Web-консоль Plesk Obsidian

В этой статье мы расскажем про новую версию панели, релиз которой состоялся на днях — Plesk Obsidian, лицензию на нее можно получить бесплатно при заказе VPS на нашем сайте.
pleskobsidian.com/
ruvds.com/vps_start/



Plesk продолжает развиваться от базовой функциональной веб-консоли к мощной платформе управления, проверенной на серверах, сайтах, приложениях, хостинге и облачных бизнесах. Plesk Obsidian позволяет веб-специалистам, реселлерам и поставщикам услуг интеллектуально управлять, защищать и запускать серверы, приложения, веб-сайты и хостинг-компании любого размера на профессиональном уровне.

В Plesk считают, что сейчас происходит быстрое изменение отрасли:
«Цифровое преобразование — больше не просто отличительный признак, это бизнес-императив. Мы хотим не только отслеживать, понимать и предвидеть это изменение, но и влиять на него. Цифровизация процессов и задач меняет способ управления серверами, приложениями и веб-сайтами в облаке… Общий хостинг уже является товаром, а голая инфраструктура недостаточно хороша, чтобы позволить вашим клиентам продвигаться вверх по современному веб-стеку. Постоянно растущее число клиентов готово платить за дополнительные услуги, такие как управляемый WordPress, управляемое резервное копирование, повышенная безопасность, повышенная скорость и производительность веб-сайтов и хостинг приложений и многое другое. Проще говоря, сегодня самой большой проблемой для компаний любого размера является понимание потенциала цифровых технологий, какие области их бизнеса могут извлечь выгоду из цифровой трансформации и насколько легко их можно внедрить и управлять ими. Спецификации чистой инфраструктуры больше не приоритетны… Поэтому теперь новая панель Plesk Obsidian использует технологии искусственного интеллекта, машинного обучения и автоматизации для расширения возможностей [администраторов и владельцев сайтов] и оказания помощи хостинговым предприятиям по всему миру для эффективного управления цифровыми преобразованиями»

И, собственно, о новом в панели Plesk Obsidian в рамках цифровой трансформации (документация здесь).
docs.plesk.com/en-US/obsidian/

Новые ключевые функции Plesk Obsidian
Современный веб-стек для быстрой разработки приложений и сайтов

С Plesk Obsidian — это оптимизированный веб-стек «из коробки» и ready-to-code инновационная платформа со всеми возможностями развертывания и удобными инструментами для разработчиков (Git, Redis, Memcached, Node.js и др).


PHP Composer — менеджер зависимостей для PHP
Одна из многих проблем, с которыми сталкиваются веб-разработчики, связана с зависимостями. Интеграция новых пакетов в проект часто доставляет больше хлопот, чем преимуществ. Это особенно верно для разработчиков PHP. Довольно часто программисты строят модули с нуля, а достижение постоянства данных между веб-страницами — это боль, которая тем больше, чем больше переменных. В результате хорошие разработчики тратят кучу времени и ресурсов на избыточные задачи, а при этом хотят быть продуктивными и быстро выпускать новый код. Вот зачем в Plesk Obsidian есть Composer — изящный и простой менеджер зависимостей для PHP, который позволяет легко управлять зависимостями PHP-проекта (расширение устанавливается вручную).

Docker NextGen — функция удобного предоставления услуг в Docker
Запуск приложений в контейнерах вместо виртуальных машин набирает обороты в мире ИТ. Технология считается одной из самых быстрорастущих в новейшей истории индустрии программного обеспечения. В основе лежит Docker — платформа, которая позволяет пользователям легко упаковывать, распространять и управлять приложениями в контейнерах. С функцией Docker NextGen стало проще использовать решения на основе Docker «под ключ» (Redis, Memcached, MongoDB, Varnish и т. д.), а не раскрывать саму технологию Docker, что удобно. Вспомогательные службы для веб-сайтов разворачиваются в один клик. Plesk настраивает службы, а затем легко автоматически интегрирует их с вашим веб-сайтом. (Скоро появится).

MongoDB — гибкая, универсальная и простая в использовании база данных
И наиболее востребованная, согласно Stack Overflow Developer Survey 2018, крупнейшему в мире опросу разработчиков с более чем 100 000 респондентов. Plesk Obsidian настраивает службу MongoDB. Управлять экземплярами MongoDB, как и любой другой базой данных, можно локально или удалённо. И беспрепятственно интегрировать их в рабочий процесс разработки.

Режим ограниченного доступа
Ограничение операций на стороне сервера обеспечивает большую степень контроля администраторам над тем, какие операции могут и не могут выполнять пользователи Plesk. Новый режим ограниченного доступа может применяться как к администратору панели (поставщиком услуг), так и к администраторам сайтов (администратором панели).

Подробности в документации
docs.plesk.com/en-US/obsidian/administrator-guide/about-plesk/customizing-power-user-view.70035/

Когда режим ограниченного доступа включен, вы можете:
  • видеть, какие службы и ресурсы доступны администратору в режиме «Опытный пользователь»
  • предоставлять администраторам права клиентов к Plesk, контролируя их доступ к потенциально рискованным операциям: управление обновлениями, перезагрузка, завершение работы и др.
  • Узнавать, какие инструменты и параметры доступны администратору в режимах «Опытный пользователь» и «Поставщик услуг» для администрирования сервера и администрирования веб-хостинга (во вкладках «Инструменты администрирования» и «Инструменты хостинга» соответственно)

Более безопасные, полезные и надёжные инструменты для разработчиков
Несколько улучшений в службах PHP-FPM и Apache. Перезапуск Apache теперь достаточно надёжен для установки его по умолчанию, чтобы минимизировать время простоя сайтов.
Уменьшено дисковое пространство, необходимое для восстановления отдельных объектов из резервных копий, хранящихся в удалённом хранилище.
Движки PHP, поставляемые с Plesk Obsidian, содержат популярные расширения PHP (odium, exif, fileinfo и др).
Модуль PageSpeed теперь предварительно скомпилирован с NGINX.

Комплексная безопасность Plesk Security Core
Активированная по умолчанию первоклассная защита server-to-site от наиболее распространённых атак на веб-сайты и от злонамеренных пользователей.


