Комментарии

Галерея

Опрос

Из каких стран идет больше всего спама, попыток взлома на ваши серверы?:

Домашний сервер на базе Intel Atom (Системное ПО)

Аватар пользователя isn
     

Если с железом более-менее понятно, расскажу немного о системном софте.

На базе какой ОС создавать домашний сервер? Логичный ответ: на той, которую лучше знаете!
После нескольких лет использования Linux дома и на работе грех было не воспользоваться навыками. Не вижу особого смысла рассказывать про установку. Те кто созрел для домашнего сервера, банальной качалки торрентов хотя бы, способны вставить диск в привод и запустить инсталлятор. Гораздо интереснее рассказать о полезных мелочах в настройке.

Разбивка диска на разделы

Способов существует масса и каждый имеет право на существование. Начиная со схемы один диск – один раздел и вплоть до RAID и логических томов. Я пока остановился на самом простом варианте:
/boot – ext3 – 75Mb
/ – ext4 – 7Gb
/home и др. раздел с данных – xfs – всё оставшееся место,
/tmp – на tmpfs, делается не более объёма установленной памяти включая swap.

Мне понадобилось объединить несколько дисков в один большой. Способов в Linux несколько: raid0, lvm, aufs2 и mhddfs и др. Безусловный плюс первого варианта – скорость, минус – низкая надежность массива. LVM отличается гибкостью в плане расширения, но имеет сложности если понадобится убрать диск из массива. Aufs2 и mhddfs для этой задачи идеальны. Они реализуют каскадно-объединённое монтирование для файловых систем Linux – т. е. содержимое нескольких точек монтирования видится как один каталог. Если aufs2 работает на уровне ядра (выше производительность), то mhddfs это файловая система пространства пользователя, работающая через fuse. Её собственно и выбрал.

Защита удалённого доступа

Тоже важный момент в настройке. Подключенный к интернету компьютер с запущенными демонами и открытыми наружу портами всегда привлекает внимание желающих его взломать. Обычно это боты с чьих-то уже захваченных компьютеров. Есть несколько механизмов защиты: файрвол, правильная настройка демонов, использование специальных программ. Если про настройку iptables и конфигурирование демонов написано немало инструкций, то про использовании программ защиты упоминается реже. А потребность в них есть. Кому понравится когда ежеминутно на сервер ломятся боты, сканируют порты, подбирают пароли на SSH?

От сканеров портов хорошо помогает portsentry. Почему-то эту программу редко включают в дистрибутивы. Руководство по настройке.

Против желающих получить SHELL – с задачей справляется denyhosts. По поводу защиты ssh всё-таки напомню, что необходимо запретить логин для пользователя root

#########  /etc/ssh/sshd_config  ##################
PermitRootLogin no
 
## Разрешить подключение только нужным пользователям ####
AllowUsers user1
 
## Запретить явно всех остальных см. в /etc/passwd ####
DenyUsers root clamav named squid proxy bash bin daemon adm lp sync shutdown mail halt uucp operator games nobody rpm vcsa apache mailnull smmsp distcache  ntp nscd webalizer tcpdump dbus avahi hsqldb torrent rpcuser nfsnobody haldaemon xfs gdm backuppc mysql ftp postfix cyrus smolt ldap nut polkituser pulse rpc virtual exim dovecot
######### ####################################

Управление питанием

Nut – имеет поддержку многих моделей UPS. Сервер, маршрутизатор и десктоп были подключены в одному ИБП APC Back UPS 525. Расстояние от сервера до ИБП около 7м. Вопрос с подключением решил с помощью удлинителей. Были опасения насчёт нормальной работы USB интерфейса при их использовании – 1,8м штатного и дополнительного 5-ти метрового. Однако опасения не оправдались – данная связка работает стабильно. Во время работы демон nut опрашивает ИБП. При пропадании напряжения в сети когда емкость батареи приблизится к минимуму подает команду на выключение. В случае если имеется подчиненный компьютер (в моем случае это десктоп), сначала отключается он и затем сам сервер.

Мониторинг

Системные утилиты:
lm_sensors – встроенные датчики материнской платы,
fancontrol – управление вентилятором,
hddtemp – температура жестких дисков.

Мониторинг в реальном времени
Для этого пришлось пересобрать пакет gkrellm. Разделил серверную и клиентскую части, чтобы не тянуть лишние зависимости от библиотеки gtk.

Сбор статистики
Вообще программ для мониторинга существует множество. Испробовать все не представлялось возможным. После изучения описаний и отзывов пользователей заинтересовался двумя из них.
Mrtg это простая утилита с использованием perl и shell скриптов, графики генерирует незатейливые, с минимумом анализируемых параметров. Запускать можно по cron'у либо в качестве демона.
Collectd это уже более серьезный сервер мониторинга со своим init-скриптом. Имеется более 90 готовых плагинов на все случаи. Одно из преимуществ Collectd относительно низкие системные требования т. к. сама программа написана на C. Во время работы Collectd собирает параметры системы и формирует исходные данные для rrdtool.

Эта статья единственная попалась мне в рунете по этой теме. И скажу - удовлетворен что нарвался именно на нее. Хотя нужно бы развить данный вопрос. Для читателей этого сайтика скажу - актуально, рекомендую!!!!

Отправить комментарий