38 posts tagged

linux

Later Ctrl + ↑

Управление виртуальными машинами с помощью virsh

Текстовая утилита virsh предназначена для управления гостевыми системами и гипервизором.
virsh использует libvirt API и служит альтернативой xm и графическому менеджеру виртуальных машин (virt-manager). Непривилегированные пользователи могут выполнять доступ в только в режиме чтения. С помощью virsh можно исполнять сценарии для виртуальных машин.
Обзор команд virsh
Приведенные ниже таблицы содержат перечень основных параметров командной строки virsh. Команда Description
help Краткая справка.
list Просмотр всех виртуальных машин.
dumpxml Вывести файл конфигурации XML для заданной виртуальной машины.
create Создать виртуальную машину из файла конфигурации XML и ее запуск.
start Запустить неактивную виртуальную машину.
destroy Принудительно остановить работу виртуальной машины.
define Определяет файл конфигурации XML для заданной виртуальной машины.
domid Просмотр идентификатора виртуальной машины.
domuuid Просмотр UUID виртуальной машины.
dominfo Просмотр сведений о виртуальной машине.
domname Просмотр имени виртуальной машины.
domstate Просмотр состояния виртуальной машины.
quit Закрыть интерактивный терминал.
reboot Перезагрузить виртуальную машину.
restore Восстановить сохраненную в файле виртуальную машину.
resume Возобновить работу приостановленной виртуальной машины.
save Сохранить состояние виртуальной машины в файл.
shutdown Корректно завершить работу виртуальной машины.
suspend Приостановить работу виртуальной машины.
undefine Удалить все файлы виртуальной машины.
migrate Перенести виртуальную машину на другой узел.

Таблица 15.1. Команды управления виртуальными машинами

Для управления ресурсами виртуальной машины и гипервизора используются следующие команды virsh: Команда Description
setmem Определяет размер выделенной виртуальной машине памяти.
setmaxmem Ограничивает максимально доступный гипервизору объем памяти.
setvcpus Изменяет число предоставленных гостю виртуальных процессоров.
vcpuinfo Просмотр информации о виртуальных процессорах.
vcpupin Настройка соответствий виртуальных процессоров.
domblkstat Просмотр статистики блочных устройств для работающей виртуальной машины.
domifstat Просмотр статистики сетевых интерфейсов для работающей виртуальной машины.
attach-device Подключить определенное в XML-файле устройство к гостю.
attach-disk Подключить новое дисковое устройство к гостю
attach-interface Подключить новый сетевой интерфейс к гостю
detach-device Отключить устройство от гостя (принимает те же определения XML, что и attach-device).
detach-disk Отключить дисковое устройство от гостя.
detach-interface Отключить сетевой интерфейс от гостя.

Таблица 15.2. Параметры управления ресурсами

Другие команды virsh: Команда Description
version Просмотр версии virsh.
nodeinfo Просмотр информации о гипервизоре.

Таблица 15.3. Другие команды

Подключение к гипервизору
Подключение к сессии гипервизора с помощью virsh :
# virsh connect {hostname OR URL}
Where <name> is the machine name of the hypervisor. To initiate a read-only connection, append the above command with -readonly.
Создание XML-файла конфигурации виртуальной машины
Выведите файл конфигурации виртуальной машины:
# virsh dumpxml {domain-id, domain-name or domain-uuid}
This command outputs the guest’s XML configuration file to standard out (stdout). You can save the data by piping the output to a file. An example of piping the output to a file called guest.xml:
# virsh dumpxml GuestID > guest.xml
This file guest.xml can recreate the guest (refer to Редактирование файла конфигурации виртуальной машины. You can edit this XML configuration file to configure additional devices or to deploy additional guests. Refer to Раздел 18.1, «Использование файлов конфигурации с помощью virsh» for more information on modifying files created with virsh dumpxml.
Пример вывода virsh dumpxml:
# virsh dumpxml r5b2-mySQL01
<domain type=’xen’ id=’13’>
<name>r5b2-mySQL01</name>
<uuid>4a4c59a7ee3fc78196e4288f2862f011</uuid>
<bootloader>/usr/bin/pygrub</bootloader>
<os>
<type>linux</type>
<kernel>/var/lib/libvirt/vmlinuz.2dgnU_</kernel>
<initrd>/var/lib/libvirt/initrd.UQafMw</initrd>
<cmdline>ro root=/dev/VolGroup00/LogVol00 rhgb quiet</cmdline>
</os>
<memory>512000</memory>
<vcpu>1</vcpu>
<on_poweroff>destroy</on_poweroff>
<on_reboot>restart</on_reboot>
<on_crash>restart</on_crash>
<devices>
<interface type=’bridge’>
<source bridge=’xenbr0’/>
<mac address=’00:16:3e:49:1d:11’/>
<script path=’vif-bridge’/>
</interface>
<graphics type=’vnc’ port=’5900’/>
<console tty=’/dev/pts/4’/>
</devices>
</domain>

Создание виртуальной машины на основе файла конфигурации
Guests can be created from XML configuration files. You can copy existing XML from previously created guests or use the dumpxml option (refer to Создание XML-файла конфигурации виртуальной машины). To create a guest with virsh from an XML file:
# virsh create configuration_file.xml
Редактирование файла конфигурации виртуальной машины
Instead of using the dumpxml option (refer to Создание XML-файла конфигурации виртуальной машины) guests can be edited either while they run or while they are offline. The virsh edit command provides this functionality. For example, to edit the guest named softwaretesting:
# virsh edit softwaretesting
Откроется окно текстового редактора, заданного переменной оболочки $EDITOR (по умолчанию используется vi).
Приостановка виртуальной машины
Команда приостановки виртуальной машины с помощью virsh:
# virsh suspend {domain-id, domain-name or domain-uuid}
When a guest is in a suspended state, it consumes system RAM but not processor resources. Disk and network I/O does not occur while the guest is suspended. This operation is immediate and the guest can be restarted with the resume (Возобновление работы виртуальной машины) option.
Возобновление работы виртуальной машины
Возобновить работу приостановленной виртуальной машины можно с помощью параметра resume команды virsh:
# virsh resume {domain-id, domain-name or domain-uuid}
Работа машины будет возобновлена немедленно. Параметры будут сохраняться между циклами suspend и resume.
Сохранение виртуальной машины
Команда сохранения текущего состояния виртуальной машины:
# virsh save {domain-name, domain-id or domain-uuid} filename
This stops the guest you specify and saves the data to a file, which may take some time given the amount of memory in use by your guest. You can restore the state of the guest with the restore (Восстановление виртуальной машины) option. Save is similar to pause, instead of just pausing a guest the present state of the guest is saved.
Восстановление виртуальной машины
Restore a guest previously saved with the virsh save command (Сохранение виртуальной машины) using virsh:
# virsh restore filename
Сохраненная машина будет восстановлена из файла и перезапущена, что может занять некоторое время. Имя и идентификатор UUID виртуальной машины останутся неизменными, но будет предоставлен новый идентификатор домена.
Завершение работы виртуальной машины
Команда завершения работы:
# virsh shutdown {domain-id, domain-name or domain-uuid}
Поведение выключаемого гостя можно контролировать с помощью параметра on_shutdown в его файле конфигурации.
Перезагрузка виртуальной машины
Команда перезагрузки:
#virsh reboot {domain-id, domain-name or domain-uuid}
Поведение перезагружаемого гостя можно контролировать с помощью параметра on_reboot в его файле конфигурации.
Принудительная остановка виртуальной машины
Команда принудительной остановки:
# virsh destroy {domain-id, domain-name or domain-uuid}
This command does an immediate ungraceful shutdown and stops the specified guest. Using virsh destroy can corrupt guest file systems . Use the destroy option only when the guest is unresponsive. For para-virtualized guests, use the shutdown option(Завершение работы виртуальной машины) instead.
Определение идентификатора домена
Команда определения идентификатора домена виртуальной машины:
# virsh domid {domain-name or domain-uuid}
Определение имени домена
Команда определения имени домена виртуальной машины:
# virsh domname {domain-id or domain-uuid}
Определение UUID
Команда определения универсального идентификатора UUID виртуальной машины:
# virsh domuuid {domain-id or domain-name}
Пример вывода virsh domuuid:
# virsh domuuid r5b2-mySQL01
4a4c59a7-ee3f-c781-96e4-288f2862f011

