс.Диск, Amazon S3 или Dropbox или просто внешний FTP-сервер. Подробнее в документации ISPsystem.

DDoS-атака угрожает “подросшим” сайтам. Когда ресурс становится заметным, появляются нечестные конкуренты, преступники или просто сетевые хулиганы, которые с помощью сетевого флуда пытаются вывести его из строя. Владельцы пострадавших сайтов теряют клиентов.

Чем быстрее будет выставлена защита, тем меньше потери. Сразу после начала DDoS-атаки в ISPmanager можно ограничить скорость обработки запросов с уникальных IP с помощью модуля Nginx ngx_http_limit_req_module. А если ресурс атакуют с такой силой, что сам сервер становится недоступен — подключить модуль DDoS-GUARD. Этот инструмент отражает нападение в 99,5% случаев.

Для защиты веб-сайтов DDoS-GUARD использует технологию Reverse Proxy. Прокси-сервер переводит запросы клиентов из внешней сети на серверы во внутренней сети, где трафик проходит проверку на подозрительную активность. Компания имеет собственную инфраструктуру фильтрующих вычислительных узлов в России, Китае, США и других странах. Если сервер атакуют, DDoS-GUARD гарантированно и оперативно отражает нападение.  ISPmanager помогает установить и оплатить защиту DDoS-GUARD. 

Если на одном сервере размещается несколько сайтов, появляется еще одна важная задача: обеспечить стабильную работу разных проектов на одной машине. Надо разделить ресурсы сервера и создать окружение для разных сайтов. Хорошо делить ресурсы помогает CloudLinux, и о нем знают все. Однако в ISPmanager также есть встроенные инструменты для создания разного окружения на одном сервере.

В операционной системе сервера установлена одна версия PHP. Поэтому все размещаемые на сервере сайты должны иметь соответствующую версию. Но так как некоторые сайты были созданы давно, а развитие PHP продолжается постоянно, версии PHP у сайтов могут отличаться. Например, один разработан под PHP 5.2, а другой — под PHP 7.1. Такие сайты сложно разместить вместе на одном сервере.

Сегодня в  ISPmanager есть решение этого вопроса. В состав ISPmanager входят так называемые альтернативные версии PHP. Это бинарные файлы и модули Apache, которые мы регулярно собираем и обновляем. Они входят в коробку ISPmanager и позволяют устанавливать отдельную версию PHP для каждого сайта. Поддерживаемые версии PHP — от 5.2 до 7.1. 

Разные сайты могут поддерживать не только разные версии PHP, но и разные версии баз данных. В ISPmanager нельзя переустановить системный MySQL, так как это может привести к конфликту библиотек, но можно установить альтернативные версии MySQL/MariaDB.

Панель управления позволяет устанавливать неограниченное количество  MySQL/MariaDB серверов различных версий в рамках одного сервера. Поддерживаются версии MySQL — 5.5, 5.6, 5.7; MariaDB — 10.0, 10.1. Для создания альтернативных серверов баз данных используется контейнерная виртуализация Docker. Подробнее в документации ISPsystem.

Последний малоизвестный инструмент ISPmanager в этом обзоре. Нужен для сайтов, требующих тонких настроек. Например, для сайтов на "1С-Битрикс”.

По умолчанию ISPmanager генерирует одинаковые файлы конфигурации веб-сервера. Это позволяет получать оптимальные, проверенные временем настройки. Но современные CMS имеют собственные требования по настройке веб-окружения, и часто они не соответствуют конфигурации, заданной по умолчанию.

ISPmanager генерирует файлы конфигурации веб-домена на основе правил, описанных в файлах-шаблонах. Системный администратор может определить в шаблоне, какие директивы и в каком порядке добавлять в файлы конфигурации доменов. Файл конфигурации каждого нового домена будет создаваться по заданному шаблону. Доступ к файлам-шаблонам можно получить через консоль.

С помощью шаблонизатора и плагинов можно решить практически любую задачу. Панель управления имеет открытый API, что добавляет гибкости в использовании ISPmanager.

Google Analytics в связке с BILLmanager. От кликов и просмотров к стоимостной оценке эффективности маркетинга

ISPmanager 6 получит новый интерфейс и магазин приложений