Блог компании DinoHost.ru

Архив ‘Сервера’

Как отключить TELNET?

Вторник, 23 Декабрь, 2008

• Для отключения TELNET необходимо ввести: pico -w /etc/xinetd.d/telnet
• Заменить disable = no строкой disable = yes.
• Затем сохранить - CTRL+x, нажать Y и записать при помощи нажатия клавиши ENTER.
• После чего необходимо перезапустить xinted путем ввода следующей команды: /etc/rc.d/init.d/xinetd restart.


Файрволл Advanced Policy Firewall и его установка

Вторник, 16 Декабрь, 2008

Файрволл на сервере просто необходим и лишний раз объяснять и доказывать его необходимость мы не будем. А просто предложим вам в качестве надежного и хорошо работающего файрволла установить файрвол Advanced Policy Firewall или APF.

Для установки APF необходимо:
• перейти в директорию /usr/src: cd /usr/src
• скачать последнюю версию APF: wget http://rfxnetworks.com/downloads/apf-current.tar.gz
• распаковать архив APF tar.gz: tar -xvzf apf-current.tar.gz
• удалить более не нужный tar.gz: rm -f apf-current.tar.gz
• выбрать дирректорию для APF: ls –la (директория apf-#.#/ где знаки #.# является версией APF, которая устанавливается вами)
перейти в директорию APF, для чего используйте выбранную вами директорию. Номер версии программы необходимо изменить, если скачанная вами версия APF самая последняя
• устанавливаем APF: sh ./install.sh
• переходим в /etc/apf директорию: cd /etc/apf
конфигурируем программу с помощью редакции файла conf.apf : pico -w conf.apf

Чтобы APF работал правильно, нужно отредактировать необходимые порты ввода/вывода. Эти порты обеспечивают работу сервисов ftp, mail,ssh.

Common ingress (inbound) ports
# Common ingress (inbound) TCP ports -IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,2082,2083, 2086,2087, 2095, 2096,3000_3500, 9999″
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=”53″

Common egress (outbound) ports
# Common egress (outbound) TCP ports
EG_TCP_CPORTS=”21,25,80,443,43,2089″
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=”20,21,53″

Для Enzim сервера это было бы:
Common ingress (inbound) ports
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=”53″

Common egress (outbound) ports
# Common egress (outbound) TCP ports
EG_TCP_CPORTS=”21,25,80,443,43″
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=”20,21,53″ )

• далее нужно записать файл и протестировать APF: CTRL-x , затем Y и enter
• запускаем APF: ./apf –start или: service apf start
если программа работает правильно, заменим параметр DEVM на 0 pico -w conf.apf
если же программа работает неверно, заменяем на DEVM=1, что позволяет перенастроить параметры файрволла даже после блокировки сервера. Параметр DEVM=1 отключает файрволл через пять минут.
• Далее записываем параметры и выделяем из Pico: CTRL-x, y, enter
• Перезагружаем файрволл с помощью команды service apf restart или /etc/rc.d/init.d/apf restart


Brute Force Detection (BFD) – программа для мониторинга взлома перебором паролей и ее установка

Понедельник, 15 Декабрь, 2008

BFD или Brute Force Detection - это модульное приложение, используемое для того, чтобы отследить попытки взлома сервера, произведенные при помощи перебора паролей. BFD - абсолютно надежный и простой скрипт, который можно быстро установить, сконфигурировать и настроить.

Принцип работы BFD заключается в том, чтобы отслеживать и блокировать IP хакеров, пытающихся взломать сервер при помощи перебора паролей. IP взломщика блокируется после определенного количества попыток вывести пароль.

Для того, чтобы система работала, необходимо установить файрвол APF
1. Затем войти в систему как ROOT.
2. Ввести: wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
3. После чего ввести: tar -xvzf bfd-current.tar.gz
4. И добавить: cd bfd*
5. Далее можно установить BDF на сервер.
Вводим:./install.sh в ответ на которое должно появиться сообщение:
**BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd **
6. Как только вы увидите такое сообщение, необходимо отредактировать конфигурационный файл и запустить скрипт. Для этого нужно ввести : pico -w /usr/local/bfd/conf.bfd
7. Ищем строку: ALERT_USR=”0″ и меняем ее на : ALERT_USR=”1″
Под ней не забудьте изменить свой email:
EMAIL_USR=”root” на EMAIL_USR=”емайл@вашдомен”
9. После чего необходимо записать изменения в файле, для чего необходимо нажать: CTRL-X потом Y потом “Enter”
10. Необходимо ввести IP, который не будет блокироваться:
Введите: pico -w /usr/local/bfd/ignore.hosts
11. Вводим собственный IP адрес, чтобы не получить блокировку при сбоях в работе системы или при других проблемах.
Для этого вводим: pico -w /etc/apf/allow_hosts.rules и собственный IP в конце
12. Сохраняем: CTRL-X
Вводим: pico -w /usr/local/bfd/ignore.hosts
Для предотвращения рассылки сообщений вводим в этот файл свой IP.
Сохраняем: CTRL-X , затем жмем Y для записи, и выбираем “Enter”
13. Запускаем BDF и вводим: /usr/local/sbin/bfd -s

