KVM & OpenVZ виртуализация и облачные вычисления с использованием Proxmox VE

Вступление
Proxmox Virtual Environment (Proxmox VE) — система виртуализации с открытым исходным кодом, основанная на Debian GNU/Linux. Разрабатывается австрийской фирмой Proxmox Server Solutions GmbH, спонсируемой Internet Foundation Austria.
В качестве гипервизоров использует KVM и OpenVZ. Соответственно, способна выполнять любые поддерживаемые KVM ОС (Linux, *BSD, Windows и другие) с минимальными потерями производительности и Linux без потерь.
Управление виртуальными машинами и администрирование самого сервера производятся через веб-интерфейс либо через стандартный интерфейс командной строки Linux.
Для создаваемых виртуальных машин доступно множество опций: используемый гипервизор, тип хранилища (файл образа или LVM), тип эмулируемой дисковой подсистемы (IDE, SCSI или VirtIO), тип эмулируемой сетевой карты, количество доступных процессоров и другие.
ru.wikipedia.org/wiki/Proxmox_Virtual_Environment

Важно знать, что:

— Proxmox VE использует только x86_64 архитектуру.
— Для использования KVM Ваш процессор должен поддерживать аппаратную виртуализацию (Intel VT или AMD-V). Для OpenVZ аппаратная виртуализация не требуется.

Конфигурация кластера

В этой статье мы будем создавать кластер из двух машин.
Конфигурация будет такой:

Master server1.example.com IP 192.168.0.100
Slave server2.examle.com IP 192.168.0.101

Настройка iptables для начинающих

iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Для использования утилиты iptables требуются привилегии суперпользователя (root).Иногда под словом iptables имеется в виду и сам межсетевой экран netfilter.

1. Что же такое межсетевой экран и зачем он нужен?
Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
2. Принципы работы iptables
Когда пакет приходит на наш межсетевой экран, то он сначала попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.
В Iptables используется три вида таблиц:

1. Mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
2. Nat - эта цепочка используется для трансляции сетевых адресов (Destination Network

Защищаем сервер Asterisk с помощью fail2ban

Итак, пришло время поговорить о защите. На написание поста меня сподвигла атака из США жестким брутом. Дело было так, я зашел на сервер оптимизировать конфиг users.conf(Об этом в следующей статье). После правки файла, я благополучно зашел в консоль Asterisk и увидел кучу сообщений (примерно 5 раз в секунду) о том, что с такого-то IP попытка зайти под пользователем 104. Меня это сначала смутило. А потом я решил поставить fail2ban, чтобы обезопасить себя. Итак, статья в моем стиле - поэтому никакой лишней инфы не будет, только то что нужно чтобы закрыть доступ для атакующего IP.

Защищать будем Asterisk, ну и бонусом SSH.

Шаг 1. Установка fail2ban.
# apt-get install fail2ban

Шаг 2. Установка python и iptables. Возможно вам понадобиться установить эти пакеты, поэтому
# apt-get install iptables python

Шаг 3. Конфигурация fail2ban. Итак, займемся конфигурацией. Для этого перейдем в каталог  /etc/fail2ban/filter.d.
# cd /etc/fail2ban/filter.d

Создаем новый фильтр:
# touch asterisk.conf

Содержимое файла /etc/fail2ban/filter.d/asterisk.conf должно быть примерно таким:
# Fail2Ban configuration file
# $Revision: 250 $
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf
[Definition]
#_daemon = asterisk
# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P\S+)

Asterisk+fail2ban под FreeBSD

В один прекрасный день, прилетела ко мне весточка от SIP-провайдера. И говорила она интересные вещи про безопасность и участившиеся случаи взлома. Я конечно все честно прочитал, посмеялся, да и удалил. А потом, неделю спустя, пришел ко мне счет за переговоры на много денег с кучей звонков в Латвию. Тут то и осознал я всю суть проблемы и, после получения по шапке от начальства, взялся за защиту нашего asterisk сервера от внешних воздействий. Начнем с волшебной утилиты fail2ban.

fail2ban представляет из себя анализатор логов, который при определенном повторении той или иной строки, запускает нужное приложение. Т.е. в случае с выведенным в интернет asterisk – анализируем логи на предмет наличия записей вида Registration from ’111.111.111.111′ failed for ’222.222.222.222′ – Wrong password и, в случае если такое повторяется несколько раз, блокируем данного товарища в фаэрволе по IP. Простая и действенная схема, жутко помогающая от перебора паролей.
Итак, начнем:

Защита asterisk от взлома

Как я уже как-то раз рассказывал, довелось мне вывести неподготовленный астериск в интернет и забыть об этом.. Буквально через пару недель мне об этом напомнили счета от SIP-провайдера, где красовались значительные суммы. Мне еще повезло, что провайдер заблокировал аккаунт по достижении лимита кредита и мы не ушли в глубокий и далекий… хмм… минус Во избежание повторения проблем, я опишу примерный список мероприятий, которые я с тех пор провожу над asterisk перед выводом его в интернет.

