Colobridge WIKI

шаблон ovz centos-6-minimal

Применимость:«Linux, OpenVZ»

Шаблон операционной системы для технологии виртуализации OpenVZ.

Минимально необходимый набор пакетов.

После установки доступен SSH-доступ, пароль root задается при установке VPS.

  • vzubc - контроль использования лимитов
  • vzlimcheck - утилита для мониторинга лимитов
  • vz-base - репозиторий для поддержки пакетов для openvz (vzdev) по умолчанию включен
  • CentOS-CR - репозиторий с непрерывным выпуском исправлений по умолчанию включен

А эти репозитории установлены, но отключены для использования по умолчанию чтобы не повредить систему.

  • CentALT - здесь от разработчиков AltLinux последние версии таких пакетов как nginx, php-fpm, unbound, clamav, postfix, dovecot (по умолчанию выключен)
  • rpmforge - Этот репозиторий представляет собой результат сотрудничества Дага (Dag Wieers), Dries и других разработчиков. В архиве содержится более 4000 пакетов для CentOS (по умолчанию выключен)
  • epel - Extra Packages for Enterprise Linux (по умолчанию выключен)

Не все пакеты в этих репозиториях использовать безопасно, некоторые из них могут повредить вашу систему.

Поэтому если необходимв какие либо пакеты из репозитория, то их следует устанавливать примерно такой командой:

yum --enablerepo=CentALT install nginx

или

yum --enablerepo=epel install nginx
yum --enablerepo=rpmforge install htop

Это экспериментальная попытка помочь нашим клиентам защитить свои серверы от злонамеренных вторжений.

В подавляющем большинстве случаев серверы взламываются при наличии возможности загрузить на сервер опасный файл и выполнить его с повышением привилегий.

В самом факте загрузки нет ничего особенно опасного. Для загрузки обычно используют ошибки в программировании скриптов веб-приложений, службу веб-сервера или сервера баз данных. Выполнение загруженных файлов от имени этих служб не могут причинить существенного вреда, их права ограничены. Но если загруженный файл содержит атрибут смены идентификатора владельца или может быть представлен как модуль ядра, то возможности злоумышленника не ограничены ничем.

Для загрузки обычно используются директории /tmp и /var.

У операционной системы Linux есть встроенная возможность заблокировать подобные действия.

Для этого мы сделали следующее:

Реальное содержимое директорий /tmp и /var располагается соответственно в /home/tmp и /home/var

При запуске виртуального сервера директории /home/tmp и /home/var монтируются в директории /tmp и /var с ограничительными опциями:

  • nodev - запрет на интерпретацию файлов как устройств
  • nosuid - запрет на использование атрибута смены владельца файла
  • noexec - запрет на выполнение файла (запуск программ)

Эти режимы монтирования определяют строки в файле /etc/fstab

/etc/fstab

/home/tmp 	/tmp		none 	nosuid,noexec,nodev,bind  0 0
/home/var 	/var/		none 	nosuid,nodev,bind 	  0 0

Обратите внимание на разный набор опций для директорий /var и /tmp - для директории /var нет опции noexec.

Это сделано с учетом того, что на вашем сервере в этой директории могут использоваться скрипты CGI или какие нибудь программы. Это плохая практика, но так бывает, увы.

Если на вашем сервере не используются cgi скрипты и нет выполняемых файлов (программ) в этой директории, то вам следует добавить в строку монтирования /var опцию noexec. Это укрепит защиту.

Если же там у вас есть такие файлы, то я рекомендую их использовать в других директориях за пределами /var и опцию noexec использовать.

