-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy pathdeploy.sh
More file actions
281 lines (234 loc) · 10.9 KB
/
deploy.sh
File metadata and controls
281 lines (234 loc) · 10.9 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
#!/usr/bin/env bash
set -eu
# set -e остановка при любой ошибке
# set -u завершит скрипт с ошибкой при использовании неопределенной переменной (unset variable).
# предотвращает скрытые ошибки от опечаток или забытых инициализаций, заставляя явно проверять переменные
SCRIPT_DIR=$(dirname "$(readlink -f "$0")")
TIMEZONE="Europe/Moscow"
export NEW_SSH_PORT=8777 # Дефолт, если пропустим настройку
export SSH_SERV="ssh" # На Debian/Ubuntu обычно ssh
export INSTALLED_DOCKER="false"
if systemctl list-unit-files | grep -q "^sshd.service"; then
SSH_SERV="sshd"
fi
# Подгружаем утилиты из подпапки
if [ -f "$SCRIPT_DIR/utils.sh" ]; then
source "$SCRIPT_DIR/utils.sh"
else
echo "Критическая ошибка: $SCRIPT_DIR/utils.sh не найден."
exit 1
fi
remote_deploy() {
read -p "Введите IP сервера: " REMOTE_IP
read -p "Введите текущий порт SSH [22]: " REMOTE_PORT
REMOTE_PORT=${REMOTE_PORT:-22}
read -p "Введите пользователя [root]: " REMOTE_USER
REMOTE_USER=${REMOTE_USER:-root}
# Создаем папку с уникальным именем на сервере
REMOTE_DIR="~/deploy_$(date +%Y%m%d_%H%M)"
echo "Копирование файлов проекта на $REMOTE_IP..."
ssh -p "$REMOTE_PORT" "$REMOTE_USER@$REMOTE_IP" "mkdir -p $REMOTE_DIR"
# Рекурсивное копирование всей папки (включая configs/)
scp -P "$REMOTE_PORT" -r "$SCRIPT_DIR"/* "$REMOTE_USER@$REMOTE_IP:$REMOTE_DIR/"
echo "Запуск скрипта на удаленном сервере..."
# Опция -t нужна для интерактивности внутри SSH
ssh -t -p "$REMOTE_PORT" "$REMOTE_USER@$REMOTE_IP" "cd $REMOTE_DIR && chmod +x *.sh && sudo ./deploy.sh"
exit 0
}
# --- Проверка флага remote ---
if [ "${#}" -ge 1 ] && [ "$1" == "-remote" ]; then
remote_deploy
fi
if [ "$EUID" -ne 0 ]; then echo "Требуются права root"; exit 1; fi
setup_base() {
echo "----- Базовая настройка ОС -----"
NEW_HOSTNAME=""
while [ -z "$NEW_HOSTNAME" ]; do
read -p "Введите имя хоста (hostname): " NEW_HOSTNAME
done
while true; do
read -p "Введите порт SSH [1-65535, default: 8777]: " input_port
input_port=${input_port:-8769}
if validate_range "$input_port" 1 65535; then
export NEW_SSH_PORT=$input_port
break
else
echo "Ошибка: введите число от 1 до 65535."
fi
done
hostnamectl set-hostname "$NEW_HOSTNAME"
if ! grep -q "127.0.1.1" /etc/hosts; then
echo "127.0.1.1 $NEW_HOSTNAME" >> /etc/hosts
else
sed -i "s/127.0.1.1.*/127.0.1.1 $NEW_HOSTNAME/" /etc/hosts
fi
timedatectl set-timezone "$TIMEZONE"
# Настройка sshd_config
local ssh_conf="/etc/ssh/sshd_config"
# Порт
sed -i "s/^#Port 22/Port $NEW_SSH_PORT/" "$ssh_conf"
sed -i "s/^Port .*/Port $NEW_SSH_PORT/" "$ssh_conf"
# Безопасность и таймауты
# Сначала удаляем существующие вхождения, чтобы не плодить дубли
sed -i '/^MaxAuthTries/d; /^ClientAliveInterval/d; /^ClientAliveCountMax/d' "$ssh_conf"
{
echo "MaxAuthTries 3"
echo "ClientAliveInterval 40"
echo "ClientAliveCountMax 5"
} >> "$ssh_conf"
}
setup_swap() {
if ask_yn "Настроить Swap-файл (1GB) и Swappiness?" "y"; then
echo "----- Настройка Swap -----"
echo "Параметр swappiness определяет интенсивность использования подкачки:"
echo "0 — свопинг почти отключён (система будет свопить только в крайнем случае)."
echo "100 — максимально агрессивный свопинг (ядро начнёт выгружать даже при наличии свободной RAM)."
echo "По умолчанию обычно 60. Назначение: баланс между использованием RAM для кэша и предотвращением OOM-killer."
local sw_val
while true; do
read -p "Введите значение swappiness (0-100) [default: 15]: " sw_val
sw_val=${sw_val:-15}
if validate_range "$sw_val" 0 100; then
break
else
echo "Ошибка: введите число от 0 до 100."
