Приступаем:

wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm
rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm
yum install ffmpeg ffmpeg-devel flvtool2 mplayer mencoder lame libogg libvorbis libtheora swftools amrnb amrwb transcode x264
wget http://downloads.sourceforge.net/sourceforge/ffmpeg-php/ffmpeg-php-0.6.0.tbz2
tar xjf ffmpeg-php-0.6.0.tbz2
cd ffmpeg-php-0.6.0
phpize
./configure && make
make install

Осталось добавить в php.ini

extension=”ffmpeg.so”

Как же быть? Как сохранить свои данные в целости и сохранности? И тут на помощь приходит шифрование файловых систем. Я расскажу только про две из них — LUKS и CryptoFS.

Следует отметить, что LUKS отлично работает на Linux, а CrytopFS — на FreeBSD.

LUKS

dd if=/dev/urandom of=luks.img bs=1M count=100
losetup /dev/loop0 luks.img
cryptsetup luksFormat /dev/loop0
cryptsetup luksOpen /dev/loop0 luks
mkfs.ext3 /dev/mapper/luks
mkdir /luks
mount /dev/mapper/luks /luks

Для последующего включения:

losetup /dev/loop0 luks.img

cryptsetup luksOpen /dev/loop0 luks

mount /dev/mapper/luks /luks

CryptoFS

mkdir /usr/local/cfs /cfs
cp /usr/local/share/doc/cryptofs/cryptofs.conf /usr/local/cfs/.cryptofs
cryptofs -r /usr/local/cfs /cfs

Подключать потом:

cryptofs -r /usr/local/cfs /cfs

Вывод:

LUKS позволяет выбрать тип файловой системы, но использует блочное устройство, а CryptoFS использует текущую файловую систему для шифрования. CryptoFS ощутимо быстрее, а LUKS гибче.

Что именно использовать — решать вам.

И да, самая надежная защита — это репутация вашего системного администратора.

luks.img

—
/boot/loader.conf
net.inet.tcp.tcbhashsize=(значение подставляется опытным путем)
vm.kmem_size=1536m

Сервер, сокет которого слушает запросы от клиента:

1. Для установки соеденения клиент выбирает CISN для пакета и отправляет его с флагом SYN, обычно это называют SYN пакетом. Когда сервер получает SYN пакет, он создает новое соеденение TCP, которое отнимает память.
2. На второй фазе установки TCP соеденения сервер выбирает SISN для пакета и отправляет его клиенту с SYN и ACK. Это обычно называется SYN/ACK пакет. При получении клиент проверяет свой CISN.
3. На финальной фазе клиент подтверждает прием SISN, возвращая его в пакете с битом ACK. После этого сервер завершает открытие TCP соеденения и обе машины могут обмениваться данными.

Проблема — SYN может быть с поддельным IP

Это значит, что сервер никогда не получит ответ SYN/ACK и его коннект будет висеть в памяти, пока не закроется. И это первая проблема.

От SYN Spoof атаки память на сервере кончается быстрее, чем забивается канал

Конечно, скажет неискушенный читатель, ведь для таких случаев в Linux был придуман механизм защиты, называемый syncookies, который позволяет сохранить память, храня только хеш вместо полного набора параметров. Более подробно об этом можно прочитать в патенте IBM и сравнить с реализацией в Linux.

Так вот, дорогой мой читатель — это тоже не поможет. При массированной бомбардировке, а SYN пакеты маленькие (64 байта), сервер будет полностью занят операциями вида вычисления хешей.

От SYN Spoof атаки нагрузка на сервер возрастает сильнее, чем нагрузка на канал

Более искушенные читатели конечно не забудут напомнить, что число SYN трафика можно лимитировать, оставив большую часть канала под легитимный трафик, это значит что новым соеденениям будет сложнее открыть связь, но старые пройдут без проблем. Отлично, дорогие мои, а что если в этот самый момент к SYN SPoof присоеденяется классический DDOS?

SYN Spoof + DDOS = смерть сервера

Разумеется сервер будет жить — в физическом смысле и даже, вероятно будет доступен. Но легальный пользователь не сможет установить коннект, так как на 100 SYN пакетов будет приходится только один с реальным адресом, а на 1000 реальных пакетов только один от реального посетителя. Остальные пойдут от ботнета. Более того.