Опция noexec не мешает выполнятся скриптам php

chkconfig --list

crond          	0:выкл	1:выкл	2:вкл	3:вкл	4:вкл	5:вкл	6:выкл
iptables       	0:выкл	1:выкл	2:вкл	3:вкл	4:вкл	5:вкл	6:выкл
modules_dep    	0:выкл	1:выкл	2:вкл	3:вкл	4:вкл	5:вкл	6:выкл
netconsole     	0:выкл	1:выкл	2:выкл	3:выкл	4:выкл	5:выкл	6:выкл
netfs          	0:выкл	1:выкл	2:выкл	3:выкл	4:вкл	5:вкл	6:выкл
network        	0:выкл	1:выкл	2:вкл	3:вкл	4:вкл	5:вкл	6:выкл
rdisc          	0:выкл	1:выкл	2:выкл	3:выкл	4:выкл	5:выкл	6:выкл
rpcbind        	0:выкл	1:выкл	2:вкл	3:выкл	4:вкл	5:вкл	6:выкл
rsyslog        	0:выкл	1:выкл	2:вкл	3:вкл	4:вкл	5:вкл	6:выкл
saslauthd      	0:выкл	1:выкл	2:выкл	3:вкл	4:выкл	5:выкл	6:выкл
sendmail       	0:выкл	1:выкл	2:вкл	3:вкл	4:вкл	5:вкл	6:выкл
sshd           	0:выкл	1:выкл	2:вкл	3:вкл	4:вкл	5:вкл	6:выкл
udev-post      	0:выкл	1:вкл	2:вкл	3:выкл	4:вкл	5:вкл	6:выкл

ps -ax

  PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:01 init
 3808 pts/0    R+     0:00 ps ax
11514 ?        Ss     0:00 sshd: root@pts/0 
18163 ?        S<s    0:00 /sbin/udevd -d
19782 ?        Sl     0:00 /sbin/rsyslogd -c 4
19881 ?        Ss     0:00 /usr/sbin/sshd
19892 ?        Ss     0:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
20474 ?        S      0:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
21541 ?        Ss     0:00 sendmail: accepting connections
21561 ?        Ss     0:00 sendmail: Queue runner@01:00:00 for /var/spool/clientmqueue
21580 ?        Ss     0:00 crond
22347 pts/0    Ss     0:00 -bash

free

             total       used       free     shared    buffers     cached
Mem:       3460096      50976    3409120          0          0          0
-/+ buffers/cache:      50976    3409120
Swap:            0          0          0

1. Память можно сэкономить заменой rsyslog на что нибудь аналогичное.