fi
done
if [ ! -f /swapfile ]; then
fallocate -l 1G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo '/swapfile none swap sw 0 0' >> /etc/fstab
fi
sysctl -w vm.swappiness="$sw_val"
sed -i '/vm.swappiness/d' /etc/sysctl.conf
echo "vm.swappiness=$sw_val" >> /etc/sysctl.conf
echo "Swap настроен (swappiness=$sw_val)."
fi
}
setup_journald() {
echo "----- Настройка логов -----"
CONF="/etc/systemd/journald.conf"
sed -i 's/^#SystemMaxUse=.*/SystemMaxUse=1G/' $CONF
sed -i 's/^#MaxRetentionSec=.*/MaxRetentionSec=60d/' $CONF
systemctl restart systemd-journald
journalctl --vacuum-size=512M --vacuum-time=60d
}
disable_ipv6() {
echo "----- Отключение IPv6 -----"
cat <<EOF > /etc/sysctl.d/99-disable-ipv6.conf
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
EOF
sysctl --system
if [ -f /etc/default/grub ]; then
if ! grep -q "ipv6.disable=1" /etc/default/grub; then
sed -i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1 /' /etc/default/grub
update-grub
fi
fi
}
install_certbot() {
echo "----- Установка Certbot через Snap -----"
# Проверка и установка snapd
if ! command -v snap >/dev/null 2>&1; then
apt update && apt install -y snapd
fi
# Необходимая инициализация для snap на некоторых системах
systemctl enable --now snapd.socket
# Установка core
snap install core || snap refresh core
# Удаление старых apt-версий, если они были
apt remove -y certbot || true
# Установка Certbot
snap install --classic certbot
# Создание симлинка (проверка на существование, чтобы не выбило ошибку)
if [ ! -f /usr/bin/certbot ]; then
ln -s /snap/bin/certbot /usr/bin/certbot
fi
}
install_nginx() {
echo "----- Установка актуальной версии Nginx -----"
if ! [ -f /etc/apt/sources.list.d/nginx.list ]; then
curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor \
| sudo tee /usr/share/keyrings/nginx-archive-keyring.gpg >/dev/null
echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] \
http://nginx.org/packages/ubuntu $(lsb_release -cs) nginx" \
| sudo tee /etc/apt/sources.list.d/nginx.list
apt update
fi
apt install -y nginx
}
install_packages() {
echo "----- Установка пакетов -----"
apt update && apt upgrade -y
# Инициализируем переменную (добавь эту строку)
export INSTALLED_DOCKER="false"
for pkg in nginx docker unzip certbot net-tools fail2ban nvm; do
if ask_yn "Установить $pkg?" "n"; then
if [ "$pkg" == "nvm" ]; then
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.40.1/install.sh | bash
elif [ "$pkg" == "nginx" ]; then
install_nginx
elif [ "$pkg" == "certbot" ]; then
install_certbot
elif [ "$pkg" == "docker" ]; then
# Добавляем установку флага (изменение здесь)
curl -fsSL https://get.docker.com -o get-docker.sh && sh get-docker.sh && rm get-docker.sh
# Если файла нет - создаем пустой JSON объект с настройками демона (часто нужно для DNS внутри контейнера)
[ ! -f /etc/docker/daemon.json ] && echo "{}" | sudo tee /etc/docker/daemon.json
# Добавляем DNS аккуратно через временный файл
sudo jq '."dns" = ["8.8.8.8", "1.1.1.1"]' /etc/docker/daemon.json > /tmp/daemon.json && sudo mv /tmp/daemon.json /etc/docker/daemon.json
# Рестарт
sudo systemctl restart docker
export INSTALLED_DOCKER="true"
elif [ "$pkg" == "fail2ban" ]; then
apt install -y fail2ban
cat <<EOF > /etc/fail2ban/jail.local
[sshd]
enabled = true
port = $NEW_SSH_PORT
EOF
systemctl restart fail2ban
else
apt install -y "$pkg"
fi
fi
done
}
if ask_yn "Выполнить базовую настройку (Hostname, SSH, Swap, IPv6 disable, Packages)?" "y"; then
setup_base
setup_swap
setup_journald
if ask_yn "Отключить IPv6?" "y"; then
disable_ipv6
fi
install_packages
fi
if ask_yn "Настроить Nginx?" "y"; then
bash "$SCRIPT_DIR/setup_nginx.sh"
fi
if ask_yn "Настроить Файрвол?" "y"; then
bash "$SCRIPT_DIR/setup_firewall.sh"
echo "Проверка конфигурации SSH..."
if sshd -t; then
echo "Перезапуск сервиса $SSH_SERV на порту $NEW_SSH_PORT..."
systemctl restart "$SSH_SERV"
else
echo "КРИТИЧЕСКАЯ ОШИБКА: Конфиг SSH поврежден. Перезапуск отменен."
exit 1
fi
# Если Docker был установлен или уже есть в системе, перезапускаем его,
# чтобы он восстановил свои правила iptables поверх правил UFW/Firewalld.
if [ -n "${INSTALLED_DOCKER-}" ] && [ "$INSTALLED_DOCKER" == "true" ] || command -v docker >/dev/null 2>&1; then
echo "Перезапуск Docker для восстановления сетевых мостов..."
systemctl restart docker
fi
fi
echo "Настройка завершена."
if ask_yn "Удалить временные файлы установки?" "n"; then
rm -rf "$SCRIPT_DIR"
echo "Директория удалена."
fi