LEMP на DigitalOcean с Wordpress, блэк-джеком и мультисайтами?

Question

[Unicom]

Подскажите, как относительно секьюрно и производительно настроить LEMP в дроплете DO? Я не админ, но готов немного посидеть и изучив вопрос сделать "как надо".
Вот какие вводные имеются.

Необходимо:

• Несколько сайтов на дроплете (vhost)
  
• Не смотря на Nginx иметь нормальные SEF URL
  
• Использоваться будет мультисайтовый Wordpress
  
• Только SSH и SFTP, доступ по ключам
  
• Разграничение доступа к сайтам/юзерам через chroot
  

Что предполагается ставить:

• Ubuntu Server 14.04 (сейчас есть сервер на Debian, но про убунту говорят попроще вроде как)
  
• nginx (без апача в бэкэнде)
  
• MariaDB 10 (или Percona, разницы для моего юзкейса я особо не вижу)
  
• PHP-FPM
  

Я частично нашел разрозненные мануалы как настроить отдельные компоненты, но может уже отлили для этого дела серебряную (или посеребренную) пулю?
Не совсем также ясно, как именно DigitalOcean облегчит или усложнит эту задачку? Буду благодарен за подсказки и за мануалы по теме.

Answer 1

[Евгений Кушнир]

Вот: https://rtcamp.com/easyengine/
Всё просто до неприличности. Надежная и функциональная система. Минус - ставится только на Debian 6/7 и Ubuntu 12.04/14.04, хотя при желании можно переделать скрипт установщика.

Comments

[Виктор]

Хм, очень интересно.. А не расскажете подробнее как все это примерно работает? Как к примеру добавить новый сайт, базу данных? Что у них с настройками безопасности по-умолчанию?
Вообще интересная штуковина, пойду попробую поставить...

[Евгений Кушнир]

там прекрасная документация - не ленитесь почитать:-)

Управление сайтами: https://rtcamp.com/easyengine/docs/commands/site/

[Виктор]

Да, уже читаю, все понятно в целом))

Вы сами юзаете я так понимаю? Какие у вас впечатления? А не проще ли Апач? Или все настолько просто, что поставили EasyEngine, и все работает по-умолчанию как надо?

[Евгений Кушнир]

1. Да, использую. Работаю в 90% с Wordpress, поэтому штука незаминимая.
2. Впечатления только положительные.
3. Апач не проще, это дело привычки.
4. Да, всё работает по-умолчанию и работает отлично. К тому же nginx намного быстрее apache, это давно не секрет.

[Unicom]

Спасибо за ссылочку, пошел изучать что за зверь. По поводу Апача - и не надо, глаза бы этот тормоз перестройки не видели. Самое важное правильно nginx настроить чтобы и быстро и секьюрно и урлы были человесеские по типу модреврайта.

[Unicom]

Евгений Кушнир: Ну на счет прекрасной документации вы конечно зря. Она довольно лаконичная. Я вот например так и не понял, можно ли в процессе отказаться от установки некоторых компонентов. К примеру мне не нужен родной мускуль, я лучше посижу с маном и таки поставлю или Марию или Перкону (конечно лучше бы это из этого шелла можно было поставить). Ну не нужен совсем phpMyAdmin и вообще не понимаю на что туда впилили exim. В общем из доков этого не понял.

[Евгений Кушнир]

Unicom: Вы невнимательно читали, значит. Там всё можно поставить отдельно. И не mysql там, а как раз перкона.

[Евгений Кушнир]

https://rtcamp.com/easyengine/docs/commands/stack/ - вот то, что вы искали

[Unicom]

Евгений Кушнир: Да видимо это и упустил. Читал ман, как все одной командой ставится, а потом идешь в браузер... и сайт готов. Спасибо за уточнение на счет перконы. Тогда и заморачиваться с другими вариантами смысла нет. Вот только еще вопросик, как обстоит дело с виртуальными хостами и ограничением юзеров в их директориях с помощью chroot? Вообще есть разделение по пользователям для разных виртуальных хостов или все сайты создаются от одного юзера?

[Евгений Кушнир]

php-fpm запускается от имени www-data, какой chroot?
Для каждого сайта создается свой пользователь для mysql.

Если вы имеете в виду возможность зайти по фтп только на свой сайт, то я вас разочарую - здесь такого нет. Или вы хотите на VPS поднять свой хостинг?)))

[Unicom]

Евгений Кушнир: Я хочу поднять несколько сайтов и соответственно для безопасности хочу, чтобы юзеры от чьего имени работают сайты били изолированы своими директориями (chroot). Т/е при взломе одного сайта я бы не потерял весь дроплет и не потерял остальные сайты. Т/е получив доступ от юзера под кем бежит скомпрометированный сайт злоумышленник выше директории этого юзера подняться никогда не сможет. Да, по сути минихостинг с одним клиентом - мной. Какая раздница это VDS или железный сервер? У меня так организовано на железке. Подняты виртуальные ноды и внутрях так как я описал. Для безопасности.

[Евгений Кушнир]

нет, все работают от одного пользователя. Ограничения можно уже самому добавить позже.

[Виктор]

А еще вопрос знатокам EasyEngine. Вот к примеру на читый VPS накатили EasyEngine, поставили вордпресс. Что-то еще на сервере делаете перед запуском? Ну там та же безопасность, ограничение, fail2ban... Или того что есть в EasyEngine в целом хватает из коробки для выхода "в полевые условия"?

[Евгений Кушнир]

fail2ban относится к easyengine чуть меньше, чем никак, это уже проблемы самого wordpress.
Да, для выхода в production этого достаточно. Ребята из easyEngine сами писали, что у них на этой система крутится пару сотен сайтов.

Система постоянно обновляется, последний коммит был 12 дней назад (https://github.com/rtCamp/easyengine/commits/master), если что-то вылезет, то обязательно обновят.

Ну, и если вас так безопасность интересует, то для вас не составит труда разобраться с исходниками. Если для вас это сложно, то просто поверьте на слово и не парьтесь - всёравно лучше вы врядли настроите сервер.

[Виктор]

Евгений Кушнир: Спасибо, я получил ответы на все свои вопросы) Благодарю.

[Виктор]

Евгений Кушнир: Евгений, а вы не вкурсе что у них за порт 22222 https://rtcamp.com/easyengine/docs/admin-tools-22222/ ? Это какая-то админка управления, или что?

[Евгений Кушнир]

Mouseman: через этот порт работают всякий phpmyadmin, adminer, монитор кеша и т.д.

[Unicom]

Евгений Кушнир: А вот кстати говоря...
ee stack install admin - устанавливает пачкой весь админский софт. Как убрать оттуда лишнее вроде админера или пхапэмайадмина? Какой есть правильный путь по этому поводу? Я пока вижу только ставить пачкой и затем сносить лишнее

[Евгений Кушнир]

рекомендую ставить только нужное - всё можно установить отдельно.

[Unicom]

Евгений Кушнир: Так вот и вопрос какой командой поставить например phpMemcachedAdmin или FastCGI cleanup script? Чтобы не ставить все остальное. В доках нашел только про
#ee stack install admin

[Евгений Кушнир]

Unicom: Прошу прощения, но все последующие комментарии - платные:)
У вас есть доступ к точно той же самой инфе, что и у меня.
P.S. Их отдельно поставить нельзя. Если у вас такие потребности, то только хардкор - всё руками ставить.

[Unicom]

Евгений Кушнир: Пардон, но вы пользуетесь этой системой, а я ее первый раз в глаза вижу. И как это сочетается с вашим предыдущим ответом - ставить только нужное?