Dimanych

Рейтинг
155
Регистрация
05.06.2007
MySQL тюнинг, многих интерисует, а как быть не знаем
newd:
Временных таблиц много создается изза запросов с группировками и сортировками.

Оптимизировать скрпиты пользователей не вариант, нужно решение через конфиг :)

Просто подозвераю что остновная нагрузка на сервер именно от записи на диск этих таблиц.

Как настроить количество одновременных подключений к MSQL

max_user_connections=30

Туда же добавить можно, ограничивает кол-во по юзерам, что-бы 1 не использовал все подключения.

Сам недавно открыл для себя :)

Как трафик меряем?

Если нужен общий трафик по портам, в данном случае 80, то лучше и удобнее darkstat я пока не нашёл. По vhosts можно логи парсить, но данные очень не достоверные, завышены в несколько раз.

Разграничение доступа
Himiko:
open_basedir никак не ограничивает shell-команды, которые вызываются из php.
Конечно хорошо ещё через disable_functions их запретить.
Потом тогда придётся ещё запретить cgi, который так не ограничить.
mod_security реально тот ещё костыль. Он хорошо, когда настроен под конкретный проект. Но для массового хостинга сайтов - это действительно постоянные обращения клиентов "тут не работает", "то-то не открывается" и т.п. Конечно, если клиент готов платить за постоянные донастройки, то не проблема.
А если нет у клиента такой возможности? Думаю он не обрадуется, что заплатил определённую сумму денег и потом не может нормально добавить сайты на сервер без доплат админу.

perl и ssh не стоит давать всем вподрят, проще по запросу включать,

основной массе сайтов кроме php+mysql ничего и не нужно 🚬

Разграничение доступа

open_basedir + disable_functions = вполне нормальный костыль :)

mod_security - костыль в двойне, которому я бы не доверял и никогда не стал бы использовать для себя, а к клиентам у меня такое же отношение, желаю только добра ))

Как бороться с исходящим сканом
myhand:
бывает, конечно... чем им HTTP не угодил?

Всмысле не угодил? запрос всё равно идёт на 80й порт и можно сделать кучу запросов на разные IP, тоже скан получается.

Как бороться с исходящим сканом

ну не одному пользователю это нужно, например требуется получить информацию из внешних источников, да хотя бы даже курс с ЦБР обновить ...

как по мне, так пусть бы они сканили всё вподрят, но вот арбузы от провайдера надоели... :)

идея кстати на счёт --uid/--gid в iptables вполне нормальная, создам наверное интерфейс позволяющий добавлять пользователю пару ip : port для исходящего трафика, таким образом уже диапазоны не отсканить ;)

Разные php.ini при mod_php

vapetrov спасибо, очень дельные советы, особенно PHPIniDir, то что нужно ;)

php-cgi тоже как вариант, неплох.

Про реврайт думал что не работает потому что всегда применял связки:

nginx -> apache

nginx -> php-cgi

Про такую не подумал:

nginx -> apache -> php-cgi

(реврайт будет работать, но всякие php_value которые частенько используются - нет)

Разные php.ini при mod_php
madoff:
копия не пойдёт. она запустит php родной.

Вам надо будет apache+php пересоберать с указанием prefix DIR . вопщем это дело очень кропотливое.

Ну это само собой, всегда так собираю, дотошный наверное)

Соберу пхп ещё раз, .so положу в другую папку, и запущу апача с другим .conf на другом порту ;)

Просто у меня debian lenny, а пакеты там старые, приходится всё собирать с новыми версиями...

Разные php.ini при mod_php

VDS не вариант

Походу дела прийдётся запускать ещё одну копию апача, на другом порту, и nginx ом разруливать как 2 прокси :)

Опятьже это не очень красиво, неужели нет других вариантов :(

1... 484950515253545556 ...83
Всего: 830