Источник SYN Spoof будет всегда неизвестным

Если классический ботнет может иметь географическую привязку и заблокирован по этому принципу на аплинке или через geoip на сервере, то SYN Spoof может иметь в заголовках китайский IP, а отправленым быть из Урюпинска. И наконец последнее.

Если сила SYN атаки забьет полностью канал, то вы ничего не сможете сделать

И это действительно так. Если ваш Дата Центр не обладает мощной системой и множеством аплинков — сервер перестанет существовать. По крайней мере для обычных людей в интернете.

Хорошие новости

Этим атакам можно противостоять, установив зеркала и настроив DNS для ловли SYN пакетов по геопризнаку. Эта методика похожа на выбрс ловушек, которыми самолет прикрывает себя от ракет.

Плохие новости

Поддержка такой инфраструктуры стоит достаточно больших средств. Необходимо поддерживать все зеркала и при этом большую часть времени они будут стоять без дела, просто в режиме готовности.

Что я могу предложить:

Беспрецедентную акцию: каждый хостинг может мне выделить один сервер для настройки подобной системы. Я абсолютно бесплано произвожу настройки и подключаю сервер в систему.

После этого каждый из хостингов, предоставивших сервер, получает возможность возможность бесплатно использовать всю систему в случае DDOS атак.

По вопросам сотрудничества можете писать в комментарии.

if ($host ~* www\.(.*)) {
 set $host_without_www $1;
 rewrite ^(.*)$ http://$host_without_www$1 permanent;
}

Apache без www на с www:

RewriteEngine on
RewriteCond %{HTTP_HOST} ^example.com$
RewriteRule ^(.*)$ http://www.example.com/$1 [R=301,L]

OVZ - это просто грамотный chroot.

Виртуальные сервера — это очень удобно. Можно разделять проект на задачи и для каждой выделять VPS, и по мере роста проекта разносить эти виртуалки по разным физическим серверам.

Но удобство этим еще не заканчивается. В OpenVZ меня очень привлекает возможность создания полного бекапа без даунтаймов. Так как не все знают о такой возможности, я хочу описать ее более детально.

Прежде всего нам потребуется удаленный хост с поддержкой ssh протокола и наличием rsync. Сам бекап состоит из трех этапов:

1. Первоначальная копия всех файлов (можно запускать только для первого бекапа)
2. Копия дельты измененных файлов от первоначальной копии до текущего состояния контейнера
3. Финальная копия остатка измененных файлов с заморозкой контейнера

Допустим нам нужно сделать копию контейнера 110 на сервер с именем host от пользователя user.
Первоначальный этап выполняется командой:

RSYNC_RSH="ssh Compression=no"  rsync -aHz \
--numeric-ids --bwlimit=1024 /vz/private/110 user@host:/backup/110

Рассмотрим опции более детально.

• -o Compression=no — Отключаем сжатие средством ssh
• -a — Сохранение прав доступа к файлам
• -z — Использовать сжатие средством rync
• --numeric-ids — Сохранять информацию о владельцах и группах в числовом формате
• --bwlimit=1024 — Использовать 1Mb пропускной способности канала

Итак, первая часть бекапа проходит медленно и незаметно для работы VPS. Вторую часть следует выполнить в точности как и первую, добавив только опцию --delete, для удаления ненужных файлов и отключив лимитирование канала:

RSYNC_RSH="ssh Compression=no"  rsync -aHz --delete \
--numeric-ids /vz/private/110 user@host:/backup/110

Вторая часть бекапа пройдет быстрее, а пользователи VPS почувствуют только небольшие сетевые тормоза на короткое время.

