in

Ajuster un serveur Web virtuel dédié

Lorsque vous obtenez un serveur virtuel dédié pour exécuter votre site Web, il est fort probable qu’il soit configuré pour tout le monde et non personnalisé pour maximiser les performances de fonctionnement d’un site Web.

Aperçu

Il existe un certain nombre de domaines problématiques dans lesquels nous souhaitons maximiser les performances:

  • Configuration Linux
    Il y a généralement des services en cours d’exécution qui n’ont pas besoin de l’être, gaspillant de la mémoire qui pourrait être utilisée pour plus de connexions.
  • Configuration MySQL
    Souvent, les paramètres par défaut sont basés sur un petit serveur, nous pouvons ajouter quelques modifications clés pour augmenter considérablement les performances.
  • Configuration Apache
    Par défaut, la plupart des fournisseurs d’hébergement installent Apache avec presque tous les modules installés. Il n’y a aucune raison de charger des modules si vous ne les utilisez jamais.
  • Configuration PHP
    La configuration PHP par défaut est également gonflée, il y a généralement une tonne de modules supplémentaires inutiles installés.
  • Cache d’opcode PHP
    Au lieu de permettre à PHP de recompiler les scripts à chaque fois, un cache d’opcode mettra en cache les scripts compilés en mémoire pour d’énormes améliorations de performances.
  • Sauvegardes
    Devrait probablement configurer des sauvegardes automatisées, car votre fournisseur d’hébergement ne le fera pas pour vous.
  • Sécurité
    Bien sûr, Linux est suffisamment sécurisé par défaut, mais il y a généralement des problèmes de sécurité flagrants que vous pouvez résoudre avec quelques paramètres rapides.

Configuration Linux

Vous pouvez effectuer un certain nombre de modifications, qui varieront légèrement en fonction du serveur que vous utilisez. Ces modifications concernent un serveur exécutant CentOS, mais elles devraient fonctionner pour la majorité des serveurs DV.

Désactiver le DNS

Si votre fournisseur d’hébergement gère le DNS de votre domaine (probablement), vous pouvez désactiver l’exécution du service DNS.

disable dns
/etc/init.d/named stop
chmod 644 /etc/init.d/named

La commande chmod supprime l’autorisation d’exécution du script, l’empêchant de s’exécuter au démarrage.

Désactiver SpamAssassain

Si vous n’utilisez pas de comptes de messagerie sur votre serveur lui-même, vous ne devriez pas vous soucier d’exécuter des outils anti-spam. (Vous devriez également consulter Google Apps, une solution de messagerie bien meilleure)

/etc/init.d/psa-spamassassin stop
chmod 644 /etc/init.d/psa-spamassassin

Désactiver xinetd

Le processus xinetd héberge un certain nombre d’autres processus, dont aucun n’est utile pour un serveur Web classique.

/etc/init.d/xinetd stop
chmod 644 /etc/init.d/xinetd

Limiter l’utilisation de la mémoire Plesk

Si vous utilisez le panneau plesk, vous pouvez le forcer à utiliser moins de mémoire en ajoutant un fichier d’options.

vi /usr/local/psa/admin/conf/httpsd.custom.include

Ajoutez les lignes suivantes au fichier:

MinSpareServers 1 
MaxSpareServers 1 
StartServers 1 
MaxClients 5

Notez que cette option est connue pour fonctionner sur les serveurs MediaTemple DV, mais n’a été cochée sur aucun autre. (Voir les références)

Désactiver ou désactiver Plesk (facultatif)

Si vous n’utilisez Plesk qu’une fois par an, il y a très peu de raisons de le laisser fonctionner. Notez que cette étape est complètement facultative et légèrement plus avancée.

Exécutez la commande suivante pour désactiver plesk:

/etc/init.d/psa stop

Vous pouvez désactiver son exécution au démarrage en exécutant la commande suivante:

chmod 644 /etc/init.d/psa

Notez que si vous le désactivez, vous ne pouvez pas le démarrer manuellement sans modifier les autorisations de fichier (chmod u + x).

Configuration MySQL

Activer le cache de requêtes

Ouvrez votre fichier /etc/my.cnf et ajoutez les lignes suivantes dans votre [mysqld] section comme celle-ci:

[mysqld]
query-cache-type = 1
query-cache-size = 8M

Vous pouvez ajouter plus de mémoire au cache de requêtes si vous le souhaitez, mais n’en utilisez pas trop.

