Как сохранить установленный веб-сервер как образ?

Вот моя шпаргалка. Писалась для моих задач, исправлять лень. Но думаю смысл поймете. Делалось на Linux Debian. Попутно немного переделал разделы

<u>Backup</u>

cd /
mkdir /mnt/backup - Создаем каталог для бэкапов
mount /dev/sda1 /mnt/backup - монтируем внешний жесткий диск, или сетевой раздел, или что угодно.
tar -cvpf /mnt/backup/asterisk.root.260314.tar --directory=/ --exclude=proc --exclude=sys --exclude=dev/pts --exclude=mnt --exclude=var --exclude=usr .
tar -cvpf /mnt/backup/asterisk.usr.260314.tar --directory=/usr .
tar -cvpf /mnt/backup/asterisk.var.260314.tar --directory=/var --exclude=spool .
tar -cvpf /mnt/backup/asterisk.spool.260314.tar --directory=/var/spool .
umount /mnt/backup
Дополнительно средствами MySQL снимаем дамп со всех баз.

<u>Restore</u>

1. На чистой машине, грузимся с livecd. В моем случае это debian-live-506-i386-gnome-desktop
Размечаем через cfdisk разделы на жестком диске

cfdisk /dev/sda

Делаем первый раздел загрузочным

2. Форматируем разделы на ext3
 

mkfs.ext3 /dev/sda1
 
mkfs.ext3 /dev/sda5
 
mkfs.ext3 /dev/sda6 итд.

3. Создаем в каталоге /mnt директории

mkdir /mnt/backup
mkdir /mnt/root

4. Монтируем диск с бэкапом и новый раздел root

mount /dev/hda1 /mnt/root
mount /dev/sda1 /mnt/backup/

5. Распаковываем с архива раздел root

 
tar -xvpf /mnt/backup/asterisk.root.260314.tar --directory=/mnt/root
 
6. Создаем отсутствующие директории

mkdir /mnt/root/usr
 
mkdir /mnt/root/var
mkdir /mnt/root/proc
 
mkdir /mnt/root/sys
 
mkdir /mnt/root/mnt
 
7. Монтируем разделы /usr и /var

 
mount /dev/hda7 /mnt/root/usr
mount /dev/hda8 /mnt/root/var
 
8. Распаковываем с архива разделы /usr и /var

 
tar -xvpf /mnt/backup/asterisk.usr.260314.tar --directory=/mnt/root/usr
tar -xvpf /mnt/backup/asterisk.var.260314.tar --directory=/mnt/root/var
 
9. Создаем каталог /var/spool

 
mkdir /mnt/root/var/spool

10. Монтируем и распаковываем из архива раздел /var/spool

 
mount /dev/hda9 /mnt/root/var/spool
tar -xvpf /mnt/backup/asterisk.spool.260314.tar --directory=/mnt/root/var/spool
 
11. Правим /etc/fstab и /boot/grub/device.map
12. Восстанавливаем загрузчик

mount --bind /dev /mnt/root/dev
mount --bind /proc /mnt/root/proc
mount --bind /sys /mnt/root/sys
chroot /mnt/root bash
grub-install /dev/sda
update-grub
exit

13. Перегружаемся и восстанавливаем из архива базы MySQL

Целесообразно ли конфигурировать виртуальных пользователей в Postfix?

@powerthrash Не проще. Люди иногда увольняются, всех обучать жизни не хватит. Впрочем, на вкус и цвет. Если Вам так удобнее - я не против.

Целесообразно ли конфигурировать виртуальных пользователей в Postfix?

@alexclear Согласен. Но допустим прошло какое-то время. Вы привыкли.. и однажды забыли указать /sbin/nologin
Или допустим ваш напарник забыл, или не знал.
Лучше сразу не привыкать так делать.

Целесообразно ли конфигурировать виртуальных пользователей в Postfix?

@alexclear Допустим подобрали пароль к виртуальному аккаунту - при этом не будет доступа к локальной системе.

@powerthrash а почему бы и нет? С другой стороны можно и в файлах, смотря как вам удобнее.

Как правильно задать внешний DNS у Cisco?

Ну и самая главная мысль из всей моей писанины: То что находится за файрволом - ЗЛО!
Даже VPN может быть уязвим, поэтому защищайтесь и от него тоже

Как правильно задать внешний DNS у Cisco?