После таких манипуляций малейшая попытка взлома вашего сервера перебором паролей будет пресечена блокировкой IP хакера и отправкой сообщения о проделанной работе на ваш имейл.


Редактор командной строки Pico и его установка

Четверг, 11 Декабрь, 2008

Чаще всего редактор командной строки Pico на вашем сервере уже установлен по умолчанию. Однако случаются и исключения.

Чтобы узнать, стоит ли на вашем сервере такой редактор, вам нужно соединиться с сервером по SSH и ввести «rpm -q pine». Если в ответ в окне появилась строка типа «package pine is not installed», вам необходимо ввести строку «wget ftp://rpmfind.net/linux/redhat/9/en/os/i386/RedHat/RPMS/pine-4.44-18.i386.rpm» и установить заказанный пакет с помощью «rpm -Uvh pine-4.44-18.i386.rpm».

После установки Pico можно выбрать Pico Help и создать список “горячих клавиш”, очень помогающих в дальнейшей работе.


Установка менеджера файлов Putty.exe.

Четверг, 11 Декабрь, 2008

После загрузки и установки Putty.exe его нужно немного настроить:

“server ip here” – что означает IP адрес сервера

Кликните на ( ) SSH чтобы изменить порт доступа на 22

Server Name – здесь необходимо ввести название вашего сервера (любое, как хотите, так и называйте, главное – запомните его).

Далее необходимо сохранить настройки конфигурации, кликнув “Save”

Чтобы соединиться с сервером, теперь вам нужно запустить Putty и два раза кликнуть на имени сервера, которое отображается под строкой “Default Settings”. После чего Putty соединит Вас с сервером и запросит ваш логин и пароль. Введя логин и пароль вы сможете соединиться сервером по SSH.


Особенные характеристики выделенного сервера

Пятница, 5 Декабрь, 2008

В чем особенность и главные отличия выделенного сервера? Прежде всего, в том, что выделенный сервер - это все ресурсы, а также нестандартные возможности. К примеру, для того, чтобы получить высокоскоростной доступ к сайтам, построенным на движках вида phpnuke, необходимо использовать 2 веб-сервера, которые не обязательно могут быть размещены на одном веб-сервере.

Один сервер - backend будет предоставлять обычный апач, с php, mysql и т.п. А другой - frontend, будет являться обычным кешируюшим веб-сервером, способным выдержать нагрузку в очень большое количество посещений одновременно.

При выборе выделенного сервера стоит обратить внимание на наличие резерва каналов и их толщину. Порт подключения сервера имеет важное значение. Особое внимание при выборе дедика нужно обратить на следующие аспекты: не уменьшает ли дата-центр протоколы и порты, фильтрует ли слишком высокую сетевую активность и насколько велик ее порог?

Такой нюанс, как возможность докупить дополнительные IP из другой подсети, необходим только для NS доменов в зоне RU. А вот возможность увеличить объем памяти, подключить дополнительный жесткий диск и список панелей, имеющихся в наличии, их стоимость и перечень подходящих ОС очень важные критерии выбора дедика.


Создаем qVDS с помощью qemu

Вторник, 25 Ноябрь, 2008

Многим вебмастерам и хостинг-провайдерам хотелось экспериментировать на собственном сервере без риска и последствий, или же установить другую ОС. Такая возможность есть и уже достаточно давно существует. Мы говорим о технологии VDS, которая позволяет на базе одного физического сервера создать несколько виртуальных.

Но для реализации данной технологии есть одно «но»: нужно предварительно разобрать и заново собрать с разными патчами ядро. Эта операция вызывает определенный риск, ведь заново собранное ядро может не позволить загрузиться серверу.