Désactiver TCP / IP

Un nombre surprenant d’hôtes permettent l’accès à MySQL sur TCP / IP par défaut, ce qui n’a aucun sens pour un site Web. Vous pouvez déterminer si mysql écoute sur TCP / IP en exécutant la commande suivante:

netstat -an | grep 3306

Pour désactiver, ajoutez la ligne suivante à votre fichier /etc/my.cnf:

skip-networking

Configuration Apache

Ouvrez votre fichier httpd.conf, souvent trouvé dans /etc/httpd/conf/httpd.conf

Trouvez la ligne qui ressemble à ceci:

Timeout 120

Et changez-le en ceci:

Timeout 20

Recherchez maintenant la section qui comprend ces lignes et ajustez-vous à quelque chose de similaire:

StartServers       2
MinSpareServers    2
MaxSpareServers    5
ServerLimit        100
MaxClients         100
MaxRequestsPerChild  4000

Configuration PHP

Une des choses à garder à l’esprit lors de la modification d’un serveur sur la plate-forme PHP est que chaque thread Apache va charger PHP dans un emplacement séparé de la mémoire. Cela signifie que si un module inutilisé ajoute 256k de mémoire à PHP, sur 40 threads apache, vous gaspillez 10 Mo de mémoire.

Supprimer les modules PHP inutiles

Vous devrez localiser votre fichier php.ini, qui se trouve généralement dans /etc/php.ini (Notez que sur certaines distributions, il y aura un répertoire /etc/php.d/ avec un certain nombre de fichiers .ini, un pour chaque module.

Commentez toutes les lignes de loadmodule avec ces modules:

  • odbc
  • snmp
  • pdo
  • odbc pdo
  • mysqli
  • chargeur ioncube
  • json
  • imap
  • LDAP
  • ncurses

Todo: Ajoutez plus d’informations ici.

Cache d’opcode PHP

Il existe un certain nombre de caches d’opcode que vous pouvez utiliser, notamment APC, eAccelerator et Xcache, le dernier étant ma préférence personnelle en raison de la stabilité.

Téléchargez xcache et extrayez-le dans un répertoire, puis exécutez les commandes suivantes à partir du répertoire source de xcache:

phpize 
./configure --enable-xcache 
make 
make install

Ouvrez votre fichier php.ini et ajoutez une nouvelle section pour xcache. Vous devrez ajuster les chemins si vos modules php sont chargés ailleurs.

vi /etc/php.ini

Ajoutez la section suivante au fichier:

[xcache-common]
zend_extension  = /usr/lib/php/modules/xcache.so
[xcache.admin]
xcache.admin.user       = "myusername"
xcache.admin.pass       = "putanmd5hashhere"
[xcache]
; Change xcache.size to tune the size of the opcode cache
xcache.size         = 16M
xcache.shm_scheme   = "mmap"
xcache.count        = 1
xcache.slots        = 8K
xcache.ttl          = 0
xcache.gc_interval  = 0
; Change xcache.var_size to adjust the size of variable cache
xcache.var_size     = 1M
xcache.var_count    = 1
xcache.var_slots    = 8K
xcache.var_ttl      = 0
xcache.var_maxttl   = 0
xcache.var_gc_interval =     300
xcache.test         = Off
xcache.readonly_protection = On
xcache.mmap_path    = "/tmp/xcache"
xcache.coredump_directory =   ""
xcache.cacher       = On
xcache.stat         = On
xcache.optimizer    = Off

À faire: Il faut développer un peu cela et créer un lien vers xcache dans les références.

Sauvegardes

Il n’y a rien de plus important que d’avoir des sauvegardes automatisées de votre site Web. Vous pourrez peut-être obtenir des sauvegardes instantanées de votre fournisseur d’hébergement, qui sont également très utiles, mais je préfère également avoir des sauvegardes automatisées.

Créer un script de sauvegarde automatisé

Je commence généralement par créer un répertoire / backups, avec un répertoire / backups / files en dessous. Vous pouvez ajuster ces chemins si vous le souhaitez.

mkdir -p /backups/files

Créez maintenant un script backup.sh dans le répertoire backups:

vi /backups/backup.sh

Ajoutez ce qui suit au fichier, en ajustant les chemins et le mot de passe mysqldump si nécessaire:

#!/bin/sh

THEDATE=`date +%d%m%y%H%M`

mysqldump -uadmin -pPASSWORD DATABASENAME > /backups/files/dbbackup$THEDATE.bak

tar -cf /backups/files/sitebackup$THEDATE.tar /var/www/vhosts/my-website-path/httpdocs
gzip /backups/files/sitebackup$THEDATE.tar

find /backups/files/site* -mtime +5 -exec rm {} ;
find /backups/files/db* -mtime +5 -exec rm {} ;

Le script créera d’abord une variable de date afin que tous les fichiers soient nommés de la même manière pour une seule sauvegarde, puis videra la base de données, enregistrera les fichiers Web et les gzip. Les commandes find sont utilisées pour supprimer tous les fichiers datant de plus de 5 jours, car vous ne voulez pas que votre lecteur manque d’espace.

