Установка kvm на centos 7. Устанавливаем CentOS в VirtualBox. Установим утилиты для iptables

Solaris, Haiku, REACT OS and much more.

KVM can be managed using a command line or available graphical tools. Virt-Manager (Virtual Machine Manager) is the most widely used application for managing KVM based virtual machines. It supports creating, editing, starting, and stopping KVM-based virtual machines, as well as the live or cold migration of guest machines between hosts.

Prerequisites

Install KVM on CentOS 7

Issue the following command to install latest qemu package and also virt-manager which provides a graphical interface to manage virtual machines.

Yum install -y qemu-kvm qemu-img virt-manager libvirt libvirt-python libvirt-client virt-install virt-viewer

• qemu-kvm = QEMU emulator
• qemu-img = QEMU disk image manager
• virt-install = Command line tool to create virtual machines.
• libvirt = Provides libvirtd daemon that manages virtual machines and controls hypervisor.
• libvirt-client = provides client-side API for accessing servers and also provides the virsh utility which provides command line tool to manage virtual machines.
• virt-viewer – Graphical console

Create Virtual Machine

Once you have installed KVM and other tools, it is all set to start creating virtual machines. We will look be looking at creating virtual machines both in command-line and graphical mode.

Command Line Mode

virt-install is used to create virtual machines using the command line mode, and this command needs multiple inputs from us to create a virtual machine such as CPU, Memory, disk, network, installation media location, OS variant and more.

Virt-install --name=itzgeekguest --ram=1024 --vcpus=1 --cdrom=/tmp/CentOS-6.5-x86_64-minimal.iso --os-type=linux --os-variant=rhel6 --network bridge=br0 --graphics=spice --disk path=/var/lib/libvirt/images/itzgeekguest.dsk,size=4

Note: The above command uses bridged networking “br0” for allowing virtual machines to communicate with outside network, you can find a tutorial on creating bridged networking with Virt Manager.

–name – Name of the Virtual machine

–ram – Memory size in MB

–vcpus – Virtual CPU’s in numbers

–cdrom – Location of the ISO image

–os-type – OS types like Linux, Windows, etc.

–os-variant – OS variant like RHEL 6, Solaris

–network – Networking

–graphics – Guest display settings

–disk path – Location of the disk with size of 4 GB

Once you’ve issued the above command, virt-install will create a virtual machine and starts virt viewer console for OS installation.

Install KVM (QEMU) on CentOS 7 – Guest Installation command Line Virt Viewer

Graphical Mode

Type the following command in the terminal in GUI mode.

Virt-manager

Application >> System Tools >> Virtual Machine Manager.

You may be asked to enter a password if you don’t have root access.

Once it is opened, right-click on localhost(QEMU) and Click on New. Virtual Machine Manager will start a new wizard for creating a virtual machine. You will find no difficulty in using this graphical mode.

Step 1 : You would require naming your virtual machine, in the same window, you would be asked to choose how would you like to install the operating system. Here I chose to install it from ISO image or CD-ROM.

Install KVM (QEMU) on CentOS 7 – Virt Manager – Create VM

Step 2 : Enter the location of ISO image as the physical CD-ROM pass through is not supported by the hypervisor, do not forget to choose operating system type and version.

Install KVM (QEMU) on CentOS 7 – Virt Manager – Installation Media

Step 3 : Configure CPU and memory for the virtual machine.

Install KVM (QEMU) on CentOS 7 – Virt Manager – Memory and CPU

Step 4 : You have to mention the amount of storage that you want to assign to a virtual machine, Uncheck on “Allocate entire disk now “, this will prevent from allocating full disk at the VM creation.

Disk size will be allocated dynamically depending on the virtual machine usage.

Install KVM (QEMU) on CentOS 7 – Virt Manager – Allocating Storage

Step 5 : Summary of all the settings, click on advanced settings to select bridged networking to allow the virtual machine to communicate outside the network.

Click on Finish.

Install KVM (QEMU) on CentOS 7 – Virt Manager – Summary

Step 6 : KVM will start to create a virtual machine depends on our input, once VM is created. Virt manager will start a console for OS installation.

The following screen shows the installation screen of .

Install KVM (QEMU) on CentOS 7 – Virt Manager – VM Console

Manage Virtual Machine

With the Virtual Machine Manager, you can perform VM’s life cycle actions such as start, power off, reset, clone and migration by right-clicking on the selected virtual machine.

Install KVM (QEMU) on CentOS 7 – Virt Manager

Managing virtual machine using virt manager is very simple, you can just click on “bulb” icon in the VM console. Here you can add, modify and remove devices.

