шаблон ovz centos-6-minimal
Применимость:«Linux, OpenVZ»
Описание:
Шаблон операционной системы для технологии виртуализации OpenVZ.
Минимально необходимый набор пакетов.
После установки доступен SSH-доступ, пароль root задается при установке VPS.
Нестандартные утилиты:
- vzubc - контроль использования лимитов
- vzlimcheck - утилита для мониторинга лимитов
Дополнительные репозитории пакетов
- vz-base - репозиторий для поддержки пакетов для openvz (vzdev) по умолчанию включен
- CentOS-CR - репозиторий с непрерывным выпуском исправлений по умолчанию включен
А эти репозитории установлены, но отключены для использования по умолчанию чтобы не повредить систему.
- CentALT - здесь от разработчиков AltLinux последние версии таких пакетов как nginx, php-fpm, unbound, clamav, postfix, dovecot (по умолчанию выключен)
- rpmforge - Этот репозиторий представляет собой результат сотрудничества Дага (Dag Wieers), Dries и других разработчиков. В архиве содержится более 4000 пакетов для CentOS (по умолчанию выключен)
- epel - Extra Packages for Enterprise Linux (по умолчанию выключен)
Не все пакеты в этих репозиториях использовать безопасно, некоторые из них могут повредить вашу систему.
Поэтому если необходимв какие либо пакеты из репозитория, то их следует устанавливать примерно такой командой:
yum --enablerepo=CentALT install nginx
или
yum --enablerepo=epel install nginx yum --enablerepo=rpmforge install htop
Меры дополнительной защиты
Это экспериментальная попытка помочь нашим клиентам защитить свои серверы от злонамеренных вторжений.
В подавляющем большинстве случаев серверы взламываются при наличии возможности загрузить на сервер опасный файл и выполнить его с повышением привилегий.
В самом факте загрузки нет ничего особенно опасного. Для загрузки обычно используют ошибки в программировании скриптов веб-приложений, службу веб-сервера или сервера баз данных. Выполнение загруженных файлов от имени этих служб не могут причинить существенного вреда, их права ограничены. Но если загруженный файл содержит атрибут смены идентификатора владельца или может быть представлен как модуль ядра, то возможности злоумышленника не ограничены ничем.
Для загрузки обычно используются директории /tmp и /var.
У операционной системы Linux есть встроенная возможность заблокировать подобные действия.
Для этого мы сделали следующее:
Реальное содержимое директорий /tmp и /var располагается соответственно в /home/tmp и /home/var
При запуске виртуального сервера директории /home/tmp и /home/var монтируются в директории /tmp и /var с ограничительными опциями:
- nodev - запрет на интерпретацию файлов как устройств
- nosuid - запрет на использование атрибута смены владельца файла
- noexec - запрет на выполнение файла (запуск программ)
Эти режимы монтирования определяют строки в файле /etc/fstab
/etc/fstab
/home/tmp /tmp none nosuid,noexec,nodev,bind 0 0 /home/var /var/ none nosuid,nodev,bind 0 0
Обратите внимание на разный набор опций для директорий /var и /tmp - для директории /var нет опции noexec.
Это сделано с учетом того, что на вашем сервере в этой директории могут использоваться скрипты CGI или какие нибудь программы. Это плохая практика, но так бывает, увы.
Если на вашем сервере не используются cgi скрипты и нет выполняемых файлов (программ) в этой директории, то вам следует добавить в строку монтирования /var опцию noexec. Это укрепит защиту.
Если же там у вас есть такие файлы, то я рекомендую их использовать в других директориях за пределами /var и опцию noexec использовать.