2. Виртуальная память (swap) не отображается внутри конейнера OpenVZ

rpm -qa

setup-2.8.14-13.el6.noarch
ca-certificates-2010.63-3.el6_1.5.noarch
basesystem-10.0-4.el6.noarch
hwdata-0.233-7.1.el6.noarch
glibc-common-2.12-1.25.el6_1.3.x86_64
glibc-2.12-1.25.el6_1.3.x86_64
centos-indexhtml-6-1.el6.centos.noarch
zlib-1.2.3-26.el6.x86_64
libcom_err-1.41.12-7.el6.x86_64
openssl-1.0.0-10.el6_1.5.x86_64
pam-1.1.1-8.el6.x86_64
perl-Pod-Escapes-1.04-119.el6.x86_64
chkconfig-1.3.47-1.el6.x86_64
perl-Module-Pluggable-3.90-119.el6.x86_64
perl-libs-5.10.1-119.el6.x86_64
bzip2-libs-1.0.5-7.el6_0.x86_64
shadow-utils-4.1.4.2-9.el6.x86_64
python-2.6.6-20.el6.x86_64
elfutils-libelf-0.152-1.el6.x86_64
pcre-7.8-3.1.el6.x86_64
libtdb-1.2.1-3.el6.x86_64
file-libs-5.04-11.el6.x86_64
libcap-2.16-5.2.el6.x86_64
apr-1.3.9-3.el6_1.2.x86_64
libssh2-1.2.2-7.el6_1.1.x86_64
apr-util-1.3.9-3.el6_0.1.x86_64
glib2-2.22.5-6.el6.x86_64
libxml2-2.7.6-1.el6.x86_64
libacl-2.2.49-5.el6.x86_64
libgpg-error-1.7-3.el6.x86_64
httpd-tools-2.2.15-9.el6.centos.3.x86_64
elfutils-libs-0.152-1.el6.x86_64
pth-2.0.7-9.3.el6.x86_64
nss-3.12.9-9.el6.x86_64
openldap-2.4.23-15.el6_1.1.x86_64
gdbm-1.8.0-36.el6.x86_64
libtiff-3.9.4-1.el6_0.3.x86_64
curl-7.19.7-26.el6_1.2.x86_64
rpm-libs-4.8.0-16.el6_1.1.x86_64
rpm-python-4.8.0-16.el6_1.1.x86_64
libusb-0.1.12-23.el6.x86_64
fipscheck-1.2.0-5.el6.x86_64
db4-utils-4.7.25-16.el6.x86_64
libgssglue-0.1-11.el6.x86_64
ncurses-5.7-3.20090208.el6.x86_64
libedit-2.11-4.20080712cvs.1.el6.x86_64
cronie-anacron-1.4.4-7.el6.x86_64
gamin-0.1.10-9.el6.x86_64
crontabs-1.10-33.el6.noarch
newt-0.52.11-3.el6.x86_64
sysvinit-tools-2.87-4.dsf.el6.x86_64
pkgconfig-0.23-9.1.el6.x86_64
util-linux-ng-2.17.2-12.el6.x86_64
libpcap-1.0.0-6.20091201git117cb5.el6.x86_64
libstdc++-4.4.5-6.el6.x86_64
slang-2.2.1-1.el6.x86_64
iptables-1.4.7-4.el6.x86_64
libtasn1-2.3-3.el6.x86_64
gnutls-2.8.5-4.el6.x86_64
openssh-server-5.3p1-52.el6_1.2.x86_64
libtirpc-0.2.1-3.el6.x86_64
grep-2.6.3-2.el6.x86_64
libidn-1.18-2.el6.x86_64
libsepol-2.0.41-3.el6.x86_64
upstart-0.6.5-10.el6.x86_64
lua-5.1.4-4.1.el6.x86_64
libutempter-1.1.5-4.1.el6.x86_64
tmpwatch-2.9.16-4.el6.x86_64
psmisc-22.6-15.el6_0.1.x86_64
gpm-libs-1.20.6-12.el6.x86_64
less-436-4.el6.x86_64
libgcrypt-1.4.5-5.el6.x86_64
procmail-3.22-25.1.el6.x86_64
which-2.19-6.el6.x86_64
telnet-0.17-47.el6.x86_64
python-urlgrabber-3.9.1-8.el6.noarch
yum-3.2.29-17.el6.centos.1.noarch
m4-1.4.13-5.el6.x86_64
nss-softokn-freebl-3.12.9-3.el6.i686
zlib-1.2.3-26.el6.i686
libselinux-2.0.94-5.el6.i686
bzip2-1.0.5-7.el6_0.x86_64
libgcc-4.4.5-6.el6.i686
libacl-2.2.49-5.el6.i686
xz-lzma-compat-4.999.9-0.3.beta.20091007git.el6.x86_64
yum-utils-1.1.30-6.el6.noarch
centalt-release-6-1.noarch
gpg-pubkey-6b8d79e6-3f49313d
tar-1.23-3.el6.x86_64
time-1.7-37.1.el6.x86_64
aspell-0.60.6-12.el6.x86_64
unzip-6.0-1.el6.x86_64
ntsysv-1.3.47-1.el6.x86_64
talk-0.17-34.el6.x86_64
ncompress-4.2.4-54.el6.x86_64
finger-0.17-39.el6.x86_64
libxml2-2.7.6-1.el6.i686
bzip2-libs-1.0.5-7.el6_0.i686
vzdummy-init-fc13-1.0-1.noarch
cracklib-2.8.16-4.el6.x86_64
cracklib-dicts-2.8.16-4.el6.x86_64
module-init-tools-3.9-17.el6.x86_64
passwd-0.77-4.el6.x86_64
coreutils-libs-8.4-9.el6.x86_64
python-iniparse-0.3.1-2.1.el6.noarch
lynx-2.8.6-27.el6.x86_64
wget-1.12-1.4.el6.x86_64
vzdummy-glibc-2.12-1.7.el6.noarch
python-pycurl-7.19.0-8.el6.x86_64
gpgme-1.1.8-3.el6.x86_64
sendmail-8.14.4-8.el6.x86_64
usermode-1.102-3.el6.x86_64
setuptool-1.19.9-3.el6.x86_64
mailx-12.4-6.el6.x86_64
sendmail-cf-8.14.4-8.el6.noarch
cvs-1.11.23-11.el6_0.1.x86_64
mc-4.7.0.2-3.el6.x86_64
