Пошаговые инструкции: Собираем свой первый сервер ALT 5.0.

[black_13]

Если "Пошаговые инструкции" == нечто подобное Gentoo Handbook или FreeBSD Handbook, то я всеми конечностями за. А если это имхо одного человека .. то на усмотрение автора. Я читать такое небуду, ну новичкам конечно полистать будет полезно  :D

[Salomatin]

Давайте будем уважительно относится к друг другу и к привилам форума.
Тема обозначена как обсуждение вопросов создания удобного сервера для фирмы начинающим в Линукс администратором.
Не сильно рассчитывая получить готовые решения от других, излагаю в виде пошаговых инструкций. Однако серьезно рассчитываю на мнение других, как оптимальнее такой сервер собрать.

Тема флейма, кто и как собирает автомобили и на них ездит в другом разделе.

Прав Drool, на форуме может утонуть любая тема.

Какие инструкции, в каком виде и кто должен писать,обсуждать конечно полезно.
Раз тема возникла, предлагаю обсуждать отдельно и выделяю  в отдельную тему.
http://forum.altlinux.org/index.php/topic,5609.0.html
Любопытно мнение по этому поводу других. Если что и свои 5 копеек внесу.

[Salomatin]

Давайте по теме:

Посему, подсчёт трафика, общего лимита, и поюзерного расхода - важнейшая деталь корпоративного сервера.

.... - вот что позарез конторам надо. А не ЛДАП со Сквидом (имхо).

Хотелось бы увидеть, на фоне других превосходных (я не шучу) how-to автора темы, что-либо для решения этого вопроса (подсчёт трафика, блокировки по трафику и т.п.).

Мне тоже хотелось бы увидеть у кого-нибудь.
 
Николай_Александрович вы невнимательно смотрели Пошаговую инструкцию для ALT Linux 4.0 Server № 12. Там про Netams .Самое сложное первый раз запустить и внести первые политики именно в Альте. А дальше по официальному сайту Netams.
 
Конечно это важно. Со своей стороны попытаюсь изложить привязку Netams к 5.0, но пока не знаю как получится. Меня и так уже обвиняют, что все разжевываю.

[Salomatin]

Шаг № 5 : SQUID  на виртуальном сервере

Заходим
Пуск — Приложения   -  Система -Virtual Machine

Создать — Далее — Имя:Любое - Оперционая система:Linux — Версия: ALT Linux — Далее - Размер основной памяти: (задаем ) Далее - Создать новый жесткий диск: Далее — Мастер нового виртуального диска: Далее — Динамический расширяющийся образ: Далее - Готово.

Свойства — CD/DVD ROM — подключить CD/DVD — Физический CD/DVD привод - OK
Вставляем загрузочный диск с  ALT Linux 4.0 Server

Либо скачиваем образ  -  Включить прямой доступ - Файл ISO образа и указываем путь до скаченного образа.

Сеть
Свойства — Сеть — Сетевой мост  - Адаптер 1 - Тип подключения - Виртуальный адаптер хоста - Имя - uboxnet0
Адаптер 2  - Включить сетевой адаптер - Тип подключения - Сетевой мост - Имя - eth1

Старт.

Начинается установка виртуального сервера  ALT Linux 4.0 Server
При таких настройках у нашего нового виртуального сервера будут две сетевые карты.
eth1 будет смотреть в нашу локальную сеть
и новая  uboxnet0 , которая будет подцеплена к реальному серверу и которая будет проходить как eth0.
То есть eth0 на реальном сервере смотрит в интернет, eth0 виртуального сервера будет получать интернет от реального.

На реальном сервере даем команду и видим что появился новый IP адрес 192.168.56.1/24

Код: [Выделить]

[root@dhcppc2 ~]# ip a s
4: vboxnet0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 0a:00:27:00:00:00 brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.1/24 brd 192.168.56.255 scope global vboxnet0
При установке сервера программ никаких не подгружаем и галочек не ставим.
Когда очередь дойдет до присвоения  4.0 Server IP адресов, пишем


eth0  192.168.56.254 маска 255.255.255.0 шлюз 192.168.56.1  DNS записываем нашего провайдера или, если уже создали наш собственный DNS (смотри инструкции о DNS)
eth1  192.168.0.254 маска 255.255.255.0

Подгружаем squid  и еще рекомендую подгрузить для работы  mc . Больше ничего не грузим и в настройках виртуальной машины убираем путь до iso образа 4.0, чтобы усложнить посторонним подгружать программы, в случае несанкционированного проникновения.

