lamp — b14esh.com

https://d2c.io/ru/article/how-to/haproxy-basic-ru
https://habr.com/ru/post/244027/
https://wiki.archlinux.org/title/HAproxy
https://bva.dyndns.info/2022/05/haproxy-and-company/

https://d2c.io/ru/article/how-to/haproxy-basic-ru

https://habr.com/ru/post/244027/

https://wiki.archlinux.org/title/HAproxy

https://bva.dyndns.info/2022/05/haproxy-and-company/

Раздел global определяет общую конфигурацию для всего HAProxy
Defaults определяет настройки по-умолчанию для остальных разделов проксирования.
Раздел listen объединяет в себе описание для фронтенда и бэкенда и содержит полный список прокси. Он полезен для TCP трафика.
Раздел Frontend определяет, каким образом перенаправлять запросы к бэкенду в зависимости от того, что за запрос поступил от клиента.
Секция Backend содержит список серверов и отвечает за балансировку нагрузки между ними в зависимости от выбранного алгоритма

Раздел global определяет общую конфигурацию для всего HAProxy

Defaults определяет настройки по-умолчанию для остальных разделов проксирования.

Раздел listen объединяет в себе описание для фронтенда и бэкенда и содержит полный список прокси. Он полезен для TCP трафика.

Раздел Frontend определяет, каким образом перенаправлять запросы к бэкенду в зависимости от того, что за запрос поступил от клиента.

Секция Backend содержит список серверов и отвечает за балансировку нагрузки между ними в зависимости от выбранного алгоритма

Пример стандартного конфига

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http

listen admin_stats
bind 0.0.0.0:1080
mode http
option httplog
maxconn 10
stats refresh 30s
stats uri /haproxy?stats
stats auth admin:admin
stats hide-version


frontend  grafana_3000
    bind 0.0.0.0:3000
    default_backend grafana_3000
 
frontend  backuppc_7777
    bind 0.0.0.0:7777
    default_backend backuppc_7777

frontend  rd_8080
    bind 0.0.0.0:8080
    default_backend rd_8080 

frontend  front_multi_80
    bind *:80
    use_backend grafana_backend if { path /grafana } or { path_beg /grafana/ }
    use_backend zabbix_backend if { path /zabbix } or { path_beg /zabbix/ }
    use_backend rd_backend if { path /rd } or { path_beg /rd/ }
    use_backend backuppc_backend if { path /backuppc } or { path_beg /backuppc/ }
 