Получение информации о виртуальной машине
Команда для получения информации:
# virsh dominfo {domain-id, domain-name or domain-uuid}
Пример вывода virsh dominfo:
# virsh dominfo r5b2-mySQL01
id: 13
name: r5b2-mysql01
uuid: 4a4c59a7-ee3f-c781-96e4-288f2862f011
os type: linux
state: blocked
cpu(s): 1
cpu time: 11.0s
max memory: 512000 kb
used memory: 512000 kb

Получение информации об узле
Команда получения информации об узле:
# virsh nodeinfo

Пример вывода virsh nodeinfo:
# virsh nodeinfo
CPU model x86_64
CPU (s) 8
CPU frequency 2895 Mhz
CPU socket(s) 2
Core(s) per socket 2
Threads per core: 2
Numa cell(s) 1
Memory size: 1046528 kb

Вывод содержит информацию об узле и машинах, поддерживающих виртуализацию.
Просмотр списка виртуальных машин
Команда для просмотра списка виртуальных машин и их состояния:
# virsh list

Можно добавить аргументы:
inactive покажет список неактивных доменов (неактивным считается тот домен, который был определен, но в настоящий момент не является активным).
--all покажет все виртуальные машины независимо от их состояния. Пример:
# virsh list --all
Id Name State
--------------------------------

0 Domain-0 running
1 Domain202 paused
2 Domain010 inactive
3 Domain9600 crashed

Столбец «Status» может содержать следующие значения:

running — работающие виртуальные машины, то есть те машины, которые используют ресурсы процессора в момент выполнения команды.

blocked — заблокированные, неработающие машины. Такой статус может быть вызван ожиданием ввода/вывода или пребыванием машины в спящем режиме.

paused — приостановленные домены. В это состояние они переходят, если администратор нажал кнопку паузы в окне менеджера виртуальных машин или выполнил команду xm pause или virsh suspend. В приостановленном состоянии гость продолжает потреблять ресурсы, но не может занимать больше процессорных ресурсов.

shutdown — виртуальные машины, завершающие свою работу. При получении виртуальной машиной сигнала завершения работы, она начнет завершать все процессы. Стоит отметить, что некоторые операционные системы не отвечают на такие сигналы.

dying — сбойные домены и домены, которые не смогли корректно завершить свою работу.

crashed — сбойные домены, работа которых была прервана. В этом состоянии домены находятся, если не была настроена их перезагрузка в случае сбоя.
Получение информации о виртуальных процессорах
Команда получения информации о виртуальных процессорах:
# virsh vcpuinfo {domain-id, domain-name or domain-uuid}
Пример вывода:
# virsh vcpuinfo r5b2-mySQL01
VCPU: 0
CPU: 0
State: blocked
CPU time: 0.0s
CPU Affinity: yy

Настройка соответствий виртуальных процессоров
Команда сопоставления виртуальных процессоров физическим:
# virsh vcpupin {domain-id, domain-name or domain-uuid} vcpu, cpulist
Здесь vcpu — номер виртуального процессора, а список_cpu — сопоставляемые ему физические процессоры.
Изменение числа виртуальных процессоров
Команда изменения числа процессоров для домена:
# virsh setvcpus {domain-name, domain-id or domain-uuid} count
Обратите внимание, что заданное число не может превышать значение, определенное при создании гостя.
Изменение выделенного объема памяти
Команда изменения выделенного виртуальной машине объема памяти:
# virsh setmem {domain-id or domain-name} count

Объем памяти, определяемый заданным числом, должен быть указан в килобайтах. Обратите внимание, что объем не может превышать значение, определенное при создании виртуальной машины, но в то же время не должен быть меньше 64 мегабайт. Изменение максимального объема памяти может оказать влияние на функциональность гостя только в том случае, если указанный размер меньше исходного. В таком случае использование памяти будет ограничено.
Получение информации о блочных устройствах
Команда для получения информации о блочных устройствах работающей виртуальной машины:
# virsh domblkstat GuestName block-device
Получение информации о сетевых устройствах
Команда для получения информации о сетевых интерфейсах работающей виртуальной машины:
# virsh domifstat GuestName interface-device
Миграция виртуальных машин
virsh позволяет переносить виртуальные машины с одного узла на другой. Для выполнения живой миграции просто нужно указать параметр live. Команда переноса выглядит так:
# virsh migrate --live GuestName DestinationURL
Параметр --live не является обязательным.
The GuestName parameter represents the name of the guest which you want to migrate.
The DestinationURL parameter is the URL or hostname of the destination system. The destination system must run the same version of Fedora, be using the same hypervisor and have libvirt running.
Once the command is entered you will be prompted for the root password of the destination system.
Управление виртуальными сетями
В этой секции будет рассмотрены управляющие команды virsh. Например, команда просмотра списка виртуальных сетей выглядит так:
# virsh net-list

Пример вывода этой команды:
# virsh net-list
Name State Autostart
---------------------------------------

default active yes
vnet1 active yes
vnet2 active yes

Просмотр информации для заданной виртуальной сети:
# virsh net-dumpxml NetworkName
Пример вывода этой команды (в формате XML):
# virsh net-dumpxml vnet1
<network>
<name>vnet1</name>
<uuid>98361b46-1581-acb7-1643-85a412626e70</uuid>
<forward dev=’eth0’/>
<bridge name=’vnet0’ stp=’on’ forwardDelay=’0’ />
<ip address=’192.168.100.1’ netmask=’255.255.255.0’>
<dhcp>
<range start=’192.168.100.128’ end=’192.168.100.254’ />
</dhcp>
</ip>
</network>

Другие команды управления виртуальными сетями:

virsh net-autostart имя_сети — автоматический запуск заданной сети.

virsh net-create файл_XML — создание и запуск новой сети на основе существующего XML-файла.

virsh net-define файл_XML — создание нового сетевого устройства на основе существующего XML-файла. Устройство не будет запущено.

virsh net-destroy имя_сети — удаление заданной сети.

virsh net-name UUID_сети — преобразование заданного идентификатора в имя сети.

virsh net-uuid имя_сети — преобразование заданного имени в идентификатор UUID.

virsh net-start имя_неактивной_сети — запуск неактивной сети.

virsh net-undefine имя_неактивной_сети — удаление определения неактивной сети.
2012   kvm   linux   virsh

Типичные фильтры iptables

http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-firewall-ipt-basic.html

Не пустить удалённых злоумышленников в локальную сеть — одна из самых важных задач сетевой безопасности, если не самая важная. Целостность сети должна быть защищена от удалённых злоумышленников с помощью точных правил брандмауэра. Однако, так как политика по умолчанию блокирует все входящие, исходящие и пересылаемые пакеты, брандмауэр/шлюз и пользователи локальной сети не способны установить соединение друг с другом или с внешними ресурсами. Чтобы пользователи выполняли связанные с сетью функции и использовали сетевые приложения, администраторы должны открыть определённые порты.

Например, чтобы разрешить доступ к 80 порту брандмауэра, добавьте следующее правило:iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT


Это позволит просматривать веб-содержимое сайтов, работающих на порту 80. Чтобы открыть доступ к защищённым веб-сайтам (например, https://www.example.com/), вы также должны открыть порт 443.iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

Важно

При добавлении правил iptables важно помнить о том, что их порядок имеет значение. Например, если одно правило отбрасывает все пакеты из локальной подсети 192.168.100.0/24, и добавляется (-A) ещё одно правило, пропускающее пакеты от узла 192.168.100.13 (расположенного в запрещённой локальной подсети), добавленное правило не будет работать. Сначала вы должны добавить правило, пропускающее 192.168.100.13, а затем правило, блокирующее подсеть.

