Так вот монтировать обоудование зимой :)
KVM & OpenVZ виртуализация и облачные вычисления с использованием Proxmox VE
ВступлениеProxmox Virtual Environment (Proxmox VE) — система виртуализации с открытым исходным кодом, основанная на Debian GNU/Linux. Разрабатывается австрийской фирмой Proxmox Server Solutions GmbH, спонсируемой Internet Foundation Austria.
В качестве гипервизоров использует KVM и OpenVZ. Соответственно, способна выполнять любые поддерживаемые KVM ОС (Linux, *BSD, Windows и другие) с минимальными потерями производительности и Linux без потерь.
Управление виртуальными машинами и администрирование самого сервера производятся через веб-интерфейс либо через стандартный интерфейс командной строки Linux.
Для создаваемых виртуальных машин доступно множество опций: используемый гипервизор, тип хранилища (файл образа или LVM), тип эмулируемой дисковой подсистемы (IDE, SCSI или VirtIO), тип эмулируемой сетевой карты, количество доступных процессоров и другие.
ru.wikipedia.org/wiki/Proxmox_Virtual_Environment
Важно знать, что:
— Proxmox VE использует только x86_64 архитектуру.
— Для использования KVM Ваш процессор должен поддерживать аппаратную виртуализацию (Intel VT или AMD-V). Для OpenVZ аппаратная виртуализация не требуется.
Конфигурация кластера
В этой статье мы будем создавать кластер из двух машин.
Конфигурация будет такой:
Master server1.example.com IP 192.168.0.100
Slave server2.examle.com IP 192.168.0.101
Настройка iptables для начинающих
1. Что же такое межсетевой экран и зачем он нужен?
Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
2. Принципы работы iptables
Когда пакет приходит на наш межсетевой экран, то он сначала попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.
В Iptables используется три вида таблиц:
- Mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
- Nat - эта цепочка используется для трансляции сетевых адресов (Destination Network
Защищаем сервер Asterisk с помощью fail2ban
Итак, пришло время поговорить о защите. На написание поста меня сподвигла атака из США жестким брутом. Дело было так, я зашел на сервер оптимизировать конфиг users.conf(Об этом в следующей статье). После правки файла, я благополучно зашел в консоль Asterisk и увидел кучу сообщений (примерно 5 раз в секунду) о том, что с такого-то IP попытка зайти под пользователем 104. Меня это сначала смутило. А потом я решил поставить fail2ban, чтобы обезопасить себя. Итак, статья в моем стиле - поэтому никакой лишней инфы не будет, только то что нужно чтобы закрыть доступ для атакующего IP.
Защищать будем Asterisk, ну и бонусом SSH.
Шаг 1. Установка fail2ban.
# apt-get install fail2ban
Шаг 2. Установка python и iptables. Возможно вам понадобиться установить эти пакеты, поэтому
# apt-get install iptables python
Шаг 3. Конфигурация fail2ban. Итак, займемся конфигурацией. Для этого перейдем в каталог /etc/fail2ban/filter.d.
# cd /etc/fail2ban/filter.d
Создаем новый фильтр:
# touch asterisk.conf
Содержимое файла /etc/fail2ban/filter.d/asterisk.conf должно быть примерно таким:
# Fail2Ban configuration file
# $Revision: 250 $
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf
[Definition]
#_daemon = asterisk
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P\S+)
Защищать будем Asterisk, ну и бонусом SSH.
Шаг 1. Установка fail2ban.# apt-get install fail2ban
Шаг 2. Установка python и iptables. Возможно вам понадобиться установить эти пакеты, поэтому
# apt-get install iptables python
Шаг 3. Конфигурация fail2ban. Итак, займемся конфигурацией. Для этого перейдем в каталог /etc/fail2ban/filter.d.
# cd /etc/fail2ban/filter.d
Создаем новый фильтр:
# touch asterisk.conf
Содержимое файла /etc/fail2ban/filter.d/asterisk.conf должно быть примерно таким:
# Fail2Ban configuration file
# $Revision: 250 $
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf
[Definition]
#_daemon = asterisk
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P\S+)
Asterisk+fail2ban под FreeBSD
В один прекрасный день, прилетела ко мне весточка от SIP-провайдера. И говорила она интересные вещи про безопасность и участившиеся случаи взлома. Я конечно все честно прочитал, посмеялся, да и удалил. А потом, неделю спустя, пришел ко мне счет за переговоры на много денег с кучей звонков в Латвию. Тут то и осознал я всю суть проблемы и, после получения по шапке от начальства, взялся за защиту нашего asterisk сервера от внешних воздействий. Начнем с волшебной утилиты fail2ban.fail2ban представляет из себя анализатор логов, который при определенном повторении той или иной строки, запускает нужное приложение. Т.е. в случае с выведенным в интернет asterisk – анализируем логи на предмет наличия записей вида Registration from ’111.111.111.111′ failed for ’222.222.222.222′ – Wrong password и, в случае если такое повторяется несколько раз, блокируем данного товарища в фаэрволе по IP. Простая и действенная схема, жутко помогающая от перебора паролей.
