Pular para o conteúdo principal

Configurações recomendadas para CloudPanel

ivan@ivancarlos.com.br
Atualizado

Desativação de serviços não utilizados:

MariaDB

  • É o serviço de banco de dados padrão do CloudPanel, compatível com instruções MySQL
  • Desative-o caso não utilize esse banco de dados
sudo systemctl disable mariadb --now

PHP.FPM

  • São os serviços que permitem execução de aplicações PHP
  • Desative-os caso não utilize aplicações PHP, pode-se desativar apenas as versões não utilizadas. Sites PHP utilizam PHP 8.0 como padrão e podem ser alterados pelo painel de configuração. Se o PHP 8.0 for desativado, alguns processos como criação de sites PHP podem falhar.
sudo systemctl disable php7.1-fpm --now
sudo systemctl disable php7.2-fpm --now
sudo systemctl disable php7.3-fpm --now
sudo systemctl disable php7.4-fpm --now
sudo systemctl disable php8.0-fpm --now
sudo systemctl disable php8.1-fpm --now
sudo systemctl disable php8.2-fpm --now
sudo systemctl disable php8.3-fpm --now
sudo systemctl disable php8.4-fpm --now

Pacotes de serviços menos utilizados:

  • Memcached: É um sistema de cache de objetos equivalente ao Redis
  • Postfix: É um serviço para envio e entrega de mensagens de e-mail
  • ProFTPD: É um serviço que habilita acessos via FTP
  • Uncomplicated Firewall: É um bom firewall para proteger as portas abertas no sistema operacional quando exposto na internet
  • Varnish: É um bom sistema de cache de páginas porém dependente de manipulação do webservice
sudo systemctl disable memcached --now
sudo systemctl disable postfix --now
sudo systemctl disable proftpd --now
sudo systemctl disable ufw --now
sudo systemctl disable varnish --now

Configurações importantes do painel:

  • Backup dos sites do painel: https://[domain]/admin/remote-backup
  • Domínio do painel (porta padrão: 8443): https://[domain]/admin/settings
  • Fuso horário do painel: https://[domain]/admin/instance/settings
  • 2FA do usuário: https://[domain]/security
  • Fuso horário do usuário: https://[domain]/settings

Configurações importantes por shell:

Redis recomenda que a configuração vm.overcommit_memory seja sempre 1, assim como a configuração de um bind que ainda não está disponível pode impedir a subida do Redis. Você pode executar as linhas abaixo para adicionar vm.overcommit_memory = 1 e net.ipv4.ip_nonlocal_bind = 1 no arquivo /etc/sysctl.conf e em seguida aplicar a configuração executando sysctl -p.

{
  # 1. Handle vm.overcommit_memory
  if grep -q "^vm.overcommit_memory" /etc/sysctl.conf; then
    sudo sed -i 's/^vm.overcommit_memory.*/vm.overcommit_memory = 1/' /etc/sysctl.conf
  else
    echo "vm.overcommit_memory = 1" | sudo tee -a /etc/sysctl.conf
  fi

  # 2. Handle net.ipv4.ip_nonlocal_bind
  if grep -q "^net.ipv4.ip_nonlocal_bind" /etc/sysctl.conf; then
    sudo sed -i 's/^net.ipv4.ip_nonlocal_bind.*/net.ipv4.ip_nonlocal_bind = 1/' /etc/sysctl.conf
  else
    echo "net.ipv4.ip_nonlocal_bind = 1" | sudo tee -a /etc/sysctl.conf
  fi

  # 3. Apply changes immediately
  sudo sysctl -p
}

Você pode verificar se o Redis apresenta essa recomendação ou algum outro erro em seu log, executando:

sudo tail -f /var/log/redis/redis-server.log

Você pode verificar as queries de execução que chegam ao Redis com esse comando: 

redis-cli monitor

Configurações importantes do vhost:

Configuração principal do nginx, incluindo remoção do antigo GeoIP e atualização das regras dos headers de segurança:

Redefine regras do nginx, incluindo remoção do GeoIP, otimizações de performance e de segurança, usualmente não traz impacto para aplicações:

sudo tee /etc/nginx/nginx.conf > /dev/null << 'EOF'
user root;
worker_processes auto;
pid /run/nginx.pid;
worker_rlimit_nofile 8192;
include /etc/nginx/modules-enabled/*.conf;

events {
    worker_connections 2000;
    # multi_accept on;
}

http {
    real_ip_recursive on;
    set_real_ip_from 127.0.0.1;
    real_ip_header X-Forwarded-For;

    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';

    log_format cloudflare '$http_cf_connecting_ip - $remote_user [$time_local] "$request" '
                          '$status $body_bytes_sent "$http_referer" '
                          '"$http_user_agent" "$http_x_forwarded_for"';

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;

    client_max_body_size 64M;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    server_names_hash_bucket_size 128;
    server_tokens off;
    port_in_redirect off;
    disable_symlinks if_not_owner from=/home/;

    map $scheme $fastcgi_https { ## Detect when HTTPS is used
      default off;
      https on;
    }

    include /etc/nginx/blocked_ips;

    pagespeed off;
    pagespeed XHeaderValue 1;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_ciphers EECDH+AESGCM:EDH+AESGCM;
    ssl_prefer_server_ciphers on;
    ssl_conf_command Options KTLS;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/nginx/ssl/dhparams.pem;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    limit_req_zone $binary_remote_addr zone=limit:10m rate=1r/s;
    limit_req_zone $binary_remote_addr zone=static:5m rate=30r/s;

    gzip on;
    gzip_disable "msie6";
    gzip_vary on;
    gzip_proxied any;
    gzip_comp_level 6;
    gzip_buffers 16 8k;
    gzip_http_version 1.1;
    gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

    brotli on;
    brotli_comp_level 6;
    brotli_static on;
    brotli_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

    include /etc/nginx/sites-enabled/*.conf;
    
    map $http_upgrade $connection_upgrade {
        default upgrade;
        ''      close;
    }
}
EOF

sudo tee /etc/nginx/global_settings > /dev/null << 'EOF'
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-Content-Type-Options nosniff always;
add_header Referrer-Policy strict-origin-when-cross-origin always;
add_header Permissions-Policy "geolocation=(), microphone=(), accelerometer=(), camera=(), gyroscope=(), magnetometer=(), payment=(), usb=(), display-capture=(), midi=()" always;
add_header Content-Security-Policy "img-src https: data:; script-src 'unsafe-inline' 'unsafe-eval'; script-src-elem 'self' 'unsafe-inline' blob: https:; style-src 'self' 'unsafe-inline'; style-src-elem 'self' 'unsafe-inline' https:; frame-src 'self' blob: https:; worker-src 'self' blob:; frame-ancestors 'self'; object-src 'none'; base-uri about: https:; upgrade-insecure-requests;" always;
add_header alt-svc 'h3=":443"; ma=86400' always;
EOF

sudo find /etc/nginx -type f -exec sed -i '/GEOIP_/Id' {} +
sudo rm -f /etc/nginx/proxy.conf
sudo rm -rf /etc/nginx/geoip
sudo nginx -t && sudo systemctl reload nginx

Instalação de sistemas específicos no CloudPanel:

Em instalações do YOURLS, onde é necessário alterar a busca por index.php para yourls-loader.php, modifique a entrada try_files $uri $uri/ /index.php?$args; da seguinte forma:

 ### BEGIN custom entry for YOURLS
 try_files $uri $uri/ /yourls-loader.php$is_args$args;
 # try_files $uri $uri/ /index.php?$args;
 ###  END custom entry for YOURLS

Feito!

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0
Voltar ao topo

Artigos relacionados