Архив за месяц: Май 2015

Xen server 6.2 ROOT не хватает места или how much is the fish

Опубликовано автором
Ответить
XenServer

XenServer

Xen server не хватает места

После долгих поисков, vmware, xen server под ubuntu или opensuse , virtual box, hyper-v, после выхода xenserver 6.2 на радостях, что столько халявы, решил использовать его. Практически нет ограничений, класстер, да пожалуйста, все очень удобно и просто из коробки. Ну как бы, грех не воспользоваться халявой, тебе в руки дают такой мощный инструмент для виртуализации, твори, делай. В общем купился, но бесплатный сыр как, говориться только в мышеловке, есть и подводные камни. Зашел на сайт, скачал дистрибутив, записал и давай ставить на ноды по дефолту, на одну ноду, вторую. Окей все работает, ура не обманули. А давай ка сделаем pool, да все окей, пул в миг заработал, радости не было предела, но потом встал вопрос с обновлениями, pool не распадался, но пока на каждой ноде не будет одних и тех же update и servicepack, они находятся не совсем в относительно одинаковых условиях. Ну что поделать, лиха беда начало, надо значит надо и пошел я ставить update на одну ноду и вторую тут описал как (Xen Server Update), а хочешь, чтобы все делалось автоматом, то будь готов купить лицензию.  Сказать нечего, заманили да, удобно да, приятно да, а вот за плюшки, будь добр платить и это да и оправдано. Но вот буквально через несколько обновлений, столкнулся с такой проблемой, как нехватки места на диске, полез начал чистить предыдущие update, логи. Все поставилось и работало. Но опять выходят новые апдейты, надо ставить, и тут мне предупреждения, места нет, нода одна стала вылетать, из-за нехватки места. Гугл ничего внятного не говорил, а свой мозг я отключил, вместо того, чтобы примонтировать просто новое место, но опять и тут косяк, надо выключать ноду, а на лету ничего не получиться. Огорчился, снес ноду в чертям, и давай по новой ноду устанавливать, правда уже при установке, подправил конфиг, и сделал рутовый раздел в 25 гигов, думаю должно хватить. Так как одна из нод имеет разные апдейты, то ввести ее в тот же кластер, пока нет возможности, придется установить необходимые update и ввести ноду в строй, а потом либо так же сносить другую ноду, либо играться с монтированием.

Вывод: Так о чем я, не повторяйте мои грабли, если и ставите xenserver6 то сразу делайте root разадел большим, чтобы не наступать на грабли. Это тут описано Установка XenServer 6.2: Отключение GPT и для увеличения корневого раздела

Views: 15

Резервное копирование виртуальных машин в Citrix XenServer

Опубликовано автором
Ответить

XenServerС Citrix XenServer 6.2 теперь вы можете не только делать снимки VM с живых серверов без остановки их и принимать их в автономном режиме, можно также экспортировать эти снимки в том числе данных на жестком диске в файл шаблона.

Использование снимка VM

Виртуальная машина (VM), снимок(snapshot) запись работающей виртуальной машины в определенный момент времени. Когда вы делаете снимок виртуальной машины, вся информация (данные на жестком диске) и метаданные (информацию о конфигурации) также сохраняется. В случае выполнения моментального снимка, I/O диска временно при останавливается, и производиться сохранение информации. В отличие от экспорта VM, снимки могут быть созданы без предварительного отключения VM. Снимок похож на нормальный шаблона VM, но он содержит всю информацию и конфигурации для исходной VM, в том числе сведений о сети. Снимки обеспечивают быстрый способ создания шаблонов, которые могут быть экспортированы в резервных целях, а затем восстановлены, которые так же могут быть использованы для быстрого создания новых виртуальных машин.

Вы можете легко сделать снимок VM и экспортировать его в локальный диск, используя средства управления XenCenter, возможно так же использовать это для автоматического резервного копирования виртуальных машин

К счастью, Citrix XenServer 6.2 поставляется с с хорошим функционалом API командной строки, которые мы можем использовать в своих интересах.

Сам Citrix XenServer является частью Linux. Это позволяет нам делать живое резервное копирование VM через bash скрипты с помощью командной строки API Citrix XenServer (XE), которые мы можем автоматизировать, используя встроенный (CRON).