А вот для третьего этапа мы сначала заморозим контейнер, потом быстро скинем изменившиеся файлы и вернем контейнер обратно в рабочее состояние.

vzctl chkpnt 110 --suspend

RSYNC_RSH="ssh Compression=no"  rsync -aHz --delete \
--numeric-ids /vz/private/110 user@host:/backup/110

vzctl chkpnt 110 --resume

Для пользователей VPS это будет выглядеть как небольшая задержка в сети на несколько десятков секунд, после чего работа будет продолжена, в том числе с сохранением всех сессий.

vzctl chkpnt VEID --suspend

Эта книга не для админов, а для пастухов

Если вы хотите расширить свои навыки в системном администрировании, то не покупайте эту книгу — зря потеряете время.

Во такая аннотация. Картинка кликабельна — можете помотреть «в полный рост». Вроде как книга не для новичков, а для «продвинутых».

Отлично, но что же там такого «продвинутого есть?»

Linux Zombie

Ко мне поступил сервер, выполняющий роль коммерческого хостинга сайтов, который был взломан и взломщики не потрудились вытереть за собой все инструменты, которые они использовали.
Проанализировав их, я смог составить цепочку событий, которая привела к взлому сервера и компрометации рутовой учетной записи.
Никаких логов небыло, так как они все были почищены, так что взломщик не оставил за собой следов, и я начал поистине детективное расследование — с уликами и подозреваемыми.

А вот kickstart Linux by Yeti:

В серверной все чаще попадаются сервера без внешних CD/DVD-приводов. Время от времени на них нужно ставить операционную систему и в этом может сильно помочь установка по сети. Вы просто включаете сервер и начинаете установку. Сетевая карта должна поддерживать технологию PXE. PXE – Pre-Boot Execution Environment, позволяет осуществлять загрузку по сети.

Но PXE не достаточно для полного счастья, технология которая позволит полностью автоматизировать установку – kickstart (разработчиком которой является компания Red Hat). Суть ее проста, мы заранее составляем файл содержащий значения всех опций которые могут понадобиться в ходе установки. Более того мы можем выполнять свои скрипты до установки и после. Тем самым задавая настройки будущей ОС.

Установка с помощью kickstart типового комплекта Linux занимает 5-7 минут.

Для Install-сервера нужно 3 службы и 1 пакет.

• DHCP – предоставляет клиентам сетевые реквизиты
• TFTP – простой способ предоставить доступ к файлам по сети
• Syslinux – пакет содержит загрузчик pxelinux.0 и некоторые другие файлы
• NFS – предоставляет доступ к файловой системе по сети

Процесс установки можно разбить на этапы:

1. pxe – прошивка pxe начинает свою работу, когда мы в BIOS выставляем установку по сети или когда на HDD не найдена MBR
2. DHCP фаза 1 – клиент получает сетевые реквизиты и адрес tftp-сервера а также название файла-загрузчика (pxelinux.0). По умолчанию TFTP-сервер это DHCP-сервер.
3. TFTP – загрузчик pxelinux.0 обращается к TFTP-серверу и запрашивает у него initrd.img (Initial RAM disk, временная файловая система) ядро Linux.
4. Kernel – передача управления ядру Linux DHCP фаза 2 – ядро Linux далет запрос к DHCP-серверу чтобы получить сетевые реквизиты и в дальнейшем адрес NFS-сервера
5. NFS – этап когда монтируется NFS-раздел
6. Init – происходит запуск /sbin/init и управление передается ему. Init – это главный процесс в системе, другие процессы являются родительскими процессами init.

В свободном изложение:

DHCP-сервер ожидает bootp-запросы в своей сети, после того как он получает запрос он смотрит MAC-адрес источника, и если о таком MAC-адресе у него имеется соответствующая запись он начинает с ним работать. DHCP — сервер выдает клиенту сетевые реквизиты (ip-адрес, gateway, DNS-сервера,...) и по протоколу TFTP, с помощью TFTP-сервера отправляет загрузочный образ pxelinux.0. Этого образа хватает чтобы вывести меню выбора ОС.

Выбрав ОС вы начинаем загрузку ядра и начинаем инсталляцию, в процессе выбрав источник установки — NFS-сервер. На NFS-сервер нужно выложить подготовленный контент будущей операционной системы и убедиться, что соответствующие каталоги экспортированы.