Чтобы вставить правило в произвольное место существующей цепочки, укажите -I, затем название этой цепочки и позицию (1,2,3,...,n), в которой должно располагаться правило. Например:iptables -I INPUT 1 -i lo -p all -j ACCEPT


Это правило, пропускающее трафик устройства замыкания на себя, оказывается в цепочке INPUT первым правилом.


Иногда вам нужно организовывать удалённый доступ к локальной сети снаружи. Для шифрования соединения с удалённой сетью могут использоваться защищённые службы, например, SSH. Администраторы сетей с PPP-ресурами (например, с модемным пулом) могут безопасно организовать модемные подключения в обход барьеров брандмауэра, так как это прямые соединения. Однако для пользователей, подключающихся из открытой внешней сети, следует принять специальные меры. Вы можете разрешить в iptables подключения удалённых клиентов SSH. Например, чтобы разрешить удалённый доступ SSH, можно использовать следующие правила:iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT


Вам может понадобиться определять правила и для других служб. За исчерпывающей информацией о службе iptables и её различных параметрах обратитесь к Справочному руководству по Red Hat Enterprise Linux.

Эти правила разрешают входящий и исходящий доступ отдельному компьютеру, например, компьютеру, подключённому к Интернету или шлюзу/брандмауэру. Однако они не позволяют узлам по другую сторону шлюза/брандмауэру обращаться к его службам. Чтобы открыть доступ к этим службам из внутренней сети, вы можете использовать NAT в сочетании с правилами iptables.
2012   iptables   linux

Linux: 20 Iptables Examples For New SysAdmins

http://www.cyberciti.biz/tips/linux-iptables-examples.html

by Vivek Gite on December 13, 2011 · 29 comments

Linux comes with a host based firewall called Netfilter. According to the official project site:

netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack.

This Linux based firewall is controlled by the program called iptables to handles filtering for IPv4, and ip6tables handles filtering for IPv6. I strongly recommend that you first read our quick tutorial that explains how to configure a host-based firewall called Netfilter (iptables) under CentOS / RHEL / Fedora / Redhat Enterprise Linux. This post list most common iptables solutions required by a new Linux user to secure his or her Linux operating system from intruders.
IPTABLES Rules Example

Most of the actions listed in this post are written with the assumption that they will be executed by the root user running the bash or any other modern shell. Do not type commands on remote system as it will disconnect your access.
For demonstration purpose I’ve used RHEL 6.x, but the following command should work with any modern Linux distro.
This is NOT a tutorial on how to set iptables. See tutorial here. It is a quick cheat sheet to common iptables commands.

#1: Displaying the Status of Your Firewall

Type the following command as root:
# iptables -L -n -v
Sample outputs:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in  out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in  out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in  out source destination

Above output indicates that the firewall is not active. The following sample shows an active firewall:
# iptables -L -n -v
Sample outputs:

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in  out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in  out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
pkts bytes target prot opt in  out source destination
Chain wanin (1 references)
pkts bytes target prot opt in  out source destination
Chain wanout (1 references)
pkts bytes target prot opt in  out source destination

Where,

-L : List rules.
-v : Display detailed information. This option makes the list command show the interface name, the rule options, and the TOS masks. The packet and byte counters are also listed, with the suffix ‘K’, ‘M’ or ‘G’ for 1000, 1,000,000 and 1,000,000,000 multipliers respectively.
-n : Display IP address and port in numeric format. Do not use DNS to resolve names. This will speed up listing.

#1.1: To inspect firewall with line numbers, enter:

# iptables -n -L -v --line-numbers
Sample outputs:

Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 wanin all -- 0.0.0.0/0 0.0.0.0/0
6 wanout all -- 0.0.0.0/0 0.0.0.0/0
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain wanin (1 references)
num target prot opt source destination
Chain wanout (1 references)
num target prot opt source destination

You can use line numbers to delete or insert new rules into the firewall.
#1.2: To display INPUT or OUTPUT chain rules, enter:

# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers
#2: Stop / Start / Restart the Firewall

If you are using CentOS / RHEL / Fedora Linux, enter:
# service iptables stop
# service iptables start
# service iptables restart
You can use the iptables command itself to stop the firewall and delete all rules:
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
Where,

-F : Deleting (flushing) all the rules.
-X : Delete chain.
-t table_name : Select table (called nat or mangle) and delete/flush rules.
-P : Set the default policy (such as DROP, REJECT, or ACCEPT).

#3: Delete Firewall Rules

To display line number along with other information for existing rules, enter:
# iptables -L INPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers | less
# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
You will get the list of IP. Look at the number on the left, then use number to delete it. For example delete line number 4, enter:
# iptables -D INPUT 4
OR find source IP 202.54.1.1 and delete from rule:
# iptables -D INPUT -s 202.54.1.1 -j DROP
Where,

-D : Delete one or more rules from the selected chain

#4: Insert Firewall Rules

To insert one or more rules in the selected chain as the given rule number use the following syntax. First find out line numbers, enter:
# iptables -L INPUT -n --line-numbers
Sample outputs:

Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED

To insert rule between 1 and 2, enter:
# iptables -I INPUT 2 -s 202.54.1.2 -j DROP
To view updated rules, enter:
# iptables -L INPUT -n --line-numbers
Sample outputs:

Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 DROP all -- 202.54.1.2 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED

#5: Save Firewall Rules

To save firewall rules under CentOS / RHEL / Fedora Linux, enter:
# service iptables save
In this example, drop an IP and save firewall rules:
# iptables -A INPUT -s 202.5.4.1 -j DROP
# service iptables save
For all other distros use the iptables-save command:
# iptables-save > /root/my.active.firewall.rules
# cat /root/my.active.firewall.rules
#6: Restore Firewall Rules

To restore firewall rules form a file called /root/my.active.firewall.rules, enter:
# iptables-restore < /root/my.active.firewall.rules
To restore firewall rules under CentOS / RHEL / Fedora Linux, enter:
# service iptables restart
#7: Set the Default Firewall Policies

To drop all traffic:
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n
## you will not able to connect anywhere as all traffic is dropped #
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
#7.1: Only Block Incoming Traffic

To drop all incoming / forwarded packets, but allow outgoing traffic, enter:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -L -v -n
# * now ping and wget should work * #
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
#8:Drop Private Network Address On Public Interface

IP spoofing is nothing but to stop the following IPv4 address ranges for private networks on your public interfaces. Packets with non-routable source addresses should be rejected using the following syntax:
# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#8.1: IPv4 Address Ranges For Private Networks (make sure you block them on public interface)

10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)

#9: Blocking an IP Address (BLOCK IP)

To block an attackers ip address called 1.2.3.4, enter:
# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP
#10: Block Incoming Port Requests (BLOCK PORT)

To block all service requests on port 80, enter:
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

To block port 80 only for an ip address 1.2.3.4, enter:
# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
#11: Block Outgoing IP Address

To block outgoing traffic to a particular host or domain such as cyberciti.biz, enter:
# host -t a cyberciti.biz
Sample outputs:

cyberciti.biz has address 75.126.153.206

Note down its ip address and type the following to block all outgoing traffic to 75.126.153.206:
# iptables -A OUTPUT -d 75.126.153.206 -j DROP
You can use a subnet as follows:
# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
#11.1: Example – Block Facebook.com Domain

First, find out all ip address of facebook.com, enter:
# host -t a www.facebook.com
Sample outputs:

www.facebook.com has address 69.171.228.40

Find CIDR for 69.171.228.40, enter:
# whois 69.171.228.40 | grep CIDR
Sample outputs:

CIDR: 69.171.224.0/19

To prevent outgoing access to www.facebook.com, enter:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
You can also use domain name, enter:
# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP

From the iptables man page:

... specifying any name to be resolved with a remote query such as DNS (e. g., facebook.com is a really bad idea), a network IP address (with /mask), or a plain IP address ...