В интернете гуляет много историй о взломах астериска и последующей кары от оператора. Где-то лежала байка о некой маленькой компании в Австралии, которую угораздило залететь на $15000-20000. Думаю никто не хочет оказаться в подобной ситуации. Гораздо лучше, не дожидаясь беды, провести некоторый комплекс мероприятий, который значительно сократит количество вариантов взлома и минимизирует опасность.

Защита динамическими правилами фаэрвола
Я уже писал про защиту программой fail2ban . Работает тоже довольно эффективно, однако существует некоторая загвоздка. Asterisk не поддерживает таймаут между попытками регистрации и по-этому злоумышленник за очень короткий период времени (несколько

Как изменить пароль для администратора FreePBX Asterisk?

После публикации статьи про настройку Asterisk и использование дефолтного пароля для FreePBX, один из посетителей задал мне вопрос, а как же изменить этот дефолтный пароль. И действительно как?
Есть один простой способ:
все дело в том что авторизация во Freepbx может происходить от двух пользователей: от пользователя MYSQL и от пользователя asterisk
конкретно в нашем случае Freepbx это пользователь под которым идет подключение к БД. И иметь дефолтный пароль туда, тоже не хорошо.
Как изменить:
Заходим в консоль системы под пользователем root, если есть MidnightCommander то запускаем его и правим следующий файлик /etc/amportal.conf
В /etc/amportal.conf мы видим наш пароль FreePBX / fpbx однако это всего лишь пароль доступа к MYSQL, меняем его на тот который у нас будет использоваться в дальнейшем, для примера 12345. Сохраняем файл.
Запускаем mysql клиента:

mysql -u root
use mysql;
update user set password=password('12345') where user ='freepbx';

Теперь у пользователя БД изменился пароль, рестартуем сервер asterisk или просто его сервисы и можем заходить под новым паролем кторый никому не известен (мы же его никому не скажем)
Теперь мы можем смело из web интерфейса изменить пароль для пользователя Admin и использовать для входа его, по умолчанию он равен amp111 .
Вроде бы ничего не забыл.

Стандартные пароли для Elastix

Это есть на официальном сайте, но кому лень искать:

To access the Web interface the first time use:
Username: root
Password: palosanto

To access SugarCRM use:
Username: admin
Password: password

To access A2bill use:
Username: admin
Password: mypassword

To access Flash Operator panel (Since 0.6 version) use:
Password: eLaStIx.2oo7

To access Freepbx (Un-embedded) use:
Username: admin
Password: admin

To access vtigerCRM use:
Username: admin
Password: admin

Может кому пригодится !

Смена стандартного пароля MySQL trixbox

Сначала обновим систему:

Code:

yum -y update

База Данных
root имеет по умолчанию пароль вида: passw0rd
Подключаемся с помощью Putty
Открываем файл командой nano, поиск Ctrl+W, закрываем файл Ctrl+X, соглашаемся с изменениями Y, или не соглашаемся N

Code:

mysql -u root -p

указываем пароль по умолчанию passw0rd

Code:

mysql> use mysql; mysql> update user set password=PASSWORD("свой новый пароль") where User='asteriskuser'; mysql> flush privileges; mysql> quit

Шлюзы GSM. Работа со всеми IP PBX, в т.ч. Asterisk

HyberTone GoIP 4 — это 4-портовый GSM/VoIP шлюз GoIP4 поддерживает до 4 GSM каналов. Каждый канал GSM может программироваться в индивидуальном порядке и устанавливать связь с IP-PBX, или может быть сгруппирован как один канал связи с IP-АТС. 

HyberTone GoIP 4 идеальное решение для VoIP и беспроводной связи, в местах, где нет фиксированной телефонной линии (PSTN), или для звонков на сотовый телефон, который находится в роуминге, через сети VoIP. GoIP4 – мобильное, легко конфигурируемое и экономичное решение для совершения любых звонков.

SIM карты устанавливаются в VoIP шлюз, а пользователи GSM телефона регистрируются на любом VoIP софтсвиче. GoIP4 имеет легко конфигурируемый встроенный SIP и H.323 протоколы.

