Установка ISPmanager 5. На что ispsystem пытается нас "пересадить"?

Давайте проанализируем как саму установку ISPmanager 5, так и то что получаем в итоге.

Запускаем установку:

wget cdn.ispsystem.com/install.sh
sh install.sh

Выбираем разумеется стабильную версию, раз такая уже имеется.

s) stable version - time-proved version 

И посмотрим какой софт разработчики нам предлагают:

1) ISPmanager-Lite with recommended software

Можно увидить, что повился у ISP свой собственный репозитарий:

Adding repository ISPsystem..

Get:5 http://cdn.ispsystem.com/repo/debian/ stable-wheezy/main coremanager amd64 5.22.2-wheezy1 [16.1 MB]

Вот такой софт у нас устаналивается:

Из репозитария http://cdn.ispsystem.com/repo/debian/ ставится только coremanager-pkg-mysql и множество пакетов ispmanager-pkg-*.

В итоге мы получили:

php -v
PHP 5.4.36-0+deb7u3 (cli) (built: Jan  9 2015 08:07:06) 
Copyright (c) 1997-2014 The PHP Group
Zend Engine v2.4.0, Copyright (c) 1998-2014 Zend Technologies
 
php -m
[PHP Modules]
bcmath
bz2
calendar
Core
ctype
date
dba
dom
ereg
exif
fileinfo
filter
ftp
gd
gettext
hash
iconv
intl
json
libxml
mbstring
mcrypt
mhash
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
Phar
posix
pspell
Reflection
session
shmop
SimpleXML
soap
sockets
SPL
standard
sysvmsg
sysvsem
sysvshm
tokenizer
wddx
xml
xmlreader
xmlwriter
zip
zlib

 Приятным моментом стал файлик .my.cnf с панель мускула:

# cat .my.cnf
[client]
password = 0PNKpOOwNm

Версия MySQL: Server version: 5.5.41-0+wheezy1 (Debian)

Зайдем в панель, адрес стандартный https://_IP_:1500/ispmgr

Напомню, что триал-версия не требует предзаказа.

Вы используете ознакомительную версию, срок действия которой истекает 2015-03-04. Активировать лицензию

К сожалению, nginx не установлен по умолчанию. Поставим его.

В итоге Apache перемещается на порт 8080 и локальный IP:

tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      20186/apache2 

В конфиге nginx можно найти странную опцию

error_log /dev/null crit;

Запись критических ошибок это таком минимум информации, что смысла писать в /dev/null нету никакого. Ну ради чего? Сэкономить 0,000001% дискового пространства?  Да и можно же прописать error_log off;

phpMyAdmin работает на PHP-FPM. Весьма умный ход со стороны разработчиков! Но не долго мы улыбались  На самом деле php-fpm используется, если он выбран в параметрах веб-сервера. Если не выбран, то не установлен и используется апач, вот таким нехитрым методом

error_page 502 = @apache;

Apache.

Обратите внимание что сессии PMA пишутся теперь в /var/lib/php5. Чтобы после не искали куда место делось.  Но вот Roundcube пишет сессии по прежнему в  /tmp. Какой смысл было разделять? Вероятно просто недоработка.

Создадим пользователя и посмотрим на конфиги.

Абсурд - для чего в панель писать ФИО? Вот это дурная шутка!

Кодировка домена. По умолчанию только UTF-8. А пользователям с Windows-1251 лезть русками в конфиги и дописывать. Ну-ну.

Конфиги пользователей в отдельных папках, внутри которых файлики с их доменами. Наконец-то, дождались!

AddDefaultCharset off - разумно, чтобы не читать default параметр из конфига апача.

Конфиг nginx немного не стандартного подхода, но вполне разумный.

session.gc_probability = 0 - по умолчанию идет 1. Зачем отключать? Чтобы директории с сессиями переполнялись? Гении!

На порту 35000 висит shell-клиент. Завелся сразу, ничего не спрашивал (всякой явы).

Bind - открыли рекурсию, которая по умолчанию уже закрыта. Зачем??? Первая дырка! 

Proftpd - не отключили модуль  Memcache, хотя в ISPmanager 4 это уже было реализовано. Ну что, опять те же грабли - одно строим, второе ломаем? А ведь обещали, что такого не будет!

На папке /var/www/_USER_/data уже права 755. Зачем ?  Вполне достаточно и прав 551. На 4-ке были 751.

Версия nginx 1.21 - древнее некуда. Свои репозитарии подключили, а про официальный репозитарий nginx забыли.

Меняем Apache-MPM-itk на Prefork.

И тут меня стопорит! Директорию php-bin снова вернули в папку пользователя:

FCGIWrapper /var/www/user01/data/php-bin/php

Для тех кто забыл/не знал, напомню чем это грозит:

Дав права на запись файлу php.ini пользователь может самостоятельно. А далее правит конфиг на свое усмотрение. Допустим сменит session.save_path неверно и сессии уже не работают. Ну не все же понимают что они делают.

А может переписать путь к бинарнику - сайт уйдет в грубокий даунтайм. Но это все еще цветочки, может же просто удалить файлик, сменить права доступа. В итоге при перезагрузке апача мы получим полностью нерабочий сервер:

Ладненько, посмотрим на PHP-FPM.

В принципе все нормально. Только никаких реврайтов всеравно не может сам пользователь использовать. Только через администратора, который будет вносить из в конфиг nginx. По этому эта опция мало что дает.