DHCP

Устанавливаем DHCPD и добавляем его в автозагрузку

# yum -y install dhcp

# chkconfig dhcpd on

Файл /etc/dhcpd.conf делаем такой:

ddns-update-style interim;

ignore client-updates;

subnet 192.168.146.0 netmask 255.255.255.0 {

option routers          192.168.146.2;

option subnet-mask       255.255.255.0;

option domain-name             «company.ru»;

option domain-name-servers     192.168.146.2;

default-lease-time 21600;

max-lease-time 43200;

Allow bootp;

Allow booting;

host unixbox {

hardware ethernet 00:0c:29:77:9c:9c;

fixed-address 192.168.146.129;

filename «pxelinux.0»;

option subnet-mask 255.255.255.0;

option routers 192.168.146.2;

option domain-name «company.ru»;

option host-name «unixbox»;

next-server 192.168.146.130;

}

}

Запускаем DHCPD или перезагружаем если он был запущен

# service dhcpd restart

TFTP

Устанавливаем пакет tftp-server из репозитория

# yum -y install tftp-server

Теперь необходимо включить tftp в конфигурации xinetd, для этого в файле

/etc/xinetd.d/tftp

Меняем “disable = yes” на “disable = no” и включаем xinetd

# service xinetd start

Проверяем что порт tftp-сервера прослушивается (tftp работает на порту 69)

# netstat -nlp | grep :69

udp      0 0 0.0.0.0:69             0.0.0.0:*          3105/xinetd

Syslinux

Пакет содержит набор файлов для загрузки по сети. Нам нужны pxelinux.0 который как загрузочный образ мы будем отдавать через DHCP и menu. c32, с помощью этого файла будет рисоваться более привлекательное меню пользователя.

# cp $(rpm -ql syslinux | grep menu.c32) /tftpboot/

# cp $(rpm -ql syslinux | grep pxelinux.0) /tftpboot/

NFS

По умолчанию в системе скорее всего есть NFS, если нету то поставьте с помощью yum.

# chkconfig nfs on

В файл /etc/exports добавляем запись

echo “/var/install-server/ *(ro,no_root_squash)” >> /etc/exports

Запускаем nfs-сервер

# service nfs start

Проверяем что каталог экспортирован

# exportfs

/var/install-server

<world>

Создаем структуру tftp-сервера добавляем контент на сервер

# mkdir -p /tftpboot/{pxelinux.cfg,centos5_x86}

# mkdir -p /var/install-server/centos5_x86

Монтируем наш DVD с CentOS 5 и закачиваем содержимое в /var/install- server/centos5_x86

# mount /dev/cdrom /mnt/

# cp -r /mnt/* /var/install-server/centos5_x86/

#cp /var/install-server/centos5_x86/images/pxeboot/* /tftpboot/centos5_x86/

В каталоге /tftpboot/pxelinux.cfg создаем файл default и заполняем его как ниже:

default menu.c32

menu title Linux Install Server. Please choose OS to install.

prompt 0

timeout 100

label CentOS 5 x86 Custom install

kernel /centos5_x86/vmlinuz

append initrd=/centos52_x86/initrd.img

label Quit

localboot 0

Устанавливаем ОС по сети

После всех сделанных манипуляций которые описаны выше, можем приступить к установке ОС. Стартуем нашу машину с MAC-адресом 00:0c:29:77:9c:9c включив в BIOS загрузку по сети. Когда начнется установка все делаем стандартным образом, кроме как в списке откуда будет ставить ОС нужно выбрать NFS, далее когда попросят, указать:

NFS server name : 192.168.146.130

CentOS directory: /var/install-server/centos5_x86

Дальше устанавливаем ОС и пользуемся на здоровье

Автоматизация установки с помощью Kickstart

Для автоматизации нужно создать файл содержащий всю нужную информацию, которая может потребоваться в процесс установки. Такой файл создается программой system-config-kickstart (GUI tool) в любой CentOS с X Window

# yum -y install system-config-kickstart

# system-config-kickstart

После того как мы создали файл с помощью system-config-kickstart его нужно перенести на Install-сервер и сделать доступным по одному из протоколов – http, nfs или ftp. Поскольку в работе Install-сервера активно используется NFS то и будем использовать ее.

