VPS — различия между версиями

Материал из Школьный портал: справочника
Перейти к: навигация, поиск
(Решение номер 2: фаерволл)
(Решение номер 2: фаерволл)
 
Строка 69: Строка 69:
 
iptables -I INPUT -p tcp -s 10.0.0.1  --dport 3050 -j ACCEPT
 
iptables -I INPUT -p tcp -s 10.0.0.1  --dport 3050 -j ACCEPT
 
</pre>
 
</pre>
 +
 +
Не забудьте о других сервисах, настройте их собственными средствами для ограничения доступа по интерфейсам/IP, либо прикройте на фаерволле. Например, samba, squid, почта, dnsmasq и т.д.
  
 
=== Решение номер 3: xinetd ===
 
=== Решение номер 3: xinetd ===

Текущая версия на 09:18, 26 июня 2018

На данной странице описаны известные особенности установки и использования портала на VPS.

Причины возникновения этих особенностей связаны с тем, что на VPS устанавливаются ОС, отличающиеся от тех, что ставятся из официальных образов на обычные машины в сторону минимизации предустановленного ПО и настроек.

Сообщения вида: "locale: Cannot set LC_ALL to default locale: No such file or directory"

Причина: не определена локаль.

Исправление:

echo 'LANG="en_US.utf8"
LANGUAGE="en_US.utf8"
LC_ALL="en_US.utf8"' >> /etc/environment
 
locale-gen
 
# перелогиниться

В Ubuntu 10.04 не ставится Firebird

Сообщение apt-get о невозможности найти источник, из которого можно было бы поставить пакет с таким именем.

Причина: не подключен репозиторий universe.

Исправление:

echo 'deb http://ru.archive.ubuntu.com/ubuntu/ lucid universe
deb http://ru.archive.ubuntu.com/ubuntu/ lucid-updates universe' >> /etc/apt/sources.list
 
apt-get update

Ограничение доступа к БД в Ubuntu 10.04

Проблема: пароль, использовавшийся при установке недопустимо оставлять как есть на сервере, если планируется использовать Алфавитную книгу с любого адреса.

Решение номер 1: смена пароля

Выполните команду:

dpkg-reconfigure firebird2.1-super

Затем отредактируйте файл /var/www/cgi-bin/sp/sp.conf, замените в нём старый пароль на новый (параметры db_pass и cmsdbpasswd).

Выполните команду:

pkill speedy_backend

Готово.

Решение номер 2: фаерволл

Ограничьте доступ к БД Firebird (порт TCP/3050) только с доверенных IP. Обязательно оставьте доступ с адреса 127.0.0.1, чтобы сам портал на сервере имел возможность работать с БД.

Пример:

# можно нескольким IP, нельзя остальным
iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 3050 -j DROP
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 3050 -j ACCEPT
iptables -I INPUT -p tcp -s 10.0.0.2  --dport 3050 -j ACCEPT
iptables -I INPUT -p tcp -s 10.0.0.1  --dport 3050 -j ACCEPT

Не забудьте о других сервисах, настройте их собственными средствами для ограничения доступа по интерфейсам/IP, либо прикройте на фаерволле. Например, samba, squid, почта, dnsmasq и т.д.

Решение номер 3: xinetd

Если установлен Firebird Classic, ограничить доступ можно с помощью изменения файла xinetd:

/etc/xinetd.d/firebird

Добавить /отредактировать параметр: only_from. Пример:

only_from = 127.0.0.1 10.0.0.2

Даёт доступ к базе только серверу, а также компьютеу с адресом 10.0.0.2

Пояснение к примеру: 127.0.0.1 нужен для обращения портала к базе, 10.0.0.2 — IP-адрес компьютера, на котором установлена Алфавитная книга.

Если опции only_from нет — это неограниченный доступ.

После изменения файла выполните команду:

service xinetd restart

Управление локальной сетью школы

Доступ в интернет

Портал может управлять доступом в интернет, задавая настройки прокси-сервера Squid.

Когда сервер находится в локальной сети вашей школы, это имеет смысл. Но если портал стоит на VPS (который является внешним сервером по отношению к локальной сети школы), использование прокси таким образом может стать затруднительным или вовсе неприемлемым решением.

В случае, если вы, выбрав VPS, отказываетесь от возможности управления доступом в интернет с помощью портала, прокси сервер на VPS можно погасить. На Ubuntu 10.24 это делается командами:

# остановка Squid
/etc/init.d/squid3 stop
 
# отмена автозапуска Squid
update-rc.d squid3 disable

Учётные записи пользователей

Портал может автоматически создавать и модифицировать учётные записи пользователей вслед за ведением движения учащихся, заведением аккаунтов учителей и т. п. Эти учётные записи могут быть использованы для авторизации в локальной сети школы, для доступа к samba-ресурсам, к электронной почте в домене и т. д.

Аналогично вышеописанной особенности со Squid, использование этих функциий будет затруднено по следующим причинам:

  • доступ к удалённому серверу чреват задержками, существенно более высокими, чем доступ к серверу внутри локальной сети;
  • расход внешнего интернет-трафика (как вашего, так и на VPS, если он у вас не безлимитный) и на те вещи, которые внутри локальной сети были бы быстрыми и бесплатными;
  • нетривиальные настройки шлюза или клиентских машин.

Для отключения управления учётными записями домена в файле конфигурации /var/www/cgi-bin/sp/sp.conf должно быть:

create_dc_users = 0

Это значение стоит по умолчанию при установке портала.