Выпуск RISH 2.6.1 (Обновление)

Последние несколько недель в мире Linux выдались очень напряженными – в ядре Linux были найдены 5 уязвимостей одна за другой: Copy Fail (CVE-2026-31431), Dirty Frag (CVE-2026-43284, CVE-2026-43500), NGINX Rift (CVE-2026-42945), Fragnesia (CVE-2026-46300), ssh-keysign-pwn (CVE-2026-46333).

Всё это резко показало, насколько важен безопасный и контролируемый процесс обновления сервера.

До этого момента в RISH не было встроенных средств обновления Apache и PHP. Обновление через командную строку работало, но иногда приводило к неприятным последствиям в конфигурации сервера.

Например, после обновления Apache могли измениться права папки /var/www. Также снова становилась доступной стандартная папка Apache с иконками (/icons), которая удаляется при установке RISH.

Можете проверить у себя адрес site.ru/icons — для некоторых это может стать неприятным сюрпризом.

То же самое касается и настроек PHP – появляются стандартные пулы по умолчанию, которые при установке RISH удаляются.

Поэтому в RISH давно назрела необходимость автоматической проверки серверных настроек после обновлений. Особенно критичным это оказалось в данной ситуации, когда каждому становится необходимо обновлять свой сервер чаще, чем это было раньше.

В ответ на эту потребность была выпущена эта версия RISH. Наконец-то у нас появилась возможность обновить PHP и Apache прямо через меню, а так же автоматически восстановить основные настройки RISH, изменённые после обновления Apache или PHP.

В RISH добавлен новый скрипт rish_check.sh, который помогает проверить сервер после обновления системных пакетов. Он находит ситуации, когда обновление Apache или PHP вернуло часть конфигурации к стандартным настройкам дистрибутива, и предлагает восстановить стандарт RISH.

Проверка запускается из меню RISH через пункт Обновление/проверка RISH.

При открытии этого пункта меню система сначала проверяет, не требуется ли восстановление настроек сервера. Пункт Проверка и восстановление настроек RISH доступен в меню обновления всегда, а если найдены отклонения, он выбирается по умолчанию.

Скрипт проверяет основные настройки, которые чаще всего могут быть затронуты после обновления:

• проверяются права и владельцы каталогов /var/www и пользовательских папок сайтов;
• восстанавливается стандартная заглушка Apache из шаблона RISH;
• выявляются лишние Apache-конфиги, которые могут появиться после обновления PHP или httpd;
• проверяются пользовательские PHP-FPM pools и связь сайтов с выбранной версией PHP;
• для неиспользуемых версий PHP создаётся безопасный default pool с режимом ondemand;
• проверяется количество установленных версий PHP, и список путей Midnight Commander приводится в соответствие с ними;
• проверяется загруженное ядро: если сервер загружен не с последнего установленного ядра, RISH предлагает выбрать его для следующей загрузки;
• в подробном режиме выполняются apachectl configtest и проверка конфигурации PHP-FPM.

Если отклонения найдены, RISH покажет их списком и предложит восстановить настройки. После исправления выполняется повторная проверка, чтобы сразу показать итоговое состояние сервера.

Если после обновления установлено новое ядро, но сервер всё ещё загружен со старым, RISH покажет текущую и последнюю установленную версии. В режиме восстановления можно автоматически выбрать последнее ядро для следующей загрузки. Перезагрузка при этом не выполняется автоматически: администратор делает её вручную в удобный момент.

Отдельно хочу отметить отображение текущего ядра Linux. Это особенно полезно при обновлении – всегда можно точно знать, какая версия ядра используется сейчас.

Если ядро было обновлено, но не выбрана последняя версия для загрузки (что, как оказалось, встречается довольно часто), то RISH автоматически сумеет это исправить. Перезагрузку сервера он конечно не делает – это единственное, что вам потребуется сделать самостоятельно.

В RISH добавлена настройка, которая добавляет автоматический перезапуск PHP-FPM после аварийного завершения. Если процесс PHP-FPM был остановлен из-за сбоя, сигнала или OOM killer, systemd попробует запустить его снова через 3 минуты.

Настройка применяется отдельно для каждой установленной версии PHP-FPM, например php84-php-fpm или php82-php-fpm. Ручная остановка сервиса через systemctl stop остаётся штатной административной операцией и не приводит к немедленному автозапуску.

Проверка RISH теперь умеет находить отсутствующие, неправильные и лишние настройки автоперезапуска PHP-FPM. В режиме восстановления RISH может создать недостающие настройки и удалить лишние.

