Конфигурация web сервера в ISPmanager Lite

Поддерживаемое ПО

На данный момент ISPmanager работает со следующими серверами:

  • Nginx версии не ниже 1.1.15
  • Apache 2.2 и apache 2.4

Настройка web-сервера


Следующая группа параметров используется вне зависимости от того, какой web сервер вы используете

path php-cgi <полный путь>

Путь до исполняемого файла php-cgi

WebDefaultAliases <список алиасов>

Набор дополнительных имен, которые будут предложены автоматически при создании web домена. Вы можете использовать макрос _name_, чтобы подставить в строку основное имя домена

BackendBind <ip адрес+порт>

Адрес, на котором будет поднят backend (web сервер, на который будет передавать запросы frontend сервер). При одновременной установке nginx и apache backend — apache.

WebModules <список модулей>

Список используемых web серверов

WebUser <имя>

Имя пользователя, с правами которого работает web сервер (необходимо указывать именно имя, а не uid)

WebGroup <имя>

Группа, с правами которой работат web сервер (необходимо указывать именно имя, а не gid)

WebRestartDelay <секунды>

Минимальное время, которое должно проходить между перезапусками web сервера

SSLSecureProtocols <список протоколов>

Список протоколов, указываемых web-серверу для использования в случае, если используется повышенная безопасность SSL (например, SSLSecureProtocols TLSv1 TLSv1.1 TLSv1.2)

SSLSecureChiphers <список шифров>

Список шифров в формате openssl, указываемых web-серверу для использования в случае, если используется повышенная безопасность SSL (например, SSLSecureChiphers HIGH:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!EXP:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2)

ApsExtRepository <URL репозитария>

Путь до xml-файла внешнего репозитория APS

Option ApsRepositoryUpdated

Наличие этой опции указывает, что при старте панели управления не нужно выполнять обновления списка APS-скриптов

Option DisableSecurePhpBin

Наличие этой опции отключает создание защищенной директории php-bin (DefaultHomeDir/php-bin/username) для пользователя и создание хардлинок для php и php.ini из домашней директории пользователя в защищенную директорию (применяется в режимах работы php как CGI или FastCGI (Apache)). Вместо этого php и php.ini будут создаваться в директории php-bin пользователя

Список доступных кодировок web домена берется из файла etc/charset. По умолчанию в нем указана только utf-8.

Пример

Если прописать

path php_open_basedir none

то в конфиг VirtualHost будет добавлено

php_admin_value open_basedir "none"

Настройка Apache

Во время запуска панели происходит опрос загруженных модулей apache. Так мы определяем список возможных настроек

cgi_module

возможность работы с CGI скриптами

fastcgi_module или fcgid_module

возможность работы с php в режиме fastcgi

php5_module

возможность работы c php через модуль apache

Если есть поддержка CGI и найден файл, указанный в path php-cgi, появляется возможность работы с php в режиме CGI

Далее приведен список параметров, используемых для настройки панели под конкретную конфигурацию apache.

Option ApacheITK

Добавляется, если используется apache ITK. При этом в конфиг вместо директивы SuexecUserGroup пишется AssignUserID

path apachectl <имя>

Путь до программы/скрипта, используемого для перезапуска apache. Должен уметь обрабатывать следующие параметры: -M (получить список модулей), graceful (мягкая перезагрузка), restart (жесткая перезагрузка, используется при добавлении/удалении IP адресов)

path apache-vhosts <каталог>

Имя каталога, в котором будут создаваться файлы с настройками web доменов

path apache.conf <путь>

Путь до основного файла конфигурации apache. В него будут записываться директивы Listen и NameVirtualHost

ApacheWidePorts <список портов>

Для указанных портов в apache будет добавляется Listen для всех IP адресов сервера. По умолчанию: 80 443. Это позволяет уменьшить количество жестких перезапусков apache.

Настройка Nginx

Во время запуска панели проверяется наличие сервиса php-fpm. Если он найден, будет доступно использовать в настройках web доменов php в режиме fastcgi.