Install KVM (QEMU) on CentOS 7 – Virt Manager – Managing VM

CentOS является одной из популярных систем на базе Linux, и по этой причине многие пользователи хотят с ней познакомиться. Устанавливать ее в качестве второй операционной системы на свой ПК - вариант не для каждого, но вместо этого можно поработать с ней в виртуальной, изолированной среде под названием VirtualBox.

Скачать CentOS можно совершенно бесплатно. Для удобства пользователей разработчики сделали 2 вариации дистрибутива и несколько способов закачки.

Сама операционная система есть в двух версиях: полная (Everything) и урезанная (Minimal). Для полноценного знакомства рекомендуется скачать полную версию - в урезанной нет даже графической оболочки, и для обычного домашнего использования она не предназначена. Если же вам нужна урезанная, на главной странице CentOS нажмите «Minimal ISO» . Оно скачивается ровно такими же действиями, что и Everything, загрузку которой мы рассмотрим ниже.

Скачать версию Everything можно через torrent. Поскольку примерный размер образа составляет порядка 8 ГБ.
Для скачивания выполните следующее:

Шаг 2: Создание виртуальной машины для CentOS

В VirtualBox каждая устанавливаемая операционная система нуждается в отдельной виртуальной машине (VM). На этом этапе выбирается тип системы, которая будет установлена, создается виртуальный накопитель и настраиваются дополнительные параметры.

На этом установка VM заканчивается.

Шаг 3: Настройка виртуальной машины

Этот этап необязателен, но будет полезен для некоторых базовых настроек и общего ознакомления с тем, что можно изменить в VM. Для входа в настройки нужно нажать правой кнопкой мыши по виртуальной машине и выбрать пункт «Настроить» .

Во вкладке «Система» - «Процессор» можно увеличить количество процессоров до 2. Это даст некоторый прирост к производительности CentOS.

Перейдя в «Дисплей» , можете добавить некоторое количество МБ к видеопамяти и включить 3D-ускорение.

Остальные настройки можно выставить по своему усмотрению и возвращаться к ним в любой момент, когда машина не запущена.

Шаг 4: Установка CentOS

Основной и последний этап: инсталляция дистрибутива, который уже был скачан.

1. Выделите кликом мыши виртуальную машину и нажмите на кнопку «Запустить» .

   

2. После запуска VM нажмите на папку и через стандартный системный проводник укажите место, куда вы скачали образ ОС.

   

3. Запустится установщик системы. При помощи стрелки вверх на клавиатуре выберите пункт «Install CentOS Linux 7» и нажмите Enter .

   

4. В автоматическом режиме будут произведены некоторые операции.

   

5. Начнется запуск инсталлятора.

   

6. Запустится графический установщик CentOS. Сразу же хотим заметить, что у этого дистрибутива один из самых проработанных и дружелюбных установщиков, поэтому работать с ним будет очень просто.

   Выберите ваш язык и его разновидность.

   

7. В окне с параметрами настройте:
   
8. Нажмите на кнопку «Начать установку» .

   

9. Во время установки (состояние отображается в нижней части окна как прогресс-бар) вам будет предложено придумать пароль root и создать пользователя.

   

10. Впишите пароль для прав root (суперпользователя) 2 раза и нажмите «Готово» . Если пароль будет простым, кнопку «Готово» потребуется нажать дважды. Не забудьте сперва переключить раскладку клавиатуры на английский язык. Текущий язык можно увидеть в правом верхнем углу окна.

    

11. Впишите желаемые инициалы в поле «Полное имя» . Строка «Имя пользователя» будет заполнена автоматически, но ее можно изменить вручную.

    При желании назначьте этого пользователя администратором, установив соответствующую галочку.

    Придумайте пароль для учетной записи и нажмите «Готово» .

    

12. Дождитесь установки ОС и нажмите на кнопку «Завершить настройку» .

    

13. Будут выполнены еще кое-какие настройки в автоматическом режиме.

    

.



14. Появится загрузчик GRUB, который по умолчанию через 5 секунд продолжит загрузку ОС. Можно сделать это вручную, не дожидаясь таймера, нажав на Enter .

    

15. Появится окно загрузки CentOS.

    

16. Снова отобразится окно с настройками. На этот раз нужно принять условия лицензионного соглашения и настроить сеть.

    

17. Поставьте галочку в этом коротком документе и нажмите «Готово» .

    

18. Чтобы включить интернет, нажмите на параметр «Сеть и имя узла» .

    Кликните на регулятор, и он сдвинется вправо.

    

19. Нажмите на кнопку «Завершить» .

    

20. Вы попадете на экран входа в учетную запись. Кликните на нее.

    

21. Переключите раскладку клавиатуры, введите пароль и нажмите «Войти» .