Также улучшена работа с PHP-FPM в меню и при установке PHP:

• новые версии PHP получают default pool www.conf из шаблона RISH с режимом ondemand;
• если шаблон www.conf недоступен, установка продолжается со стандартным конфигом Remi;
• при создании пользовательского PHP-FPM pool добавляются закомментированные строки для включения PHP error log в /var/www/<user>/logs/php-error-log;
• пункт меню Статус и перезапуск php-fpm теперь сразу показывает краткий статус всех версий PHP-FPM;
• в кратком статусе видны состояние сервиса, включение в автозагрузку, PID, политика перезапуска и количество рестартов;
• после просмотра статуса или перезапуска меню возвращается назад, чтобы можно было сразу выполнить следующее действие;
• поиск установленных PHP-версий в этом меню ускорен и больше не обращается к RPM-базе перед показом меню.

В меню Обновление RISH добавлены отдельные пункты для обновления PHP и Apache. Теперь администратор может проверить доступные обновления, посмотреть список пакетов и установить их прямо из меню RISH.

Для PHP RISH проверяет обновления установленных версий Remi PHP, например php84, php82 или php74. Для Apache проверяются обновления пакетов httpd и mod_ssl.

Перед установкой RISH показывает найденные обновления и спрашивает подтверждение.

• во время проверки отображается вывод DNF, поэтому видно ход процесса;
• в списке найденных обновлений выделяется версия пакета;
• после успешного обновления RISH предлагает проверить и восстановить настройки сервера.

Это особенно полезно после системных обновлений: PHP и Apache могут изменить или вернуть часть стандартных конфигурационных файлов, а RISH сразу помогает проверить сервер и привести настройки к ожидаемому состоянию.

В RISH добавлена настройка, которая уменьшает количество служебной информации в HTTP-ответах сервера. Apache больше не будет показывать подробную версию сервера, а заголовок X-Powered-By будет удаляться из ответов. Таким образом нельзя будет узнать какая версия PHP используется на сайте.

Для этого стандартные конфиги 000-default.conf и 000-default-ssl.conf вынесены в шаблоны RISH. При установке они копируются из папки templates, а RISH проверяет текущие конфигурационные файлы Apache и при необходимости может восстановить их после обновлений или ручных изменений.

Эти изменения не влияют на работу сайтов, PHP-FPM или Xdebug и меняют только объём служебной информации, которую сервер отдаёт наружу. Версии Apache и PHP по-прежнему можно посмотреть на сервере через консольные команды.

Что было сделано:

• добавлены настройки ServerTokens Prod и ServerSignature Off;
• удаляется заголовок X-Powered-By при наличии mod_headers;
• Проверка RISH теперь сверяет default-vhost файлы Apache с шаблонами RISH.

В автоматическом режиме backup2.sh теперь можно передать путь к отдельному файлу со списком архивируемых объектов. Это позволяет создавать несколько cron-заданий с разной периодичностью резервного копирования.

Например, одни сайты можно архивировать ежедневно, другие раз в неделю, а временно ненужные для архивации сайты просто не добавлять в соответствующий список.

Пример использования

0 5 * * * /root/rish/backup2.sh auto /root/rish/backup_list_daily
0 5 * * 0 /root/rish/backup2.sh auto /root/rish/backup_list_weekly

Если файл списка не указан, скрипт работает как раньше и использует основной список из параметра backupall2 в конфигурации.

• сохранена обратная совместимость со старым запуском /root/rish/backup2.sh auto;
• формат файла списка не изменился;
• можно использовать разные списки сайтов для ежедневных, еженедельных или других расписаний;
• если переданный файл списка не найден или недоступен, автоматическая архивация завершится с понятной ошибкой.

Из-за ограничений доступа со стороны разработчиков phpMyAdmin скачать новую версию напрямую с официального сайта иногда невозможно. Поэтому мы добавили возможность локальной установки: RISH сможет использовать заранее сохранённый архив phpMyAdmin, даже если online-загрузка недоступна.

Установка и обновление phpMyAdmin из меню Midnight Commander теперь выполняется через отдельный скрипт phpmyadmin_install.sh. Это упростило поддержку установки и позволило корректно работать даже при недоступности online-загрузки.

• добавлены таймауты для проверки online-версии и скачивания архива;
• если online-загрузка недоступна, используется локальный архив phpMyAdmin из RISH;
• существующая установка phpMyAdmin распознаётся и архивируется перед обновлением;
• для непустых папок добавлены предупреждения и варианты продолжения установки;
• улучшены сообщения при установке в корень сайта или отдельную папку.

Для безопасности рекомендуется создавать отдельный домен или сайт для phpMyAdmin, а при установке в папку использовать нестандартное имя, отличное от pma и phpmyadmin.

Если будут вопросы или заметите какие-то баги – пишите в наш дружелюбный телеграм чат и подписывайтесь на телеграм канал новостей RISH.