#12: Log and Drop Packets

Type the following to log and block IP spoofing on public interface called eth1
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix “IP_SPOOF A: ‘
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
By default everything is logged to /var/log/messages file.
# tail -f /var/log/messages
# grep --color ‘IP SPOOF’ /var/log/messages
#13: Log and Drop Packets with Limited Number of Log Entries

The -m limit module can limit the number of log entries created per time. This is used to prevent flooding your log file. To log and drop spoofing per 5 minutes, in bursts of at most 7 entries .
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix ‘IP_SPOOF A: ‘
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#14: Drop or Accept Traffic From Mac Address

Use the following syntax:
# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ##
# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
#15: Block or Allow ICMP Ping Request

Type the following command to block ICMP ping requests:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
Ping responses can also be limited to certain networks or hosts:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
The following only accepts limited type of ICMP requests:
# ** assumed that default INPUT policy set to DROP ** ###########
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** all our server to respond to pings ** ##
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#16: Open Range of Ports

Use the following syntax to open a range of ports:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
#17: Open Range of IP Addresses

Use the following syntax to open a range of IP address:
## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 and 192.168.1.200 ##
iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT

## nat example ##
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25
#18: Established Connections and Restaring The Firewall

When you restart the iptables service it will drop established connections as it unload modules from the system under RHEL / Fedora / CentOS Linux. Edit, /etc/sysconfig/iptables-config and set IPTABLES_MODULES_UNLOAD as follows:

IPTABLES_MODULES_UNLOAD = no

#19: Help Iptables Flooding My Server Screen

Use the crit log level to send messages to a log file instead of console:
iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit
#20: Block or Open Common Ports

The following shows syntax for opening and closing common TCP and UDP ports:


Replace ACCEPT with DROP to block port:
## open port ssh tcp port 22 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

## open cups (printing service) udp/tcp port 631 for LAN users ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT

## allow time sync via NTP for lan users (open udp port 123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

## open tcp port 25 (smtp) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT

# open dns server ports for all ##
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

## open http/https (Apache) server port to all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

## open tcp port 110 (pop3) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT

## open tcp port 143 (imap) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT

## open access to Samba file server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

## open access to proxy server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT

## open access to mysql server for lan users only ##
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT


#21: Restrict the Number of Parallel Connections To a Server Per Client IP

You can use connlimit module to put such restrictions. To allow 3 ssh connections per client host, enter:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

Set HTTP requests to 20:
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
Where,

--connlimit-above 3 : Match if the number of existing connections is above 3.
--connlimit-mask 24 : Group hosts using the prefix length. For IPv4, this must be a number between (including) 0 and 32.

#22: HowTO: Use iptables Like a Pro

For more information about iptables, please see the manual page by typing man iptables from the command line:
$ man iptables
You can see the help using the following syntax too:
# iptables -h
To see help with specific commands and targets, enter:
# iptables -j DROP -h
#22.1: Testing Your Firewall

Find out if ports are open or not, enter:
# netstat -tulpn
Find out if tcp port 80 open or not, enter:
# netstat -tulpn | grep :80
If port 80 is not open, start the Apache, enter:
# service httpd start
Make sure iptables allowing access to the port 80:
# iptables -L INPUT -v -n | grep 80
Otherwise open port 80 using the iptables for all users:
# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# service iptables save
Use the telnet command to see if firewall allows to connect to port 80:
$ telnet www.cyberciti.biz 80
Sample outputs:

Trying 75.126.153.206...
Connected to www.cyberciti.biz.
Escape character is ‘^]’.
^]
telnet> quit
Connection closed.

You can use nmap to probe your own server using the following syntax:
$ nmap -sS -p 80 www.cyberciti.biz
Sample outputs:

Starting Nmap 5.00 ( http://nmap.org ) at 2011-12-13 13:19 IST
Interesting ports on www.cyberciti.biz (75.126.153.206):
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds

I also recommend you install and use sniffer such as tcpdupm and ngrep to test your firewall settings.
Conclusion:

This post only list basic rules for new Linux users. You can create and build more complex rules. This requires good understanding of TCP/IP, Linux kernel tuning via sysctl.conf, and good knowledge of your own setup. Stay tuned for next topics:

Stateful packet inspection.
Using connection tracking helpers.
Network address translation.
Layer 2 filtering.
Firewall testing tools.
Dealing with VPNs, DNS, Web, Proxy, and other protocols.
2012   iptables   linux
2012   iptables   linux

Debian, безопасность сервера. Ставим fail2ban на Debian и немного настраиваем его.

fail2ban может защитить почти любой из ваших сервисов от брутфорса. Подбора пароля то есть.
Информации в целом в инете про него много, но не упомянуть fail2ban в рамках нового цикла статей «Безопасность в Debian» просто нельзя.

Итак. Каждый администратор сервера на Debian должен выполнить команду:
debian:~# aptitude install fail2ban

После установки и запуска fail2ban мы получаем намного более защищенный ssh. После 3х попыток неправильного ввода пароля с одного ip адреса — этому ip адресу будет закрыт 22й порт на сервере. Но это всё по умолчанию.
Сейчас же мы будем настраивать fail2ban.
Основная часть настроек хранится в конфигурационном файле /etc/fail2ban/jail.conf
Рассмотрим некоторые директивы:
ignoreip = 127.0.0.1 # указываем, на какие ip адреса, маски или хостнеймы не распространяется действие fail2ban
bantime = 600 # указываем сколько действует бан в секундах. Я указываю либо огромное число, либо -1 — что значит «навечно».
maxretry = 3 # через сколько неправильных попыток ввода пароля банить гада
destemail = root@localhost # на какой адрес слать уведомления о банах. Можно поменять, но нужно будет написать правила для писем.
banaction = iptables-multiport # через что банить. Если у вас нет shorewall, то менять это значение я не рекомендую.
mta = sendmail # через что отправлять письма админу о банах. Exim/sendmail/etc. Пишем тут тот MTA, который стоит у вас на сервере.

Чуть ниже следуют секции конфига, которые отвечают за блокировку тех, кто брутфорсит что-либо. Конечно же, здесь есть почти все сервисы, которые можно брутфорсить) списочек будет чуть ниже. Не изменяйте эти секции ни в коем случае! Те jails, которые вам необходимо включить — дописывайте в файл /etc/fail2ban/jail.local в форме:
[jail_name]
enabled = true
Например:
[apache]
enabled = true

Рассмотрим параметры секции [ssh] (который отвечает за бан тех, кто пытается сбрутить ssh-аккаунт).
enabled = true # включаем сервис.
port = ssh # указываем на каком порту/портах висит сервис. Некоторые умеют определяться автоматически по имени сервиса — вот как ssh
filter = sshd # указываем фильтр, по которому парсятся логи. Не следует менять. Вообще же можно написать свои фильтры и использовать их для любого вашего сервиса. Именно этот порт в нашем случае будет блокироваться для брутфорсера через iptables.
logpath = /var/log/auth.log # какой лог парсить. Нужно на тот случай, если вы изменяли дефолтный путь до лога сервиса
maxretry = 6 # количество попыток, после которых человека или бота банят.

Какие есть шаблоны по умолчанию: ssh, pam-generic, xinetd-fail, ssh-ddos, apache (неверные авторизации в каталогах, защищенных через .htpasswd), apache-noscript, apache-overflows, vsftpd, proftpd, wuftpd, postfix, couriersmtp, courierauth, sasl, named-refused-udp, named-refused-tcp.