Принимая во внимание мы можем написать пакетный скрипт для резервного копирования серверов(VM) и автоматизировать его.

В данном случае, можно написать скрипт, чтобы резервное копирование с гипервизора происходило в расшаренную общую папку на Windows Server 2008 сервер.

Citrix XenServer Hyper- имеет возможность монтирования общих папок CIFS Windows, используя их в качестве локального диска.

Монтирование Windows CIFS общих папок

Создайте общую папку для резервного копирования на сервере Windows, и назначьте права пользователю, от чьего имени будут производиться резервной копии, доступ должен быть на запись. Затем, зная путь к папке с общим доступом для резервного копирования делаем следующее:

 

Views: 54

Как предотвратить DDoS атаки используя pfsense часть 1?

Опубликовано автором
3
pfsense-0

pfsense

Все слышали о DDoS. Мы все надеемся, что никогда не станем жертвой хакеров (кому мы нужны, наш сайт, да это все так просто, наш русский авось) пока это не коснется нас.
Но наступает тот день, когда это происходит с вами, и тогда происходит понимание, что уже слишком поздно, сайт лежит и не отвечает.
Вы звоните в службу тех.поддержки вашего провайдера, и они говорят вам, что это будет стоить вам кучу вечно зеленых для фильтрации DDoS.Вы не знаете, что делать, и тогда вы начинаете паниковать.

Попробуем разобраться, как нам предотвратить DDoS в первой части этого блога. Что это означает, какие шаги мы должны предпринять, чтобы упредить атаку на наш сайт: подготовка. Вторая часть будет содержать меры по смягчению DDoS или что делать, пока вы находитесь под атакой.

Шаги по предотвращению DDoS может написаны ниже:

1 – Увеличение числа одновременных подключений
2 – Применение antispoof правил
3 – Применение SYNproxy
4 – Подготовка черного списка
5 – Настройка ограничений в реальном времени

Аппаратное и программное обеспечение

Как в данном случае можно использовать pfSense 2.1 . Допустим, что вы будете использовать приличное оборудование. Для защиты DDoS до нескольких 100K соединений, вам понадобится, по крайней мере Quad-Core 3.0 ГГц с 4 ГБ оперативной памяти. Старшее поколение серверного оборудования можете переварить меньше трафика, чем новейшие аппаратные часть, чем мощнее ваше железо, тем больше шансов отразить аттаку.
В любой ситуации, при любом железе, главное правильно настроить ваше оборудование.

1 – Увеличение числа одновременных подключений

Когда вы находитесь под DDoS атакой, количество одновременных подключений будет слишком высоко. Нам надо бороться с такой волной “левых” соединений, чтобы реальные пользователи могли подключаться и использовать ваши ресурсы и сервисы. Сколько оперативной памяти требуется, чтобы оставаться online? Хорошее эмпирическое правило, составляет 2 ГБ оперативной памяти на 1 000 000 соединений.

В pfsense, нажмите на System, затем Advanced. Далее нажмите на вкладку Firewall / NAT.

Измените значения Firewall Maximum States и увеличьте значение Firewall Maximum Table Entries

pfsense-1

2 – Применение antispoof правил

Чтобы включить antispoof правило в pfSense нажмите на Menu Interfaces и выберите WAN. Прокручиваем вниз и ставим галочки на против Block private networks и Block bogon networks как на рисунке ниже.

pfsense-2

 3 – Включить SYNproxy

Существует много видов DDos атак. Одним из таких видов это SYN flood, это когда нападавшие пытаются открыть столько соединений TCP, сколько это возможно. Они часто открывают их в странном состоянии,как “полуоткрытый”. Web сервисы, почта, серверы баз данных не слишком хорошо справляется с огромным числом одновременных соединений.
Важно, чтобы они никогда не получали такого рода нежелательный трафик. Способ эффективно защитить свои сервисы в Интернете является использование SYN прокси.

Давайте защищать наши веб-сервера.

Изменим правила брандмауэра, которые перенаправляют HTTP трафик на веб-сервера.

Открываем страничку Firewall: Rules: Edit

Выбираем то правило брандмауэра, которые разрешают HTTP трафик на наши Web сервера

pfsense-3

 

Прокручиваем вниз в Advanced features ищем строчку State Type выбираем Advanced и выбираем

pfsense-4

 

Включайте это правило только когда вас DDosят.