Давайте подумаем что можно сделать.
1. Нужно поднять VPN сервер. Это может быть сервер на Windows (*NIX и.т.д), это может быть Cisco, это может быть какой-нибудь рутер типа Microtik. Неважно. Главное что-бы клиент из-вне мог к нему подключиться и установить защищенное подключение к вашей сети.
2. При подключении ему должен назначаться внутренний IP адрес и в качестве первичного ДНС - контроллер домена. Желательно, но не обязательно, вторичным ДНС назначить другого держателя зоны. Например вторичный контроллер или просто держателя зоны.
3. Как уже подсказали, ваш ДНС должен уметь пересылать рекурсивные запросы в интернет. Это можеть быть гугл, но лучше если это будут root-овые ДНС или ДНС провайдера (если он не против).
4. IP адреса пользователей VPN не должны иметь адреса из диапазона вашей сети. Это нужно для того, что-бы их было проще контролировать. Ограничить VPN сеть - по максимуму. Пустить только туда, куда нужно, разрешить ДНС запросы и доступ к шарам, если нужно. Желательно по возможности разрешить доступ только по определенным портам и протоколам.

Обычно в компаниях используют несколько ДНС серверов. Один (как минимум. У меня например их 4) - это ДНС вашего домена (он же контроллер домена), и второй это ДНС - держатель зоны для вашего сайта в интернет. Их опять же может быть несколько.

ЗЫ. Я может непонятно излагаю, так что если есть вопросы - спрашивайте.

Как правильно задать внешний DNS у Cisco?

Для любых компьютеров в домене - ДНС должен быть контроллер домена
или
ДНС-сервер, который является держателем доменной зоны.
Иначе вы никогда до домена не достучитесь.
Далее. Под доменом понимают обычно разные вещи. Одно - это домен компании, второе - это домен в интернет. Они могут быть одним и тем же, но не рекомендуется их объединять. Причина проста - секъюрность. Вы же не хотите чтоб в один прекрасный момент работа всей вашей компании встала?
Ну и касаемо вашего вопроса.
Компьютеры находящиеся в интернет, не рекомендуется вводить в домен если они используют прямое подключение к вашей сети. Используйте VPN или другие секъюрные способы. Почему так? Банально - секъюрность. Это все равно что ключи от квартиры раздавать каждому встречному. Опять же, я бы с огромной осторожностью отнесся к компьютерам которые подключены через VPN. Ограничил бы их по максимуму, закрыл все что можно, открыл только нужные порты. Потому что вы эти компьютеры не контролируете, даже если они в домене. Не обязательно вас будут ломать, или сканить. Элементарно словите червя или вирус и вся ваша сеть ляжет.
Советую прежде чем делать что-то глобальное (а вы, как я понимаю хотите организовать доступ в сеть из-вне), почитайте литературу о сетевой безопасности. Это очень важно.

Как лучше организовать мониторинг нескольких физических сетей на одном сервере Zabbix?

@djvnsk Верное решение! Поверьте, вам они еще пригодятся.

Как измененить размер директории SWAP?

Да ладно!
Может мануалы почитаете, прежде чем заявлять так категорично? Например вы в курсе что можно на горячую добавлять новые разделы в своп? Или скажем хранить своп в файле?

Нужен ли ещё один VPN ?

Еще скорее всего понядобится маршрут на сеть 10.0.1.0/24 на самом UR4. Он же должен знать, куда слать пакеты?! Destination - UR3

Нужен ли ещё один VPN ?

На UR1 пишите маршрут на сеть 10.0.3.0/24 и указываете в качестве destination - UR2
На UR2, пишите тоже самое, но destination - UR3
На UR3 - я думаю маршрут уже есть.

Тоже самое нужно сделать с сетью 10.0.1.0/24
на UR3 пишем маршрут на 10.0.1.0/24 - destination UR2
на UR2 тоже самое, destination UR1

Помимо этого нужно на всех UR-ах разрешить хождение пакетов в этих сетях, если там стоят файрволы. Если нет - то не нужно.
Думаю смысл понятен?

Где взять CISCO CCENT/CCNA ICND1, ICND2. 3rd Edition на русском в нормальном PDF ?

@jidckii На русском книг ни разу не видел. Разве что в бумажном виде. Есть еще курсы, но там видео.
В общем, если вдруг найдете, поделитесь ссылками.

Как правильно отзеркалить hdd разделы на другой диск, чтобы ОС запустилась потом без ошибок?

На счет драйверов не переживайте. Все запустится. Только скорее всего надо будет правильно поправить имя диска в
/etc/fstab и /boot/grub/device.map

Как правильно отзеркалить hdd разделы на другой диск, чтобы ОС запустилась потом без ошибок?

Вот вам инструкция. Писал для себя, и не для суси... но там нет особой разницы. Начнем с того, что система была боевая, и снимал образ "на горячую". Через DD не получилось, был какой-то косяк. Не помню уже. Снимал так:

tar -cvpf /mnt/backup/usr.260314.tar --directory=/usr .