Не забываем перезапускать fail2ban после изменения конфигурации командой /etc/init.d/fail2ban restart

Этого вполне достаточно, чтобы окопаться от брутфорса по самое «нехочу». Если вы поняли систему работы fail2ban — вы легко сможете написать скрипт, который будет защищать вас от http-ddos, udp-ddos, исходящего спама и много другого. Правила писать очень просто, нужно лишь указать правильный regexp в файле /etc/fail2ban/filter.d/имя_фильтра.conf
Тем более, что там есть примеры.
Только не дописывайте свои сервисы c опций enabled = true в jail.conf. Пишите шаблон в jail.conf, а включайте свой jail уже в jail.local.
2012   fail2ban   linux   ubuntu

Debian, ftpd, vtpd, vsftpd. Very fast way.

https://debian.pro/72

Извиняюсь, что давно ничего не писал. Работа и эксперименты с виртуализацией отнимают очень много времени. Пока что ничего нового и особенного не откопал, лишь сделал некоторые выводы, которые напишу в финальной статье про KVM.
А сейчас, пожалуй, напишу как быстро настроить FTP сервер на Debian/Ubuntu. Способ действительно быстрый и не требует особого ковыряния в конфигах и базах.
За основу, как можно догадаться из заголовка, я беру vsftpd. Почему? Ну во-первых его название расшифровывается как very secure ftp daemon. Во-вторых именно его можно установить и настроить максимально быстро.
Что мы получим в итоге:
1) авторизоваться нужно (можно) будет по системным пользователям. То есть список пользователей и их домашние директории будут браться из /etc/passwd. Root в параде не участвует.
2) пользователи не могут выйти выше домашнего каталога в структуре ФС. То есть мы организуем ftp-chroot. Редки случаи, когда он помешает конечным пользователям, а вот безопасность он повышает ощутимо. Рут же может пользоваться sshfs, чтобы работать со всей ФС сразу.
3) Анонимы отключены. В принципе включаются 3мя строчками в конфиге, но в рамках данной статьи они не требуются.
Итак. Проверяем, что у нас не установлено никаких ftpd, если установлены — удаляем. Они нам не понадобятся.
Установим vsftpd:
root@Debian:~# aptitude install vsftpd
Скопируем стандартный конфиг на всякий случай (необязательно):
root@Debian:~# cp /etc/vsftpd.conf /etc/vsftpd.conf.default
Почистим стандартный конфиг от флуда разработчиков =) (вообще там интересно, советую почитать как-нибудь. )
root@Debian:~# echo » » > /etc/vsftpd.conf
И начнём писать новый. Собственно, чтобы следовать заголовку «Very fast way», предлагаю взять мой готовый конфиг.
Открываем /etc/vsftpd.conf нашим любимым редактором, например:
root@Debian:~# nano /etc/vsftpd.conf
и вставим в файл следующее:
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
#ascii_upload_enable=YES
#ascii_download_enable=YES
ftpd_banner=Welcome to debian.pro ftpd!
#banned_email_file=/etc/vsftpd.banned_emails
chroot_local_user=YES
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
ls_recurse_enable=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

В файл /etc/vsftpd.chroot_list мы можем записать пользователей, на которых не распространяется правило chroot. Для того, чтобы эта функция заработала — расскоментируйте строку #chroot_list_file=/etc/vsftpd.chroot_list в vsftpd.conf. Ну и не забудьте создать сам файл:
root@Debian:~# touch /etc/vsftpd.chroot_list
Перезагрузим vsftpd:
root@Debian:~# /etc/init.d/vsftpd restart

Ну и проверим наш ftpd. Много флуда, дальше читать совсем не обязательно) статья, собственно, закончена:
Попробуем зайти под анонимом:

root@support-desktop:~# ftp localhost
Connected to localhost.
220 Welcome to debian.pro ftpd!
Name (localhost:inky): anonymous
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.

Попробуем зайти под локальным пользователем, немного погулять по хомяку и попробовать выйти из chroot:
root@support-desktop:~# ftp localhost
Connected to localhost.
220 Welcome to debian.pro ftpd!
Name (localhost:inky): inky
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rwxrwxrwx 1 1001 1001 316 Feb 26 17:27 diff.sh
-rwxr-xr-x 1 1001 1001 2281 Feb 26 22:35 diff2.sh
-rw-r—r— 1 1001 1001 1185 Feb 26 20:26 diff2.sh?
-rw-r—r— 1 1001 1001 357 Feb 07 14:47 examples.desktop
drwxr-xr-x 5 1001 1001 4096 Feb 23 05:06 iMacros
-rwxr-xr-x 1 1001 1001 57 Jun 09 15:53 script100
drwxr-xr-x 3 1001 1001 4096 Jul 25 13:10 scripts
-rw-r—r— 1 0 0 30888 Dec 13 2006 thunder.au
-rw-r—r— 1 1001 1001 22626 Feb 26 20:19 thunder2
-rw-r—r— 1 1001 1001 1642496 Feb 26 20:11 thunder2.au
drwxr-xr-x 2 1001 1001 4096 Feb 26 17:27 tmp
-rwxr-xr-x 1 1001 1001 7422 Jun 09 15:43 urgent
226 Directory send OK.
ftp> cd iMacros
250 Directory successfully changed.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x 2 1001 1001 4096 Feb 22 01:43 Datasources
drwxr-xr-x 5 1001 1001 4096 Apr 11 16:41 Downloads
drwxr-xr-x 2 1001 1001 4096 Feb 22 01:46 Macros
-rwxr-xr-x 1 1001 1001 188 Feb 27 00:19 iMacros.log
226 Directory send OK.
ftp> cd ../
250 Directory successfully changed.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rwxrwxrwx 1 1001 1001 316 Feb 26 17:27 diff.sh
-rwxr-xr-x 1 1001 1001 2281 Feb 26 22:35 diff2.sh
-rw-r—r— 1 1001 1001 1185 Feb 26 20:26 diff2.sh?
-rw-r—r— 1 1001 1001 357 Feb 07 14:47 examples.desktop
drwxr-xr-x 5 1001 1001 4096 Feb 23 05:06 iMacros
-rwxr-xr-x 1 1001 1001 57 Jun 09 15:53 script100
drwxr-xr-x 3 1001 1001 4096 Jul 25 13:10 scripts
-rw-r—r— 1 0 0 30888 Dec 13 2006 thunder.au
-rw-r—r— 1 1001 1001 22626 Feb 26 20:19 thunder2
-rw-r—r— 1 1001 1001 1642496 Feb 26 20:11 thunder2.au
drwxr-xr-x 2 1001 1001 4096 Feb 26 17:27 tmp
-rwxr-xr-x 1 1001 1001 7422 Jun 09 15:43 urgent
226 Directory send OK.
ftp> cd ../
250 Directory successfully changed.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rwxrwxrwx 1 1001 1001 316 Feb 26 17:27 diff.sh
-rwxr-xr-x 1 1001 1001 2281 Feb 26 22:35 diff2.sh
-rw-r—r— 1 1001 1001 1185 Feb 26 20:26 diff2.sh?
-rw-r—r— 1 1001 1001 357 Feb 07 14:47 examples.desktop
drwxr-xr-x 5 1001 1001 4096 Feb 23 05:06 iMacros
-rwxr-xr-x 1 1001 1001 57 Jun 09 15:53 script100
drwxr-xr-x 3 1001 1001 4096 Jul 25 13:10 scripts
-rw-r—r— 1 0 0 30888 Dec 13 2006 thunder.au
-rw-r—r— 1 1001 1001 22626 Feb 26 20:19 thunder2
-rw-r—r— 1 1001 1001 1642496 Feb 26 20:11 thunder2.au
drwxr-xr-x 2 1001 1001 4096 Feb 26 17:27 tmp
-rwxr-xr-x 1 1001 1001 7422 Jun 09 15:43 urgent
226 Directory send OK.