Это не хорошо, если правило включено постоянно. Хитрость заключается в том, чтобы создать правило SYNproxy выше нормального правила в FireWall Rules. В нормальном режиме надо держать отключенным правило SYNproxy и включать его только при обнаружении атаки. Выглядит это вот так.

pfsense-5

4 – Подготовка черного списка

Когда вы будете находиться под  DDoS атаке, можно заметить, что некоторые страны генерируют гораздо больше трафика, чем другие. Если вы знаете, что основные ваши клиенты в России или в некоторых странах СНГ, то вы должны подготовить черный список, который будет блокировать все другие страны. Этот черный список будет применяться при DDoS и поможет блокировать огромное количество нежелательного трафика.

4.1 – Установка pfBlocker

В pfSense нажмите на System, там Packages. Перейдите на вкладку Available Packages. В списке найти pfBlocker и нажмите на + с правой стороны, чтобы установить его.

pfsense-6

После того, как произойдет установка нажмите на Firewall, то pfBlocker. Включить опции, и убедитесь, что Enable Logging отключен (чтобы при атаке не грузить систему лог файлом).

pfsense-7

Мы блокируем (block) на интерфейсе WAN ботов и не отвечаем им. Также важно, отклонить (reject) входящий трафик от серверов хакеров на них самих. Может быть, они нашли дыру в вашей системе, и они захотят загрузить инструменты для взлома из стран, которые в вашем “черном списке” от компромиссного сервера. При отклонении брандмауэр будет отправлять ICMP о недоступности порта на сервере. Это сбросит соединение и приложение не уйдет по тайм-аут. Это поможет серверу.

Рекомендации

– Мы рекомендуем не запускать эти списки постоянно.
– Если вы хотите, можно включить основной черный список самых раздражающих страны это нормально. Просто убедитесь, в вашем выборе и обязательно сделайте тестирование, чтобы случайно не выбрать всех.
– Вы должны подготовить основной черный список и когда вы будете находиться под DDoS, вы можете обновить его. Со временем вы сможете настроить свой пользовательский “черный список” для вашего сервера.

Таким образом, вы нажмете Ctrl + на страны, в нескольких континентах в pfBlocker и добавляете их в черный список. Теперь переходим к последней задаче. Она наиболее сложная и трудная.

5 – Настройка Rate-limit

В этой задаче мы будем определять некоторые пределы. Когда бот или зомби атакуют один из наших ресурсов и достигается определенный лимит, брандмауэр мгновенно отбросить все соединения с этого IP-адреса. Проблема с этим инструментом в том, что мы можем блокировать реальных клиентов, если мы не определим золотую середину. Вот почему важно, чтобы мы подготовились и протестировали все, прежде чем нас будут атаковать DDoS.

5.1 – Как мы будем тестировать и настраивать предел Rate-limit?

Если мы хорошо подготовимся это станет хорошим  щитом против DDoS, и  тут нам предстоит потратить большую часть времени по настройке. Если у вас есть 10 IP-адресов это проделать будет гораздо легче, чем если у вас сотни IP-адресов. Вы должны иметь представление о том, сколько соединений обычно бывает на ваши сервисы. Если вы не знаете это значение, то следует  начать с того, чтобы собрать всю информации. Такие инструменты, как Netflow очень полезны для этого. Кроме того, для небольших проектов NTOP подходит очень хорошо для выполнения этой задачи.

В pfSense, нажмите на Firewall, то Rules. В вашем наборе правил, редактируем правило, в котором вы устанавливаете Rate-limit. Прокрутите вниз и нажмите Advanced Options.

pfsense-8

Здесь вы определяете свою стратегию обороны.

Пример, если ваши пользователи используют в среднем 10 соединений за посещение и находятся онлайн около 10 минут за один раз, потом они снова возвращаются, через определенное время. Вы можете определить правило 20/180 Maximum new connections per host / per second(s) (TCP only). Это более чем достаточно для всех пользователей. Нападавшие не будет так нежны с вами, когда они будут атаковать. Они слишком поздно поймут, что все их боты / зомби теперь блокируются еще на подступах к вашей линией обороны.