Хороший хостинг по умолчанию
  • Mod_security (WAF) и fail2ban активны из коробки.
  • По умолчанию systemd теперь автоматически перезапускает сбойные службы Plesk через 5 секунд.
  • На вновь созданных веб-сайтах по умолчанию включено перенаправление HTTP>HTTPS, оптимизированное для SEO.
  • В Linux на системной основе (CentOS 7, RHEL 7, Ubuntu 16.04 / 18.04 и Debian 8/9) аварийные службы Plesk теперь перезапускаются автоматически.
  • Ограничение PHP-FPM, часто называемое max_children — это настройка максимального количества параллельных PHP-FPM процессов, запускаемых на сервере (раньше было 5).
  • SPF, DKIM и DMARC теперь включены по умолчанию для входящих и исходящих писем электронной почты.

Улучшения в почте
  • Пользователи почты теперь получают уведомления по электронной почте, когда больше чем 95% из их дискового пространства почтового ящика занято. Подробнее.
  • Пользователи почты также могут просматривать информацию о дисковом пространстве почтового ящика, его использовании и ограничениях в клиентах веб-почты Horde и Roundcube.
  • Почтовый сервер Plesk и веб-почта теперь по умолчанию доступны через HTTPS: они защищены стандартным сертификатом SSL / TLS, который защищает сам Plesk. Подробнее.
  • Администратор Plesk теперь может изменять пароли клиентов, посредников и дополнительных пользователей, автоматически отправляя им электронное письмо со ссылкой для сброса пароля. Почтовые пользователи и дополнительные пользователи теперь могут указывать внешний адрес электронной почты, который будет использоваться для сброса пароля в случае утери ими доступа к основному адресу электронной почты. Подробнее.
  • По умолчанию включено автообнаружение почты в panel.ini, чтобы Plesk мог легко поддерживать самые популярные почтовые, настольные и мобильные почтовые клиенты. Эта новая функция позволяет автоматически настраивать почту для почтовых клиентов Exchange Outlook и Thunderbird. Подробнее.

Оптимизация резервного копирования
  • Значительно уменьшено свободное дисковое пространство на сервере, необходимое для создания и восстановления резервных копий в облачном хранилище (Google Drive, Amazon S3, FTP, Microsoft One Drive и т. Д.). Это экономит и затраты на хранение.
  • Время операций с резервными копиями, хранящимися удаленно, сокращено. Например, резервные копии, хранящиеся в облачном хранилище, теперь могут быть удалены в четыре раза быстрее, чем раньше.
  • Чтобы восстановить одну подписку из полной резервной копии сервера, теперь вам нужно только дополнительное свободное дисковое пространство, равное пространству, занимаемому этой конкретной подпиской, а не полной резервной копии сервера.
  • Для бэкапа сервера в облачное хранилище теперь требуется дополнительное свободное дисковое пространство, равное пространству, занимаемому двумя подписками, а не всем сервером.
  • Plesk Obsidian поставляется с Repair Kit — мощным средством диагностики и самовосстановления, позволяющим вашим клиентам устранять потенциальные проблемы в любое время, где бы они ни находились и даже когда Plesk недоступен. Устраняет проблемы с: почтовым сервером, веб-сервером, DNS-сервером, FTP-сервером, базой данных Plesk Microsoft SQL Server или самой файловой системой Plesk — MySQL.

Подробнее в документации
docs.plesk.com/en-US/obsidian/administrator-guide/backing-up-and-restoration/configuring-remote-storage.59259/

Пользовательский опыт, UX


Упрощенное управление сервером и веб-сайтом
Plesk Obsidian предстаёт в совершенно новом, модернизированном пользовательском интерфейсе, который делает управление сервером ещё более простым. Теперь ваши клиенты могут комфортно работать со всеми веб-сайтами на одном экране: детально их просматривать, выбирать массовое управление или работать с ними по одному в виде списка или группы, используя соответствующие функции и элементы управления выбранной CMS.

Интерфейс стал более удобным, легким и приятным для глаз. Оптимизированы цвета и размеры шрифтов, все элементы выровнены по сетке. Для большей эффективности левое меню может быть уменьшено. Глобальный поиск стал заметней.

Перемещение доменов между подписками
Раньше это была сложная ручная задача, требующая расширенного набора навыков администратора сервера. Plesk Obsidian позволяет легко перемещать домен в другую подписку с его содержимым, файлами конфигурации, файлами журналов, настройками PHP, приложениями APS, а также поддоменами и псевдонимами доменов (если есть). Можно делать это и через командную строку.

Подробнее в документации
docs.plesk.com/en-US/obsidian/administrator-guide/website-management/websites-and-domains/domains-and-dns/adding-and-removing-domains.65150/#moving-domains

Панель уведомлений
Важные уведомления в приятном для глаз формате HTML теперь отображаются непосредственно в пользовательском интерфейсе Plesk. Функция позволяет убедиться, что критические проблемы стали известны и принять меры для их решения, не теряя драгоценного времени и денег клиентов. Уведомления в панели (в будущем планируются и мобильные) пока что генерируют такие события, как: «отслеживаемый параметр достиг уровня «КРАСНЫЙ»»; «Обновление Plesk доступно / было установлено / не удалось установить»; «Набор правил ModSecurity установлен». Подробнее.

Улучшенный файловый менеджер
В File Manager теперь есть массовая загрузка и поиск файлов, что позволяет быть более продуктивным. Про предыдущую версию читайте в документации.

Что ещё нового:
  • Загрузка и извлечение архивов RAR, TAR, TAR.GZ и TGZ.
  • Поиск файлов по имени файла (или даже по части имени) или содержимого.

Скоро будет:
  • Быстрый просмотр изображений и текстовых файлов без открытия новых экранов диспетчера файлов через панель предварительного просмотра.
  • Файловый менеджер сохранит запросы и предложит их автоматически заполнять при вводе.
  • Случайно удалили не тот файл или каталог через File Manager? Восстановите его через пользовательский интерфейс File Manager, даже если у вас нет резервной копии.
  • Если вы нарушаете работу своего веб-сайта, изменяя права доступа к файлам или структуру каталогов файлов, исправьте это с помощью функции восстановления Plesk через пользовательский интерфейс диспетчера файлов.