Далее приведен список параметров, используемых для настройки панели под конкретную конфигурацию nginx.

path nginx-vhosts <каталог>

Имя каталога, в котором будут создаваться файлы с настройками web доменов

path nginx-vhosts-includes <список каталогов>

Пути до файлов с дополнительными настройками, которые будут добавлены в секцию server каждого web домена (используется директива Include)

path fpm-pool.d <каталог>

Имя каталога, в котором будут создаваться файлы с настройками php-fpm

path fpm-service <имя>

Имя сервиса php-fpm. Используется для его перезапуска при добавлении новых пользователей.

path nginx-static <регулярное выражение>

Используется для определения файлов, которые nginx должен отдавать самостоятельно.

path nginxctl <команда>

Используется для перезапуска nginx при добавлении новых web доменов. Должна обрабатывать параметры: reload (перечитать настройки web доменов), restart (перезапустить nginx, используется при добавлении/удалении IP адресов), stop/start (запустить nginx, используется при конвертации настроек в случае добавления/удаления web сервера)

path nginx-configtest <команда>

Используется для проверки корректности содержимого конфигурационных файлов Nginx. По умолчанию равна [path nginxctl] configtest

path nginx <команда>

Используется при запуске панели для проверки работоспособности nginx. Должна корректно обрабатывать параметр -V

ForwardedSecret <строка>

Используется для защиты от подделки IP адреса.

Пример

Если установить

path nginx-static ~* ^youscript\.ext$

То создастся location

location ~* ^youscript\.ext$ {
   try_files $uri $uri/ @fallback;
}
вместо
location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
    try_files $uri $uri/ @fallback;
}

ForwardedSecret

В случае, если вы переправляете запросы из nginx в панель, мы определяем обратный адрес по HTTP заголовку X-Forwarded-For. Злоумышленник получает возможность подменить обратный адрес, используя этот заголовок, что, в свою очередь, позволяет ему воспользоваться чужими COOKIE для выполнения запросов от имени другого пользователя. Панель игнорирует заголовок X-Forwarded-For, если запрос не содержит заголовка X-Forwarded-Secret с таким же значением, как то, что записано в конфиге.

Перезапуск web сервера


Попытка перезапуска web сервера происходит через 2 секунды после последнего изменения настроек. Если в течение этого времени происходят другие изменения, то перезапуск будет отложен еще на 2 секунды. Дополнительно вы можете задать параметр WebRestartDelay — минимальную задержку между последовательными перезапусками web сервера.

В случае, если изменения не затрагивали списка прослушиваемых IP адресов/портов, делается мягкая перезагрузка web сервера, в противном случае сервер перезапускается полностью.


Ротация журналов


Все журналы web сервера записываются в каталог httpd-logs, недоступный пользователям. В домашнем каталоге пользователя создается каталог logs куда создаются жесткие ссылки на журналы посещений и ошибок web доменов пользователя. Кроме того, в каталог logs сохраняются старые копии журналов после ротации.

ISPmanager 5 использует logrotate для ротации журналов web сервера.

path logrotate.d <каталог>

Указывает каталог, куда будут сохраняться настройки logrotate (отдельные файлы для каждого web домена)

LogrotateInfiniteValue <целое число>

Указывает количество хранимых архивов, если в панели указано бесконечное значение

Переконфигурирование web-сервера


В процессе эксплуатации web-сервера и панели управления может возникнуть ситуация, когда нужно произвести полную переконфигурацию web-сервера. При этом действии конфигурационные файлы всех созданных с помощью панели управления web-доменов будут созданы заново.

Внимание! Данное действие не сохранит изменения в конфигурационных файлах, внесенные вручную! 

Для выполнения операции последовательно нужно выполнить следующие функции:

webreconfigure.initialize с параметром shutdown=on
webreconfigure.restore

Пример выполнения с помощью mgrctl для ISPmanager Lite:

/usr/local/mgr5/sbin/mgrctl -m ispmgr webreconfigure.initialize shutdown=on
/usr/local/mgr5/sbin/mgrctl -m ispmgr webreconfigure.restore




Was this answer helpful?

 Print this Article

Also Read

Настройка защиты от DDoS-атак в ISPmanager Lite

В ISPmanager можно настроить защиту сайта от DDOS-атак. Она нужна для блокировки IP-адресов, с...

Настройка поддержки HTTP/2 в ISPmanager Lite

Доступно для ISPmanager версии 5.146 и вышеHTTP/2 — версия протокола HTTP, которая по сравнению с...

Создание нового почтового ящика в ISPmanager Lite

  Чтобы добавить новый почтовый ящик, нажмите кнопку "Создать" и заполните форму, состоящую из...

Создание нового почтового домена в ISPmanager Lite

  Чтобы создать новый почтовый домен, нажмите кнопку "Создать" и заполните следующую форму:...

Установка SSL сертификата с помощью панели ISP Manager

  Для установки SSL сертификата прежде всего нужно создать CSR-запрос, для этого в панели ISP...