Установка сервера Linux

Материал из RSU WiKi
Перейти к: навигация, поиск
Pen.pngЭта статья находится в процессе написания.
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Содержание

Кратко!

  • Тип VMDK: Thin Provisioned
  • Не забываем VMWare Tools или драйвера на System P
  • Настроить в SuSEfirewall2 SSH на блокировку подбора + fail2ban
  • Перед apache, tomcat, fcgi, etc обязательно фронтэндом Nginx
  • Nginx: ставим имя пользователя и группу аналогичные апачу (www:wwwrun), проверяем и правим права доступа на /var/nginx/*
  • Ставим апачу mod_rpaf
  • У апача уменьшаем ServerLimit и MaxClients сообразно размеру RAM (лучше 503я ошибка nginx, чем глухой своп)
  • MySQL тюним по рекомендации скрипта tuning-primer.sh, не забывая про RAM
  • Все логи настроить на минимально необходимый уровень и срок; если без лога можно обойтись, значит нужно обойтись.
  • Проверить logrotate что не забьет весь hdd логами, если отправить машину в автопилот
  • Для SLES проверить корректность версии пакета timezone (зимнее/летнее время) и, если надо, поставить с software.opensuse.org из репозитория OpenSUSE Factory (noarch и не требует зависимостей)
  • NTP: ntp.rsu.edu.ru, ntp21.vniiftri.ru ОБЯЗАТЕЛЬНО ОБА!
  • Если у сервера два и более интерфейсов не забываем про iproute2
  • В DNS добавляем сервер в прямые и обратные зоны, проверяем что подхватилось и на первичном, и на ВТОРИЧНОМ! сервере
  • В настройках почтового сервера (в YaST) указываем в качестве почтового релея mail.rsu.edu.ru
  • Проверить, что все работает, настроить копирование в Bacula и мониторинг в Zabbix!

Разбиение диска

Firewall

SuSEfirewall2

Отредактируйте /etc/sysconfig/SuSEfirewall2:

Attention.pngВНИМАНИЕ!
Обязательно проверьте, что в этих строках SSH не открыт! Иначе все выкрутасы с FW_SERVICES_ACCEPT_EXT просто-напросто не работают!
FW_SERVICES_EXT_TCP="ssh" или FW_SERVICES_EXT_TCP="22" ==> FW_SERVICES_EXT_TCP=""
FW_CONFIGURATIONS_EXT="sshd" ==> FW_CONFIGURATIONS_EXT=""

Добавьте это правило:

FW_SERVICES_ACCEPT_EXT="0.0.0.0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"

Перезапустите файерволл:

rcSuSEfirewall2 restart

Теперь у атакующего будет только три попытки до того момента, как он будет заблокирован на 60 секунд.

Основная статья: Борьба с брутфорсом SSH

fail2ban

Logrotate

Troubleshooting

Кто жрет память[1]:

ps -e -orss=,args= | sort -b -k1,1n | pr -TW$COLUMNS

Примечания

  1. http://www.linuxquestions.org/questions/linux-general-1/how-to-check-memory-usage-on-running-process-applications-442940/

См. также

Ссылки

Личные инструменты
Пространства имён

Варианты
Действия
Навигация
Инструменты