Опция noexec не мешает выполнятся скриптам php
Список служб:
chkconfig --list
crond 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл iptables 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл modules_dep 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл netconsole 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл netfs 0:выкл 1:выкл 2:выкл 3:выкл 4:вкл 5:вкл 6:выкл network 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл rdisc 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл rpcbind 0:выкл 1:выкл 2:вкл 3:выкл 4:вкл 5:вкл 6:выкл rsyslog 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл saslauthd 0:выкл 1:выкл 2:выкл 3:вкл 4:выкл 5:выкл 6:выкл sendmail 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл sshd 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл udev-post 0:выкл 1:вкл 2:вкл 3:выкл 4:вкл 5:вкл 6:выкл
Список процессов:
ps -ax
PID TTY STAT TIME COMMAND
1 ? Ss 0:01 init
3808 pts/0 R+ 0:00 ps ax
11514 ? Ss 0:00 sshd: root@pts/0
18163 ? S<s 0:00 /sbin/udevd -d
19782 ? Sl 0:00 /sbin/rsyslogd -c 4
19881 ? Ss 0:00 /usr/sbin/sshd
19892 ? Ss 0:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
20474 ? S 0:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
21541 ? Ss 0:00 sendmail: accepting connections
21561 ? Ss 0:00 sendmail: Queue runner@01:00:00 for /var/spool/clientmqueue
21580 ? Ss 0:00 crond
22347 pts/0 Ss 0:00 -bash
Занято памяти:
free
total used free shared buffers cached
Mem: 3460096 50976 3409120 0 0 0
-/+ buffers/cache: 50976 3409120
Swap: 0 0 0
1. Память можно сэкономить заменой rsyslog на что нибудь аналогичное.
2. Виртуальная память (swap) не отображается внутри конейнера OpenVZ
Список пакетов:
rpm -qa
setup-2.8.14-13.el6.noarch ca-certificates-2010.63-3.el6_1.5.noarch basesystem-10.0-4.el6.noarch hwdata-0.233-7.1.el6.noarch glibc-common-2.12-1.25.el6_1.3.x86_64 glibc-2.12-1.25.el6_1.3.x86_64 centos-indexhtml-6-1.el6.centos.noarch zlib-1.2.3-26.el6.x86_64 libcom_err-1.41.12-7.el6.x86_64 openssl-1.0.0-10.el6_1.5.x86_64 pam-1.1.1-8.el6.x86_64 perl-Pod-Escapes-1.04-119.el6.x86_64 chkconfig-1.3.47-1.el6.x86_64 perl-Module-Pluggable-3.90-119.el6.x86_64 perl-libs-5.10.1-119.el6.x86_64 bzip2-libs-1.0.5-7.el6_0.x86_64 shadow-utils-4.1.4.2-9.el6.x86_64 python-2.6.6-20.el6.x86_64 elfutils-libelf-0.152-1.el6.x86_64 pcre-7.8-3.1.el6.x86_64 libtdb-1.2.1-3.el6.x86_64 file-libs-5.04-11.el6.x86_64 libcap-2.16-5.2.el6.x86_64 apr-1.3.9-3.el6_1.2.x86_64 libssh2-1.2.2-7.el6_1.1.x86_64 