Чтобы решить подобную проблему и избавиться себя от подобных рисков, можно использовать qemu – открытую систему эмуляции как на уровне “железа”, так и на UML, работающую только на Linux.

Установить qemu можно очень быстро и просто. Для этого не требуется пересборка ядра сервера. Для установки qemu достаточно открыть бинарный архив, распаковать его и добавить недостающие библиотеки. После чего qemu готов к вашим дальнейшим указаниям.

Но при работе с qemu есть серьезные недостатки: прежде всего это слишком большое потребление ресурсов при эмуляции на базе целой системы. Данный минус не позволяет qemu конкурировать с такой технологией как OpenVZ. Вторым серьезным минусов при использовании qemu является то, что данный эмулятор использует GUI и довольно не удобен в работе, особенно, если канал сервера недостаточно мощный.

Чтобы избавиться от перечисленных недостатков, можно запустить qemu в режиме терминала. Для этих целей можно воспользоваться двумя образами: мини-образ Linux Debian в состоянии режима basic setup и уже предустановленную FreeBSD с предусмотрительно поднятым ssh-сервером. Скачать эти образы и скрипты можно по ftp - ftp://dedic.ru/qemu/, а можно создать их своими силами.

Для дистрибутивов Linux нужно скачать ISO-образ дистрибутива, конечно же, лучше, если это будет mini-образ. Все остальные элементы можно ставить по сети. После чего данный образ устанавливаем во временную директорию с помощью опции loop. Забираем отсюда ядро vmlinuz и initrd.img. После чего запускаем qemu с этим ядром и inird, а с помощью дополнительных опций передаем вывод на консоль. После того как qemu запущен, можно работать с виртуальным сервером через консоль. Понятно, что в этом случае использование графического инсталлятора излишне.

Если у вас FreeBSD сервер, все выглядит гораздо проще: нужно только включить в конфигурации comconsole и выполнить ее настройку, а далее перенаправить ввод-вывод в stdin/stdout.

Чтобы получить доступ с виртуального сервера в сеть на физическом сервере нужно активизировать форвардинг:
echo 1 > /proc/sys/net/ipv4/ip_forward
и включить выход с подсетки 127.20.0.2 (это IP-диапазон виртуальных серверов):
iptables -t nat -A POSTROUTING -s 172.20.0.0/24 -d 0/0 -j MASQUERADE
Чтобы получить доступ к виртуальному серверу для одного из реальных IP физического сервера, нужно задать обратный проброс:
iptables -A FORWARD -d 172.20.0.2 -i eth0 -j ACCEPT
iptables -t nat -A PREROUTING -d реальный.ip.тут -p tcp -j DNAT –to-destination 172.20.0.2

По материалам сайта dedic.ru


Надоело менять хостера? Так не меняйте!

Суббота, 22 Ноябрь, 2008

Рынок хостинг-услуг в России еще очень сырой по сравнению с западом.
Постоянно падают каналы, роутеры, питание, системы охлаждения и другие важные системы, необходимые для стабильной работы.

В большинстве случаев проблемы возникают не у хостера, не с его сервером и не по вине этого хостера, а именно из-за неразвитой инфраструктуры.

Вы должны это четко понимать, работая в сфере IT. В противном случае, Вы будете мучатся и менять каждые 2-3 месяца хостера при возникновении очередной проблемы. Это бессмысленно Проблемы периодически происходят у всех хостеров и во всех датацентрах в нашей стране, увы.

У неопытных клиентов, при первой проблеме, возникает желание сразу переехать к крупному, известному хостеру. Подумайте как следует! Не идите на поводу правила ухудшающего отбора. Крупным хостерам попросту некогда заниматься Вами - они не справляются с горой проблем, они не успевают обрабатывать все запросы от десятков тысяч клиентов. В итоге вы не получите более стабильный хостинг, а получите очень тормозную службу поддержки, которой нет до Вас дела. В качестве подтверждения моих слов, можете набрать в поисковой системе «служба поддержки не отвечает», «хостер лежит». Подставив имя любого известного хостера – Вы найдете море компромата.

Также не попадайтесь на ловушку от хостеров, обещающих 99,99% uptime (процент времени работы сервера в сети). Гарантировать это невозможно по той простой причине, что вышестоящие операторы (канальные провайдеры, датацентры) не дают гарантий хостеру. Поэтому uptime в 99,5 считается хорошим показателем для России.

Подумайте как следует и сделайте правильный выбор. Удачи!

