OpenVZ - serwer matka

Naszą pracę zaczniemy od wyboru systemu. Ja wybrałem VPS Proxmox VE 3.4 (64bits) .
Proxmox jest systemem do zarządzania VPSami na serwerze przez przeglądarkę.
Po więcej informacji odsyłam tu i tu.

Nie będę opisywał całego przebiegu instalacji, ponieważ to wyklikuje się z panelu OVH.

Ważne tylko, aby podczas tworzenia zostawić sobie trochę miejsca na aplikacje w "/" - domyślnie OVH zostawia dla niej 20GB a resztę przeznacza na /var/lib/vz , gdzie będą znajdować się kontenery OpenVZ.

Po instalacji należy zalogować się do SSH i ustawić hasło dla roota. Będzie on potrzebny do logowania do panelu Proxmox.

Zróbmy szybko:

apt-get update
apt-get upgrade


I wróćmy do Proxmoxa.

Aby się zalogować należy wejść na httpS://ip:8006

Teraz podajemy usera jako root i wcześniej utworzone hasło.

1.png

Następnie potrzebujemy obrazu systemu. Żeby go pobrać przechodzimy po drzewku po lewej stronie do local, przechodzimy na zakładkę Content a następnie Templates.

 

2.png

 

Teraz wybieramy z listy system - ja wybrałem Debiana 7 w wersji 32bit.

 

3.png

 

Po pobraniu go na liście powinna pokazać nam się nowa pozycja.

 

4.png

Wróćmy teraz do SSH. Potrzebujemy jeszcze Debiana 7 w wersji 64bit. Niestety na wcześniejszej liście go nie znajdziemy, musimy pobrać go ręcznie.

Pobierzemy go z tej strony:
http://download.proxmox.com/appliances/system/

Na serwerze przechodzimy do folderu /var/lib/vz/template/cache
i pobieramy obraz np wget'em:

wget http://download.proxmox.com/appliances/system/debian-7.0-standard_7.0-2_amd64.tar.gz

Na liście powinna pokazać nam się nowa pozycja.

 

5.png

Obrazy mamy.

Teraz wracamy do SSH i konfiguracji.

Potrzebujemy zrobić forward internetu do kontenera. W pliku /etc/network/interfaces

w sekcji vmbr0 dopisujemy:

post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '192.168.0.0/24' -o vmbr0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '192.168.0.0/24' -o vmbr0

gdzie IP 192.168.0.0 to będzie nasza lokalna sieć. Ostatecznie sekcja vmbr0 ma mieć postać:

auto vmbr0
iface vmbr0 inet static
        address POCZATEK_IP_SERWERA.142
        netmask 255.255.255.0
        network POCZATEK_IP_SERWERA.0
        broadcast POCZATEK_IP_SERWERA.255
        gateway POCZATEK_IP_SERWERA.254
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '192.168.0.0/24' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '192.168.0.0/24' -o vmbr0


Teraz musimy zrestartować serwer.

W następnym kroku utworzymy nasz pierwszy kontener i sprawdzimy, czy ma on dostęp do internetu :)

 



Jeszcze przed wyjściem dokonajmy kilka ustawień / poprawek.

Proxmox umożliwia wysyłanie maili z raportem backupu. Ustawmy, aby korzystał z IP4

W pliku:
/etc/postfix/main.cf

Należy dopisać:

inet_protocols = ipv4

Ponadto zabezpieczmy się przed atakami bruteforce do ssh - skorzystajmy z fail2ban.

Instalacja:

apt-get install fail2ban -y

Skopiowanie domyślnej konfiguracji:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Jeśli chcemy dodać jakieś adresy do ignorowanych IP (ja dodam lokalne) to edytujemy plik
/etc/fail2ban/jail.local

Dopisując do "ignoreip" nasze IP:

ignoreip = 127.0.0.1/8 192.168.0.0/24



Domyślna konfiguracja dla ssh to:
[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

Możemy zmienić wartość maxretry w celu szybszej blokady atakującego (jest to miecz obosieczny, jeśli korzystamy z hasła - mała nieuwaga i zablokujemy sobie dostęp do serwera).


Na koniec restart usług:
service fail2ban restart
service postfix restart