    

Теперь вы можете начинать пользоваться операционной системой CentOS.

Установка CentOS - одна из самых простых, и может быть без труда выполнена даже новичком. Эта операционная система по первым впечатлениям ощутимо может отличаться от Windows и быть непривычной, даже если вы ранее пользовались Ubuntu или MacOS. Однако в освоении этой ОС не возникнет особых сложностей благодаря удобному окружению рабочего стола и расширенному набору приложений и утилит.

KVM — это инфраструктура виртуализации для Linux, для которой процессор с аппаратным расширением виртуализации может принимать гостевые системы.

KVM — это удобное решение для тестирования различных операционных систем, если у вас нет возможности приобретать дорогостоящие и энергоемкие физические устройства.

В приведенном ниже руководстве представлена установка и настройка KVM (QEMU) вместе с конфигурацией Linux Bridge в операционной системе CentOS7 / RedHat7.

1. Проверьте поддержку виртуализации оборудования процессора

Наш процессор должен поддерживать аппаратную виртуализацию (VT-x), чтобы стать Hypervisor KVM и хостом виртуальных машин (гостевые операционные системы):

# lscpu Architecture: x86_64 CPU op-mode(s): 32-bit, 64-bit Byte Order: Little Endian CPU(s): 4 On-line CPU(s) list: 0-3 Thread(s) per core: 2 Core(s) per socket: 2 Socket(s): 1 NUMA node(s): 1 Vendor ID: GenuineIntel CPU family: 6 Model: 42 Model name: Intel(R) Core(TM) i5-2520M CPU @ 2.50GHz Stepping: 7 CPU MHz: 800.000 BogoMIPS: 4988.58 Virtualization: VT-x L1d cache: 32K L1i cache: 32K L2 cache: 256K L3 cache: 3072K NUMA node0 CPU(s): 0-3

2. Отключите и остановите NetworkManager

Известно, что NetworkManager вызывает проблемы при работе с Linux Bridge, поэтому для нас лучше отключить его:

# systemctl stop NetworkManager # systemctl disable NetworkManager Removed symlink /etc/systemd/system/multi-user.target.wants/NetworkManager.service. Removed symlink /etc/systemd/system/dbus-org.freedesktop.NetworkManager.service. Removed symlink /etc/systemd/system/dbus-org.freedesktop.nm-dispatcher.service.

3. Установите пакеты, связанные с KVM

# yum install qemu-kvm qemu-img libvirt libvirt-python libvirt-client virt-install virt-viewer virt-manager

4. Запустите и включите демон libvirtd

# systemctl enable libvirtd # systemctl start libvirtd

5. Установите общесистемные привилегии для KVM

Нам нужно добавить нашего обычного пользователя tuxfixer в группу kvm, чтобы он мог запустить virt-manager

# usermod -a -G kvm tuxfixer

Нам также необходимо установить правила polkit (policy kit) для KVM.
Редактируем файл 49-polkit-pkla-compat.rules:

# vim /etc/polkit-1/rules.d/49-polkit-pkla-compat.rules

и добавьте следующее:

Polkit.addRule(function(action, subject) { if (action.id == "org.libvirt.unix.manage" && subject.isInGroup("kvm")) { return polkit.Result.YES; } });

6. Создайте мост KVM Linux Bridge (модемный сетевой интерфейс гипервизора KVM с сетевыми интерфейсами VM)

В этом уроке мы хотим, чтобы виртуальные машины получали свои IP-адреса из той же сети, где подключен хост KVM Hypervisor, поэтому мы подключим его основной сетевой интерфейс (em1) к сетевым интерфейсам VM.

Для этого нам нужно создать Linux Bridge из интерфейса em1 на хосте KVM Hypervisor.

Текущая конфигурация сети Hypervisor (сразу после установки KVM):

# ip a 1: lo: mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6::1/128 scope host valid_lft forever preferred_lft forever 2: em1: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether d0:67:e5:33:15:3f brd ff:ff:ff:ff:ff:ff inet 192.168.2.3/24 brd 192.168.2.255 scope global dynamic em1 valid_lft 73193sec preferred_lft 73193sec inet6 fe80::d267:e5ff:fe33:153f/64 scope link valid_lft forever preferred_lft forever 3: wlp3s0: mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 00:24:d7:f4:dc:e8 brd ff:ff:ff:ff:ff:ff 4: virbr0: mtu 1500 qdisc noqueue state DOWN link/ether 52:54:00:b7:22:b3 brd ff:ff:ff:ff:ff:ff inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0 valid_lft forever preferred_lft forever 5: virbr0-nic: mtu 1500 qdisc pfifo_fast master virbr0 state DOWN qlen 500 link/ether 52:54:00:b7:22:b3 brd ff:ff:ff:ff:ff:ff