Оособенности шлюза HyberTone GoIP 4:

• Обеспечивает четыре GSM канала для IP телефонии
• Поддерживает открытый стандарт SIP протоколы (IETF SIP V2)
• Поддержка SIP прокси режима
• Режим группировки нескольких GoIP4
• 210/100 Ethernet порта для LAN и дополнительных устройств

Как изменить номер порта SSH.

В большинстве случаев, начинающие администраторы, разрешающие доступ к своим серверам из глобальной сети Интернет по протоколу ssh, совсем не заботятся о его защите. Это провоцирует хакеров на попытки взлома или на удаленный подбор паролей.

Уменьшить число попыток удаленного подбора паролей можно изменив номер порта SSH со стандартного (22) на какой-либо другой.

Для изменения номера порта SSH выполним следующие действия:

Войдем в систему как суперпользователь root и откроем в текстовом редакторе файл /etc/ssh/sshd_config.

Найдем в нем строку:

Port 22

и изменим значение 22 на другое значение (к примеру, на 8822). Выйдем из текстового редактора с сохранением наших изменений.

После этого перезапустим демон sshd командой:

killall -1 sshd

Теперь наш сервер вместо стандартного порта 22 будет “прослушивать” порт 8822 и доступ с клиентских машин можно будет осуществлять при помощи команды:

$ ssh -p 8822 user@servername

Внимание! После смены номера порта SSH, не забудьте внести соответствующие правила в список правил вашего брандмауэра, разрешив прохождение пакетов по используемым портам. Особенно это важно, если вы удаленно настраиваете сервер, так как после перезапуска демона sshd вы рискуете потерять доступ к своему серверу по SSH.

Установка Webmin + LAMP (Linux + Apache + MySQL + PHP) на сервер CentOS 5

И так, у нас есть сервер (в моем случае VDS) и нам нужно на нем запустить работу сайтов.

Для начала нам нужно будет установить Apache и MySQL с PHP.

Установка Apache, MySQL, PHP на CentOS 5

Заходит под рутом
ssh root:pass@IP
где pass — ваш рут пароль, IP — айпи адрес сервера
Выполняем следующее:

yum install httpd mod_ssl php-common php-gd php-mcrypt php-memchache php-mhash php-mysql php-xml mysql mysql-server

После установки всех пакетов, мы получаем уже готовый к работе сервер.

Проверяем работу Apache

Запускаем сервер

service httpd start

Вводим

http://IP_адрес_сервера/

И перед нами должна открыться стартовая страница Apache, если открылась, значит все сделали верно.
Добавляем автостарт Apache при перезагрузке сервера
chkconfig httpd on

Проверяем работу PHP

В консоли создаем php скрипт выводящий информацию об установленном php, для этого вводим

echo '' > /var/www/html/phpinfo.php

Запускаем скрипт
http://IP_адрес_сервера/phpinfo.php
Если видим информацию с данными по php, значит все у нас работает.

Установка Webmin на CentOS 5

Webmin - это бесплатная и удобная панель управления сервером, которая облегчает последующие настройки и управления сервером.
Загружаем панель

wget http://prdownloads.sourceforge.net/webadmin/webmin-1.500-1.noarch.rpm

Устанавливаем

rpm -U webmin-1.500-1.noarch.rpm

После установки, заходим по адресу
http://IP_адрес_сервера:10000/
Для входа используем логин root и пароль соответствующий.
Вот и все, у нас полноценный сервер, готовый для установки сайтов.

Установка Webmin на CentOS 5

 

Webmin - это бесплатная и удобная панель управления сервером, которая облегчает последующие настройки и управления сервером.
Загружаем панель
wget http://prdownloads.sourceforge.net/webadmin/webmin-1.500-1.noarch.rpm
Устанавливаем
rpm -U webmin-1.500-1.noarch.rpm
После установки, заходим по адресу
http://IP_адрес_сервера:10000/

Установка Midnight Commander

Загружаем дистрибутив: # wget ftp://ftp.asplinux.ru/pub/i386/RPMS.11/mc-4.6.1a-4.110.1asp.i386.rpm Устанавливаем пакет: # rpm -ivh mc-4.6.1a-4.110.1asp.i386.rpm Быстрая установка для FedoraCore/CentOS: # yum install mc Запуск Midnight Commander осуществляется командой: # mc Возможные проблемы Вместо линий отображаются символы псевдографики В файле /etc/sysconfig/i18n заменить LANG="en_US.UTF-8" на LANG="en_RU.UTF-8"