apr-util-1.3.9-3.el6_0.1.x86_64 glib2-2.22.5-6.el6.x86_64 libxml2-2.7.6-1.el6.x86_64 libacl-2.2.49-5.el6.x86_64 libgpg-error-1.7-3.el6.x86_64 httpd-tools-2.2.15-9.el6.centos.3.x86_64 elfutils-libs-0.152-1.el6.x86_64 pth-2.0.7-9.3.el6.x86_64 nss-3.12.9-9.el6.x86_64 openldap-2.4.23-15.el6_1.1.x86_64 gdbm-1.8.0-36.el6.x86_64 libtiff-3.9.4-1.el6_0.3.x86_64 curl-7.19.7-26.el6_1.2.x86_64 rpm-libs-4.8.0-16.el6_1.1.x86_64 rpm-python-4.8.0-16.el6_1.1.x86_64 libusb-0.1.12-23.el6.x86_64 fipscheck-1.2.0-5.el6.x86_64 db4-utils-4.7.25-16.el6.x86_64 libgssglue-0.1-11.el6.x86_64 ncurses-5.7-3.20090208.el6.x86_64 libedit-2.11-4.20080712cvs.1.el6.x86_64 cronie-anacron-1.4.4-7.el6.x86_64 gamin-0.1.10-9.el6.x86_64 crontabs-1.10-33.el6.noarch newt-0.52.11-3.el6.x86_64 sysvinit-tools-2.87-4.dsf.el6.x86_64 pkgconfig-0.23-9.1.el6.x86_64 util-linux-ng-2.17.2-12.el6.x86_64 libpcap-1.0.0-6.20091201git117cb5.el6.x86_64 libstdc++-4.4.5-6.el6.x86_64 slang-2.2.1-1.el6.x86_64 iptables-1.4.7-4.el6.x86_64 libtasn1-2.3-3.el6.x86_64 gnutls-2.8.5-4.el6.x86_64 openssh-server-5.3p1-52.el6_1.2.x86_64 libtirpc-0.2.1-3.el6.x86_64 grep-2.6.3-2.el6.x86_64 libidn-1.18-2.el6.x86_64 libsepol-2.0.41-3.el6.x86_64 upstart-0.6.5-10.el6.x86_64 lua-5.1.4-4.1.el6.x86_64 libutempter-1.1.5-4.1.el6.x86_64 tmpwatch-2.9.16-4.el6.x86_64 psmisc-22.6-15.el6_0.1.x86_64 gpm-libs-1.20.6-12.el6.x86_64 less-436-4.el6.x86_64 libgcrypt-1.4.5-5.el6.x86_64 procmail-3.22-25.1.el6.x86_64 which-2.19-6.el6.x86_64 telnet-0.17-47.el6.x86_64 python-urlgrabber-3.9.1-8.el6.noarch yum-3.2.29-17.el6.centos.1.noarch m4-1.4.13-5.el6.x86_64 nss-softokn-freebl-3.12.9-3.el6.i686 zlib-1.2.3-26.el6.i686 libselinux-2.0.94-5.el6.i686 bzip2-1.0.5-7.el6_0.x86_64 libgcc-4.4.5-6.el6.i686 libacl-2.2.49-5.el6.i686 xz-lzma-compat-4.999.9-0.3.beta.20091007git.el6.x86_64 yum-utils-1.1.30-6.el6.noarch centalt-release-6-1.noarch gpg-pubkey-6b8d79e6-3f49313d tar-1.23-3.el6.x86_64 time-1.7-37.1.el6.x86_64 aspell-0.60.6-12.el6.x86_64 unzip-6.0-1.el6.x86_64 ntsysv-1.3.47-1.el6.x86_64 talk-0.17-34.el6.x86_64 ncompress-4.2.4-54.el6.x86_64 finger-0.17-39.el6.x86_64 libxml2-2.7.6-1.el6.i686 bzip2-libs-1.0.5-7.el6_0.i686 vzdummy-init-fc13-1.0-1.noarch cracklib-2.8.16-4.el6.x86_64 cracklib-dicts-2.8.16-4.el6.x86_64 module-init-tools-3.9-17.el6.x86_64 passwd-0.77-4.el6.x86_64 coreutils-libs-8.4-9.el6.x86_64 python-iniparse-0.3.1-2.1.el6.noarch lynx-2.8.6-27.el6.x86_64 wget-1.12-1.4.el6.x86_64 vzdummy-glibc-2.12-1.7.el6.noarch