Вступление
Proxmox Virtual Environment (Proxmox VE) — система виртуализации с открытым исходным кодом, основанная на Debian GNU/Linux. Разрабатывается австрийской фирмой Proxmox Server Solutions GmbH, спонсируемой Internet Foundation Austria.
В качестве гипервизоров использует KVM и OpenVZ. Соответственно, способна выполнять любые поддерживаемые KVM ОС (Linux, *BSD, Windows и другие) с минимальными потерями производительности и Linux без потерь.
Управление виртуальными машинами и администрирование самого сервера производятся через веб-интерфейс либо через стандартный интерфейс командной строки Linux.
Для создаваемых виртуальных машин доступно множество опций: используемый гипервизор, тип хранилища (файл образа или LVM), тип эмулируемой дисковой подсистемы (IDE, SCSI или VirtIO), тип эмулируемой сетевой карты, количество доступных процессоров и другие.
ru.wikipedia.org/wiki/Proxmox_Virtual_Environment

Важно знать, что:

— Proxmox VE использует только x86_64 архитектуру.
— Для использования KVM Ваш процессор должен поддерживать аппаратную виртуализацию (Intel VT или AMD-V). Для OpenVZ аппаратная виртуализация не требуется.

Конфигурация кластера

В этой статье мы будем создавать кластер из двух машин.
Конфигурация будет такой:

Master server1.example.com IP 192.168.0.100
Slave server2.examle.com IP 192.168.0.101

iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Для использования утилиты iptables требуются привилегии суперпользователя (root).Иногда под словом iptables имеется в виду и сам межсетевой экран netfilter.

1. Что же такое межсетевой экран и зачем он нужен?
Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
2. Принципы работы iptables
Когда пакет приходит на наш межсетевой экран, то он сначала попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.
В Iptables используется три вида таблиц:

1. Mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
2. Nat - эта цепочка используется для трансляции сетевых адресов (Destination Network

Итак, пришло время поговорить о защите. На написание поста меня сподвигла атака из США жестким брутом. Дело было так, я зашел на сервер оптимизировать конфиг users.conf(Об этом в следующей статье). После правки файла, я благополучно зашел в консоль Asterisk и увидел кучу сообщений (примерно 5 раз в секунду) о том, что с такого-то IP попытка зайти под пользователем 104. Меня это сначала смутило. А потом я решил поставить fail2ban, чтобы обезопасить себя. Итак, статья в моем стиле - поэтому никакой лишней инфы не будет, только то что нужно чтобы закрыть доступ для атакующего IP.

Защищать будем Asterisk, ну и бонусом SSH.

Шаг 1. Установка fail2ban.
# apt-get install fail2ban

Шаг 2. Установка python и iptables. Возможно вам понадобиться установить эти пакеты, поэтому
# apt-get install iptables python

Шаг 3. Конфигурация fail2ban. Итак, займемся конфигурацией. Для этого перейдем в каталог  /etc/fail2ban/filter.d.
# cd /etc/fail2ban/filter.d

Создаем новый фильтр:
# touch asterisk.conf

Содержимое файла /etc/fail2ban/filter.d/asterisk.conf должно быть примерно таким:
# Fail2Ban configuration file
# $Revision: 250 $
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf
[Definition]
#_daemon = asterisk
# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P\S+)

В один прекрасный день, прилетела ко мне весточка от SIP-провайдера. И говорила она интересные вещи про безопасность и участившиеся случаи взлома. Я конечно все честно прочитал, посмеялся, да и удалил. А потом, неделю спустя, пришел ко мне счет за переговоры на много денег с кучей звонков в Латвию. Тут то и осознал я всю суть проблемы и, после получения по шапке от начальства, взялся за защиту нашего asterisk сервера от внешних воздействий. Начнем с волшебной утилиты fail2ban.