Другие улучшения панели
Расширения и приложения
Каталог расширений теперь интегрирован в Plesk Obsidian. Это технология необходима для быстрого и гибкого решения проблем клиентов. Позволяет добавлять дополнительные продукты и услуги в собственную витрину магазина для клиентов без особых усилий. Подробнее.


Расширенный мониторинг
Заменяет существующий инструмент HealthMonitoring новым Grafana extension. Позволяет отслеживать доступность сервера и веб-сайта и настраивать оповещения, уведомляющие их владельцев о проблемах, связанных с потреблением ресурсов (ЦП, ОЗУ, дисковый ввод-вывод) по электронной почте или в мобильном приложении Plesk. Подробнее.


Управляемые службы
Услуги управляемого хостинга могут варьироваться от простого обновления ОС и установки панели в один клик только для WordPress до полностью управляемой инфраструктуры, включающей в себя ОС, приложения, безопасность, поддержку 24x7x365 (даже на уровне приложений WordPress), подходящую резервную копию и стратегию восстановления, инструменты мониторинга производительности, оптимизацию WordPress, улучшения SEO и многое другое.

К слову, WordPress по-прежнему является системой управления контентом, занимающей 60% мирового рынка CMS. Сегодня на WordPress создано около 75 миллионов веб-сайтов. Жизненный источник любого управляемого хостинга WordPress в Plesk остается WordPress Toolkit. Он был создан совместно с экспертами WordPress для пользователей всех уровней квалификации. Plesk тесно сотрудничает с сообществом WordPress, и мы постоянно обновляем WordPress Toolkit, ориентируясь на отзывы членов сообщества. WordPress Toolkit в сочетании со Smart Updates в настоящее время является единственным комплексным решением для управления WordPress, доступным на рынке, и позволяет вам снова внедрять инновации и мгновенно конкурировать с ведущими игроками на специализированном рынке хостинга WordPress.

Заключение
С начала 2000-х Plesk упростила жизнь веб-профессионалов, малых и средних предприятий и продолжает приносить пользу многим облачным сервисам. Находясь в штаб-квартире в Швейцарии, Plesk работает на 400 тыс. серверов по всему миру, обеспечивая работу более 11 миллионов веб-сайтов и 19 миллионов почтовых ящиков. Plesk Obsidian доступна на 32 языках, и многие ведущие поставщики облачных и хостинговых услуг сотрудничают с Plesk — в том числе и мы. До конца года все новые клиенты RUVDS при покупке виртуального сервера могут получить панель Plesk Obsidian бесплатно! ruvds.com/vps_start/

Это начало очередной ценовой войны

AMD вынуждает Intel снижать цены не только на новые, но и на старые модели CPU. Это начало очередной ценовой войны.


AMD официально подтвердила, что высокопроизводительные процессоры Ryzen Threadripper 3-го поколения выйдут в ноябре 2019 года, но сохранила в секрете детали. В то же время Intel сообщила торговым партнёрам, что готова потратить на ценовую войну три миллиарда долларов. Intel подчёркивает, что чистая прибыль AMD за прошлый год составила всего $300 млн, и она не выдержит демпинга. Intel также оперативно выпустила семейство относительно дешёвых серверных процессоров семейства W-2200 (см. под катом) и относительно дешёвых игровых процессоров Core i9 10-го поколения.

В то же время планы AMD становятся яснее благодаря «мастер-плану», который компания случайно (или «случайно») выложила в открытый доступ (документ уже удалён, вот копия, интерес представляют страницы 550/558).

Планы AMD
На днях на сайте AMD был случайно опубликован Master Product Document с некоторой предварительной информацией о процессорах, которые могут выйти на рынок. Мастер-план датирован сентябрём 2019 года.

В списке перечислены процессоры для массового рынка, серверные CPU и OEM, в том числе несколько моделей, о которых раньше не сообщалось.

Ryzen 7 3750X


Например, в плане упоминается восьмиядерный Ryzen 7 3750X с TDP 105 Вт, который располагается между восьмиядерными Ryzen 7 3800X и Ryzen 7 3700X. Между этими двумя процессорами небольшая разница в тактовой частоте (300 МГц), но сильно отличается энергопотребление: всего 65 Вт у младшей модели и 105 Вт у старшей. Наблюдатели делают вывод, что AMD стремится максимально расширить последнее семейство Ryzen (Matisse), охватывая рынки десктопов, ноутбуков и OEM.

На данный момент эта линейка выглядит следующим образом:


В мастер-плане для каждого продукта указаны коды деталей OPN, а также US ECCN, HTS и CCATS, необходимые для экспорта в США. Есть вероятность, что некоторые компоненты будут производиться по прямым договорам эксклюзивно для определённых заказчиков.

Семейство Ryzen Threadripper 3000


В документе также перечислен ряд высокопроизводительных процессоров семейства AMD Ryzen Threadripper 3000, ориентированных на серверный рынок.

Раньше AMD официально заявила, что первыми на рынок выйдут 24-ядерные CPU. Согласно плану, семейство AMD Ryzen Threadripper 3000 включит в себя 16-ядерные, 24-ядерные и 32-ядерные процессоры с TDP до 280 Вт в самых мощных моделях. Это немного больше, чем у самого производительного 32-ядерного CPU текущего поколения 2000-series (250 Вт).

Новый технологический процесс вместе с улучшенным теплоотведением и повышенной мощностью, вкупе с плюсами микроархитектуры Zen 2, должны означать значительное повышение производительности, пишет AnandTech.

В документе указано, что процессоры третьего поколения используют новый вариант сокета SP3 под названием SP3r3, то возникают сомнения, что они будут совместимы с материнскими платами предыдущего поколения. Однако AMD готовит новые чипсеты для процессоров Ryzen Threadripper следующего поколения, и была заявлена совместимость сокетов.