Итак, начнем:
Защита asterisk от взлома
Как я уже как-то раз рассказывал, довелось мне вывести неподготовленный астериск в интернет и забыть об этом.. Буквально через пару недель мне об этом напомнили счета от SIP-провайдера, где красовались значительные суммы. Мне еще повезло, что провайдер заблокировал аккаунт по достижении лимита кредита и мы не ушли в глубокий и далекий… хмм… минус 
Во избежание повторения проблем, я опишу примерный список мероприятий, которые я с тех пор провожу над asterisk перед выводом его в интернет.В интернете гуляет много историй о взломах астериска и последующей кары от оператора. Где-то лежала байка о некой маленькой компании в Австралии, которую угораздило залететь на $15000-20000. Думаю никто не хочет оказаться в подобной ситуации. Гораздо лучше, не дожидаясь беды, провести некоторый комплекс мероприятий, который значительно сократит количество вариантов взлома и минимизирует опасность.
Защита динамическими правилами фаэрвола
Я уже писал про защиту программой fail2ban . Работает тоже довольно эффективно, однако существует некоторая загвоздка. Asterisk не поддерживает таймаут между попытками регистрации и по-этому злоумышленник за очень короткий период времени (несколько
Как изменить пароль для администратора FreePBX Asterisk?
Есть один простой способ:
все дело в том что авторизация во Freepbx может происходить от двух пользователей: от пользователя MYSQL и от пользователя asterisk
конкретно в нашем случае Freepbx это пользователь под которым идет подключение к БД. И иметь дефолтный пароль туда, тоже не хорошо.
Как изменить:
Заходим в консоль системы под пользователем root, если есть MidnightCommander то запускаем его и правим следующий файлик /etc/amportal.conf
В /etc/amportal.conf мы видим наш пароль FreePBX / fpbx однако это всего лишь пароль доступа к MYSQL, меняем его на тот который у нас будет использоваться в дальнейшем, для примера 12345. Сохраняем файл.
Запускаем mysql клиента:
mysql -u rootТеперь у пользователя БД изменился пароль, рестартуем сервер asterisk или просто его сервисы и можем заходить под новым паролем кторый никому не известен (мы же его никому не скажем)
use mysql;
update user set password=password('12345') where user ='freepbx';
Теперь мы можем смело из web интерфейса изменить пароль для пользователя Admin и использовать для входа его, по умолчанию он равен amp111 .
Вроде бы ничего не забыл.
Стандартные пароли для Elastix
To access the Web interface the first time use:
Username: root
Password: palosanto
To access SugarCRM use:
Username: admin
Password: password
To access A2bill use:
Username: admin
Password: mypassword
To access Flash Operator panel (Since 0.6 version) use:
Password: eLaStIx.2oo7
To access Freepbx (Un-embedded) use:
Username: admin
Password: admin
To access vtigerCRM use:
Username: admin
Password: admin
Может кому пригодится !
Смена стандартного пароля MySQL trixbox
Сначала обновим систему:
База Данных
root имеет по умолчанию пароль вида: passw0rd
Подключаемся с помощью Putty
Открываем файл командой nano, поиск Ctrl+W, закрываем файл Ctrl+X, соглашаемся с изменениями Y, или не соглашаемся N
указываем пароль по умолчанию passw0rd
| Code: |
| yum -y update |
База Данных
root имеет по умолчанию пароль вида: passw0rd
Подключаемся с помощью Putty
Открываем файл командой nano, поиск Ctrl+W, закрываем файл Ctrl+X, соглашаемся с изменениями Y, или не соглашаемся N
| Code: |
| mysql -u root -p |
указываем пароль по умолчанию passw0rd
| Code: |
| mysql> use mysql; mysql> update user set password=PASSWORD("свой новый пароль") where User='asteriskuser'; mysql> flush privileges; mysql> quit |
Шлюзы GSM. Работа со всеми IP PBX, в т.ч. Asterisk
HyberTone GoIP 4 — это 4-портовый GSM/VoIP шлюз GoIP4 поддерживает до 4 GSM каналов. Каждый канал GSM может программироваться в индивидуальном порядке и устанавливать связь с IP-PBX, или может быть сгруппирован как один канал связи с IP-АТС.