И попробуем зайти под рутом:
root@support-desktop:~# ftp localhost
Connected to localhost.
220 Welcome to debian.pro ftpd!
Name (localhost:inky): root
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.

Всё работает. Спасибо за внимание, удачного использования =)
2012   ftp   linux   ubuntu

Повелеваем виртуализацией KVM по ssh с комфортом. virsh.

https://debian.pro/87

Лето. Надоело сидеть за компом, решил отдохнуть и гулять-кататься побольше. Спам от мониторилок на андроид-телефон валится исправно. Хард клава любимого Зевсика с завтрашнего дня будет всегда со мной. (тьфу-тьфу-тьфу). Грех в такой ситуации не воспользоваться ssh-клиентом на телефоне с клавиатурой и 3g для управления VDSками. А ещё большим грехом было бы не рассказать всем вкратце, как же это делать.

Конечно же, вы настраивали KVM по мануалу /16 на этом сайте. И конечно же, у вас установлен libvirtd. Его консольным фронт-эндом является как раз таки virsh.
Итак. Virsh у нас есть. Если нет — смотрим статью /16.
Для проверки просто введем в консоли virsh
Теперь у вас открыт новый шелл:
virsh #
Сразу оговорюсь, что все последующие команды можно вводить в консоли virsh либо в обычной консоли с приставкой virsh.
То есть:
virsh # command vds
и
Debian:~# virsh command vds
эквивалентны. Но я рекоммендую использовать шелл virsh, так как там работает автодополнение команд virsh’a.
В дальнейшем в статье я не буду использовать приставки к командам. Знайте, что каждую из нижеперечисленных команд нужно писать с приставкой virsh либо в шелле virsh.
Так же условимся, что vdsX — это название VDSки, над которой вы желаете совершить действие.
Приступим. Поуправляем «питанием» виртуальных машин:
destroy vdsX — «выдергиваем кабель питания виртуалки»
reboot vdsX — передаст ядру VDSки команду reboot, как если бы она была написана из консоли.
shutdown vdsX — корректно выключаем VDS. Если не выключается — делаем destroy.
start vdsX — запускаем VDS
save vdsX file-name — сохранит состояние виртуалки в файл, выключит её и освободит RAM. Фактически — аналог команды hibernate. Только можно много состояний оперативки сохранять =) удобно для тестов. Учтите, что имя файла должно быть уникальным всегда (или его перезапишет, даже дампом другой виртуалки)
restore file-name — вернет виртуалку из сна. Саму виртуалку указывать не нужно, эта информация берется из файла. А жаль, на самом деле. Можно было бы создавать кучи одинаковых виртуалок и потом их поочередно грузить из файла и издеваться.
suspend vdsX — ещё один hibernate, но память, зарезервированная виртуалкой не освобождается. Надежнее, чем save/restore.
resume vdsX — возвращает vds из состояние, в которое мы её погрузили командой suspend

Просмотрим некоторую информацию о VDSах:
nodeinfo — выдаст нам информацию о вашем сервере. Бесполезную, но малоли)
list — выведет список всех виртуалок и их состояние — running, halted, suspended и т.д. Полезно для включения в отчёты, кстати.
dominfo vdsX — выведет информацию о виртуалке. Есть и полезная, например, там можно посмотреть, сколько времени CPU скушала виртуалка (да да, будем на это основывать облака в ближайшем будущем =)) )
domblkstat vdsX device — должно выводить статистику по блочному устройству виртуалки. Пока не разобрался как работает. Буду рад подсказке. Точнее не знаю, что вписать вместо device.
domifstat vdsX vnetY — позволяет просмотреть информацию по сетевому интерфейсу виртуалки. vnetY должен использоваться именно виртуалкой vdsX, чтобы команда дала корректный вывод. Команда ценна тем, что позволяет проверить — не дропаются ли сетевые пакеты виртуалки.
ttyconsole vdsX — укажет нам, какой /dev/pts используется vdsом. Полезно, если знаете, что с pts можно сделать удалённо.
vncdisplay vdsX — укажет нам IP и порт виртуального IP-KVM… а точнее VNC сервера для VDSки. В virt-manager можно добавить новые.

Изменим кое-какие лимиты виртуалок:
setmem vdsX summ — изменяет лимит памяти виртуалки. summ указывается в килобайтах. Работает без ребута. Память по этому лимиту сразу помечается хостом как используемая.
setmaxmem vdsX summ — изменяет верхнюю планку памяти для виртуалки. summ — в килобайтах. Память по этому лимиту виртуалка получит, только если есть свободная память на хосте. По этому лимиту память помечается как используемая хостом, только если она действительно используется виртуалкой. (вообще setmaxmem для KVM не советую использовать, только в облаках если)
setvcpus vdsX count — устанавливает количество count виртуальных ядер для VDS. Можно использовать только для выключенной виртуалки. Сумму count для всех VDS не делаем больше суммы ядер на хосте, а лучше оставляем одно про запас, если не для своих нужд используем весь сервер со всеми виртуалками.

И на закуску:
console vdsX — должно подключить нас к tty1 виртуалки. не работает частенько (
autostart —disable vdsX — отключает автостарт виртуалки при старте хоста. Если вы используете мануалы — заюзайте опцию для всех VDS — всё равно без br1/br2 (которые я рекоммендую не создавать при старте сервера, а создавать скриптами позже) — они не загрузятся.
autostart vdsX — включает автостарт виртуалки.

Остальные команды стоит посмотреть в man virsh, но вряд ли они вам понадобятся. Там ещё есть управление виртуальными устройствами VDSов, но это лучше делать через virt-manager. Ну и некоторые команды в моем случае заменены скриптами virt-install.

P.S. — почаще отдыхайте. Сегодня стал ощущать, что переутомлён… неприятно. А всего то 19 лет только( Зато я всё ближе и ближе к финалу stand-alone экспериментов )
28.07.2010 byinkvizitor68sl|Администрирование Метки: debian, kvm, ssh, virsh
2012   kvm   linux   virsh

Перенос в KVM

По мотивам последних событий с моей работы решил написать этот пост, ибо ничего похожего в рунете к сожалению не обнаружил, а очень жаль, ибо перетаскивать виртуалки с VirtualBox и VMWare в благородный KVM все таки приходится. Один из популярных способов сводиться в сливу образа диска в KVM, а затем загрузка с установочного диска и востановление системы (а фактически новая установка поверх старых настроек). Лично меня подобная схема не устроила, потому что образ присланной виртуалки не содержал установочного диска с которого его можно было бы восстановить, а искать похожий образ муторно. Итак.

Мы имеем следующий набор. Виртуалка на VirtualBox или VMWare, гостевая система Windows (с linux такой свистопляски нет), и сервер с KVM на котором и будем размещать нашу виртуалку. В моем случае это сервер KVM который работает в связке с LVM, но я постараюсь затронуть и вариант когда KVM работает с файловыми образами диска.

Приступаем.

1. Готовим систему к переносу.

Не секрет, что и VirtualBox и VMWare для нормальной работы ставят в систему свои собственные дрова и утилиты. Так вот первое что нужно сделать – это избавиться от них. Удаляем и VirtualBox Guest Tools и VMWare tools...

Следующим шагом – необходимо будет отвязать нашу Windows от железа на котором она была установлена. К счастью для этого есть официальный мануал (http://support.microsoft.com/kb/314082/en-us). Мотаем его в самый низ, и создаем файлик Mergeide.reg содержащий код из мануала.

После того как файлик был создан и сохранен, запускаем его и вносим изменения в реестр. Теперь осталось проверить что все необходимые файлы для запуска в KVM есть, для этого идем в C:\Windows\system32\drivers\ и ищем там файлы:

atapi.sys
intelide.sys
pciide.sys
pciidex.sys

Если какого либо из этих файликов нет – то заходим внутрь архива C:\Windows\Driver Cache\i386\Driver.cab и копируем недостающие файлики оттуда.
На этом мы закончили приготовления системы, и можем ее без проблем выключить.