Файл конфигурации ifcfg-em1 (до создания моста KVM Linux Bridge):

# cat /etc/sysconfig/network-scripts/ifcfg-em1 DEVICE="em1" TYPE="Ethernet" BOOTPROTO="none" NAME="em1" ONBOOT="yes" HWADDR="D0:67:E5:33:15:3F" IPADDR=192.168.2.3 PREFIX=24 GATEWAY=192.168.2.1 PEERDNS="no" NM_CONTROLLED="no"

Для настройки сети KVM мы будем использовать приложение virt-manager, которое является удобным интерфейсом GUI для интерфейса командной строки KVM.

Примечание. Интерфейс virbr0 был создан автоматически вместе с установкой KVM и представляет виртуальную сеть, существующую «внутри» среды KVM с NAT (трансляция сетевых адресов).

Поскольку мы не нуждаемся в NAT в среде KVM (мы хотим скрыть интерфейс Hypervisor), мы можем удалить существующую виртуальную сеть KVM на основе интерфейса virbr0.

Запустите virt-manager от пользователя root:

# virt-manager

… должно появиться окно virt-manager:

Правый щелчок на QEMU/KVM -> Details -> Virtual Networks -> Disable network: “default” -> Delete network: “default” based on virbr0

Теперь мы можем подключить интерфейс Hypervisor KVM (em1):

Щелкните правой кнопкой мыши:QEMU/KVM -> Details -> Network Interfaces -> Add Interface :

• Interface type: Bridge
• Interface name: br-em1
• Start mode: on boot
• Activate now: enabled
• IP settings: copy configuration from ’em1′
• Bridge settings: STP on, delay 0.00 sec

… нажмите Finish, чтобы переопределить существующую конфигурацию и создать KVM Linux Bridge.

Теперь мы можем проверить вновь созданный Linux Bridge (br-em1):

Проверьте текущую конфигурацию IP (теперь IP назначается br-em1, а em1 действует теперь только как интерфейс):

# ip a 1: lo: mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6::1/128 scope host valid_lft forever preferred_lft forever 2: em1: mtu 1500 qdisc pfifo_fast master br-em1 state UP qlen 1000 link/ether d0:67:e5:33:15:3f brd ff:ff:ff:ff:ff:ff 3: wlp3s0: mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 00:24:d7:f4:dc:e8 brd ff:ff:ff:ff:ff:ff 6: br-em1: mtu 1500 qdisc noqueue state UP link/ether d0:67:e5:33:15:3f brd ff:ff:ff:ff:ff:ff inet 192.168.2.3/24 brd 192.168.2.255 scope global br-em1 valid_lft forever preferred_lft forever inet6 fe80::d267:e5ff:fe33:153f/64 scope link valid_lft forever preferred_lft forever

Проверьте настройку моста:

# brctl show bridge name bridge id STP enabled interfaces br-em1 8000.d067e533153f yes em1

Теперь KVM Linux мост настроен, и мы можем продолжить установку виртуалки.

У меня имеется только что установленный сервер с CentOS 7 на VDS с виртуализацией KVM.

Я расскажу о том, как сделать базовую настройку сервера для использования его в любом качестве на ваше усмотрение. Это может быть web сервер , vpn сервер , сервер мониторинг а.

Я расскажу о начальных настройках системы CentOS, которые повышают безопасность и удобство работы с сервером. Отмечу, что в 7-й версии системы произошли некоторые изменения по сравнению с предыдущими версиями.

1. Введение
2. Начальная настройка CentOS 7
3. Указываем сетевые параметры
4. Настраиваем firewall
5. Настройка SSH в CentOS 7
6. Настраиваем время
7. Добавление репозиториев
8. Заключение
9. Видео по настройке CentOS 7

Введение

Начальная настройка CentOS 7

Итак, у нас имеется:

# uname -a
Linux zeroxzed.ru 3.10.0-123.20.1.el7.x86_64 #1 SMP Thu Jan 29 18:05:33 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Первым делом обновим базовую систему:

# yum -y update

Для удобства администрирования, я всегда устанавливаю Midnight Commander, или просто mc:

# ifconfig

И увидите ответ:

Bash: ifconfig: command not found

По крайней мере я, когда впервые это увидел, прилично удивился. Подумал, что ошибся в написании команды, перепроверил все несколько раз, но без результата. Оказалось, что надо отдельно установить пакет для выполнения ifconfig и прочих сетевых утилит.