python-pycurl-7.19.0-8.el6.x86_64 gpgme-1.1.8-3.el6.x86_64 sendmail-8.14.4-8.el6.x86_64 usermode-1.102-3.el6.x86_64 setuptool-1.19.9-3.el6.x86_64 mailx-12.4-6.el6.x86_64 sendmail-cf-8.14.4-8.el6.noarch cvs-1.11.23-11.el6_0.1.x86_64 mc-4.7.0.2-3.el6.x86_64 libgcc-4.4.5-6.el6.x86_64 filesystem-2.4.30-3.el6.x86_64 mailcap-2.1.31-2.el6.noarch ncurses-base-5.7-3.20090208.el6.x86_64 tzdata-2011h-3.el6.noarch bash-4.1.2-8.el6.x86_64 centos-release-6-0.el6.centos.5.x86_64 nss-softokn-freebl-3.12.9-3.el6.x86_64 rootfiles-8.1-6.1.el6.noarch libselinux-2.0.94-5.el6.x86_64 krb5-libs-1.9-9.el6_1.2.x86_64 audit-libs-2.1-5.el6.x86_64 ncurses-libs-5.7-3.20090208.el6.x86_64 nspr-4.8.7-1.el6.x86_64 popt-1.13-7.el6.x86_64 perl-version-0.77-119.el6.x86_64 db4-4.7.25-16.el6.x86_64 perl-Pod-Simple-3.13-119.el6.x86_64 tcp_wrappers-libs-7.6-56.3.el6.x86_64 perl-5.10.1-119.el6.x86_64 python-libs-2.6.6-20.el6.x86_64 xz-libs-4.999.9-0.3.beta.20091007git.el6.x86_64 nss-util-3.12.9-1.el6.x86_64 libuuid-2.17.2-12.el6.x86_64 expat-2.0.1-9.1.el6.x86_64 sed-4.2.1-7.el6.x86_64 dbus-libs-1.2.24-5.el6_1.x86_64 libblkid-2.17.2-12.el6.x86_64 cyrus-sasl-lib-2.1.23-8.el6.x86_64 libattr-2.4.44-7.el6.x86_64 yum-metadata-parser-1.1.2-16.el6.x86_64 nss-softokn-3.12.9-3.el6.x86_64 hesiod-3.1.0-19.el6.x86_64 nss-sysinit-3.12.9-9.el6.x86_64 libjpeg-6b-46.el6.x86_64 libcurl-7.19.7-26.el6_1.2.x86_64 libnih-1.0.1-6.el6.x86_64 rpm-4.8.0-16.el6_1.1.x86_64 gmp-4.3.1-7.el6.x86_64 fipscheck-lib-1.2.0-5.el6.x86_64 tcp_wrappers-7.6-56.3.el6.x86_64 bind-libs-9.7.3-2.el6_1.P3.2.x86_64 libss-1.41.12-7.el6.x86_64 rsyslog-4.6.2-3.el6_1.4.x86_64 cronie-1.4.4-7.el6.x86_64 ethtool-2.6.33-0.3.el6.x86_64 libpng-1.2.46-1.el6_1.x86_64 keyutils-libs-1.4-1.el6.x86_64 newt-python-0.52.11-3.el6.x86_64 libffi-3.0.5-3.2.el6.x86_64 udev-147-2.35.el6.x86_64 openssh-5.3p1-52.el6_1.2.x86_64 libcap-ng-0.6.4-3.el6_0.1.x86_64 libnl-1.1-14.el6.x86_64 iproute-2.6.32-16.el6.x86_64 ncurses-libs-5.7-3.20090208.el6.i686 openssh-clients-5.3p1-52.el6_1.2.x86_64 info-4.13a-8.el6.x86_64 authconfig-6.1.12-5.el6.x86_64 readline-6.0-3.el6.x86_64 libtalloc-2.0.1-1.1.el6.x86_64 sudo-1.7.4p5-7.el6.x86_64 elfutils-0.152-1.el6.x86_64 screen-4.0.3-16.el6.x86_64 net-tools-1.60-105.el6.x86_64 sqlite-3.6.20-1.el6.x86_64 binutils-2.20.51.0.2-5.20.el6_1.1.x86_64 vim-minimal-7.2.411-1.6.el6.x86_64 procps-3.2.8-17.el6.x86_64 findutils-4.4.2-6.el6.x86_64 pinentry-0.7.6-6.el6.x86_64 libgomp-4.4.5-6.el6.x86_64 dhclient-4.1.1-19.P1.el6_1.1.x86_64 