Как и с процессорами для массового рынка, следует иметь в виду, что это внутренний технический документ для отдела продаж. Отдельные модели могут производиться по прямым контрактам и не выйти на массовый рынок.

Так или иначе, но в данный момент список моделей AMD Ryzen Threadripper третьего поколения выглядит следующим образом (стр. 550 в мастер-плане):
  • CPK Consumer 16C 32T 140W
  • CPK Consumer 16C 32T 140W DVT
  • CPK DT Ryzen Threadripper 16C 280W SP3R3
  • DT Ryzen Threadripper 280W SP3R3 DVT
  • CPK DT Ryzen Threadripper 280W SP3R3 EVT
  • DT Ryzen Threadripper 2E24 280W SP3R EVT
  • CPK DT Ryzen Threadripper 32C 280W SP3r3
  • DT Ryzen Threadripper 280W SP3r3 DVT
  • DT Ryzen Threadripper 32C 280W SP3r3 EVT
  • CPK DT Ryzen Threadripper 280W SP3r3 EVT
  • DT RyzenThreadripper 2E32 280W SP3r3 EVT
  • DT RyzenThreadripper 2832 280W SP3r3 EVT
  • DT RyzenThreadripper 2E32 280W SP3r3 EVT

Планы Intel

Хотя AMD не объявляла цены на Ryzen Threadripper 3000-series, компания Intel заранее предприняла меры, чтобы представить достойную конкуренцию этим процессорам. В начале октября компания представила несколько процессоров новой линейки Intel Xeon W-2200 (вчера опубликован официальный анонс в корпоративном блоге на Хабре): «Процессоры Intel Xeon W-2200 выполнены в том же сокете, что и Core X, имеют соответственно одинаковые рабочие частоты и TDP, а также то же количество ядер и каналов памяти. Отличия от Core X: поддержка памяти ЕСС, больших объемов памяти, технологий vPro, VROC и некоторых других — явный кивок в сторону корпоративного сегмента. Собственно, линейка и позиционируется как HEDT для служебных нужд, однако схожесть здесь заканчивается на характеристиках: чипсет для Xeon W используется серверный, и совместимость по материнским платам отсутствует».

При изучении таблицы сразу бросается в глаза, что по сравнению с W-2100 новые процессоры дешевле почти на 50% — думаю, нет смысла объяснять, в чём тут причина.

Дальнейшее снижение цен неизбежно?

После объявления цен оказалось, что новое семейство Xeon стоит примерно в два раза дешевле прошлогоднего W-3200, которое считается старшим семейством. Эти процессоры в сокете Xeon Scalable (LGA3647) поддерживают больше каналов памяти (6) и линий PCI Express (64). Количество ядер и потоков примерно вдвое больше, чем у соответствующей модели W-2200.


У W-3200 вдвое больше ядер и потоков, чем у W-2200, поэтому разница в цене объяснима, хотя она и кажется слишком большой.

Игровые процессоры


Другая ситуация сложилась с игровыми CPU. Чтобы выдержать конкуренцию, Intel выпустила процессоры Core i9 десятого поколения на базе архитектуры Cascade Lake-X c более высокими тактовыми частотами, поддержкой Turbo Boost 3.0, большего числа линий PCIe и большего объёма системной памяти с более высокими частотами. При этом Core i9 десятого поколения примерно вдвое дешевле, чем девятого (Skylake-X).

Некоторые аналитики говорят, что такого серьёзного падения цены на CPU никогда не было в истории Intel.

Например, цена флагманского 18-ядерного Core i9-10908XE с тактовой частотой 3 ГГц и до 4,8 ГГц в турборежиме, заявлена на уровне $979. Для сравнения, прошлогодний флагманский 18-ядерный Core i9-9980XE на момент выпуска предлагался по $1990, а сейчас на сайте Intel его цена объявлена «от $1699,00».

В сети появились слухи, что снижение цен на старшую линейку практически неизбежно. Немецкое издание ComputerBase отмечает, что некоторые продавцы уже начали снижать цены. Оно также приводит вероятные окончательные значения, на которых может остановиться рынок, исходя из нынешних тенденций. Снижение цен уже де-факто почти достигло целевых значений:

Сравнение цен Cascade Lake-X (ix-10000X) и Skylake-X Refresh (ix-9000X)
(в колонке «Новая цена» указана официальная цена 10-го поколения и целевое значение для 9-го поколения)


Вероятно, такие действия Intel можно назвать демпингом, на что намекает и опубликованный выше слайд из презентации.

Как и в 90-е годы, если между AMD и Intel начнётся полномасштабная ценовая война, то у неё точно будет один победитель — покупатели.

Впрочем, в 90-е годы в этой ценовой войне был ещё один участник — Cyrix. Он тоже иногда выпускал чипы дешевле и производительнее, чем у Intel, например, модель Cyrix 6x86. Так, производительность 6x86 при более низкой тактовой частоте превышала производительность Pentium, работающего на более высокой частоте.


Например, 6x86 на 133 МГц был быстрее Pentium 166 МГц, и в результате Cyrix предлагала чип 133 МГц в качестве равноценной альтернативы Pentium 166 (и по более низкой цене).

Но в конце концов фирма не выдержала конкуренции и вышла из бизнеса. В итоге её купила тайваньская компания VIA Technologies.

Будем надеяться, что на фоне демпинга мощного конкурента у AMD хватит ресурсов и она не повторит судьбу Cyrix.

miran.ru

Терминальный сервер для админа; Ни единого SSH-разрыва



Если ваша работа требует держать множество SSH-сессий к разным серверам, вы наверняка знаете, как они легко ломаются при переключении на другой Wi-Fi или при временной потере интернета. Но что, если я скажу вам, что все эти проблемы давно решены и можно забыть про сломанные сессии и постоянные переподключения?

Открывая крышку ноутбука, все мои десятки SSH-сессий сразу доступны и находятся в том же состоянии, в каком я их оставил. В статье описывается настройка терминального сервера для системного администратора. Использование такого сервера позволяет забыть о сломанных SSH-сессиях, постоянном переподключении и вводе паролей.