Вместо ifconfig в CentOS 7 теперь утилита ip . Я не понимаю, зачем пилить отдельные программы для управления сетевыми настройками, если ifconfig и так отлично справляется с задачей. К тому же мне всегда нравилось, что в различных дистрибутивах линукс все примерно одинаковое. С помощью ifconfig можно настроить сеть не только в linux, но и в freebsd. Это удобно. А когда в каждом дистрибутиве свой инструмент это неудобно. Так что предлагаю установить привычный ifconfig.

Сделаем это:

# yum -y install net-tools.x86_64

Теперь, чтобы у нас работали команды nslookup или, к примеру, host необходимо установить пакет bind-utils. Если этого не сделать, то на команду:

# nslookup

Будет вывод:

Bash: nslookup: command not found

Так что устанавливаем bind-utils:

# yum -y install bind-utils

Отключаем SELinux. Его использование и настройка отдельный разговор. Сейчас я не буду этим заниматься. Так что отключаем:

# mcedit /etc/sysconfig/selinux

меняем значение SELINUX=disabled

Чтобы изменения вступили в силу, перезагружаемся:

# reboot

Указываем сетевые параметры

Теперь произведем настройку сети в CentOS. Для этого открываем файл /etc/sysconfig/network-scripts/ifcfg-eth0

# mcedit /etc/sysconfig/network-scripts/ifcfg-eth0

В поле IPADDR вводим свой адрес, в NETMASK маску сети, в GATEWAY шлюз, DNS1 адрес днс сервера. Сохраняем файл и перезапускаем сеть для применения настроек:

# /etc/init.d/network restartНастраиваем firewall

Очень подробно вопрос настройки iptables в CentOS 7 я рассмотрел отдельно. Сейчас мы быстро и просто настроим firewall. В CentOS 7 в качестве фаервола выступает iptables. По-умолчанию он запущен. Чтобы посмотреть текущие правила, нужно ввести команду:

# iptables -L -v -n

Сразу хочу предупредить, что не имея доступа к консоли сервера, настраивать firewall плохая идея. Даже если вы очень хорошо понимаете что делаете и проделывали подобное много раз, все равно есть шанс остаться без доступа к серверу. Так что первым делом перед настройкой iptables проверяем доступ к консоли через KVM или физически.

В 7-й версии CentOS для управления iptables разработан новый инструмент под названием firewalld и все управление производится через него. Я не понял зачем это сделали, и не могу сказать, удобнее с ним стало или нет. По мне, так удобнее использовать одни и те же наработки по iptables. Мигрируя от сервера к серверу и от дистрибутива к дистрибутиву, я просто редактирую скрипт настроек фаервола.

Но CentOS зачем-то придумали firewalld, в Ubuntu стоит ufw, но суть одна и та же - это утилиты для конфигурирования iptables, который один и тот же во всех дистрибутивах. Я привык управлять iptables через самописный скрипт, который переношу от сервера к серверу и редактирую под конкретные потребности. Этим скриптом я и поделюсь. Так что для начала остановим и отключим firewalld:

# systemctl stop firewalld
# systemctl disable firewalld
rm "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service"
rm "/etc/systemd/system/basic.target.wants/firewalld.service"

Установим утилиты для iptables:

# yum -y install iptables-services

Включим автозапуск iptables:

# systemctl enable iptables

Теперь создадим файл /etc/iptables_rules.sh следующего содержания:

#!/bin/bash
#
# Объявление переменных
export IPT="iptables"

# Интерфейс который смотрит в интернет
export WAN=eth0
export WAN_IP=149.154.71.205

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT

# Логирование
# Все что не разрешено, но ломится отправим в цепочку undef

$IPT -N undef_in
$IPT -N undef_out
$IPT -N undef_fw
$IPT -A INPUT -j undef_in
$IPT -A OUTPUT -j undef_out
$IPT -A FORWARD -j undef_fw

# Логируем все из undef

$IPT -A undef_in -j LOG --log-level info --log-prefix "-- IN -- DROP "
$IPT -A undef_in -j DROP
$IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP "
$IPT -A undef_out -j DROP
$IPT -A undef_fw -j LOG --log-level info --log-prefix "-- FW -- DROP "
$IPT -A undef_fw -j DROP

# Записываем правила
/sbin/iptables-save > /etc/sysconfig/iptables

В принципе, добавить нечего, в файле даны все комментарии. В таком виде, логи всего заблокированного будут писаться в файл /var/log/messages и записей там будет очень много. Так что в обычной работе эти строки нужно закомментировать, и использовать только во время отладки. Более подробное описание правил и примеры настроек firewall в случае, когда ваш сервер является шлюзом локальной сети, приведено по ссылке в начале раздела.