В моем случае kickstart-файл лежит в /var/install-server/centos5_x86/centos5_x86_ks.cfg

В файл /tftpboot/pxelinux.cfg/default нужно всего лишь добавить директиву ks с указанием местоположения kickstart-файла. Пример с kickstart-файлом.

default menu.c32

menu title Linux Install Server. Please choose OS to install.

prompt 0

timeout 100

label CentOS 5 x86 Custom install

kernel /centos5_x86/vmlinuz

append initrd=/centos5_x86/initrd.img

label CentOS 5 x86 Kickstart Install

kernel /centos52_x86/vmlinuz

append initrd=/centos5_x86/initrd.img ks=nfs:192.168.146.135:/var/install-server/

centos5_x86/centos5_x86_ks.cfg

label Quit

localboot 0

Теперь выбрав «CentOS 5 x86 Kickstart Install» в меню выбора ОС нам останется только подождать сервера с установленной на нем ОС.

Ниже пример моего Kickstart-файла. Мне захотелось чтобы в установленной ОС в настройках sshd была опция «PermitRootLogin yes». Kickstart-файл позволяет не только задавать параметры установки ОС но и выполнять скрипты, до инсталляции (%pre) и после (%post). Таким образом можно написать массу скриптов по тюнингу и за 5-10 минут инсталляции получить полностью готовую ОС.

#platform=x86, AMD64, or Intel EM64T

# System authorization information

auth --useshadow --enablemd5

# System bootloader configuration

bootloader --location=mbr

# Clear the Master Boot Record

zerombr

# Partition clearing information

clearpart --all --initlabel

# Use text mode install

text

# Firewall configuration

firewall --disabled

# Run the Setup Agent on first boot

firstboot --disable

# System keyboard

keyboard us

# System language

lang en_US

# Installation logging level

logging --level=info

# Use NFS installation media

nfs --server=192.168.146.130 --dir=/var/install-server/centos5_x86

# Network information

network --bootproto=dhcp --device=eth0 --onboot=on

#Root password

rootpw --iscrypted $1$Bz09jb2I$hfzh2vApqMjG0sEPsAwNr/

# SELinux configuration

selinux --disabled

# Do not configure the X Window System

skipx

# System timezone

timezone Europe/Moscow

# Install OS instead of upgrade

install

# Disk partitioning information

part swap --bytes-per-inode=4096 --fstype=”swap” --size=512

part / --bytes-per-inode=4096 --fstype=”ext3” --grow --size=1

%post --interp /bin/bash

PATH=/somework

/bin/mkdir $PATH

/bin/sed -e ‘s/#PermitRootLogin yes/PermitRootLogin yes/g’ /etc/ssh/sshd_config >

$PATH/sshd_config_edited

/bin/cp $PATH/sshd_config_edited /etc/ssh/sshd_config

/bin/rm -rf $PATH

NFS - это твоя ассоциация первого уровня, %username%?

Продолжение. Начало статьи.

Network File System — сетевая файловая система разработанная компанией Sun Microsystems в 1984 году. Технология позволяет монтировать удаленные файловые системы у себя, далее вы с ними работаете как с локальными, права доступа задаются при экспорте.

Установка и настройка NFS в Linux CentOS 5

Скорее всего NFS уже есть в системе. Это можно проверить следующей командой.

# chkconfig --list nfs

0:off 1:off 2:off 3:off 4:off 5:off 6:off   nfs

Добавляем в автозагрузку

# chkconfig nfs on

# service nfs start

Если же nfs в системе не обнаружен то ставим из репозитория

# yum -y install nfs-utils

В своей работе NFS использует RPC-вызовы а значит работоспособность службы можно проверить с помощью portmapper (он тоже должен быть запущен на сервере где выполняются программы использующие RPC Calls).

# rpcinfo -p localhost | grep nfs

program vers proto port

100003 2       udp    2049 nfs

100003 3       udp    2049 nfs

100003 4       udp    2049 nfs

100003 2       tcp   2049 nfs

100003 3       tcp   2049 nfs

100003 4       tcp   2049 nfs

Как видим на моем сервере обслуживаются NFS-запросы всех версий NFS (4-ая — последняя на данный момент).