Настройка сервера
Идея проста и наглядно проиллюстрирована на картинке в заголовке поста: все SSH-подключения мы будем держать на специальном терминальном сервере. Этот сервер будет нашей точкой входа для управления другими серверами. При этом на конечных серверах не потребуется настройки или установки дополнительного ПО.
Для терминального сервера подойдет почти любая конфигурация, но лучше иметь побольше оперативной памяти, чтобы хранить лог консоли внутри каждой сессии и иметь возможность в любой момент проскроллить историю вверх и посмотреть, что вы делали на сервере сессии месяц назад. Обычно 1-2ГБ памяти достаточно.

Выбор дистрибутива
В терминальном сервере самое главное — это uptime, ведь чем реже мы перезагружаемся, тем больше живут наши SSH-сессии. Поэтому выбираем максимально консервативный LTS (Long Term Support) дистрибутив, например стабильную ветку debian или ubuntu. Настраиваем автоматические обновления (unattended-upgrades) таким образом, чтобы внезапный перезапуск программ не стал неожиданностью.

Настройка SSH-сервера
Так как терминальный сервер будет открывать доступ ко всем нашим серверам разом, будет правильно его обезопасить. Для этого запретим аутентификацию с помощью паролей, оставив только доступ с помощью ключей, а так же запретим логиниться пользователем root.
Предварительно нужно создать нового пользователя в системе.
/etc/ssh/sshd_config
.....
# Запрет логиниться пользователем root
PermitRootLogin no
# Запрет использования паролей, только ключи
ChallengeResponseAuthentication no
# Если паролей нет, то и PAM не нужен
UsePAM no
....


Такой конфигурации вполне достаточно, чтобы защититься от массового перебора паролей, так как SSH-сервер будет просто закрывать подключение при попытке авторизоваться с паролем. Даже при большом числе подключений, они будут закрываться достаточно быстро, не создавая существенной нагрузки на сервер. На мой взгляд, с такой конфигурацией нет необходимости устанавливать дополнительные средства защиты вроде fail2ban.

Часто начинающие админы в своих руководствах советуют менять порт SSH и вместо 22 устанавливать какой-то нестандартный вроде 2222. На мой взгляд это плохая практика, не добавляющая никакой безопасности.
  • Это не позволит защититься от перебора паролей, так как автоматические сканеры всё равно найдут SSH на любом порту и начнут долбиться.
  • Это вносит бардак, если систему администрирует несколько человек и каждый выдумывает свои порты. Когда таких систем десятки, приходится искать сканером на каком порту спрятан SSH на этот раз.
  • Это ломает встроенные ограничения безопасности в программах. Например, веб-браузеры не подключатся на порт 22, если явно указать его в HTTP, но при этом подключатся на другой нестандартный порт. Это можно использовать для срабатывания IDS/IPS систем DDoS.

Tmux — одно окно чтобы править всеми
Tmux — это невероятно удобная программа для управления виртуальными терминалами, без которой я просто не представляю своей работы. Поначалу он кажется запутанным и сложным, но если пересилить себя и научиться им пользоваться, вы больше не сможете от него отказаться.

Для тех, кто не знает что такое tmux, представьте себе веб-браузер с вкладками, только вместо сайтов там консольные сессии. Можно открыть бесконечное количество вкладок и в каждой вкладке запустить свою программу. При этом он запущен на сервере, и от него в любой момент можно отключиться, при этом все запущенные вкладки и программы останутся на своём месте и к ним можно будет вернуться.

Устанавливаем tmux, если он еще не установлен:
apt install tmux


В терминологии tmux, отдельный набор окон называется сессией. Мы будем использовать только одну сессию по умолчанию, поэтому не будем использовать названий сессий вообще. Но важно знать, что их может быть больше одной при необходимости.

Создаем новую сессию:
tmux new


В этот момент мы создали новую сессию с одним окном и сразу подключились к ней. Можно видеть появившуюся внизу зелёную панель состояния. Это что-то вроде панели с вкладками в браузере. На ней будут отображаться текущая вкладка и соседние, а также служебные сообщения.

В этот момент, даже если мы закроем SSH-подключение и заново подключимся к серверу, наша запущенная сессия tmux останется в прежнем состоянии, вместе со всеми запущенными программами так, будто мы ее свернули. Попробуем запустить программу top внутри сессии tmux и отключимся от неё. Для наглядности закроем полностью окно терминала и заново подключимся к серверу.

После переподключения к серверу подключимся к нашей запущенной ранее сессии:
tmux attach

И убедимся, что запущенная программа top продолжает работать. На этом месте важно понять главный принцип: после запуска сессия tmux остается работать в фоне на сервере вне зависимости от того, подключены вы к ней или нет.

Так как сессия tmux позволяет несколько одновременных подключений, это можно использовать для совместной работы нескольких человек на сервере, чтобы видеть в реальном времени одну и ту же консоль. Для этого все подключаются к одному серверу под одной учетной записью и вводят tmux attach. Там же можно и чатиться, прямо в командной строке. Мы часто это используем, чтобы не перекидывать друг другу лог консоли в мессенджере, а сразу работать за одним терминалом.

Tmux умеет делить окно на несколько (каждое окно внутри вкладки называется pane), это удобно, когда нужно одновременно видеть две консоли. Например, в одном окне редактировать скрипт, а в другом смотреть лог.


По умолчанию, для управления tmux-ом используется хоткей Ctrl+b. После нажатия этого управляющего хоткея tmux ожидает ввода основной команды из одной буквы.

Вот основные команды:
  • Ctrl+b + c — (create) Создать новое окно (вкладку)
  • Ctrl+b + <цифра> — Переместиться на вкладку номер N, где цифра это клавиша от 0 до 9. Нумерация окон начинается с нуля.
  • Ctrl+b + x — закрыть текущее окно. Если будет закрыто последнее окно, сессия tmux завершится.
  • Ctrl+b + w — отобразить список всех окон, по которому можно перемещаться кнопками курсора вверх-вниз и выбрать нужное, нажав enter.
  • Ctrl+b + " — разделить окно пополам по горизонтали и создать новое
  • Ctrl+b + % — разделить окно по вертикали и создать новое
  • Ctrl+b +, — переименовать текущее окно
  • Ctrl+b + вниз/вверх/влево/вправо — перемещаться по pane'ам внутри окна
  • Ctrl+b + page up/page down — прокрутить скролл вверх
  • Ctrl+b + / — искать по истории, как в vim или less

Это все хоткеи, которые мне потребовались за 10 лет использования tmux. На самом деле их намного больше, но для начала лучше остановиться на этих.