Делаем файл c правилами исполняемым и запускаем:

# chmod 0740 /etc/iptables_rules.sh
# /etc/iptables_rules.sh

Проверяем, применились ли правила:

# iptables -L -v -n

При каждом запуске файла с правилами iptables, все изменения записываются в файл /etc/sysconfig/iptables и применяются при загрузке системы.

Настройка SSH в CentOS 7

Дальше внесем некоторые изменения в работу ssh для увеличения безопасности. По-умолчанию, сервис работает на 22 порту и если все оставить как есть, то мы получим огромное количество попыток авторизоваться. Боты сканят непрерывно интернет и подбирают пароли к ssh. Чтобы обезопасить себя от сканов простых ботов, изменим порт, на котором работает ssh. Можно выбрать любой пятизначный номер, это не принципиально. От автоматического сканирования это защитит.

Повесим демон ssh на 25333 порт. Для этого редактируем файл /etc/ssh/sshd_config

# mcedit /etc/ssh/sshd_config

Раскомментируем строку Port 22 и заменим значение 22 на 25333.

Так же я обычно разрешаю подключаться по ssh пользователю root. Мне так удобнее. Проблем с этим у меня никогда не возникало. Если вы считаете, что это не безопасно, не трогайте эту настройку. Чтобы разрешить пользователю root подключаться по ssh, раскомментируйте строку PermitRootLogin yes.

Сохраняем файл. Теперь обязательно изменяем настройки iptables, добавляем в разрешенные подключения вместо 22 порта 25333. Если этого не сделать, то после перезапуска sshd мы потеряем удаленный доступ к серверу. Итак, открываем /etc/iptables_rules.sh и меняем в строке

$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT

22 на 25333 и исполняем файл.

Наше текущее соединение не оборвется, так как оно уже установлено, но заново подключиться по ssh к 22 порту уже н получится.

Перезапускаем sshd:

# systemctl restart sshd

Проверяем какой порт слушает sshd:

# netstat -tulpn | grep sshd
tcp 0 0 0.0.0.0:25333 0.0.0.0:* LISTEN 1799/sshd
tcp6 0 0:::25333:::* LISTEN 1799/sshd

Если вывод такой же как у меня, то все в порядке, теперь к ssh можно подключаться по 25333 порту.

Настраиваем время

Узнать, какое время на сервере можно с помощью команды date:

Чтобы сменить часовой пояс, необходимо выбрать подходящий файл часовой зоны в /usr/share/zoneinfo. В случае, если у вас часовой пояс Москвы, выполните следующее:

# mv /etc/localtime /etc/localtime.bak
# ln -s /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Устанавливаем утилиту синхронизации времени в CentOS:

# yum install -y ntp

Разово синхронизируем время:

# /usr/sbin/ntpdate pool.ntp.org

Если ntpdate не работает, посмотрите материал, может это ваш случай. Запустим демон синхронизации и запишем его запуск в автозагрузку:

# systemctl start ntpd
# systemctl enable ntpd
ln -s "/usr/lib/systemd/system/ntpd.service" "/etc/systemd/system/multi-user.target.wants/ntpd.service"

Теперь наши часы будут автоматически синхронизироваться с сервером времени.

Более подробно об этой теме написано отдельно в моем материале - установка, настройка и синхронизация времени в CentOS.

Добавление репозиториев

Для инсталляции различного софта необходимо подключить репозитории в CentOS. Наиболее популярные это EPEL и rpmforge, поэтому добавим их. Сначала ставим EPEL. С ним все просто, он добавляется из стандартного репозитория:

# yum -y install epel-release

Устанавливаем rpmforge:

# rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt
# yum -y install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm

Установка iftop, atop, htop на CentOS 7

И напоследок добавим несколько полезных утилит, которые могут пригодиться в процессе эксплуатации сервера.

iftop показывает в режиме реального времени загрузку сетевого интерфейса, может запускаться с различными ключами, не буду останавливаться на этом подробно, в интернете есть информация на эту тему. Ставим:

# yum -y install iftop

И два интересных диспетчера задач, я чаще всего пользуюсь htop, но иногда пригодится и atop. Ставим оба, сами посмотрите, разберетесь, что вам больше нравится, подходит:

# yum -y install htop
# yum -y install atop

Вот как выглядит htop:

На этом у меня все. Базовая настройка CentOS 7 закончена, можно приступать к установке и настройке основного функционала.

Видео по настройке CentOS 7

Заключение

Мы выполнили некоторые начальные шаги по настройке, которые я обычно делаю при подготовке сервера. Я не претендую на абсолютную истину, возможно что-то упускаю или делаю не совсем верно. Буду рад разумным и осмысленным комментариям и замечаниям с предложениями.

