есть сервер с доступом root по ssh


хочется туда запихнуть на виртуальные машины вин сервер 2-3 штуки и веб-сервер

1. надо ли для веб-сервера делать отдельную ВМ ?
2. как скрыть существование ВМ с виндой ? шифрованием ?

(0) >>> как скрыть существование ВМ с виндой

Скрыть от кого?

(0) >>> надо ли для веб-сервера делать отдельную ВМ ?

Смотря какая система будет выбрана для веб-сервера

(1) мало ли кто-то физически подойдёт к компу -- тогда получить доступ root не составляет труда

предполагается, что у самого сервера IP0

хочется сделать ещё так
с помощью openVPN подключаюсь по IP1
далее в сети появляется вм винды1, к ней можно хоть по rdp подключиться пользователям

подключившись к ip2 в сети появится вм винды2
...
к ip3 -- вм винды3

(4) проще и правильнее создать "болванку" виртуальной машины с предустановленным и настроенным впн внутри нее. и из этой болванки раскатывать уже рабочие VM. и не заниматься хней с магическим появлением чего-то где-то

(5) ты предлагаешь сразу вм назначить реальный ИП ?

(6) Да.

виртуалки то с какой целью ? мож контейнером обойтись ?

(7) ещё разрешить подключение rdp ?

(8) чтобы разные группы пользователей отделить и они были не зависимы между собой

(10) в контейнерах без проблем

(11) в чём разница между контейнером и виртуальной машиной ?

(12) ядро одно, нет прослойки в виде хоста , как при виртуализации. Вообщем, отклик сильно быстрее.

(13) машина достаточно мощная

(14) да какая бы мощная не была, дисковая подсистема в виртуализации узкое место.

(15) а контейнер по другому будет работать ?

(0)Что за сервер, что за виртуальные машины?
Во первых ты уверен что железо сервера достаточно производительное?
Во вторых какой гипервизор?
Для чего ВМ нужны?

От кого скрывать винду собрался? Сервер в дата центре?
По поводу сокрытия винды - ложишь образы ВМ на шифрованный диск, перед употреблением монтируешь.
Это от проверяющих, но человек с правами рута имеющий доступ к серверу при замущенных машинах их увидит, тут никак не скроешь. От рута ничего нельзя скрыть, на то он и рут.

(16) ну конечно , ядро то одно.
если все-ж виртуалки хочешь смотри в сторону proxmox он на дебиан ставится или сам  libvirt и openswitch подымай.

(6),(7) А нафига назначать реальный ip?
Коряво как то это, обычно ip по дхцп, а чтобы предсказуем был к маку привязываем на дхцп.

(15)Банальный SSD решает эту проблему.

А что за ось на сервере?

Возможность поставить другую есть? Доступ по  IPKVM возможен?

(17)

1. сервер на i7-4770 Quadcore Haswell с 32 гб
2. гипер видимо kvm

3. вм нужны, т.к. у разных групп пользователей будут свои "одмины"
4. да, сервер в дата-центре

5. > Это от проверяющих, но человек с правами рута имеющий доступ к серверу при замущенных машинах их увидит, тут никак не скроешь. От рута ничего нельзя скрыть, на то он и рут.

да, но решение тут такое:
вм будут располагаться на шифрованных разделах, а примонтировать их сможет только рут чрез надёжный пароль

т.е. хочется это видеть так:
загружается сервервак --- автоматом никакие вм не запускаются

подрубается рут по ssh, подключает защифрованные разделы через пароль, монтирует разделы и запускает вм

т.е. если рут-пароль был сброшен, то будет понятно, что кто-то влез на машину

(19) для каждой групп пользовтей отдельный вход

(21) бубунта минимал

(22) да, есть

Сделать можно, сложного вроде ничего не вижу.
Насчет отдельных одминов для разных групп пользователей не совсем понял.

(26) у каждой вм с виндой будет свой одмин

Хотя лично я в такой бы ситуации ну лично из своего опыта работы с виртуализацией, зашел бы по KVM снес к херям бубунту, и вштырил hyper-v сервер.
Шустрей и удобственней в настройке, хотя первоначально там чуток повозится, но что самое главное офигенно стабильный.
А вот всякие виртуализации под линукс, оно конечно не хуже работает, но надо линукс хорошо знать, и напильник наготове держать.

Хотя вот с шифрованием дисков тогда не получится. Только на линуксах

(0) У меня сейчас так работает. Датацентр немецкий?

(28) а этот hyper-v останется доступным снаружи по своему ip? или его как то прикрывать надо?

(28) время есть на эксперименты )

(29) а с защитой рут-доступа я правильно продумал ?

(30) да
что там крутится у тебя ?

(31)Ну желательно бы прикрыть. Куча способов есть.