2. Готовим образ диска

Тут есть варианты. Все зависит от того какая у вас система виртуализации щас, и где KVM будет хранить свои образы дисков.

Так или иначе, вся схема создания образа делиться на две части, первая – это подготовка SGF (Single Growable File), и вторая – это перенос SGF в KVM.

VMWare

Нам необходимо сконвертировать vmdk файл нашей виртуалки в формат SGF. Этот формат фактически сырой RAW нашего диска, и имеет расширение VMDK. Для VMWare он делается так

“C:\Program Files\VMware\VMware Server\vmware-vdiskmanager” -r windows.vmdk -t 0 windows-sgf.vmdk

Если в этом месте возникают какие либо грабли, то попробуйте параметр “-t 0” заменить на “-t 2”. Хотя в большинстве случаев все должно пройти без проблем.

VirtualBox

Для того что бы сделать образ SGF в VBox’e необходимо в меню Файл -> Менеджер виртуальных дисков, выбрать диск интересующей нас виртуалки и нажать “Копировать”. В качестве источника оставляйте выбранный диск, Тип виртуального диска выбираем VMDK, Дополнительные атрибуты – Фиксированный виртуальный диск.

После того как копирование завершиться вы увидете два образа, с одинаковым именем, но второй будет иметь после имени “-flat”, например “windows.vmdk” и “windows-flat.vmdk”. Как раз второй образ с flat и будет нашим SGF диском.

3. Проверяем образ

Для того что бы избежать ошибок можно проверить полученный образ. Для этого в linux есть команда file. Вывод нормального образа должен иметь примерно следующий вид

# file windows-sgf.vmdk
windows-sgf.vmdk: x86 boot sector; partition 1: ID=0x83, active, starthead 1,
startsector 63, 208782 sectors; partition 2: ID=0x8e, starthead 0, startsector 208845,
16563015 sectors, code offset 0x48

Если вывод говорит о том что это файл образа VMWare – значит мы не получили нужного нам формата образа.

4. Устанавливаем образ в KVM

Тут все зависит от настроек KVM. Используете ли вы файлы, либо используете LVM. Оба варианта приведены ниже

LVM

Тут особой писать нечего. dd он и в Африке dd.

# dd if=/path/to/windows-sgf.vmdk of=/dev/volgroup/partname

После этого можно кормить KVM этот раздел LVM

KVM File (qcom2)

В качестве файлового стораджа я люблю использовать формат qcom2, хотя это больше вопрос религии. Тем не менее сконвертировать этот образ можно следующей командой

qemu-img convert -f vmdk windows-sgf.vmdk -O qcow2 windows.qcow2

Я думаю что объяснять не нужно что меняя параметр “-О” можно выбрать другой формат хранения. После чего данный диск можно кормить KVM.

Стоит так же отметить, что qemu-img позволяет конвертировать не только SGF но и простые vmdk, хотя с менее предсказуемым результатом. Поэтому лучше конвертировать. Если при конвертации выпадает ошибка, попробуйте не использовать ключ “-f vmdk”, и дайте утилите самостоятельно определить формат образа. Говорят что помогает.

5. Первый запуск.

Я не буду расписывать как настраивать KVM, вы уже большие и сами знаете как это сделать, отмечу только тот факт, что Windows ни под каким соусом не поддерживает virtio, поэтому даже не пытайтесь.

После первого запуска система должна определить все новое железо, и установить на все драйвера. Тут будте внимательны. У меня был случай когда Windows не смогла найти драйвера на ACPI процессора, и мне пришлось его отключить в диспетчере устройств, что бы система не падала в BSOD. После установки всех устройств, систему лучше перезагрузить.

6. P2V

С виртуалками разобрались, но как быть с реальными машинами? Честно говоря не пробовал, но есть мнение что данный способ годиться и для реальных машин.

Подготовка машины происходит тем же способом, после выключения можно загрузиться с какого либо Linux LiveCD, и запустить команду на копирование всего физического диска (именно всегодиска , а не раздела) в заранее созданный LVM, или файл.

# dd if=/dev/sda | ssh user@kvm-host “dd of=/path/to/file.vmdk”

И конечно же вы догадались, что вместо file.vmdk, образ можно заливать сразу же в LVM. Не забудьте проверить md5 суммы у исходного и конечного образов.

Удачи в экспериментах.
2012   kvm   linux   windows

Запускаем графические приложения на сервере без иксов с удаленным доступом к ним по VNC

https://debian.pro/515

Иногда возникает необходимость запускать графические приложения на сервере. Поднимать иксы из-за этого глупо. Дырка, ресурсы, иксы будут работать медленно на всяких Cyrus на 8 мб. А может и иксы не получится поднять вообще (ну нет нужных устройств в /dev, что поделаешь). С OpenVZ такое часто бывает.
У нас остается вариант использовать ssh -X. Но проброс иксов (кстати, в этом случае не обязательно на сервере иметь запущенным X-сервер) может работать медленно и у нас не получится запустить приложение в фоне (если уж быть совсем занудой, то получится, но с матами и этому будет посвящен отдельный трактат). В общем для запуска браузера на быстром коннекте подойдет, но не более.
Сейчас кто-то задаст вопрос «на кой черт оно тебе надо?». Поясню. Во-первых браузер доступный отовсюду с сохраненными паролями (таскать их на флешке и втыкать в вендовозки, которые могут копировать содержимое — опасно). VPN поднять получится далеко не на всех чужих ПК. Во-вторых — браузер, за сохранность которого мы можем не бояться в открытых сетях. Понятно, что это не для видео, а для банковских интерфейсов или webmoney/ЯД. В-третьих может придти заказчик и сказать «надо и всё тут». Ну а про случаи, когда нужна запущенная в фоне утилита с графической мордой я молчу. Мало ли что там быдлокодеры пишут =) Я же использовал данный способ для запуска Firefox с запущенными iMacros-скриптами на домашнем сервере, чтобы зря не гонять шумный десктоп (да-да, когда то у меня был шумный десктоп. Это сейчас водянка и огромные тихие кулеры на HDD).
Ладно, определились с целями (пусть будет джастфофан). Теперь определимся с реализацией.
У линуксячьего VNC-сервера есть режим эмуляции X-среды. Да, дергаются все библиотеки, но фактического запуска иксов не происходит. Экономятся ресурсы, не нужна видеокарта. А самое главное, что можно спокойно отключиться и с сессией ничего не случится.
Кто-то скажет про то, что медленно или некрасиво. Медленно решается туннелированием через SSH со сжатием. Некрасиво — нам ехать, а не шашечки.
Все действия я буду воспроизводить на OpenVZшной машинке, чтобы уж наверняка.
Поставим нужные пакеты:
root@remote-server:~# aptitude install xvnc4server
Оно спросит кучу зависимостей, что логично. Придется их ставить.
Ещё нам понадобится простенький, но функциональный оконный менеджер. В подобных случаях я использую обычно fluxbox (да и на десктопе его использовал очень долгое время). В нем есть все необходимое. Ещё я запускаю gnome-panel (уж очень удобные апплеты и менюшки), но это опционально.
Поставим fluxbox:
root@remote-server:~# aptitude install fluxbox
Теперь становимся пользователем и всё дальше выполняем от имени пользователя. В данном примере я использую пользователя inky
root@remote-server:~# su inky
Для начала запаролим VNC-сервер:
inky@remote-server:~$ vnc4passwd
Теперь впишем в конфиг vnc-сервера весь софт, который нужно запускать при старте vnc-демона.
inky@remote-server:~$ editor /home/inky/.vnc/xstartup
У меня файл выглядит так:
#/bin/sh
[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
xsetroot -solid grey
vncconfig -iconic &
x-terminal-emulator -geometry 80x24+10+10 -ls -title “$VNCDESKTOP Desktop” &
#x-window-manager &
fluxbox &
AeroFS &
gnome-panel &