Код: [Выделить]

[root@serv40 ~]# apt-get install squid mc
Управляем сервером  по ssh, если с рабочей станции то  ssh 192.168.56.254
если из локальной сети то ssh 192.168.0.254

Для настройки и запуска самого SQUID можете воспользоваться Пошаговыми инструкциями для ALT Linux 4.0 Server.

В нашей локальной сети появился прокси сервер на адресе
192.168.0.254 порт 3128.

Только пока он не может сам получать интернет, так как реальный сервер не настроен пропускать трафик на виртуальные. 

[Salomatin]

Пошаговая инструкция № 3 : Открываем доступ виртуальным серверам получать интернет

Для того чтобы наш виртуальный squid  мог питаться интернетом через виртуальный сетевой адаптер, открываем к нему доступ, Для этого включаем на реальной машине доступ  ко всем виртуальным серверам, которые мы будем устанавливать.

Разрешаем маршрутизацию
в /etc/net/sysctl.conf находим

Код: [Выделить]

net.ipv4.ip_forward = 0 и изменяем на 1
Для того чтобы iptables запускался при перезагрузки сервера проверяем

Код: [Выделить]

# chkconfig --level 35 iptables on
# chkconfig --list iptables
iptables 0:off 1:off 2:off 3:on 4:off 5:on 6:off
Прописываем правила в iptables, разрешающие nat изнутри для адресов локальной сети

Код: [Выделить]

#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/24 -j MASQUERADE
#iptables -t filter -A FORWARD -s 192.168.56.0/24 -d ! 192.168.56.0/24 -j ACCEPT
#iptables -t filter -A FORWARD -d 192.168.56.0/24 -s ! 192.168.56.0/24 -j ACCEPTeth0 - сетевая карта, которая смотрит через виртуальный адаптер на реальный сервер,

Сохраняем эти правила, чтобы при запуске системы прописанные нами правила восстановились.

Код: [Выделить]

# iptables-save > /etc/sysconfig/iptables
Перегружаем рабочую станцию. Пока вручную запускаем виртуальную машину и виртуальный сервер. Тема автозагрузки будет позже.

В нашей локальной сети заработал прокси сервер на адресе
192.168.0.254 порт 3128.

[greyzy]

MisHel64 , по предложению автора ответил тут http://forum.altlinux.org/index.php/topic,5609.msg79769.html#msg79769

И что дальше все инструкции для сервер 5 будут такие - ставим на альт десктоп виртуалку, ставим на нее альтсервер 4 и делаем то, что мы делали в альтсервер 4 ? 

[Salomatin]

3. И этот сервер надо будет регистрировать? (в смысле доменное имя)

Да, если хотите удобный для пользователей сервер. Сейчас это недорого.  Надо иметь белый IP.  Для теста можете зарегистрировать у меня, например  greyzy.salomatin.ru. Хотя какое-то время есть смысл чисто и по IP адресу работать. Так только веб-хостинг не работают.

И что дальше все инструкции для сервер 5 будут такие - ставим на альт десктоп виртуалку, ставим на нее альтсервер 4 и делаем то, что мы делали в альтсервер 4 ? 

Почему нет. Вот видите, у вас созрело готовое решение и в таком виде уже сами можете успешно собрать сервер.
Но еще много работы, надо подключиться к запасным провайдерам, прописать  маршруты и прокинуть порты. Защитить сервер и поставить счетчики.
 По большому счету нам такой мелочью как Apache-сервер с Joomla, заниматься некогда. Нам нужен сервер сегодня и сейчас. Так ведь?

Не претендую на истину в последней инстанции и вряд ли чего нового скажу,  но позволю себе сформулировать на этом форуме некоторые свои мысли о структуре сервера для конечного пользователя. На мой взгляд они актуальные на сегодняшний день. Знающие люди поправят.

Почитайте рассылки, там проскакивают админы, которые до сих сидят на Мастере 2.4 . Видел фирмы где шлюзы стоят еще даже на Мастере 2.2. Босс был молодой и тогда собрал. Никому не доверяет, а самому, руки не доходят. А зачем ему менять? Он и тут все умеет.

Одни мои знакомые до сих ходят по фирмам и ставят ALT 3.0. А почему? А они SAMS там лихо   ставят. Это то, о чем говорил  Николай_Александрович. Им LDAP не нужен.