Конфиг Tmux
Я считаю хоткей Ctrl+b неудобным, так как прожимать три клавиши для любого действия выходит слишком много. Тема конфигов tmux это отдельная область вкусовщины, и у каждого бывалого пользователя есть свое видение как правильно и удобно. Есть даже целые авторские подборки конфигов и тем для tmux.

Для отправной точки я приведу пример своего конфига, который, как мне кажется, исправляет все сложности, мешающие быстрому освоению tmux. Конфиг располагается в домашней папке с именем ~/.tmux.conf
# Вместо ctrl+b будет использовать одну кнопку. Нам моем macbook это самая правая клавиша в цифровом ряду
set-option -g prefix `

# Когда нужно послать символ <`> нажимаем `+a
bind-key a send-prefix

# Нумерация окон с единицы вместо ноля
set -g base-index 1
set-option -g base-index 1
setw -g pane-base-index 1

# Lowers the delay time between the prefix key and other keys - fixes pausing in vim
set-option -sg escape-time 1

# Лимит истории консоли в 1000 строк. Столько строк можно отскроллить вверх
set -g history-limit 1000

# Цвета статус бара

# default statusbar colors
set-option -g status-fg white
set-option -g status-bg default

# default window title colors
set-window-option -g window-status-fg default
set-window-option -g window-status-bg default




# Автозапуск окон с командами при первом запуске
#------------------

# Respawn windows when PANE IS DEAD
bind-key R respawn-window

# Создать сессию default с окном local
new -d -s default -n local

# Создать окно с именем irc и командой irssi
neww -d -n irc irssi

# Создать окно с именем superserver и командой ssh root@superserver.com
neww -d -n superserver ssh root@superserver.com

# Создать окно с именем anotherserver и командой ssh root@123.123.123.123
neww -d -n superserver anotherserver root@123.123.123.123


Данная конфигурация позволяет автоматически создавать несколько окон при запуске, в которых сразу запускаются SSH-сессии. При этом не требуется вручную создавать новую сессию командой tmux new, достаточно всегда вводить tmux attach. Если сессия до этого не существовала, она будет создана.

Автозапуск tmux
Мы хотим, чтобы при подключении к терминальному серверу мы сразу попадали в tmux, даже если сервер был перезагружен и сессия tmux была закрыта.

Для этого добавим в конец файла ~/.bashrc запуск tmux. Важно помнить, что такая конструкция будет работать только с конфигом выше.
if [ ! "$TMUX" ]; then
 tmux attach
fi

if [ "$TMUX" ]; then
 export TERM=screen
fi

Это простое условие означает, что если мы не в tmux, то подключаемся к нему.
На этом конфигурация tmux на терминальном сервере закончена. Отныне для каждого нового SSH-подключения мы будем создавать отдельное окно в tmux. И даже если соединения с терминальным сервером будет потеряно, все SSH-подключения останутся активными.

Mosh — больше никаких разрывов
Теперь нам нужно обеспечить непрерывное соединение с терминальным сервером, которое будет всегда активно. Даже если мы на несколько дней закрыли ноутбук и открыли его в другой wifi-сети, соединение должно восстанавливаться само.

Mosh — надстройка над обычным OpenSSH сервером, которая позволяет забыть о разрывах соединения. Mosh авторизуется по обычному SSH, после чего поднимается отдельный UDP-канал, который мгновенно восстанавливается после разрыва, даже если у вас сменился внешний IP-адрес.
Так как нам нужно держать постоянное подключение к терминальному серверу, мы установим mosh только на сервер и на наш рабочий компьютер. При этом на удалённые серверы ничего устанавливать не потребуется, так как подключения к ним и так уже живут вечно в tmux.

Устанавливаем mosh на сервер:
apt install mosh


Устанавливаем mosh на наш рабочий компьютер. Он доступен для всех основных операционных систем, но нативный клиент есть только для Unix-подобных операционных систем. Версия для Windows реализована с помощью Cygwin либо приложения Chrome.

Я использую macOS, и устанавливаю mosh через пакетный менеджер brew:
brew install mosh


В большинстве случаев mosh не требует дополнительной настройки и работает прямо из коробки. Достаточно вместо команды ssh написать mosh:
mosh user@my-server.com


Для нестандартных конфигураций команда выглядит чуть сложнее. Например, если нужно указать порт и путь к ключу:
mosh --ssh="ssh -p 2222 -i /path/to/ssh.key" user@my-server.com


Первичную аутентификацию mosh выполняет как обычный SSH-клиент, авторизуясь на стандартный порт 22. При этом mosh-сервер изначально не слушает никаких портов, и кроме оригинального демона OpenSSH наружу никаких портов на сервере не открыто. После подключения по TCP, mosh запускается на сервере в юзерспейсе и открывает дополнительный тоннель по UDP.


Теперь запущенная на клиенте сессия mosh будет всегда восстанавливаться при появлении интернета. На своем ноутбуке я держу открытой одну сессию mosh месяцами без перезапуска и мне не приходится постоянно заново логиниться на терминальный сервер, он просто всегда работает.

Чтобы каждый раз не вводить длинную команду подключения к терминальному серверу, я сделал алиас команды подключения из одной буквы:
alias t='mosh --ssh="ssh -p 443 -i /path/to/ssh.key" user@my-server.com'


Заключение
Эта простая схема позволяет значительно сэкономить время и нервы, не терять результат работы при обрыве SSH. Мне постоянно приходится видеть, как начинающие админы начинают каждый раз заново логиниться на свои сервера и убивать залипшие SSH-сессии.
Возможно, на первый взгляд это покажется слишком запутанным, но я уверяю вас, стоит себя один раз пересилить и привыкнуть, как вы начнете смотреть со снисходительным сожалением на тех, у кого до сих пор ломаются SSH-подключения.

https://vdsina.ru

Как мы делали тариф для Windows VPS за 120 рублей

Если вы являетесь клиентом VDS-хостинга, задумывались ли вы о том, что идет в комплекте со стандартным образом операционной системы?