fail2ban представляет из себя анализатор логов, который при определенном повторении той или иной строки, запускает нужное приложение. Т.е. в случае с выведенным в интернет asterisk – анализируем логи на предмет наличия записей вида Registration from ’111.111.111.111′ failed for ’222.222.222.222′ – Wrong password и, в случае если такое повторяется несколько раз, блокируем данного товарища в фаэрволе по IP. Простая и действенная схема, жутко помогающая от перебора паролей.
Итак, начнем:

Как я уже как-то раз рассказывал, довелось мне вывести неподготовленный астериск в интернет и забыть об этом.. Буквально через пару недель мне об этом напомнили счета от SIP-провайдера, где красовались значительные суммы. Мне еще повезло, что провайдер заблокировал аккаунт по достижении лимита кредита и мы не ушли в глубокий и далекий… хмм… минус Во избежание повторения проблем, я опишу примерный список мероприятий, которые я с тех пор провожу над asterisk перед выводом его в интернет.

В интернете гуляет много историй о взломах астериска и последующей кары от оператора. Где-то лежала байка о некой маленькой компании в Австралии, которую угораздило залететь на $15000-20000. Думаю никто не хочет оказаться в подобной ситуации. Гораздо лучше, не дожидаясь беды, провести некоторый комплекс мероприятий, который значительно сократит количество вариантов взлома и минимизирует опасность.

Защита динамическими правилами фаэрвола
Я уже писал про защиту программой fail2ban . Работает тоже довольно эффективно, однако существует некоторая загвоздка. Asterisk не поддерживает таймаут между попытками регистрации и по-этому злоумышленник за очень короткий период времени (несколько

После публикации статьи про настройку Asterisk и использование дефолтного пароля для FreePBX, один из посетителей задал мне вопрос, а как же изменить этот дефолтный пароль. И действительно как?
Есть один простой способ:
все дело в том что авторизация во Freepbx может происходить от двух пользователей: от пользователя MYSQL и от пользователя asterisk
конкретно в нашем случае Freepbx это пользователь под которым идет подключение к БД. И иметь дефолтный пароль туда, тоже не хорошо.
Как изменить:
Заходим в консоль системы под пользователем root, если есть MidnightCommander то запускаем его и правим следующий файлик /etc/amportal.conf
В /etc/amportal.conf мы видим наш пароль FreePBX / fpbx однако это всего лишь пароль доступа к MYSQL, меняем его на тот который у нас будет использоваться в дальнейшем, для примера 12345. Сохраняем файл.
Запускаем mysql клиента:

mysql -u root
use mysql;
update user set password=password('12345') where user ='freepbx';

Теперь у пользователя БД изменился пароль, рестартуем сервер asterisk или просто его сервисы и можем заходить под новым паролем кторый никому не известен (мы же его никому не скажем)
Теперь мы можем смело из web интерфейса изменить пароль для пользователя Admin и использовать для входа его, по умолчанию он равен amp111 .
Вроде бы ничего не забыл.

Это есть на официальном сайте, но кому лень искать:

To access the Web interface the first time use:
Username: root
Password: palosanto

To access SugarCRM use:
Username: admin
Password: password

To access A2bill use:
Username: admin
Password: mypassword

To access Flash Operator panel (Since 0.6 version) use:
Password: eLaStIx.2oo7

To access Freepbx (Un-embedded) use:
Username: admin
Password: admin

To access vtigerCRM use:
Username: admin
Password: admin

Может кому пригодится !

Сначала обновим систему:

Code:

yum -y update

База Данных
root имеет по умолчанию пароль вида: passw0rd
Подключаемся с помощью Putty
Открываем файл командой nano, поиск Ctrl+W, закрываем файл Ctrl+X, соглашаемся с изменениями Y, или не соглашаемся N

Code:

mysql -u root -p

указываем пароль по умолчанию passw0rd

Code:

mysql> use mysql; mysql> update user set password=PASSWORD("свой новый пароль") where User='asteriskuser'; mysql> flush privileges; mysql> quit

В большинстве случаев, начинающие администраторы, разрешающие доступ к своим серверам из глобальной сети Интернет по протоколу ssh, совсем не заботятся о его защите. Это провоцирует хакеров на попытки взлома или на удаленный подбор паролей.