Это мы тут любители, сидим на кнопки нажимаем. Все нам интересно. Так мы реальный сервер никогда не соберем. 
Профессионалы народ прагматичный. Никто из них не кинется переходить на 5.0 и ломать рабочие сервера.
Это первое.

Второе:
Какой дистрибутив самый лучший? Который знаешь сам.
Консерватизм не такая уж плохая штука. Нажмите на кнопку Esc когда грузится ваш компью.тер и вы увидите, что испольуются старые добрые команды и скрипты, написанные еще при царе Горохе.  Никто не пишет новую  команду, когда можно использовать набор проверенных годами старых.

Ставить сервер ALT 3.0 в наше время это кощунство. А вот виртуально, внутри защищенного 5.0, чисто для squid и под управлением sams, да еще  по отработанной годами технологии.  Такое решение, может показаться интересным.

А замечательный    ALTLinux-4.0-Tetminal рано еще выбрасыват на помойку. Пример: Отдел продаж   в большом тоговом комплексе. Продажи все в винде, палкой не выкуришь. Как им сиадмин винды не приходит и не ставит антивирусники, время от времени на экранах воникает большой парнографический болт. Ставил линукс, скорости с их виндовыми клиентами, не те. Покупателей много. Их сисадмин  все отформатировал. Через неделю опять Болт. Вмешиваться в систему не стал. Отключил винду от интернета. Дал диск для загрузки одной из машин клиентом терминала. 80% времени потока покупателей нет. Сидят в инете.

Третье:
Не надо вооще собирать сервера. Никто сам скрипты на PHP не пишет. Берут готовый интерент-магазин или phpBB.
Г. Форд говорил, что типа, клиенту не нужно сверло, ему нужно отверстие. Продавайте сразу отверстия.

Отпадает необходимость скачивать в виде iso. Лучше купить или взять у знакомого готовый виртуальный сервер Tetminal, воткнуть себе и получить дополнительную опцию. Почтовик, FTP или даже настроенный  виртуальный Win 2003 server, чтобы не мучится с доменами. Но в последнем это уже вопрос лицензий.
Приходишь в фирму с набором дисков. Слушаешь Босса, ставишь голый 5.0 и свои проверенные виртуальные сервера. Привязываешь к провайдеру, локальной сети, защищаешь и уходишь.
Но это еще надо тестировать. 


И наконец последнее:
 

Инструкции ваши полезны как всегда, только чем они будут отличаться от инструкций для 4.1 кроме как некоторыми изменениями изза испольования возможностей, которые возможно (извините за каламбур) появились в в обновленных версиях программ? :)

Хотел бы предложить инструкцию в таком виде: Допустим сервер Apache с Joomla. Сама инструкция почти такая же. Но к ней вы можете скачать виртальный сервер. Поставить у себя рядом со своим и сравнивать конфиги. Более того сохранена история команд, как собирал этот сервер у себя.
Конечно хлопотно и это время. Если интересно, хотя бы первые можно попробовать. Скорость усвоения материала, думаю, увеличится. 

[greyzy]

Решения с виртуальными готовыми машинками интересное конечно... И понятно, что лучший тот, кого знаешь. Просто я например пока никакого сервера не имею и не знаю, поэтому у меня надеюсь хватит терпения разобраться как раз в пятом (собственно притча во языцех ldap :) ) (не изучать же 4,1 если есть 5)

Ну, а вот имея один белый адрес, как на него и сквид посадить, и интернет-магазин, и еще что нибудь, это безопасно? шлюз по моему глубокому убеждению должен быть на отдельной машине и больше там быть ничего не должно, или так и делаю, все сервисы, которые должны быть видны из внешней сети, садят туда, где белый адрес? Или этот белый адрес "распределяется" на несколько виртуальных машин, одна из которых шлюз, другая магазин? (хотя как такое возможно?)

[MisHel64]

Решения с виртуальными готовыми машинками интересное конечно...

Главный плюс такого решения, это его цена. На сайте VMware очень качественно этот вопрос освещен.

И понятно, что лучший тот, кого знаешь. Просто я например пока никакого сервера не имею и не знаю, поэтому у меня надеюсь хватит терпения разобраться как раз в пятом (собственно притча во языцех ldap :) ) (не изучать же 4,1 если есть 5)

Ну лучше как раз изучить 4.1. Он намного проще, и там намного меньше заморочек. Постепенно, увеличивая функционал 4го, ты получишь базовые знания, что и как делается в 5м.