Полезно после настройки сразу же подключить сервер к системе мониторинга. Либо настроить ее, если у вас еще нет.

За информацию спасибо: http://serveradmin.ru

Если вы читаете эту статью, то, скорее всего, отлично понимаете, зачем вам нужен веб-сервер и останавливаться на этом я не буду. Но и просто описать, как происходит установка CentOS 7 и как настроить окружение, мне показалось неинтересным. Поэтому мы возьмем Windows, VirtualBox и будем настраивать веб-сервер в виртуальной машине, в виртуальной сети. Параллельной задачей, кроме как разобраться с установкой и настройкой веб-сервера на Linux, будем создавать удобную среду на подобии OpenServer или Denwer, но со всеми преимуществами полноценного nix-сервера.

Что нам понадобится

Создаем контейнер виртуальной машины для CentOS в VirtualBox

Запускаем VirtualBox, заходим в настройки и смотрим конфигурацию виртуальной сети:

Ок, сеть 192.168.56.0/24, DHCP раздает адреса со 101 по 254. Запомним эту информацию.

Переходим к созданию контейнера для CentOS 7. Для этого нажимаем на кнопочку “Создать” и переключаемся в “Экспертный режим”.
Тип OS – Linux, Версия – RedHat (64-bit). Объем ОЗУ поставим в 512 Мб, работать будем только в консоли, так что этого нам хватит с запасом. Жесткий диск создаем новый.


Нажимаем кнопку “Создать” и определяем конфигурацию жесткого диска – можно все оставить по умолчанию: размер 8Гб (можете сразу увеличить, если понимаете, что вам не хватит), тип VDI, Динамический. Снова нажимаем кнопку “Создать”.

Контейнер для виртуальной машины создан. Немного подкорректируем настройки:

На вкладке “Система”->”Материнская плата” меняем порядок загрузки:


Ставим в “Процессорах” 2 штуки и галочку PAE/NX


Переходим в “Дисплей” и добавляем видеопамяти до 16 Мб. Ускорение графики нам ни к чему, т.к. у нас только консоль.


Переходим в носители и указываем наш образ с CentOS 7.




Сеть. Мы будем использовать 2 интерфейса. Первый в режиме bridge (сетевой мост). В селекте “Имя” выберите тот интерфейс, через который вы подключаетесь к вашему роутеру. Это позволит виртуалке получить IP из вашей домашней сети, что часто полезно и интернет она будет получать от вашего роутера. Если у вас не так (ходите в интернет без роутера), или вы планируете, что вашей виртуалке всегда нужен будет интернет – используйте NAT.


Для второго интерфейса выбираем “Виртуальный адаптер хоста” для подключения к виртуальной сети. Благодаря этому, ваш web-сервер будет доступен вне зависимости от того, в какой сети вы работаете. Если бы мы ограничились только первым адаптером, то как только вы отключитесь от вашего роутера, пришлось бы переконфигурировать сетевое соединение под новые условия. А так веб-сервер будет вам всегда доступен в виртуальной сети.


Ну и последним шагом отключим USB. Вряд ли нам понадобится.


На это собственно все, запускаем виртуальную машину.

Запуск установщика CentOS 7

Если вы все сделали правильно, у вас запустится установщик и начнется установка CentOS 7 (а если не запустился, проверьте еще раз порядок загрузки и, что в носителях у нас указан iso с дистрибутивом CentOS 7). Выбираем первый пункт – Install CentOS 7 (обратите внимание, что по умолчанию выбран второй пункт “Test this media…” – если вы выбрали его то можете подождать пока не проверятся контрольные суммы образа, а можете во время проверки нажать Esc).

На первом шаге нам предлагают выбрать язык установщика. Оставляем все как есть и нажимаем кнопку Contunue.


Второй шаг – основное меню установщика.

Настройка локализации и даты/времени

Настройки с датой/временем и языковые настройки оставим как есть. Эти моменты мы настроим потом вручную – это полезно в качестве практики. Если вы покупаете VDS, например, в Германии, трудно ожидать, что языковые настройки будут русские и время выставлено по Москве.

Выбираем профиль безопасности

Настраиваем профиль безопасности – SECURITY. Нажимаем Security Policy, выбираем Standart System Security Profile. Нажимаем кнопку “Select Profile”, затем “Done”.

Выбор диска для установки и отключение kdump

Переходим к группе SYSTEM.

Отключим механизм сбора информации о сбоях ядра KDUMP. Заходим в КDUMP, снимаем галочку с “Enable kdump” и нажимаем “Done”.

