Tip na clanok: ako spravne nastavit PHP(7) webserver

Ahojte, vedeli by ste mi poradit nejaky dobry, AKTUALNY, clanok o tom ako spravne nainstalovat a nakonfigurovat(vykon+bezpecnost) PHP na vlastny server? Idealne PHP7 a FPM. Nie som sysadmin takze by som si rad rozsiril znalosti.

na to je potřeba spíše kniha než článek :). Těch kategorií, které chce mít pod kontrolou jsou desítky a řadu věcí musíš udělat na míru tvé aplikaci, neexistuje univerzální bezpečené řešení už jen z principu.Pokud jde o php, tam toho konfigurovat moc není potřeba, doporučují vlastní kompilaci ze zdroje pouze s balíčky, které budeš používat (podívej se do distribucí jak ho buildí - http://git.alpinelinux.org/cgit/aports/plain/testing/php7/APKBUILD). Poté je velkou kapitolou správné nastavení práv a oddělení php procesů od zbytku systému, aby nemohli udělat nic špatného.Jde-li o bezpečnost, začni nástrojem https://cisofy.com/lynis/, který ti řekne co vše nemáš vhodně, ano, po nainstalování linuxové distribuce ti vyjede desítky věcí, které nejsou vhodně a měl bys je vyřešit nebo vědět, že to je v pořádku.Dále bys měl načíst návody na grsecurity/selinux a správně okleštit práve pro webserver, databázi, php. Bezpečnost nelze dělat jednorázově, teď musíš začít vše logovat a logy pravidelně procházet, zkušení správci již na to mají vlastní vytvořené agregace a notifikace, to je jejich know-how.Ubuntu nebo debian nejsou pro začátečníky vůbec vhodné, mají až příliš věcí v základu a projít vše je složité. Daleko lepší pro začátky je začít tenkou distribucí a tu se snažit dostat do funkčního a bezpečného stavu než naopak osekávat univerzální těžkou distribuci. Já mám rád alpinelinux nebo coreOS, lze ale použít ubuntu snappy, arch linux.A jsem vůbec nezmínil firewall, přegenerování klíčů pro šifrování, tls, proxy atd. atd.---------- Příspěvek doplněn 21.04.2016 v 12:07 ----------jinak doporučuji google a klíčové slovo pro vyhledávání je "linux hardening security", případně s obměnami pro php a tvoji distribuci.

Napsal TomášX;1286380

Pokud jde o php, tam toho konfigurovat moc není potřeba, doporučují vlastní kompilaci ze zdroje pouze s balíčky, které budeš používat

Pokud není nastavený nějaký proces, tak bych doporučil spíš se tomu vyhnout. Často to vede k tomu, že se pak neaktualizuje a používá se stará verze bez záplat.

v tom máš pravdu, ale samotnou aktualizaci to neztěžuje, jen to přidává další místo k hlídání. Jde-li ale o php7, zatím není v žádném stable repositáři a vím pouze o jediném spolehlivém místě od Ondřeje Surýho přes ppa, který dělá bezpečnostní aktualizace velmi rychle.Bezpečnost životně závisí na nastavení procesu a jeho dodržování. Zodpovědný správce si vede checklist co má pravidelně (a jak často) kontrolovat, stačí jen do checklistu zařadit i kontrolu aktualizací kompilovaných balíčků a případné omrknutí changelogu a vybuildění.

Jasný, jen mi přišlo, že přidávat další riziko v tomhle případě asi nebude nejpraktičtější cesta.Jinak pro centos/AWS je PHP7 klasicky u remiho - http://blog.remirepo.net/post/2016/02/14/Install-PHP-7-on-CentOS-RHEL-Fedora

díky, tenhle jsem neznal, přidám do poznámek pro stříčka příhodu.