Рассмотрим несколько основных ресурсов/объектов в Kubernetes Ресурс/Объект Pod Pod — минимальная базовая единица Kubernetes, представляет собой группу из одного или нескольких контейнеров (например, контейнеров Docker) с общим хранилищем / сетью и спецификацией для запуска контейнеров Сам по себе не может перезапускаться автоматически при ручном или аварийном завершении своей работы. Поэтому выше над Pod-ом существуют другие […]
Записи с меткой ‘iptables’
Базовая работа с Kubernetes — часть 2
Апрель 1st, 2019 
Evgeniy Kamenev 
Опубликовано в рубрике Containerization, DevOps 
Метки: iptables, kubectl, kubernetes, yaml 
Комментарии к записи Базовая работа с Kubernetes — часть 2 отключеныУстановка CSF на LXC-контейнер с Centos6. Обновление iptables
Март 15th, 2018 Evgeniy Kamenev После установки CSF (ConfigServer Security & Firewall) на Centos6, запущенном в LXC-контейнере на ноде под ProxMox(Debian9) проверка наличия требуемых модулей Iptables для корректной работы CSF не проходит успешно В результате такой проверки отсутствуют некоторые модули,при этом на ноде,на которой размещен LXC-контейнер, эти модули присутствуют(загружены) Установка CSF Более полная версия с необходимы пакетами доступна здесь https://kamaok.org.ua/?p=800 […]
Интеграция Fail2ban c CSF для защиты WordPress от bruteforce-атак
Октябрь 23rd, 2015 Evgeniy Kamenev 1. Установка, остановка и удаление с автозагрузки Fail2ban
|
1 |
# apt-get install fail2ban |
|
1 |
# service fail2ban stop |
|
1 |
# update-rc.d -f fail2ban remove |
2.Настройка запуска fail2ban средствами CSF
|
1 |
# nano /etc/csf/csfpost.sh |
|
1 2 |
#!/bin/sh /etc/init.d/fail2ban restart |
3.Отклчючение всех фильтров в Fail2ban
|
1 |
# sed -i "s|enabled = true|enabled = false|g" /etc/fail2ban/jail.conf |
4. Настройка поддержки CSF в Fail2ban
|
1 |
# nano /etc/fail2ban/action.d/csf-ip-deny.conf |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
[Definition] actionstart = actionstop = actioncheck = actionban = csf -d <ip> Added by Fail2Ban for <name> # curl https://www.cloudflare.com/api_json.html -d 'a=ban' -d 'tkn=<cftoken>' -d 'email=<cfuser>' -d 'key=<ip>' actionunban = csf -dr <ip> # curl https://www.cloudflare.com/api_json.html -d 'a=nul' -d 'tkn=<cftoken>' -d 'email=<cfuser>' -d 'key=<ip>' # [Init] ###### Default Cloudflare API token # cftoken = XXXXXXXXXXXXXXXXXXXXXXXXXX ###### Default Cloudflare username # cfuser = me@example.com |
Если используется Cloudflare, то расскоментируем все строки с одним знаком комментария 5.Замена для всех фильтров Fail2ban действия блокировки на созданный «csf-ip-deny»
|
1 |
# sed -i -e "s|banaction = |banaction = csf-ip-deny\n#banaction = |" /etc/fail2ban/jail.conf |
6. […]
Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security, Security Метки: cloudflare, csf, fail2ban, iptables Комментарии к записи Интеграция Fail2ban c CSF для защиты WordPress от bruteforce-атак отключеныУстановка и настройка Config Server Firewall на Centos/Debian
Апрель 17th, 2015 Evgeniy Kamenev 1.Установка необходимых зависимостей Config Server Firewall Centos
|
1 |
# yum install perl-libwww-perl |
|
1 |
# yum install perl-Time-HiRes |
Debian
|
1 |
# apt-get install libwww-perl |
|
1 |
# apt-get install Time-HiRes |
2.Установка Config Server Firewall
|
1 |
# wget http://www.configserver.com/csf.tgz |
|
1 |
# tar xvfz csf.tgz |
|
1 |
# cd csf |
|
1 |
# sh install.sh |
3.Проверка необходимых модулей iptables
|
1 |
# perl /usr/local/csf/bin/csftest.pl либо perl /etc/csf/csftest.pl |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server |
4.Удаление,если уже были установлены другие firewall, с которыми конфликтует CSF(APF/BFD)
|
1 |
# sh /usr/local/csf/bin/remove_apf_bfd.sh |
либо
|
1 |
# sh /etc/csf/remove_apf_bfd.sh |
5.Настройка Config Server Firewall
|
1 |
/etc/csf |
– каталог,содеражащий все конфигураионные файлы
|
1 |
csf.conf |
– […]
Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security Метки: config server firewall, csf, iptables, lfd, security Комментарии к записи Установка и настройка Config Server Firewall на Centos/Debian отключеныУстановка и включение iptables на Сentos 7
Январь 29th, 2015 Evgeniy Kamenev Останавливаем и отключаем с автозагрузки firewalld
|
1 |
# systemctl stop firewalld |
|
1 |
# systemctl disable firewalld |
Устанавливаем iptables
|
1 |
# yum install iptables-services iptables |
Добавляем iptables в автозагрузку
|
1 |
# systemctl enable iptables |
Копируем init-скрипт для того, чтобы можно было сохранять правила командой /etc/init.d/iptables save
|
1 |
# cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables |
Проверяем, что сохраняются правила при остановке/перезапуске iptables, а также подгружаем модуль отслеживания состояний ftp-подключений.
|
1 |
# nano /etc/sysconfig/iptables-config |
|
1 2 3 |
IPTABLES_MODULES="nf_conntrack_ftp" IPTABLES_SAVE_ON_STOP="yes" IPTABLES_SAVE_ON_RESTART="yes" |
После набора правил сохраняем правила и перезапускаем […]
Установка и настройка отказоустойчивого балансировщика нагрузки на основе Keepalived в качестве одного из типов реализации LVS(Linux Virtual Server) (Горизонтальное масштабирование на транспортном уровне модели OSI) на Centos
Январь 10th, 2014 Evgeniy Kamenev Существует много решений на основе LVS для создания отказоустойчивого кластера Например:
|
1 2 3 4 5 |
Pirnha Ultramonkey Heartbeat+mon Heartbeat+ldirectors Keepalived |
Я выбрал один из них – Keepalived. Linux Virtual Server (LVS) — это набор интегрированных программных компонентов для распределения нагрузки между несколькими реальными серверами. LVS работает на двух одинаково настроенных компьютерах: один из них явлается активным LVS-балансировщик нагрузки, а второй- резервным LVS-балансировщик нагрузки. […]
Опубликовано в рубрике Centos, Highload, Web Метки: iptables, keepalived, LVS Комментарии к записи Установка и настройка отказоустойчивого балансировщика нагрузки на основе Keepalived в качестве одного из типов реализации LVS(Linux Virtual Server) (Горизонтальное масштабирование на транспортном уровне модели OSI) на Centos отключены