libgcc-4.4.5-6.el6.x86_64
filesystem-2.4.30-3.el6.x86_64
mailcap-2.1.31-2.el6.noarch
ncurses-base-5.7-3.20090208.el6.x86_64
tzdata-2011h-3.el6.noarch
bash-4.1.2-8.el6.x86_64
centos-release-6-0.el6.centos.5.x86_64
nss-softokn-freebl-3.12.9-3.el6.x86_64
rootfiles-8.1-6.1.el6.noarch
libselinux-2.0.94-5.el6.x86_64
krb5-libs-1.9-9.el6_1.2.x86_64
audit-libs-2.1-5.el6.x86_64
ncurses-libs-5.7-3.20090208.el6.x86_64
nspr-4.8.7-1.el6.x86_64
popt-1.13-7.el6.x86_64
perl-version-0.77-119.el6.x86_64
db4-4.7.25-16.el6.x86_64
perl-Pod-Simple-3.13-119.el6.x86_64
tcp_wrappers-libs-7.6-56.3.el6.x86_64
perl-5.10.1-119.el6.x86_64
python-libs-2.6.6-20.el6.x86_64
xz-libs-4.999.9-0.3.beta.20091007git.el6.x86_64
nss-util-3.12.9-1.el6.x86_64
libuuid-2.17.2-12.el6.x86_64
expat-2.0.1-9.1.el6.x86_64
sed-4.2.1-7.el6.x86_64
dbus-libs-1.2.24-5.el6_1.x86_64
libblkid-2.17.2-12.el6.x86_64
cyrus-sasl-lib-2.1.23-8.el6.x86_64
libattr-2.4.44-7.el6.x86_64
yum-metadata-parser-1.1.2-16.el6.x86_64
nss-softokn-3.12.9-3.el6.x86_64
hesiod-3.1.0-19.el6.x86_64
nss-sysinit-3.12.9-9.el6.x86_64
libjpeg-6b-46.el6.x86_64
libcurl-7.19.7-26.el6_1.2.x86_64
libnih-1.0.1-6.el6.x86_64
rpm-4.8.0-16.el6_1.1.x86_64
gmp-4.3.1-7.el6.x86_64
fipscheck-lib-1.2.0-5.el6.x86_64
tcp_wrappers-7.6-56.3.el6.x86_64
bind-libs-9.7.3-2.el6_1.P3.2.x86_64
libss-1.41.12-7.el6.x86_64
rsyslog-4.6.2-3.el6_1.4.x86_64
cronie-1.4.4-7.el6.x86_64
ethtool-2.6.33-0.3.el6.x86_64
libpng-1.2.46-1.el6_1.x86_64
keyutils-libs-1.4-1.el6.x86_64
newt-python-0.52.11-3.el6.x86_64
libffi-3.0.5-3.2.el6.x86_64
udev-147-2.35.el6.x86_64
openssh-5.3p1-52.el6_1.2.x86_64
libcap-ng-0.6.4-3.el6_0.1.x86_64
libnl-1.1-14.el6.x86_64
iproute-2.6.32-16.el6.x86_64
ncurses-libs-5.7-3.20090208.el6.i686
openssh-clients-5.3p1-52.el6_1.2.x86_64
info-4.13a-8.el6.x86_64
authconfig-6.1.12-5.el6.x86_64
readline-6.0-3.el6.x86_64
libtalloc-2.0.1-1.1.el6.x86_64
sudo-1.7.4p5-7.el6.x86_64
elfutils-0.152-1.el6.x86_64
screen-4.0.3-16.el6.x86_64
net-tools-1.60-105.el6.x86_64
sqlite-3.6.20-1.el6.x86_64
binutils-2.20.51.0.2-5.20.el6_1.1.x86_64
vim-minimal-7.2.411-1.6.el6.x86_64
procps-3.2.8-17.el6.x86_64
findutils-4.4.2-6.el6.x86_64
pinentry-0.7.6-6.el6.x86_64
libgomp-4.4.5-6.el6.x86_64
dhclient-4.1.1-19.P1.el6_1.1.x86_64
MAKEDEV-3.24-6.el6.x86_64
iputils-20071127-16.el6.x86_64
mingetty-1.08-5.el6.x86_64
yum-plugin-fastestmirror-1.1.30-6.el6.noarch
gawk-3.1.7-6.el6.x86_64
man-pages-3.22-17.el6.noarch
glibc-2.12-1.25.el6_1.3.i686
libcom_err-1.41.12-7.el6.i686
cpio-2.10-9.el6.x86_64
libattr-2.4.44-7.el6.i686
libstdc++-4.4.5-6.el6.i686
xz-4.999.9-0.3.beta.20091007git.el6.x86_64
glib2-2.22.5-6.el6.i686
vim-common-7.2.411-1.6.el6.x86_64
libpng-1.2.46-1.el6_1.i686
epel-release-6-5.noarch
rpmforge-release-0.5.2-2.el6.rf.x86_64
mlocate-0.22.2-3.el6.x86_64
lsof-4.82-1.2.el6.x86_64
tcsh-6.17-12.el6.x86_64
diffutils-2.8.1-28.el6.x86_64
ed-1.1-3.3.el6.x86_64
make-3.81-19.el6.x86_64
rsync-3.0.6-5.el6_0.1.x86_64
traceroute-2.0.14-2.el6.x86_64
xz-libs-4.999.9-0.3.beta.20091007git.el6.i686
gzip-1.3.12-18.el6.x86_64
gamin-0.1.10-9.el6.i686
coreutils-8.4-9.el6.x86_64
libuser-0.56.13-4.el6_0.1.x86_64
logrotate-3.7.8-12.el6_0.1.x86_64
apr-util-ldap-1.3.9-3.el6_0.1.x86_64
groff-1.18.1.4-21.el6.x86_64
redhat-logos-60.0.14-10.el6.noarch
rpcbind-0.2.0-8.el6.x86_64
initscripts-9.03.17-1.el6_0.1.x86_64
gnupg2-2.0.14-4.el6.x86_64
pygpgme-0.1-18.20090824bzr68.el6.x86_64
cyrus-sasl-2.1.23-8.el6.x86_64
man-1.6f-29.el6.x86_64
vzdev-1.0-7.swsoft.noarch
gettext-0.17-16.el6.x86_64
vim-enhanced-7.2.411-1.6.el6.x86_64
gpg-pubkey-c105b9de-4e0fd3a3
centos-release-cr-6-0.el6.centos.x86_64