Rendez le script exécutable en exécutant la commande suivante:

chmod u+x /backups/backup.sh

Ensuite, vous devrez l’assigner pour qu’il s’exécute automatiquement par cron. Assurez-vous que vous utilisez un compte ayant accès au répertoire des sauvegardes.

crontab -e

Ajoutez la ligne suivante au crontab:

1       1       *       *       *       /backups/backup.sh

Vous pouvez tester le script à l’avance en l’exécutant tout en étant connecté au compte utilisateur. (J’exécute généralement les sauvegardes en tant que root)

Synchroniser les sauvegardes hors site avec Rsync

Maintenant que des sauvegardes automatisées de votre serveur sont en cours d’exécution, vous pouvez les synchroniser ailleurs en utilisant l’utilitaire rsync. Vous voudrez lire cet article sur la façon de configurer les clés ssh pour la connexion automatique: Ajouter une clé SSH publique au serveur distant en une seule commande

Vous pouvez tester cela en exécutant cette commande sur une machine Linux ou Mac à un autre emplacement (j’ai un serveur Linux à la maison, c’est là que je l’exécute)

rsync -a user@website.com:/backups/files/* /offsitebackups/

Cela prendra un certain temps à s’exécuter la première fois, mais à la fin, votre ordinateur local devrait avoir une copie du répertoire des fichiers dans le répertoire / offsitebackups /. (Assurez-vous de créer ce répertoire avant d’exécuter le script)

Vous pouvez planifier cela en l’ajoutant à une ligne crontab:

crontab -e

Ajoutez la ligne suivante, qui exécutera rsync toutes les heures au bout de 45 minutes. Vous remarquerez que nous utilisons le chemin complet de rsync ici.

45 * * * * /usr/bin/rsync -a user@website.com:/backups/files/* /offsitebackups/

Vous pouvez le programmer pour qu’il s’exécute à une heure différente, ou seulement une fois par jour. Cela dépend vraiment de vous.

Notez qu’il existe de nombreux utilitaires qui vous permettront de synchroniser via ssh ou ftp. Vous n’êtes pas obligé d’utiliser rsync.

Sécurité

La première chose que vous voulez faire est de vous assurer que vous avez un compte utilisateur régulier à utiliser via ssh, et de vous assurer que vous pouvez utiliser su pour passer à root. C’est une très mauvaise idée d’autoriser la connexion directe pour root sur ssh.

Désactiver la connexion racine via SSH

Modifiez le fichier / etc / ssh / sshd_config et recherchez la ligne suivante:

#PermitRootLogin yes

Modifiez cette ligne pour qu’elle ressemble à ceci:

PermitRootLogin no

Assurez-vous que vous disposez d’un compte utilisateur régulier et que vous pouvez accéder au root avant d’effectuer cette modification, sinon vous risquez de vous verrouiller.

Désactiver SSH version 1

Il n’y a vraiment aucune raison d’utiliser autre chose que SSH version 2, car il est plus sécurisé que les versions précédentes. Modifiez le fichier / etc / ssh / sshd_config et recherchez la section suivante:

#Protocol 2,1
Protocol 2

Assurez-vous que vous n’utilisez que le protocole 2 comme indiqué.

Redémarrez le serveur SSH

Vous devrez maintenant redémarrer le serveur SSH pour que cela prenne effet.

/etc/init.d/sshd restart

Vérifier les ports ouverts

Vous pouvez utiliser la commande suivante pour voir sur quels ports le serveur écoute:

netstat -an | grep LISTEN

Vous ne devriez vraiment rien écouter d’autre que les ports 22, 80 et éventuellement 8443 pour plesk.

Configurer un pare-feu

Article principal: Utilisation d’Iptables sous Linux

Vous pouvez éventuellement configurer un pare-feu iptables pour bloquer plus de connexions. Par exemple, je bloque généralement l’accès à tout autre port que celui de mon réseau de travail. Si vous avez une adresse IP dynamique, vous voudrez éviter cette option.

Si vous avez déjà suivi toutes les étapes de ce guide jusqu’à présent, il n’est probablement pas nécessaire d’ajouter également un pare-feu au mélange, mais il est bon de comprendre vos options.

Voir également

Références

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Nouveautés d'Ubuntu 18.04 LTS «Bionic Beaver», disponible maintenant

Nouveautés d’Ubuntu 18.04 LTS «Bionic Beaver», disponible maintenant

Les 20 meilleurs trucs et astuces du menu Démarrer et de la barre des tâches de Windows 7

Les 20 meilleurs trucs et astuces du menu Démarrer et de la barre des tâches de Windows 7