Názory k článku OpenBSD httpd: jednoduchý a odolný webserver
-
Adam KaliszStříbrný podporovatelDíky za článek. Hodilo by se upozornit na knihu Michaela W Lucase, která se OpenBSD httpd a relayd věnuje.
-
wqrqf (neregistrovaný)
Přesně to mě také napadlo. Kniha vyšla v květnu, takže velmi čerstvá záležitost. Dostala se už někomu pod ruce?
https://www.michaelwlucas.com/tools/relayd
Obsah je velmi lákavý:
- set up web sites
- configure software to run in a chroot
- run dozens or hundreds of sites on one host
- dynamically reconfigure sites with Lua patterns
- manage site logs
- maintain free, globally-valid SSL certificates
- improve performance with SSL stapling
- install and maintain two-server clusters
- distribute traffic between any number of hosts
- stop worrying about old SSL versions and bad crypto algorithms -
Mln (neregistrovaný)
Ja praveze chcem nahradit Gmail vlastnym serverom. Ako IT neprofesionalovi sa mi zdalo nastavenie aby som vobec mohol zacat posielat a prijimat emaily cez kombinaciu Postfix + Dovecotu + Squirrelmailu relativne rozsiahle a zdlhave v porovnani s konfiguraciou zvysku LAMP servera. Skusal som to 2krat na Linuxe aj FreeBSD ale nikdy som sa uz nedokopal na konfiguraciu antispamu.
-
Ondro (neregistrovaný)
Neviem ako si to nastavoval ale rozbehat zakladny mail server bez DB nieje nijak rozsiahle a zdlhave. Najdes na to aj jedno/dvoj strankove manualy.
Na druhej strane nepovazujem slusne nastavenie LAMP servera za trivialitu.Dobre nastaveny mailovy alebo webovy server nepovazujem za jednoduchu vec a chce to svoj cas.
"Problem" mailoveho servera, ze moznosti/kombinacii ako ho spojazdnit je velke mnozstvo a zacinajuci clovek sa v tom straca.Precital som vela navodov a moznosti. Vo finale som si pomahal tymto navodom -
https://workaround.org/ispmail/jessie
Super navod, ktory cloveka zrozumitelne nauci, co je co(ak nechces sa nic naucit, tak by malo fungovat aj c&p). S nastavenim domeny a VPS mi to trvalo vo finale tak 2 dni. Pred tym samozrejme asi mesiac studia a testov vo virtualke. -
Takovy homodomo mailserver ale pak vubec nepripojujte do internetu.
V lepsim pripade budete mit problem jen se spravnym nastavenim antispamu, v horsim pripade nechate nekde neco otevrene, a zacnou posilat spam pres vas. Pak se dostanete na blacklisty a k nikomu velkemu uz pak mejl snadno neodeslete. Tohle je potreba pravidelne sledovat, coz dela z "domaciho" mailserveru praci, ktere musite venovat minimalne par hodin kazdy mesic. Nejde to proste jen "dobre nastavit" a nechat byt. Navic i svet mailu se trvale meni, zavadi se ruzne DKIM, DMARC a dalsi novinky, prave jako prevence proti spammerum a jinemu zneuziti mejlu. Chce to tyto trendy sledovat. Nejhorsi na tom celem je, ze se snadno stane, ze to bezi jen napul: tedy neodesilaji se mejly jen nekam a neprichazeji jen odnekud. Ladeni takovych problemu je casove narocne, pokud nemate know-how, ktere se nejlepe udrzuje prave tim, ze problemy okolo mailserveru resite casto.
Ja treba mam postu na mailserveru, ktery jsme si postavili, jeste kdyz byl gmail na pozvanky, spamu bylo relativne malo (oproti dnesku) a bylo snadne nastavit vlastni mailserver lepe nez co nabizely freemaily. Dnes mi spamovymi pravidly projdou vetsi jednotky majlu denne, zatimco bezne (neautomaticke) posty mam mensi jednotky tydne. Pritom dle statistik je zahozeno pres 90% mailu. Kdybych volil znova, tak bych bral gmail, prave proto, ze by (doufam) resil spam za mne. Nicmene kdyz na nej zacnu svoji postu preposilat, tak docilm jedine toho, ze nas mailserver google zablokuje, protoze z neho bude chodit 95% spamu.