HyberTone GoIP 4 идеальное решение для VoIP и беспроводной связи, в местах, где нет фиксированной телефонной линии (PSTN), или для звонков на сотовый телефон, который находится в роуминге, через сети VoIP. GoIP4 – мобильное, легко конфигурируемое и экономичное решение для совершения любых звонков.
SIM карты устанавливаются в VoIP шлюз, а пользователи GSM телефона регистрируются на любом VoIP софтсвиче. GoIP4 имеет легко конфигурируемый встроенный SIP и H.323 протоколы.
Оособенности шлюза HyberTone GoIP 4:
- Обеспечивает четыре GSM канала для IP телефонии
- Поддерживает открытый стандарт SIP протоколы (IETF SIP V2)
- Поддержка SIP прокси режима
- Режим группировки нескольких GoIP4
- 210/100 Ethernet порта для LAN и дополнительных устройств
Как изменить номер порта SSH.
В большинстве случаев, начинающие администраторы, разрешающие доступ к своим серверам из глобальной сети Интернет по протоколу ssh, совсем не заботятся о его защите. Это провоцирует хакеров на попытки взлома или на удаленный подбор паролей. 
Уменьшить число попыток удаленного подбора паролей можно изменив номер порта SSH со стандартного (22) на какой-либо другой.
Для изменения номера порта SSH выполним следующие действия:
Войдем в систему как суперпользователь root и откроем в текстовом редакторе файл /etc/ssh/sshd_config.
Найдем в нем строку:
Port 22
и изменим значение 22 на другое значение (к примеру, на 8822). Выйдем из текстового редактора с сохранением наших изменений.
После этого перезапустим демон sshd командой:
killall -1 sshd
Теперь наш сервер вместо стандартного порта 22 будет “прослушивать” порт 8822 и доступ с клиентских машин можно будет осуществлять при помощи команды:
$ ssh -p 8822 user@servername
Внимание! После смены номера порта SSH, не забудьте внести соответствующие правила в список правил вашего брандмауэра, разрешив прохождение пакетов по используемым портам. Особенно это важно, если вы удаленно настраиваете сервер, так как после перезапуска демона sshd вы рискуете потерять доступ к своему серверу по SSH.
Установка Webmin + LAMP (Linux + Apache + MySQL + PHP) на сервер CentOS 5
И так, у нас есть сервер (в моем случае VDS) и нам нужно на нем запустить работу сайтов.
Для начала нам нужно будет установить Apache и MySQL с PHP.
Заходит под рутом
ssh root:pass@IP
где pass — ваш рут пароль, IP — айпи адрес сервера
Выполняем следующее:
Добавляем автостарт Apache при перезагрузке сервера
chkconfig httpd on
http://IP_адрес_сервера/phpinfo.php
Если видим информацию с данными по php, значит все у нас работает.
Загружаем панель
http://IP_адрес_сервера:10000/
Для входа используем логин root и пароль соответствующий.
Вот и все, у нас полноценный сервер, готовый для установки сайтов.
Установка Apache, MySQL, PHP на CentOS 5
ssh root:pass@IP
где pass — ваш рут пароль, IP — айпи адрес сервера
Выполняем следующее:
yum install httpd mod_ssl php-common php-gd php-mcrypt php-memchache php-mhash php-mysql php-xml mysql mysql-server
После установки всех пакетов, мы получаем уже готовый к работе сервер.Проверяем работу Apache
Запускаем серверservice httpd start
Вводимhttp://IP_адрес_сервера/
И перед нами должна открыться стартовая страница Apache, если открылась, значит все сделали верно.Добавляем автостарт Apache при перезагрузке сервера
chkconfig httpd on
Проверяем работу PHP
В консоли создаем php скрипт выводящий информацию об установленном php, для этого вводимecho '' > /var/www/html/phpinfo.php
Запускаем скриптhttp://IP_адрес_сервера/phpinfo.php
Если видим информацию с данными по php, значит все у нас работает.
Установка Webmin на CentOS 5
Webmin - это бесплатная и удобная панель управления сервером, которая облегчает последующие настройки и управления сервером.Загружаем панель
wget http://prdownloads.sourceforge.net/webadmin/webmin-1.500-1.noarch.rpm
Устанавливаемrpm -U webmin-1.500-1.noarch.rpm
После установки, заходим по адресуhttp://IP_адрес_сервера:10000/
Для входа используем логин root и пароль соответствующий.
Вот и все, у нас полноценный сервер, готовый для установки сайтов.
Подписаться на:
Сообщения (Atom)