Hrajeme si s KVM – 1
- Hrajeme si s KVM – 1
- Hrajeme si s KVM – 2
Dostala jsem úžasný nápad pronajmout si vlastní dedikovaný server a zprovoznit na něm KVM. V plánu je provozovat několik VPS serverů pro webové aplikace na PHP a MariaDB a taky monitoring služeb. Tak uvidím, do důchodu se mi to snad podaří. Server je Dell R440, CPU 10 core, 64GB RAM , 2xSATA 480GB. Jako systém jsem si po nějakém zkoušení zvolila Debian. Tak snad jsem si nevzala příliš velké sousto a podaří se mi to nějak zprovoznit. Jelikož mám jen jednu veřejnou IP adresu, tak budu muset zprovoznit ještě nějaký proxy server.
V iDracu jsem si na těch discích udělala RAID1 a spustila jsem instalaci Debianu 12.10.0 Bookworm. Při instalaci jsem zvolila jazyk English, země ČR a klávesnice českou, což vypadá nelogicky, ale když jsem dala anglickou klávesnici nešly mi psát čísla (joj to nevím co jsem zase dělala ale bylo to tak, tak uvidím jestli do budoucna bude s tímto problém).
Rozdělení disku dva primární oddíly sda1 1GB /boot a zbytek sda2 , kde jsem vytvořila LVM a 50GB pro / a zbytek bude po tom pro KVM.
|
1 2 3 4 5 |
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 446.6G 0 disk ├─sda1 8:1 0 953M 0 part /boot └─sda2 8:2 0 445.7G 0 part └─vg-vgroot 254:0 0 46.6G 0 lvm / |
Připojení k síti jsem nastavila manuálně a dále pokračovala ve standartní instalaci. Naistalovala systém a ssh, vytvořila uživatele. Po instalaci jsem neměla správně nakonfigurované repositáře tak, jsem ručně editovala nano /etc/apt/sources.list
|
1 2 3 |
deb http://deb.debian.org/debian bookworm main contrib non-free-firmware deb http://deb.debian.org/debian bookworm-updates main contrib non-free-firmware deb http://security.debian.org/debian-security bookworm-security main contrib non-free-firmware |
Sláva aktualizace mi už fungují.
Dále je v serveru dvouportová síťová karta, tak jdu udělat bond.
|
1 2 3 |
apt install ifenslave modprobe bonding nano /etc/network/interfaces |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eno1 iface eno1 inet manual bond-master bond0 # Second network interface allow-hotplug eno2 iface eno2 inet manual bond-master bond0 # Bond interface auto bond0 iface bond0 inet static address xxx.xxx.xxx.xxx/xxx gateway xxx.xxx.xxx.xxx dns-nameservers xxx.xxx.xxx.xxx bond-mode 1 bond-miimon 100 bond-slaves none bond-primary eno1 |
|
1 2 |
systemctl restart networking reboot |
Kupodivu mi po té ještě funguje připojení k internetu až se sama divím.
K serveru se bud připojovat přes ssh a proto si nainstaluji iptables , abych omezila přístup k serveru pomocí ssh
|
1 2 |
apt install iptables nano /root/firewall.sh |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
#!/bin/bash # Vyčistit všechna pravidla iptables -F iptables -X iptables -Z # Výchozí politika - odmítnout vše iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Povolit již navázaná spojení iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Povolit loopback iptables -A INPUT -i lo -j ACCEPT # Povolit SSH pouze z určitých IP adres iptables -A INPUT -p tcp --dport 22 -s xxx.xxx.xxx.xxx/24 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -s xxx.xxx.xxx.xxx -j ACCEPT # Povolit ICMP (ping) iptables -A INPUT -p icmp -j ACCEPT iptables-save > /etc/iptables.rules |
uložíme pravidla a nastavíme, aby se aplikovala i po rebootu
|
1 2 3 4 |
chmod +x /root/firewall.sh /root/firewall.sh nano /etc/network/if-pre-up.d/iptables |
|
1 2 3 |
#!/bin/bash iptables-restore < /etc/iptables.rules exit 0 |
|
1 |
chmod +x /etc/network/if-pre-up.d/iptables |