Разбиение для жесткого диска то же оставим без изменения. Нажмите “Installation destination”, выберите наш жесткий диск. Убедитесь, что установлена галочка “Automatically configure partitions” и нажимайте “Done”.

Настройка сети

Переходим к настройке сетевых интерфейсов. Нажимаем NETWORK&HOST NAME и переходим к окну конфигурации. Первым делом задайте hostname для вашего сервера – у меня это web.local, вы можете повторить за мной или же написать все что хотите.

Теперь посмотрим на список сетевых интерфейсов. Первый у нас для интернета, настройки он получает от роутера по DHCP или через NAT. Давайте включим его, установив переключатель в статус ON. Статус должен сменится на connected и интерфейс получить IP адрес.


Теперь нажмем кнопку “Configure” и на закладке “General” установим галочку “Automatically connect to the…” – для того что бы при загрузке операционной системы, интерфейс был сразу включен.
Отключаем IPv6 (конечно если вы им не пользуетесь 😉) На закладке “IPv6 Settings” ставим “Method” в Ignore. Нажимаем “Save”.

Переходим ко второму интерфейсу. Включаем, и видим что IP адрес получили уже от DCHP виртуальной сети. Но адрес который может в один прекрасный момент поменяться, нам не подходит. Давайте зададим статический. Нажимаем “Configure” и первым делом, по аналогии с первым интерфейсом, задаем автоматическое включение и отключаем IPv6. Затем переходим на закладку “IPv4 Settings”. “Method” выбираем Manual, в списке адресов Addresses нажимаем Add и добавляем IP адрес.

Помните, выше мы запомнили с вами настройки виртуальной сети? DHCP раздает адреса начиная с 56.101, следовательно нам надо выбрать адрес меньше чем 101. Я выбрал 192.168.56.80. Задаем маску подсети 24 и нажимаем “Save”. Настройка сети завершена, жмем “Done”.

Ну вот установка CentOS 7 почти закончена. Нажимаем кнопку “Begin Installation” и процесс установки запускается.

Пароль root и пользователь для работы

Пока идет установка зададим пароль администратора.

Так же можно создать учетную запись из под которой будем работать. Нажимаем “USER CREATION” и задаем логин, пароль и ставим галочку “Make this user administrator”, что поместить нашего пользователя в группу wheel. Обратите внимание – если задали пароль, который установщик посчитал слабым – то на кнопку “Done”, надо будет нажать два раза. На общедоступных серверах такие пароли конечно же ставить нельзя, но в рамках нашей задачи с паролем можно особо не мудрить.

Теперь осталось немного подождать, пока установятся все пакеты и по завершении нажать кнопку Reboot. Поздравляю, установка CentOS 7 завершена.

Запуск виртуальной машины с CentOS 7

Запуск виртуальной машины в VirtualBox возможен в трех режимах:

1. Обычный запуск. В этом случае виртуальная машина загрузится в обычном окне, которое будет тем или иным способом присутствовать у вас на рабочем столе или в свернутом виде на панели задач. Это конечно не совсем удобно, особенно когда виртуалка перехватывает мышь.
2. Запуск в фоновом режиме. В этом случае виртуальная машина запускается фоновым процессом и после того как она загрузилась, мы можем спокойно закрыть основное окно VirtualBox. Процесс останется и мы можем, например, спокойно подключится к серверу по ssh.
3. И наконец запуск в фоновом режиме с интерфейсом. Виртуальная машина загрузится в окне, но при необходимости, мы можем отправить ее в фон.

Запуск в фоне конечно очень удобен, но отсутствие всякой индикации о состоянии виртуальной машины или просто о факте такого запуска весьма напрягает. Но мир не без добрых людей и тут нам поможем утилитка . Она запускает выбранную виртуалку в фоновом режиме и помещает в трей иконку.

Нажав по иконке правой кнопкой увидим меню, с помощью которого можно управлять запущенной виртуальной машиной. Согласитесь, так это делать намного удобнее.

Подключении по ssh с помощью putty

Работать с сервером намного удобнее используя ssh-клиент. Вот уже многие годы стандартом для win систем остается putty. Подробно на всех настройках этого клиента я останавливаться не буду, давайте просто подключимся к нашему серверу. Запускаем putty и вводим в “HostName” IP адрес нашего сервера 192.168.56.80. Подключатся к нему мы будем постоянно, поэтому давайте сохраним этот IP в списке. В “Saved Sessions” вводим название и нажимаем кнопку “Save”. А что бы подключится – нажимаем “Open”.


и видим строку приглашения нашего сервера:

После того как установка CentOS 7 завершена – нам надо сделать немало настроек, что бы подстроить сервер под себя. Об этом следующей части.