Настройка

Файл конфигурации /etc/exports содержит список файловых систем которые мы экспортируем, то есть разрешаем монтировать по протоколу NFS на удаленных системах.

Каждая строка в файле это указание на экспортируемую ФС и режим доступа к ней, шаблон следующий:

[файловая система] [кому разрешено получать доступ] [опциональные ключи]

Пример /etc/exports:

/home 192.168.146.135(rw,no_root_squash)

Здесь мы разрешаем монтировать /home на сервере 192.168.146.135 в режиме rw

Внимание! Аккуратнее с пробелами в файле. Если написать /home 192.168.146.135 (rw) то сервер 192.168.146.135 получит доступ к /home

в режиме ro, все остальные в rw. Если 192.168.146.135 (rw) то сервер 192.168.146.135 получит доступ в режиме rw, всем остальным доступ будет запрещен!

Перечитываем файл чтобы внесенные изменения начали действовать.

# exportfs -r

Проверим список экспортированных ФС

# exportfs

/home         192.168.146.135

Как видим все хорошо. Теперь на сервере 192.168.146.135 попробуем примонтировать ФС /home экспортированную на 192.168.146.132

Создаем каталог куда будем монтировать

# mkdir /mnt/nfs

Монтируем с помощью команды mount. Ключем -t задаем тип монтируемой ФС, далее <hostname>:<resource> <точка монтирования в локальной системе>

# mount -t nfs 192.168.146.132:/home /mnt/nfs

Используя опцию -o можно указать дополнительные ключи монтирования. По умолчанию монтирование происходит в режиме rw.

Если ФС экспортированы на сервере который работает 24 часа в сутки то монтирование разделов можно добавить в /etc/fstab тем самым автоматизировав процедуру при старте компьютера.

Строчка в /etc/fstab в нашем случае будет такая:

nfs   defaults 192.168.146.132:/home /mnt/nfs

Все готово.

Опции конфигурационного файла

Самые часто используемые опции я описал ниже.

• ro — Только чтение;
• rw Чтение и запись;
• root_squash Не разрешает пользователю root получать root-привилегии в удаленной файловой системе, все действия будут сделаны от лица пользователя nobody;
• no_root_squash Пользователь root в локальной системе получает такие же права в удаленной. Стоит использовать эту опцию только в случае острой необходимости. Используется для бездисковых клиентов;
• all_squash Все запросы происходят от анонимного пользователя, что способствует повышению безопасности. Актуально для публичных разделов;
• anonuid/anongid Позволяет задать UID и GID пользователя от лица которого будут выполняться все запросы;
• sync Синхронный режим работы, ответы на запросы происходят только после того, как данные будут надежно записаны на диск. Надежность выше, производительность меньше;
• async Асинхронный режим работы, ответы на запросы происходят сразу, не дожидаясь записи на диск. Надежность ниже, производительность выше;
• insecure Разрешать запросы с портов более чем 1024;
• no_subtree_check Если экспортируется подкаталог файловой системы, но не вся файловая система, сервер, проверяет, находится ли запрошенный файл в экспортированном подкаталоге. Эта проверка называется проверкой подкаталога. Отключение проверки уменьшает безопасность, но увеличивает скорость передачи данных.

Указать каким хостам разрешено монтировать наши разделы можно несколькими способами:

1. Указать hostname или просто IP-адрес;
2. Указать “*”, что означает разрешено всем. Если указать *.fasttech.ru то будет разрешено testers.fasttech.ru но запрещено alex.testers.fasttech.ru . Чтобы этого избежать нужно написать *.*.fasttech.ru;
3. В нужных местах использовать “?”, что заменяет любой символ (не применимо к IP-адресам);
4. Использовать маски подсетей, например 192.168.146.32/27;
5. Использовать NIS-группы, например @nisgroup2.

Дополнительная информация

Описанного выше должно хватить сполна, но если хочется больше то:

# man nfs

# man exports

# man exportfs

Не путайте exports и exportfs. exports – это конфигурационный файл, exportfs — программа для работы с ним.