Ja bohuzel tech par hodin na neustalou aktualizaci a rucni doladovani spamovych pravidel nemam. -
. . (neregistrovaný)
svatá slova.
@Mln, také si udržuji vlastní mail server, postfix byl pro mě peklo, tak jsem si ho napsal po svém, spam filtr mi nevyhovoval, tak jsem si udělal vlastní. Nikdy bych si ale neodvážil takhle provozovat něco jiného než hračku pro získání zkušeností nebo udržení se trendy. Drtivou většinu bezpečnosti nedělá to "správné" nastavení, ale pravidelná kontrola, alerting, sledování a šťourání se v každé odlišnosti v logách, to není nic můžeš dělat pokud tomu nerozumíš a nemáš na to ten čas. Stačí se podívat za poslední rok kolik bezpečnostních děr se objevilo v linuxu, v době, kdy se o takové chybě dozvíš, už můžeš mít server napadený, na to chce také myslet.
-
pepazdepa (neregistrovaný)
clean urls ale s OpenBSD httpd neudelate, pac patterns(7) nedelaji to stejne jako rewrite - http://man.openbsd.org/patterns
pro wordpress, drupal atp s clean urls nepouzitelne, bohuzel.
-
pepazdepa (neregistrovaný)
slowcgi je "a FastCGI to CGI wrapper server", a imo vznikl hlavne pro tyto binarky:
# ls -l /var/www/bin/
total 2960
---------- 1 root bin 256240 Jan 25 02:54 bgpctl
---------- 2 root bin 318320 Jan 25 02:54 ping
---------- 2 root bin 318320 Jan 25 02:54 ping6
---------- 2 root bin 281168 Jan 25 02:54 traceroute
---------- 2 root bin 281168 Jan 25 02:54 traceroute6pac OpenBSD httpd ma jen FastCGI rozhrani...
-
libcha (neregistrovaný)
dotaz navíc. Dá se tento webserver spouštět jako uživatel a serveru kde vůbec nemám roota? Představuju si to tak, že si v home vybuildím zdrojáky s nějakým ./configure --root=/home/franta a pak poběží v chrootu /home/franta/var/www místo /var/www a jako uživatel franta:franta a třeba na portech 8080 a 8443 ... Jde to nebo ne?
-
pepazdepa (neregistrovaný)
https://github.com/openbsd/src/blob/master/usr.sbin/httpd/httpd.c#L186
musis byt root, a pak stejne to dela chroot by default to homediru 'www' usera
https://github.com/openbsd/src/blob/master/usr.sbin/httpd/httpd.h#L48
-
No, řekněmě, že apache2 je tank. Nginx je kulomet. Caddy je pepřák. Tohle bude spíš dobře vyvážený vrhací nůž. Pepřák i nůž jsou výrazně jednodušší než kulomet nebo tank. Nicméně jendoduchost pepřáku je v tom, že si nemůžete ublížit, obzvlášť když vaše know-how neobsahuje bojové umění. Nůž svojí práci odvede dobře, je dostatečně jednoduchý abyste s ním dělali právě jen to co potřebujete udělat, ale základní know-how mít musíte, jinak se pomocí nože neubráníte.
-
wlado (neregistrovaný)
Po přečtení článku jsem si openbsd ze zvědavosti nainstalovat na serverové PC hp 110. Instalace rychlá, celém přehledná. Nicméně okenní systém X se položil a nespustil, opětovná instalace nepomohla, asi problém s grafikou. Nevadí nepotřebuji. Co potřebuji je česká klávesnice. V nabídce klávesnic během instalace jsem ji nezahlid, tak jsem dal us. Jak tam dostanu českou klávesnici - respektove, kde se o tom dočtu?