Ну, а вот имея один белый адрес, как на него и сквид посадить, и интернет-магазин, и еще что нибудь, это безопасно?

Сквид на белый? А зачем? Сквид для внутренних нужд. Это позже, имея очень толстый канал и огромный веб сайт можно будет подумать об этом.

шлюз по моему глубокому убеждению должен быть на отдельной машине и больше там быть ничего не должно, или так и делаю,

В общих чертах да. Но стоимость такого решения становится очень высокой. Как вариант, использовать дешевую циску для фильтрации входящего трафика, уже появились такие решения для малого бизнеса.
А все остальное отфильтровывать уже на хост машине.

все сервисы, которые должны быть видны из внешней сети, садят туда, где белый адрес?

В смысле садят? Физически размещают? Не всегда.

Или этот белый адрес "распределяется" на несколько виртуальных машин, одна из которых шлюз, другая магазин? (хотя как такое возможно?)

Поиск в гугле по слову NAT даст ответ на твой вопрос.

[Salomatin]

Решения с виртуальными готовыми машинками интересное конечно... И понятно, что лучший тот, кого знаешь. Просто я например пока никакого сервера не имею и не знаю, поэтому у меня надеюсь хватит терпения разобраться как раз в пятом (собственно притча во языцех ldap :) ) (не изучать же 4,1 если есть 5)

Ну, а вот имея один белый адрес, как на него и сквид посадить, и интернет-магазин, и еще что нибудь, это безопасно? шлюз по моему глубокому убеждению должен быть на отдельной машине и больше там быть ничего не должно, или так и делаю, все сервисы, которые должны быть видны из внешней сети, садят туда, где белый адрес? Или этот белый адрес "распределяется" на несколько виртуальных машин, одна из которых шлюз, другая магазин? (хотя как такое возможно?)

C ldap мало чем могу помочь, опыта работы нет. Так понимаю, что его вообще не надо наружу высовывать, а делать внутри локальной сети. В нашем примере получается, ldap частный случай.

А вот на счет всего остального, так пока инструкции не закончены, поэтому и вопросы.

Можно все собрать на одном реальном сервере, запустив там нужные службы. Что само по себе тоже не так уж плохо. Защититься штатными возможностями и все будет работать.

Просто в 5.0 стало удобно работать с виртуальными серверами, тем более в Desktop. Что поднимает защищенность и расширяет возможности, без добавления дополнительных реальных системных блоков.

Так то, конечно, надо много системных блоков, каждый свой сервер или даже один на несколько, но это не наш случай. Это для профессионалов.
 
Теперь немного про белый IP. Если упрощенно, в инете есть IP, а дальше порт. Снаружи виден IP и наш сервер может слушать, допустим только 80 порт.  То есть, если к нам постучаться по любому другому порту, например, попытаются подключится по ssh 22 порту. Сервер  может ответить, что закрыт по этому порту, либо вообще промолчать. Как настроишь.
Получив нормальный запрос по 80 порту наш реальный сервер, может сам обслужить, если прямо там запущен apache, что не очень хорошо. А лучше все отправит на виртуальный сервер, где стоит голый apache. Если сайтов на нем много, то apache посмотрит на какое имя пришел запрос и обслужит в соответствии со своим  виртуальным хостингом.

Если на реальный сервер посадить squid, белый IP начнет слушать еще порт 3128. Ты конечно разрешишь squid обслуживать только локальную сеть. Но появилась дырка для атаки. 3128 порт снаружи нужно уже специально прикрывать. Так же с 22 портом. Ты хочешь заходить на сервер из локалки, а появилась возможность зайти снаружи. Так с любым сервисом.

Если сервисы на виртуальных серверах, то их снаружи не видно и труднее атаковать.        

Пакеты, которые приходят снаружи, либо отбрасываются, либо пробрасываются на виртуальный сервер. Пример по 80 порту показал.

А вот сами машины отправляют пакеты либо сразу на соседнюю машину, если в той же подсети. Все остальные на прописанный шлюз.
Интернет-магазин получив запрос, должен иметь возможность отправить ответ по шлюзам через наш белый IP обратно.  

Пока для понимания примерно так.  

[MisHel64]

Не претендую на истину в последней инстанции и вряд ли чего нового скажу,  но позволю себе сформулировать на этом форуме некоторые свои мысли о структуре сервера для конечного пользователя. На мой взгляд они актуальные на сегодняшний день. Знающие люди поправят.