Мы решили поделиться, как мы готовим стандартные клиентские виртуальные машины и покажем на примере нашего нового тарифа Ultralight, как мы создавали стандартный образ Windows Server 2019 Core, а также расскажем, что в нем изменилось.


Список изменений справедлив только для этого образа, для десктопных версий не нужно вносить столько изменений, чтобы из коробки получать управляемый сервер, который уместится в половину гигабайта.

Полный список внесенных изменений
1. Влючены правила брандмауэра:
  • Все правила группы «Remote Event Log Management»
  • Virtual Machine Monitoring (DCOM-In)
  • Virtual Machine Monitoring (Echo Request — ICMPv4-In)
2. Изменено правило
  • Windows Remote Management (HTTP-In)
3. Удален компонент:
  • Windows Defender Antivirus
4. Установлена служба интеграции с вашим личным кабинетом — Hyper-V Server Manager
5. Все файлы, которые сжимаются, были сжаты compact.exe.
6. Добавлен файл oledlg.dll
7. Включен RDP

Обновляем
Процесс установки мы опустим, он представляет из себя не более чем далее, далее — готово. Сразу после установки, нужно обновиться. Чтобы сделать этот процесс наиболее удобным, мы используем Windows Admin Center.


Это так же можно сделать и с помощью Sconfig, но это не наш вариант, иначе придется использовать левую руку.

Включаем возможность управления
Далее, нужно открыть порты для того, чтобы можно было управлять сервером через RSAT.

Для этого нужно включить все правила в группе «Remote Event Log Management» и Virtual Machine Monitoring (DCOM-In). Большая часть функций RSAT теперь доступны, а именно: планировщик заданий, просмотр событий, локальные пользователи, perfmon и список служб. Через Powershell можно включать целые группы правил, это делается одной изящной командой:
Enable-NetFirewallRule -DisplayGroup "Remote Event Log Management"



Управление томами и устройствами на Server Core не поддерживается, хоть для них и есть правила в фаерволле.

А чтобы включить возможность управления по WINRM для публичных сетей, нужно изменить правило Windows Remote Management (HTTP-In), изменив область.
Set-NetFirewallRule -name WINRM-HTTP-In-TCP-PUBLIC -Profile Any


Удаление Windows Defender
Об оперативной памяти

Чтобы уместиться в 512 мегабайт ОЗУ, придется пойти на жертвы. Чтобы выбить себе дополнительную оперативную память, нужно что-то выкинуть. А вы кинем мы Windows Defender.

Такую манипуляцию мы позволили себе только с акционным тарифом.


Сжатие
Нашим тарифом предусмотрено свободное место всего лишь в 10 гигабайт. После установки всех компонентов операционная система начинает занимать 9,64 ГБ, но этот показатель можно улучшить с помощью compact.exe. Открываем два терминала, в одном переходим в корень диска и вводим команду:
compact /s /c /i /f /a /exe:lzx



Опция LZX доступна только для Windows Server 2016 и 2019, системные файлы сжимаются только на этих редакциях, поэтому если вы хотите сэкономить место, выбор не велик.

Во втором вводим команду:
Compact /Compactos:always



После этого мы вводим ключи активации и адрес KMS сервера и устанавливаем службу. Этого, мы конечно, не покажем. Теперь результаты:

Было:


Стало:


Теперь примонтируем диск, сделаем оффлайновый Dism, а также удалим содержимое папок SoftwareDistribution и Manifestcache.

Dism делается так:
Dism.exe /Image:E:\ /Cleanup-Image /StartComponentCleanup /ResetBase


Вот еще один гигабайт для наших клиентов.


Добавляем Oledlg.dll

Oledlg.dll — это библиотека которая содержит базовые OLE функции, которые нужны для реализации диалоговых окон в Windows с GUI. Этот файл нужен для того, чтобы превратить Server Core в настоящую рабочую станцию.

Он позволяет в том числе, разворачивать и торговые терминалы форекс.

Вот и все. Это все, что мы сделали с образом для данного тарифа.


ultravds.com

Изучается спрос

  • AMD Ryzen 7 3700X Octa-Core [8 ядер 16 потоков]
  • 128 ГБ RAM DDR4
  • 4 TB NVMe
  • 16 IP

Получается 0,5 ядра или 1 полный поток. 8 ядер на 16 долей. Ну по факту выставляется 1vCore, как там дальше VMmanager работает мы не знаем.

Самая минимальная бомж виртуалка выходит:
  • Ryzen 7 3700X 1vCore / 8 ddr4 / 200 ГБ NVMe / 1 IP — 1000р/мес или 700р/мес при оплате за 1 год(8400р/год).



  • Ryzen 7 3700X 1vCore / 8 ddr4 / 200 ГБ NVMe / 1 IP
  • Ryzen 7 3700X 2vCore / 16 ddr4 / 400 ГБ NVMe / 2 IP
  • Ryzen 7 3700X 3vCore / 24 ddr4 / 600 ГБ NVMe / 3 IP
  • Ryzen 7 3700X 4vCore / 32 ddr4 / 800 ГБ NVMe / 4 IP
  • и тд
Кто заинтересован может создать тикет на предзаказ тут panel.skladchik.ovh/billmgr

Friendhosting LTD: Страшно приятные скидки на VDS до 50%



Страшно приятные скидки на VDS до 50%
В преддверии праздника Хеллоуина мы устраиваем сезон СТРАШНО ПРИЯТНЫХ СКИДОК.

Получить подарки
1. Для новых заказов. Не упустите свой шанс заказать vds со скидкой 50%. Для получения скидки во время заказа используйте промо-код hw2019.
Обратите внимание, что скидка активируется исключительно для первого периода оплаты, поэтому для получения максимальной выгоды рекомендуем заказывать vds на максимальный период действия промо-кода, который составляет 6 месяцев.