5.2 – Найти собственные значения

Нет волшебной формулы, которую можно написать и это будет применимо для всех. Вам нужно будет найти свои собственные показатели и значения. Главное и трудное определить это значение. Можно начать с высокими значениями и изменить правила, если кто-то атакует. Попробуйте определить, это было распределенное сканирование, своего рода атака или обычное поведение ваших пользователей. Тогда, если ваше значения правильные, уменьшите его немного и контролируйте снова. Найти свои собственные значения и не забывайте документировать их.

Рекомендации

– Измените правило брандмауэра SYNproxy, что мы создали ранее, и применяйте агрессивные предельные значения. Это правило надо будет включить только при атаке.
– Download Loic и DDoS-атак производите на себя самостоятельно. Чтобы понять свой предел для блокирования атаки.
– Измените эквивалентное правило, но с keep state и настроить свободный Rate-limit, с уведомлением, которое отправляет Вам письмо, если достигнут предел. Тогда вы будете знать, что DDoS-в атака в подготовке или может быть, уже началась.
– Тестирование и документирование всех ваших онлайн серисов: DNS, электронной почты, веб-приложений, VPN, и т.д.
– Тестируйте ваши ограничение по скорости несколько раз в год или по крайней мере один раз в год.

Как смягчить DDoS?

Если вы подготовитесь, как описано выше у вас будет шанс, так как для атакующих это будет неожиданностью и они не сразу поймут, что происходит. Они потом будут добавлять больше ботов и попытаются вести более агрессивную атаку. Атака могут меняться и примеры поведения во время DDoS постараемся объяснить в следующей статье. Мы также ответим на вопрос о том, как блокировать трафик перед отправкой вам таким образом, чтобы не превысить ваш канал связи интернета. Прежде, чем мы объясним, что делать во время атаки важно иметь сильную стратегию обороны.

Вывод

Мы не претендуем, что эти действия решать и спасут полностью вас от всех DDoS атак. Также есть и другие варианты программные и аппаратные, чтобы защититься от DDoS. По крайней мере, вы будете более защищенными перед атаками и у ваших сервисов будет больше шансов оставаться он-лайн. Таким образом, вы не станете легкой добычей.

Views: 1003

Установка XenServer 6.2: Отключение GPT и для увеличения корневого раздела

Опубликовано автором
1

XenServer 6.2 является надежной платформой для виртуализации, но программа установки не дает нам много возможностей для индивидуальной конфигураций. По умолчанию он устанавливается в корневой раздел 4 Гб и использует GUID Partition Tables (GPT) . GPT является новым в XenServer 6.

К сожалению, используя базовые настройки, через некоторое время мы можем столкнуться с тем, что у нас не будет хватать места в корневом каталоге, чтобы избежать этого, т.к. потом у нас уже не будет возможности изменить размер корневого раздела, лучше сразу позаботиться об этом при установке. Для увеличения корневого раздела при установке XenServer 6.2 надо выполнить следующие изменения

Установите диск :

01-xenserverПри первоначально установке, нажмите клавишу F2, чтобы получить доступ к дополнительным параметрам установки.

 

 

 

 

02-xenserverНам требуется выбрать тип установки shell.

To boot into a shell prompt, type shell <Shell>

В командной строке пишем shell и жмем клавишу ВВОД. Установщик должен начать загрузку с командной строкой Bash, где мы можем сделать настройки.

 

 

03-xenserverПосле того, как мы загрузились в оболочке Bash теперь мы можем поправить конфигурационный файл

vi /opt/xensource/installer/constants.py

и нажмите клавишу ВВОД

 

04-xenserverНаходим строчку GPT_SUPPORT = True , и меняем ее на  GPT_SUPPORT = False , чтобы отключить и использовать GPT таблицы разделов MBR. Далее изменяем значение root_size = 4096 (по умолчанию) на большее значение(которое требуется вам), чтобы получить увеличенный корневой раздел. Размер указывается в мегабайтах, так 4096 составляет 4 ГБ. Сохраняем изменения в файле и закрываем vim  редактор. Далее в командной строке пишем exit.

Чтобы продолжить установку XenServer.

06-xenserverДалее выбираем настройки нашей клавиатуры и далее следуя пунктам меню, уже все настройки по вашему смотрению.

 

 

 

Views: 15