Главное тут то, что нам нужно заменить x-window-manager & на fluxbox & или запуск любого другого оконного менеджера.
Всё готово для запуска. Собственно, запустим:
inky@remote-server:~$ vnc4server -geometry 1350x600
-geometry 1350×600 — разрешение виртуального экрана. Подберите себе сами удобное.
Внимательно ищем строчку вот такого рода:
New ‘remote-server:1 (inky)’ desktop is remote-server:1
Если :1 — то vnc слушает порт 5901, если :2 — то 5902 и так далее. Данная информация будет полезна анальным рабам стивобалмера, и тем, кто дочитает статью до конца (там будет про безопасность). Обычный же VNC клиент в Linux сможет прицепиться к адресу remote-server:1
Чтобы остановить vnc-server правильно используем такую команду:
inky@remote-server:~$ vnc4server -kill :1
Всё. Теперь мы можем цепляться к нашему VNC-серверу и запускать там какие-либо приложения. Если вы выбрали Fluxbox — не поленитесь сменить тему Флюкса на FluxNight — с ней намного комфортнее, чем со стандартной (пкм по столу, styles и там выбираете).
Теперь о безопасности. Понятное дело, что цепляться к VNC напрямую в прослушиваемой wifi-сети не очень хорошая идея. Мы обернем наш VNC в ssh туннель.
Закроем все соединения к VNC, кроме локальных (все команды дальше исходят из того, что vnc-server стартовал на :1):
root@remote-host:~# iptables -I INPUT -p tcp --dport 5901 ! -i lo -j DROP
root@remote-host:~# iptables -I INPUT -p tcp --dport 6001 ! -i lo -j DROP

Теперь никто не сможет подцепиться к нашему VNC снаружи.
Мы же пробросим себе порт VNC-сервера на локальную машину (выполняем уже на лаптопе):
user@laptop:~$ ssh -L 5910:127.0.0.1:5901 user@remote-server
Теперь мы можем VNC клиентами цепляться к localhost:5910 и localhost:10
Виндузятники могут пробросить порты в Putty или использовать openssh-клиент (у него такой же синтаксис как и в нормальных ОС).

В общем-то всё. Мы получили шифрование и сжатие VNC-трафика. Ну а то, про что было написано в начале статьи мы получили уже давно.
В ходе следования выполнения инструкций из статьи на сервере стало занято на 20 мегабайт больше памяти и на 100 метров больше дисково пространства, что более чем отлично. На VNC запустилось без особых вопросов. По скорости — на сервере в хетзнере из москвы я смог с ветерком полазить по gmail, убить ноутбук не хотелось.
Удачного использования и не светите свои данные в открытой сети ;)
P.S. — из VNC-клиентов крайне советую использовать Remmina — действительно клевая вещь. Она умеет целиком пробрасывать клавиатуру в VNC, вместе со всякими alt-f2 и c-a-del.
2012   flixbox   linux   vnc   vnc4server

NAT-им сеть при помощи iptables

Практика:
10 Июль 2009 Ky6uk Написать комментарий К комментариям

Возникла необходимость организации NAT «на скорую руку», но практические знания отсутствовали как таковые. В голове были лишь обрывки теории по использованию iptables в качестве необходимого инструмента и небольшая практика составления фильтрующих правил для последнего. Необходимость заключалась в том, чтобы отдавать трафик с дополнительного интерфейса на определенный адрес в локальной сети.

Стоит заметить, что целью статьи не ставилось написание полного руководства по iptables, благо подобных мануалов в интернете предостаточно. Это скорее набор небольших практических советов для конкретных случаев с примерами.
Так же в статье подразумевается, что изначально все таблицы в iptables пусты, то есть не содержат ни одного правила, и по-умолчанию в цепочках стоят разрешающие ACCEPT политики.

И так, задача поставлена, интерфейсы сконфигурированы, консоль открыта, из гугла выужены несколько полезных ссылок (подробнее о которых в конце статьи) — можно приступать.
Начальные приготовления и настройка

Включаем форвардинг:
?
# echo 1 > /proc/sys/net/ipv4/ip_forward

Чтобы форвардинг автоматически включался при запуске системы, добавляем в файл /etc/sysctl.conf строку
?
net.ipv4.ip_forward = 1

Условные обозначения:
10.0.0.1/24 — локальный адрес, который требуется «натить»
10.0.0.254/24 — адрес нашей машины, которая будет шлюзом для 10.0.0.1
eth0 — интерфейс на шлюзе с адресом 10.0.0.254/24
eth1 — интерфейс на шлюзе с адресом 192.168.0.1/24
ppp0 — интерфейс на шлюзе с адресом из диапазона 172.27.27.0/24

Делаем доступ на все интерфейсы
?
# iptables -A POSTROUTING -t nat -s 10.0.0.1 -j MASQUERADE

Теперь все соединения от 10.0.0.1 будут перенаправляться согласно нашей таблице маршрутизации.
«-j MASQUERADE» используется в тех случаях, когда есть необходимость перенаправления на интерфейс с динамическим IP адресом. В нашем случае это интерфейс ppp0.

Есть мнение, что в цепочке POSTROUTING при маскараде не рекомендуется указывать параметр «-s«. В замен этому рекомендуется создавать правила в цепочке FORWARD, где и организовывать все перенаправления. Это избавляет от наплыва неверных пакетов с «левых» адресов, которые форвардятся только в одну сторону и остаются мертвым грузом. Но я не гарантирую что это так и сейчас речь не об этом.

Доступ на конкретный интерфейс.

Рассмотрим вариант, когда необходимо перенаправление на интерфейс с постоянным IP адресом. У нас это eth1.
Воспользуемся стандартной политикой SNAT:
?
# iptables -A POSTROUTING -t nat -s 10.0.0.1 -j SNAT --to 192.168.0.1

В данном случае все соединения от 10.0.0.1 будут перенаправлены на адрес 192.168.0.1.

Слово «перенаправлены» не совсем верно. Под перенаправлением следует понимать замену исходящего IP адреса (адреса источника) в пакете на указанный в параметре ––to. В нашем случае если исходящий адрес 10.0.0.1, то он будет заменен на 192.168.0.1

Организация обратного доступа

Использование SNAT имеет один недостаток, соединения могут быть инициированы только машиной, находящейся за NAT-ом. Получить же доступ в предыдущем примере из сети 192.168.0.0/24 к 10.0.0.1 уже не получится. Если же требуется организовать такой доступ, то тут на помощь приходит DNAT.
Добавим в iptables следующее правило:
?
# iptables -A PREROUTING -t nat -d 192.168.0.1 -j DNAT --to 10.0.0.1

Теперь любое соединение на адрес 192.168.0.1 будет непосредственно транслироваться в 10.0.0.1. Для правильной работы этого правила необходимо одно из вышеперечисленных.
Заключение

В заключении отмечу несколько дополнительных параметров iptables, которые я использовал при составлении статьи.
Перенаправление одного порта (192.168.0.1:10022 → 10.0.0.1:22):
?
# iptables -A PREROUTING -t nat -d 192.168.0.1 -p tcp --dport 10022 -j DNAT --to 10.0.0.1:22
# iptables -A POSTROUTING -t nat -s 10.0.0.1 -p tcp --dport 22 -j SNAT --to 192.168.0.1:10022

Вывод списка правил таблицы nat с порядковыми номерами:
?
# iptables -L -v --line-numbers -t nat

Удаление правила из цепочки POSTROUTING таблицы nat по его порядковому номеру (4):
?
# iptables -t nat -D POSTROUTING 4

Удаление всех правил в таблице nat:
?
# iptables -F -t nat
Полезные ссылки

NAT и iptables (Как раздать интернет через вторую сетевую карту)
SNAT with iptables
iptables tutorial
2012   iptables   linux   NAT
Earlier Ctrl + ↓