Значения не определенные тарифным планом могут меняться

Тариф VPS-Gold vzubc

#####################################################################################################################
BEANS FOR UID 710
resource                     held              maxheld              barrier                limit              failcnt
kmemsize                  2.77 mb              3.75 mb           1200.00 mb           1320.00 mb                    0
lockedpages                     0                    0             24.57 mb             24.57 mb                    0
privvmpages              51.16 mb             60.73 mb           3072.00 mb           3379.20 mb                    0
shmpages                  2.50 mb              2.57 mb           1572.86 mb           1572.86 mb                    0
numproc                        14                   22                  921                  921                    0
physpages                12.84 mb             18.83 mb                    0            MAX_ULONG                    0
vmguarpages                     0                    0           2457.60 mb            MAX_ULONG                    0
oomguarpages             12.84 mb             18.83 mb           1966.08 mb            MAX_ULONG                    0
numtcpsock                      4                    6                 4915                 4915                    0
numflock                        4                    8                  614                  675                    0
numpty                          1                    1                  256                  256                    0
numsiginfo                      0                    2                 1228                 1228                    0
tcpsndbuf                69.47 kb             69.47 kb            165.00 mb            181.50 mb                    0
tcprcvbuf                76.82 kb             76.82 kb            165.00 mb            181.50 mb                    0
othersockbuf             11.37 kb             36.69 kb             75.00 mb             82.50 mb                    0
dgramrcvbuf               0.00 kb              8.27 kb             37.50 mb             37.50 mb                    0
numothersock                   12                   16                 2097                 2097                    0
dcachesize              251.26 kb            270.51 kb            219.43 mb            241.37 mb                    0
numfile                       439                  560               449389               449389                    0
numiptent                      10                   10                 1228                 1228                    0