Скоро поседею с вашим линуксом :)

Ну собственно проблема описана. Надо чтобы полсе ребута все было как и раньше.

В Centos 7 service для этих чуд нету.

для iptable вроде можно в конфиге указать сохранять при остановке. Только не понятно подхватит он или нет их.

Но с ipset засада. Не могу понять как и куда это делать.

При этом ipset по идеи должен стартовать раньше iptable и правила в него должны импортироваться раньше чем стартанет iptable. Иначе при импорте настроек iptable материться будет что сообветсвующих таблиц нету в ipset.

Не понимаю почему нету велосипеда для столь распространненной задачи.

собственно настраиваю файервол на веб сервере и возник вопрос нужно ли это правило или нет

 
iptables --insert FORWARD --protocol tcp --tcp-flags SYN,RST SYN --jump TCPMSS --clamp-mss-to-pmtu

Сервер именно веб и смотрит только в интернет, никаких локальных компьютеров нет. Находится на площадке провайдера.

Кроме того наткнулся на предепреждение не блокировать icmp трафик именно изучая эту проблему -- НЕ ДЕЛАЙТЕ ТАК, НЕ БЛОКИРУЙТЕ ICMP трафик! Как итог - соединение между хостами устанавливается, но пакеты от одного хоста к другому не доставляются, отбрасяваясь где-то по пути...

https://www.opennet.ru/base/net/pppoe_mtu.txt.html

в связи с чем вопрос надо таки разрешать весь ICMP ? сейчас только для пингов правило --icmp-type 8 -j ACCEP

погуглил еще и я так понимаю что FORWARD мне не нужно настраивать, кроме того его весь можно запретить.

А вот по поводу icmp трафика лучшеми будут вот такие правила:

# Allow incoming Path MTU Discovery (ICMP destination-unreachable/fragmentation-needed)
iptables -A INPUT -p icmp --icmp-type 3/4 -m state --state NEW -j ACCEPT
# Allow incoming request to decrease rate of sent packets (ICMP Source Quench)
iptables -A INPUT -p icmp --icmp-type 4 -m state --state NEW -j ACCEPT
# Allow and throttle incoming ping (ICMP Echo-Request).
iptables -A INPUT -p icmp --icmp-type 8 -m state --state NEW -m limit --limit 2/s --limit-burst 5 -j ACCEPT

соответственно для IPV6 судя по этому посту https://www.jethrocarr.com/2013/02/09/ip6tables-ipv6-icmp-vs-icmp/

должно быть -p ipv6-icmp, вместо -p icmp, то есть:

ip6tables -A INPUT -p ipv6-icmp --icmp-type 3/4 -m state --state NEW -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp --icmp-type 4 -m state --state NEW -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp --icmp-type 8 -m state --state NEW -m limit --limit 2/s --limit-burst 5 -j ACCEPT

Что скажут знатоки ?

И ЕЩЕ TTL expired:

iptables -A INPUT -p icmp --icmp-type 11/0 -j ACCEPT

попутно вопрос что еще из бест практикс так сказать для web сервера будет полезно включить. Сейчас правила такие:

###########################################################
# IPV4
# сбрасываем правила
iptables -F
# защита от простых атак
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# разрешаем коннект на localhost
iptables -A INPUT -i lo -j ACCEPT
# http
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# HTTPS
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# SSH по умолчанию 22, но мы поменяли на $PORT
iptables -A INPUT -p tcp -m tcp --dport $PORT -j ACCEPT
# ntp
iptables -I INPUT -p udp --dport 123 -j ACCEPT
# ping ...
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# Разрешаем получать уже открытые соединения
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# подключение списка blacklist
iptables -A INPUT -m set --match-set blacklist src -j DROP
iptables -A INPUT -m set --match-set web_black_list src -j DROP
# разрешаем все исходящие соединения
iptables -P OUTPUT ACCEPT
# запрещаем все что не разрешено для входищих
iptables -P INPUT DROP

###########################################################
# IPV6
ip6tables -F

ip6tables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
ip6tables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
ip6tables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
ip6tables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ping ...
ip6tables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

ip6tables -P OUTPUT ACCEPT
ip6tables -P INPUT DROP

Собственно есть система, поставлена ось на рейд 1, все клево если один из дисков в рейд 1 отвалится, то система автоматом грузится со второго. А вот есть еще одни просто диск, он примонтирован в фстаб. И если отваливается он, то система грузится в емердженси мод, соответственно нету доступа к ней по ssh.

