Оптимизация Linux сервера для работы с 10 Gbit/s сетевыми картами
Полезный файл с описанием методики оптимизации настроек Linux сервера под высокие сетевые нагрузки.
Блог для личных заметок о том, с чем сталкиваюсь пока живу…
Архив за Май 2015
Полезный файл с описанием методики оптимизации настроек Linux сервера под высокие сетевые нагрузки.
Чтобы каждый раз не пересобирать модуль ixgbe создал DKMS пакет с версией 3.23.2.1 для Debian Linux. Возможно кому-то пригодиться, сам пакет доступен по ссылке. Если кому-то интересно как самостоятельно это сделать, то пишите в комментариях – оформлю краткую инструкцию в отдельной заметке.
Список поддерживаемых опций под катом.
Читать полностью ‘Dkms версия модуля ixgbe для Debian Linux’ »
Рано или поздно перед любым владельцем сайта встает вопрос настройки HTTPS доступа.
Для этого необходимо купить или получить бесплатный сертификат от WoSign и настроить его в веб сервере сайта, ниже укажу пример конфигурации для Nginx.
Конфигурация SSL:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
ssl on; # SSLv3 и v2 нас не интересуют. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2; # Указываем свои ssl_certificate /etc/nginx/ssl/bundle.crt; ssl_certificate_key /etc/nginx/ssl/key.key; # Создаем командой openssl dhparam -out dhparam.pem 4096 ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_session_cache shared:SSL:10m; ssl_session_timeout 24h; ssl_prefer_server_ciphers on; # Включаем OCSP, версия nginx должна быть не ниже 1.3.7. # При проверке OCSP включается не сразу, а через 1-2 https запроса. ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 ipv6=off valid=300s; resolver_timeout 5s; # Это bundl файл с CA Chain сертификатами, подойдет тот что указан в ssl_certificate, # но без 1-го сертификата ssl_trusted_certificate /etc/nginx/ssl/ca_ocsp.crt; # Включаем HSTS, после этого скорее всего сайт получит A+ и браузеры всегда будут переходить на https, # даже если доступен http add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; |
Проверить корректность внесенных изменений можно на ssllabs.com, пример для этого сайта.
Следующая ошибка с ключами при обновлении списка пакетов в debian 7:
1 2 3 4 5 6 |
W: There is no public key available for the following key IDs: 9D6D8F6BC857C906 W: There is no public key available for the following key IDs: 7638D0442B90D010 W: There is no public key available for the following key IDs: 7638D0442B90D010 |
Исправляется путем установки новой версии пакетов с ключами:
1 |
aptitude update; aptitude -y install debian-archive-keyring debian-keyring |
Аналогично устраняется проблема с ключами для репозитория cyconet.org:
1 |
wget -O - http://ftp.cyconet.org/debian/repo.key 2>/dev/null | apt-key add - |