Если ты кончено не против, ряд моих замечаний, по структуре изложения информации.
1 шаг, это подготовка хост машины. Базовые настройки, и прочее. Что брать в качестве ОС, это личное дело каждого. Ты взял десктоп, это твой выбор.
2 шаг, настройка этого сервера для выполнения хост задач. Организация виртуальной внутренней сети. Установка и настройка виртуального сервера. Настройка служб, которые будут обслуживать виртуальные машины. Я бы в виртуальной системе поднял DHCPd, что бы облегчить первоначальный запуск гостевых систем в частности.
3 шаг, подготовка и создание гостевой "болванки". Что брать в качестве гостевой системы, это опять твой выбор. Максимум служб должно быть удалено, ALS4 ставит очень много ненужного в гостевой ОС. И прочее, что бы максимально снизить потребление ресурсов.
4 шаг, это организация взаимодействия гостевой и хост системы. Отчеты которые шлет система по email должны быть переадресованы в хост систему. Системные логи, я думаю то же стоит завернуть. И прочие сопутствующие вещи. Так же привести пример настройки пакетного фильтра для заворачивания внешнего трафика в гостевую ОС. И куча сопутствующего.
5 шаг, это уже настройка "болванки" под несении конкретной задачи. Тогда инструкции будут намного проще. Что то типа:
Берем болванку, меняем ее ип, заворачиваем трафик, доставляем вот такие пакеты, и вот так правим конфиги.

Более универсально получится. Причем, если кто-то в качестве хост системы возьмет что-то другое, то 3-5 шаги будут применимы и для него то же.
А пятые шаги могут быть полезны, если кто-то решит данные функции реализовать на хост системе.

[Salomatin]

Если ты кончено не против, ряд моих замечаний, по структуре изложения информации.

Не против. Во многом так и собирался делать, но пока не знаю что получится.
Все предложения принимаются на общее рассмотрение.
Более того, рассчитываю на помощь в решении конкретных задач. Например, какие сервисы безболезненно можно отключить. Как проще можно сделать или почему так делать нельзя.

Это черновик, по которому хотел предложить два три неплохих типовых примеров сервера.
Либо, по которому каждый желающий выберет себе свой набор функций.

Тема на форуме для тех кто не знает как собирать, для тех кто знает как проще сделать  и для тех кто знает как не надо делать:
Собираем свой первый сервер  ALT 5.0

[Salomatin]

А теперь у меня вопрос:

По моему примеру реальный сервер сам назначил виртуальный адрес 192.168.56.1
Откуда это он его взял? Как его застолбить или изменить?
Как туда добавить второй - 192.168.56.2?
Как создать файл ipv4route для этого виртуального адаптера и чтобы адаптер его читал?

Считал, что для решения задач маршрутизации по источнику для виртуальных серверов удобнее использовать именно виртуальную подсеть.

Можно, конечно, в рамках локальной сети 192.168.0.0/24 использовать адреса, но это открывать дырку в локалку. Можно  воткнуть реальную сетевую карту, к которой ничего не подключать и все будет работать.

Как проще и лучше?

Спасибо.
 

[MisHel64]

По моему примеру реальный сервер сам назначил виртуальный адрес 192.168.56.1

Кто и кому назначил?
Вывод IFCONFIG бы увидит.

И я как-то пока не увидел смысла в маршрутизации по источнику.

Нужно воткнуть, не реальную, а виртуальную сетевую карту. И уже к ней цеплять гостевые ОС.
Вообще, гостевые ОС не стоит выпускать наружу без ната вообще. Волосы будут шелковистее.

ADD:
У меня лично сложилась традиция не использовать
192.168.0.0/24, а оставить эти под сети только для систем с Windows гейтом.
192.168.1.0/24, а оставить эти под сети только для систем с где железный гейт, f.e. ADSL модем.
192.168.255.0/24 только для "внутри серверных", виртуальных сетей.
А свои сети нумерую с 100 адреса.
А еще больше я люблю использовать из 172.16.0.0/12.

[Salomatin]

По моему примеру реальный сервер сам назначил виртуальный адрес 192.168.56.1
Откуда это он его взял? Как его застолбить или изменить?

Нашел. Все это в ~/.VirtualBox/VirtualBox.xml

Нужно воткнуть, не реальную, а виртуальную сетевую карту. И уже к ней цеплять гостевые ОС.

Напишите как втыкают?

Спасибо.