С уважением,
Алексей Левин
ООО “Онлайн Центр”
Размещение и продвижение сайтов


Прокси-сервер UserGate предстал перед пользователями в обновленном виде

Пятница, 31 Октябрь, 2008

Совсем недавно немного не дождавшись выставки Infosecurity Russia ‘2008 пользователям представили новое многофункциональное ПО UserGate Proxy & Firewall 5.0 от отечественных разработчиков - новосибирской компании Entensys. Этот виртуальный сервер используют для подключения к интернету небольших компаний и предприятий. В ходе работы прокси-сервер выполняет функции мониторинга трафика, администрирует все подключения к корпоративной сети и сети интернет, защищает железо и всю хранящуюся в нем информацию от разнообразных интернет угроз, а также повышает доступность подключения к интернету для сотрудников компании при помощи переключения между дополнительными и основными интернет каналами. То есть в этом ПО для сервера собраны все необходимые для облегчения жизни пользователей и оптимизации труда аспекты. Также новый сервер бессменно выполняет роль сисадмина, ограничивающего доступ к разнообразным интернет-ресурсам с целью максимально сократить расходы на интернет трафик.

Над прокси-сервером UserGate велась многолетняя работа и в настоящий момент данное ПО довольно популярно среди большей части сисадминов.

В новой версии прокси-сервера после трудоемкой и полной переработки ядра имеется большой перечень дополнительных функций. Сами разработчики выделяют пять основных преимуществ, которые обрел их новый продукт. Это возможность запретить доступ пользователей к запрещенным интернет ресурсам не только вручную, но и автоматически при помощи указания категорий сайтов. В базе сервера изначально имеется около 500 000 сайтов на различных языках, которые поделены на 70 категорий в соответствии с тематиками интернет ресурсов. Эту базу можно обновлять и дополнять удаленно.

Новая версия прокси-сервера UserGate поддерживает протоколы SIP и H323. Это качество предоставляет возможность использовать этот продукт как VoIP-шлюз для программных и для аппаратных IP-телефонов SIPNET. В момент соединения сервер отображает всю необходимую информацию о звонке.

Сервер UserGate оснащен клиентским модулем Firewall на уровне приложений (Application Firewall). Это позволит разрешать или запрещать работу определённых сетевых приложений на пользовательском ПК. Подобная функция вполне пригодится для контроля над программами на пользовательских ПК всей сети.

Кроме того модуль управления загрузкой канала или Traffic Manager нового сервера позволяет настроить и динамически изменять ширину интернет-канала. При помощи заранее заданной величины и максимальной скорости для конкретного типа входящего или исходящего трафика (HTTP, FTP, Mail и т. д.) можно регулировать интернет-трафик и скорость получения или отправки информации.

Возможность кэшировать информацию позволяет освободить канал подключения и экономит входящий трафик. Одновременно прокси-сервер UserGate может устанавливать ограничения по количеству выделенного на день или месяц интернет трафика. Перерасход трафика приводит к автоматическому рассоединению с интернетом. Также прокси-сервер позволяет ограничивать пользователей в скачивании файлов определенного формата или размера. Может запрещать использовать интернет подключения в определенное время дня, дни недели и т. д. Сервер позволяет получить полную информацию о действиях каждого пользователя, узнать, когда и какие сайты он посещал.

Новый более удобный и понятный интерфейс прокси-сервера UserGate позволяет знать все статистические данные и созерцать их в форме графиков и диаграмм, делая отчеты более наглядными. Наличие двух антивирусных модуле позволяет более эффективно выполнять защиту от интернет-угроз. Причем активируются эти модули по усмотрению самого администратора.
По материалам www.pcweek.ru


Server 2008 от Windows: повиновение во всем

Среда, 29 Октябрь, 2008

Компания Microsoft совместно с агентством McCann Erickson разработали и анонсировали серию спотов о новом сервере Windows Server 2008. По словам производителей, этот сервер оправдывает все ожидания и чаяния потребителей, далеко обходя своих предшественников по эксплуатационным качествам и характеристикам. Этот новый сервер отлично помогает сэкономить время и предоставляет максимальную защиту для компьютеров. Производители позиционируют свою разработку как самый послушный и ожидающий команды пользователей продукт.

В рекламе нового продукта от Microsoft сервер выступает в роли собаки-робота, которая ждет команд от хозяина и преданно виляет хвостом.

По материалам www.sostav.ru