Получается что вся затея с автоматической загрузкой системы с рейд 1 теряет смысл если в системе есть другие диски не рейд 1 любые просто подмонтированные или рейд 0 при отваливании одного такого диска система не загрузится.

Есть ли выход ?

ну всмысле есть скрипт лежит где то там себе /usr/share/Lynis

нужно ссылку какую то куда на него в bin прописать чтобы в любом месте можно было вызвать в командной строке типо # lynis

но вот как это сделать или как найти как это сделать не смог. Нубский вопрос но спасибо за помощь.

собственно игрался с mdadm в виртуалбоксе и изобрел способ как увеличить производительность ssd диска. С реальным так не прокатит, а ssd похоже что работает. Берем диск создаем скажем 4 раздела на нем одинаковых и делаем из них один strip и тестируем скорость :)

Что скажите ?

может я чего то упускаю ? но судя по тому что показывает у меня в виртуал боксе dd таки работает.

Собстве реч о сервере. Система поставлена на Raid 1. Разваливаю райд, вытаскиваю диск sda и система грузится в emergency mode. На FreeBSD система даже не заметит потери диска спокойно, штатно перезагрузится и будет продолжать работать в обычном режиме. Как добится такого же результата? Я так понимаю в emergency mode не будет даже ssh работать. так как там по минимому служб грузится. И доступ к серверу придется осуществлять через это как его ... ну вы поняли. К тому же будет простой пока не замечу.

Дано: два одинаковых диска 3Tb. Нужно сделать рейд 1, чтобы при вытаскивании первого sda диска автоматом грузился со второго. При прочтении множества мануалов, сложилось впечатление либо никто не проверял работоспособность того что собирают, либо оставляют на овось, и при падении диска начинают в попыхах ставить grub на оставшийся диск.

• 1) вопрос как это сделать правильно? Заметил что при манипуляциях с графическим инсталером не получается сделать идентичные разделы, диски как то не одинаково метятся. Понимаю что можно просто поставить систему на один диск и далее поднять рейд. Минус такого решения, долгая синхронизация (до 6 часов) рейда. В идеале правильно разметить диски, поставить их в рейд и потом устанавливать систему. Диски 3 Tb значит нужен efi. разделы:
  • 1 - efi-boot 50Mb ? без рейда
  • 2 - grub 2Mb ? без рейда
  • 3 - boot 500 Mb без рейда
  • 4 - swap можно без рейда, можно в рейд 0 так как при отваливании одно диска ничего серьезного не произойдет, своп должен смотироваться автоматом в файл насколько я монимаю
  • 5 - / 32 Gb raid1

• 2) Самый сложный пункт установка grub2 да так чтобы при отваливании sda система загрузилась. на sdb я так понимаю его надо ставить как то через chroot. То есть подмонтировать sdb прокинуть рабочии дирректории зачрутится и после этого ставить grab2 на sdb Тут еще важно понимать что так как система в рейд1 то fstab будет по умолчанию ссылаться на диск sda. И нужен альтернативный конфиг. Единственная инструкция которая похожа на правду попалась вот эта Сюда!

  Но она на centos 5

  Не ужели никто не далал ничего подобного ? На freebsd инструкцию нашел на раз два три при том еще с zfs, а тут облазил буквально все.

Дано: 2 SSD 250Gb 2 HDD 3T CentOS 7

Крутится будет полный зоопарк. Мускл Постгрес веб сервер и до кучи докер со своим зоопарком. Хочется выжать максимум.

По поводу ненадежности Raid0 прошу не пугать, в курсе. Надежность будет решаться с помощью бэкапов.

Общая схема: Хочу поставить 2 SSD в софтвер Raid0 и отдельно два HDD в софтвер Raid0 mdadm. Система на SSD, бекапы на HDD, туда же логи и не критичную статику. Статики много, но она вся не критичная.

Собственно почитал про LVM и не понял, можно ли сделать из него страйп для скорости? LVM планирую использовать именно для бекапов поверх рейда.

Вопросы: 1) Оптимально ли использовать LVM для бекапов, интересуют инкрементные. 2) Можно ли заменить Raid0 на LVM именно для скорости? 3) Файловая система. В целом выбор между XFS и ext4 Почитал тесты для раздела с MySQL вроде лучше XFS для PostgreSQL ext4 для системы / я так понимаю лучше ext4? Для бут раздела ext4 c отключенным журналом ?

Еще нашел такие рекомендации ## - '/boot' cannot be on a xfs filesystem! ## - '/boot' cannot be on LVM! ## - when using software RAID 0, you need a '/boot' partition

Может что посоветуете?