backend backuppc_7777
    server backuppc 10.0.0.10:80 check

backend grafana_3000
    server faucet 10.0.0.2:3000 check

backend rd_8080
    server rd 10.0.0.8:80 check

backend grafana_backend
  server grafana 10.0.0.2:3000

backend zabbix_backend
  server zabbix 10.0.0.4:80

backend rd_backend
  server rd 10.0.0.8:80

backend backuppc_backend
  server backuppc 10.0.0.10:80

global

log /dev/log local0

log /dev/log local1 notice

chroot /var/lib/haproxy

stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners

stats timeout 30s

user haproxy

group haproxy

daemon

# Default SSL material locations

ca-base /etc/ssl/certs

crt-base /etc/ssl/private

# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate

ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

defaults

log global

mode http

option httplog

option dontlognull

timeout connect 5000

timeout client 50000

timeout server 50000

errorfile 400 /etc/haproxy/errors/400.http

errorfile 403 /etc/haproxy/errors/403.http

errorfile 408 /etc/haproxy/errors/408.http

errorfile 500 /etc/haproxy/errors/500.http

errorfile 502 /etc/haproxy/errors/502.http

errorfile 503 /etc/haproxy/errors/503.http

errorfile 504 /etc/haproxy/errors/504.http

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /haproxy?stats

stats auth admin:admin

stats hide-version

frontend grafana_3000

bind 0.0.0.0:3000

default_backend grafana_3000

frontend backuppc_7777

bind 0.0.0.0:7777

default_backend backuppc_7777

frontend rd_8080

bind 0.0.0.0:8080

default_backend rd_8080

frontend front_multi_80

bind *:80

use_backend grafana_backend if { path /grafana } or { path_beg /grafana/ }

use_backend zabbix_backend if { path /zabbix } or { path_beg /zabbix/ }

use_backend rd_backend if { path /rd } or { path_beg /rd/ }

use_backend backuppc_backend if { path /backuppc } or { path_beg /backuppc/ }

backend backuppc_7777

server backuppc 10.0.0.10:80 check

backend grafana_3000

server faucet 10.0.0.2:3000 check

backend rd_8080

server rd 10.0.0.8:80 check

backend grafana_backend

server grafana 10.0.0.2:3000

backend zabbix_backend

server zabbix 10.0.0.4:80

backend rd_backend

server rd 10.0.0.8:80

backend backuppc_backend

server backuppc 10.0.0.10:80

Установим пакеты:
apt install mariadb-server mariadb-client
apt install apache2 libapache2-mod-php curl 
apt install php php-mysql php-cli php-mysql php-mbstring php-zip php-gd php-dom php-imagick php-curl

Установим права для mariadb
mysql_secure_installation


Добавим службу для firewall:
apt install iptables-persistent
apt install fail2ban


Включаем ssl:
a2enmod ssl
systemctl restart apache2

Установим пакеты:

apt install mariadb-server mariadb-client

apt install apache2 libapache2-mod-php curl

apt install php php-mysql php-cli php-mysql php-mbstring php-zip php-gd php-dom php-imagick php-curl

Установим права для mariadb

mysql_secure_installation

Добавим службу для firewall:

apt install iptables-persistent

apt install fail2ban

Включаем ssl:

a2enmod ssl

systemctl restart apache2

Пример iptables:

cat /etc/iptables/rules.v4 
--------------------------
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
#-A INPUT -p tcp -m tcp --dport 80 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p udp -m udp --dport 5678 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

#web
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#icmp
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 100/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
COMMIT
--------------------------

cat /etc/iptables/rules.v6 
--------------------------
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
#:OUTPUT ACCEPT [0:0]
#-A INPUT -i lo -j ACCEPT
#-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p ipv6-icmp -j ACCEPT
COMMIT
--------------------------

cat /etc/iptables/rules.v4

--------------------------

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

#-A INPUT -p tcp -m tcp --dport 80 -j DROP

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#-A INPUT -p udp -m udp --dport 5678 -j ACCEPT

-A INPUT -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

#web

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

#icmp

-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 100/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT

COMMIT

--------------------------

cat /etc/iptables/rules.v6

--------------------------

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

#:OUTPUT ACCEPT [0:0]

#-A INPUT -i lo -j ACCEPT

#-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#-A INPUT -p ipv6-icmp -j ACCEPT

COMMIT

--------------------------

Создаем базу в mysql, пример:

mysql
CREATE DATABASE dbwp; - создаем базу
CREATE USER 'user_name'@'localhost' IDENTIFIED BY 'password123'; - создать нового пользователя 
GRANT ALL PRIVILEGES ON db_name.* TO 'user_name'@'localhost'; - дать права\доступ пользователю  к соответствующей базе
flush privileges; -  перезагрузить таблицы назначения привилегий

mysql

CREATE DATABASE dbwp; - создаем базу

CREATE USER 'user_name'@'localhost' IDENTIFIED BY 'password123'; - создать нового пользователя

GRANT ALL PRIVILEGES ON db_name.* TO 'user_name'@'localhost'; - дать права\доступ пользователю к соответствующей базе

flush privileges; - перезагрузить таблицы назначения привилегий

install wp

apt install zip
cd /var/www/html
wget https://wordpress.org/latest.zip

unzip latest.zip 
rm index.html latest.zip 
mv wordpress/* .
rmdir  wordpress

chown www-data:www-data -R /var/www/html/

apt install zip

cd /var/www/html

wget https://wordpress.org/latest.zip

unzip latest.zip

rm index.html latest.zip

mv wordpress/* .

rmdir wordpress

chown www-data:www-data -R /var/www/html/