2. Для существующих заказов. Если у Вас уже есть vds, то Вы также можете получить бонус: продлите заказ на год (при продлении на 12 месяцев будет учитываться скидка 10% + скидка по программе лояльности автоматически) и получите в подарок 1 месяц бесплатно. Для получения бонуса необходимо создать запрос в финансовый отдел.
Акция действует с 29.10.2019 по 05.11.2019.
friendhosting.net/promo/haloween2019.php

Какая CMS лучше подойдёт для сайта



Что выбрать?
В момент планирования интернет-проекта вы принимаете множество решений. Одно из них — выбор CMS для сайта. В этом письме мы расскажем о четырёх системах управления, а также о сферах их применения.

Претенденты
1. WordPress. Универсальная и бесплатная система. Подойдёт для любых проектов, но всё же её конёк — блоги и информационные сайты. Для размещения ecommerce-проекта или форума необходимо будет установить дополнительные плагины.
2. «1C-Битрикс». Платная система от российских разработчиков. Хороша для сложных и нагруженных интернет-проектов, нуждающихся в профессиональной поддержке.
3. PrestaShop. Как понятно из названия, система ориентирована на интернет-магазины. Поэтому она будет оптимальным выбором для ecommerce-сайта.
4. Joomla! Также является одной из самых популярных бесплатных CMS в мире, которая подходит для сайтов компаний или интернет-магазинов. Особое внимание авторы уделяют функциональности и удобной работе со системой. Я хочу всё здесь и сейчас!

Если вы хотите поскорее запустить онлайн-проект, но при этом не готовы самостоятельно разбираться с тем, как установить CMS на хостинг, то у нас есть для вас предложение. Вы можете заказать готовое решение на одной из популярных CMS на сайте REG.RU и получить готовый к работе сайт за пару кликов.
www.reg.ru/web-sites/

Новый серверы Ryzen Dedicated root: Matisse (Zen2)



Начиная с сегодняшнего дня, вы можете получить в свое распоряжение долгожданное третье поколение процессоров Ryzen на базе архитектуры Matisse Zen 2. Они являются новейшими членами нашей линейки серверов AX. Эти процессоры специально разработаны для обработки творческих рабочих нагрузок и позволяют получать высокую частоту кадров в секунду при рендеринге. Так что они отлично подходят для видеоредакторов, аниматоров и геймеров с ограниченным бюджетом. Или вы просто развертываете эти серверы как доступные рабочие лошадки для приложений, которые требуют многопоточной технологии. По сравнению с предыдущим поколением процессоров можно ожидать повышения производительности по всем направлениям, а также увеличения размера кэша и единиц с плавающей запятой.

Наши четыре базовые модели позволяют вам выбрать конфигурацию, которая подходит именно вам. AX41 и AX41-NVMe основаны на процессоре Ryzen 5 3600, который имеет 6 ядер и 12 потоков. Они также содержат два жестких диска по 2 ТБ или два 512 ГБ твердотельных накопителей NVMe, а также 64 ГБ оперативной памяти DDR4. Обе эти модели начинаются с низкой цены в 39,00 евро в месяц плюс единовременная плата за установку в размере 39,00 евро. И мы не забыли наших поклонников ECC RAM. Вы можете выбрать ECC в качестве дополнения всего за € 5,00 в месяц!

Старшими братьями этих моделей являются AX51 и AX51-NVMe, которые основаны на Ryzen 7 3700X, который имеет 8 ядер и 16 потоков. В качестве хранилища вы можете выбрать два жестких диска по 8 ТБ или два жестких диска по 1024 ГБ NVMe и использовать 64 ГБ оперативной памяти DDR4 ECC. Вы можете получить доступ к этим серверам, начиная с 59,00 евро в месяц плюс единовременная плата за установку в размере 59,00 евро.

И, естественно, для всех четырех моделей вы можете добавить широкий спектр другого оборудования, такого как твердотельные накопители NVMe и SATA или жесткие диски, за небольшую дополнительную ежемесячную плату.

www.hetzner.com/dedicated-rootserver/matrix-ax
www.hetzner.com/dedicated-rootserver/ax41-nvme
www.hetzner.com/dedicated-rootserver/ax51-nvme

Присоединяйтесь к нашей альфа-программе, чтобы протестировать новые функции solus.io

Мы находимся в процессе запуска нашей первой альфа-версии и хотим, чтобы несколько избранных провайдеров услуг и компаний получили краткий обзор.
 
solus.io — это решение для управления виртуальной инфраструктурой, которое облегчает выбор, простоту и производительность для интернет-провайдеров и предприятий. Предлагайте своим клиентам быстрые виртуальные машины по требованию, простой и современный REST API и простую в использовании панель управления самообслуживанием, чтобы ваши клиенты могли полностью раскрыть свой потенциал роста.


Альфа
На сайте solus.io мы отдаем предпочтение опыту работы с клиентами и создаем лучший способ упростить управление виртуализацией. В связи с этим мы хотели бы разрешить первоначальной группе наших пользователей тестировать функции, которые еще могут быть недоступны для общественности. Вот почему мы рады пригласить вас присоединиться к нашей альфа-программе

Помогите нам проверить
Принимая участие в этой альфа-версии, вы не только сможете опробовать функции, которые не были выпущены публично, но и станете важной частью процесса разработки. Эти функции могут стать доступными для общественности в будущем на основе проведенного вами тестирования.

Сохранить свое место в очереди
Заинтересованы в том, чтобы первыми получить в свои руки новые функции для solus.io? Дайте нам несколько деталей, чтобы добавить вас в список просматриваемого списка. Мы свяжемся с вами в течение следующих нескольких дней, чтобы вы могли принять участие в нашей альфа-программе.


В качестве награды за ваше участие мы будем поддерживать с вами связь о наших сроках, чтобы дать вам возможность стать одним из наших партнеров по запуску. В дополнение к этому вы получите подарочную карту Amazon на 50 долларов за участие.
plesk.typeform.com/to/L4ao87
www.solus.io/