Остальные разделы по аналогии..
Затем:

1. На чистой машине, грузимся с livecd. 
Размечаем через cfdisk разделы на жестком диске

cfdisk /dev/sda

Делаем первый раздел загрузочным

2. Форматируем разделы на ext3
 

mkfs.ext3 /dev/sda1
 
mkfs.ext3 /dev/sda5
 
mkfs.ext3 /dev/sda6 итд.

3. Создаем в каталоге /mnt директории

mkdir /mnt/backup
mkdir /mnt/root

4. Монтируем диск с бэкапом и новый раздел root

mount /dev/hda1 /mnt/root
mount /dev/sda1 /mnt/backup/

5. Распаковываем с архива раздел root

 
tar -xvpf /mnt/backup/root.260314.tar --directory=/mnt/root
 
6. Создаем отсутствующие директории

mkdir /mnt/root/usr
 
mkdir /mnt/root/var
mkdir /mnt/root/proc
 
mkdir /mnt/root/sys
 
mkdir /mnt/root/mnt
 
7. Монтируем разделы /usr и /var

 
mount /dev/hda7 /mnt/root/usr
mount /dev/hda8 /mnt/root/var
 
8. Распаковываем с архива разделы /usr и /var

 
tar -xvpf /mnt/backup/usr.260314.tar --directory=/mnt/root/usr
tar -xvpf /mnt/backup/var.260314.tar --directory=/mnt/root/var
 
9. Правим /etc/fstab и /boot/grub/device.map
10. Восстанавливаем загрузчик

mount --bind /dev /mnt/root/dev
mount --bind /proc /mnt/root/proc
mount --bind /sys /mnt/root/sys
chroot /mnt/root bash
grub-install /dev/sda
update-grub
exit

13. Перегружаемся

Обновление freebsd или борьба с centos?

@opium Ну, ядро пересобирают не потому что плохо или хорошо. Это делают для надежности, стабильности (убирая все лишнее из ядра. Например поддержку ненужных устройств), так же оптимизированное ядро очень повышает быстродействие, меньше жрет пямять. Особо это заметно на слабом железе.
PF в двух словах не описать. Скажем так, он более гибок, более удобен и в нем больше возможностей, чем в iptables. Если есть желание, на lissyara.su куча мануалов на эту тему. Попробуйте разобраться и поверьте в в него влюбитесь. Ни один файрвол не дает всех тех возможностей что дает PF.
На счет 3-го пункта, полностью не согласен. У меня 40% серверов на FreeBSD, около 15% на Linux Debian, и остальные Windows. Каждый сервер для своих задач. И таких как я(использующих FreeBSD) очень много. Я думаю, вам просто нужно проникнуться этой системой и вы сами все поймете. А утверждать что время FreeBSD прошло, мягко говоря - некорректно. Это все равно что сказать: Время SunOS (Solaris) прошло.. Но поверьте, Oracle нигде так не работает, как под SunOS.. и таких примеров очень много.

Обновление freebsd или борьба с centos?

@opium Ядро пересобрать не проблема. Это может практически каждый, кто сталкивался с *NIX системой. Каждая система для своих задач. Я например не видел ни разу рабочую службу каталогов на FreeBSD, но то большинство, годами работающих шлюзов, были именно на FreeBSD. Какой бы ни был файрвол на Linux - он и рядом не валялся с PF, который обычно ставят на FreeBSD (Хотя и писан он для OpenBSD).
Покторюсь: Каждая система для своих задач, и от того что вам лично нравится линукс - еще не означает что FreeBSD отстой итп...

Обновление freebsd или борьба с centos?

@opium Нет смысла в этой дискуссии. То что вы не умеете пользоваться FreeBSD говорит только о вашей некомпетентности. Предлагаю прекратить этот бесполезный треп. Пользуйтесь чем хотите, никто вас за уши во FreeBSD не тянет.

Обновление freebsd или борьба с centos?

@opium А где не глупо? На Windows? :)

Обновление freebsd или борьба с centos?

Все возможно.
Но обычно ругается что у вас какой-то пакет устарел и посоветует или обновить его или грохнуть.
Запустите установку в режиме make test и все узнаете

Как подменить ip сайта?

@Kennius Да без проблем. Хоть для всех, хоть для не всех.
У вас, тут, есть сервер с "правильным ip"? Поднимаете на нем vpn, строите постоянный туннель со своим забугорным сервером. Настраиваете перенаправление входящих запросов на 80 порт -> на свой забугорный сервер.
И все.
Для всех вы в Раше, а по факту вы в "неправильном месте"