MAKEDEV-3.24-6.el6.x86_64 iputils-20071127-16.el6.x86_64 mingetty-1.08-5.el6.x86_64 yum-plugin-fastestmirror-1.1.30-6.el6.noarch gawk-3.1.7-6.el6.x86_64 man-pages-3.22-17.el6.noarch glibc-2.12-1.25.el6_1.3.i686 libcom_err-1.41.12-7.el6.i686 cpio-2.10-9.el6.x86_64 libattr-2.4.44-7.el6.i686 libstdc++-4.4.5-6.el6.i686 xz-4.999.9-0.3.beta.20091007git.el6.x86_64 glib2-2.22.5-6.el6.i686 vim-common-7.2.411-1.6.el6.x86_64 libpng-1.2.46-1.el6_1.i686 epel-release-6-5.noarch rpmforge-release-0.5.2-2.el6.rf.x86_64 mlocate-0.22.2-3.el6.x86_64 lsof-4.82-1.2.el6.x86_64 tcsh-6.17-12.el6.x86_64 diffutils-2.8.1-28.el6.x86_64 ed-1.1-3.3.el6.x86_64 make-3.81-19.el6.x86_64 rsync-3.0.6-5.el6_0.1.x86_64 traceroute-2.0.14-2.el6.x86_64 xz-libs-4.999.9-0.3.beta.20091007git.el6.i686 gzip-1.3.12-18.el6.x86_64 gamin-0.1.10-9.el6.i686 coreutils-8.4-9.el6.x86_64 libuser-0.56.13-4.el6_0.1.x86_64 logrotate-3.7.8-12.el6_0.1.x86_64 apr-util-ldap-1.3.9-3.el6_0.1.x86_64 groff-1.18.1.4-21.el6.x86_64 redhat-logos-60.0.14-10.el6.noarch rpcbind-0.2.0-8.el6.x86_64 initscripts-9.03.17-1.el6_0.1.x86_64 gnupg2-2.0.14-4.el6.x86_64 pygpgme-0.1-18.20090824bzr68.el6.x86_64 cyrus-sasl-2.1.23-8.el6.x86_64 man-1.6f-29.el6.x86_64 vzdev-1.0-7.swsoft.noarch gettext-0.17-16.el6.x86_64 vim-enhanced-7.2.411-1.6.el6.x86_64 gpg-pubkey-c105b9de-4e0fd3a3 centos-release-cr-6-0.el6.centos.x86_64
Лимиты:
Значения не определенные тарифным планом могут меняться
Тариф VPS-Gold vzubc
##################################################################################################################### BEANS FOR UID 710 resource held maxheld barrier limit failcnt kmemsize 2.77 mb 3.75 mb 1200.00 mb 1320.00 mb 0 lockedpages 0 0 24.57 mb 24.57 mb 0 privvmpages 51.16 mb 60.73 mb 3072.00 mb 3379.20 mb 0 shmpages 2.50 mb 2.57 mb 1572.86 mb 1572.86 mb 0 numproc 14 22 921 921 0 physpages 12.84 mb 18.83 mb 0 MAX_ULONG 0 vmguarpages 0 0 2457.60 mb MAX_ULONG 0 oomguarpages 12.84 mb 18.83 mb 1966.08 mb MAX_ULONG 0 numtcpsock 4 6 4915 4915 0 numflock 4 8 614 675 0 numpty 1 1 256 256 0 numsiginfo 0 2 1228 1228 0 tcpsndbuf 69.47 kb 69.47 kb 165.00 mb 181.50 mb 0 tcprcvbuf 76.82 kb 76.82 kb 165.00 mb 181.50 mb 0 othersockbuf 11.37 kb 36.69 kb 75.00 mb 82.50 mb 0 dgramrcvbuf 0.00 kb 8.27 kb 37.50 mb 37.50 mb 0 numothersock 12 16 2097 2097 0 dcachesize 251.26 kb 270.51 kb 219.43 mb 241.37 mb 0 numfile 439 560 449389 449389 0 numiptent 10 10 1228 1228 0
Ссылки:
—- Актуальность: 2011/11/02 13:39