(34) Пара серверов по твоей схеме крутится. В хетзнере пофигу что внутри стоит. Можешь спокойно hyper-v воткнуть, они даже спрашивать не будут.

Сеть строится на железке в офисе. На железке развернут ВПН. (29) Нормально все с шифрованием в винде.
(31) Конечно прикрывать нужно, но в виндах последних нормальный фаерволл вроде.

+(29)Насчет того что с шифрованием не получится в случае гипер-в я погорячился.
Получится шифровать диски с виндой, изнутри из самой вм.
А вот веб сервер ежели он на линуксах увы.

(37) веб сервер шифровать не плаировалось

(36) ему же выгодно свою винду сдать в аренду

(39)В первую очередь ему выгодно сдать тебе сервер в аренду.
Во вторую очередь ему нафиг не надо смотреть что у тебя там и как, если нет жалоб.
В общем политика таких ДЦ как хетцнер в основном такая - твори что хочешь, лишь бы абузы не слали. Если не будет абуз, то ты там можешь хоть зоопарк из пиратского софта устроить, и заниматься прочими противоправными действиями.

(39) Да. Но они не будут лезть в твой сервер.
"У нас здесь все джентльмены, все друг другу на слово верят" (с)
Но и чистый hyper-v вроде как бесплатен. Короче не будут они с тобой возится

политика может измениться

к тому же есть мысли самому собрать сервер и куда-нибудь его разместить в м/мо -- а тут уж точно нужна защита

(38)В таком случае думаю идеально следующее -
Заходишь, сносишь бубунту ставишь гипер-в 2012 r2.
Настраиваешь RDP доступ  к нему (учти он только в консоли), ставишь программку типа 5nine Manager чтобы удобно рулить с графикой, и разводишь свой зоопарк.
Скрипты для удобного запуска ВМ отлично пишутся на повершелле.
Да и вообще любые действия удобно автоматизировать через него.

(41)Он не вроде как, а действительно бесплатен.
Вот винды которые будут крутится под ним те понятно надо лицензировать.
С другой стороны если они будут зашифрованы битлокером, даже изнутри, будет довольно сложно понять и доказать что там именно винда.

(43) > Настраиваешь RDP доступ  к нему

предлагаешь сразу к гиперу подключаться по rdp ?
там же нет фаервола-блокировка, чтобы блокировать подбирающих ботов парол

Снаружи будет видно только бесплатный гипер-в.
А вот внутри что находится они смотреть как бы не имеют права, даже если будут абузы.
Просто отключить и расторгнуть договор.
Хотя если будут абузы, тебя в любом случае отключат, даже если ты со всех сторон белый и пушистый.

(45)Ну для начала сразу у тебя и ценного ничего нет особо там.
А уже когда зайдешь по rdp можно и настройкой защиты озаботиться.

(46) см. в (42)

Файервол там есть, да и программы кой какие можно поставить зайдя по RDP прям под гипер-в, только надо помнить что графики там нет, поэтому ГУИ программы работать не будут.
А консольные как нефиг делать.
Тот же фар например.

(49) я может что-то не понимаю, но как я заду на гипер по рдп, если нет гуи ? =)

(48)Защита от чего. Кто будет пытаться туда залезть? С какой целью? Насколько настойчиво?
Виртуалки ты спокойно зашифруешь изнутри.

(50)Ну там вроде специальной оболочки, зачатки ГУИ так сказать.
Т.е там нет полноценной привычной виндовой ГУИ то бишь ехсплорера с его окошками.
Однако есть подобие консоли управления с кой какими инструментами, возможностью работать с командной строкой, и повершеллом.

(51) хочется достоверно точным быть уверенным, что враг не пройдёт =)

(53)Если враг пройдет, то увидит только честный бесплатный гипер-в, и шифрованные контейнеры на диске.

(54) так если вм будут запущены, то к ним же может быть доступ ?!

(53) Я сделал так. Все входящие закрыл. И воткнул ВПН клиента. Соответственно внутри ВПН сервер есть, а снаружи все закрыто.

(55)Если кто ломанет сервер то да.
Но ты подумай как из ДЦ даже имея физический доступ к железу ломануть твой сервер?
Если сервак заглушить и выдернуть диск - на диске шифрованные данные.
Если не глушить - надо ломать винду.
А ломать работающую винду занятие нифига не тривиальное, и уголовно наказуемое. Кому это надо?
Разве что там толпа работников спецслужб соберется  с хорошими спецами. Ты там не заговор случайно устроить собрался?

(57) заговор против штатов

(43) >  ставишь программку типа 5nine Manager

это которая платная ?

а что ещё лучше использовать для моей задачи, кроме гипер-в ?

(59)Давненько я не пользовался ей, она уже платной успела стать.
А была халявная.

(0) об iptables не слышали ?
Это для разграничения прав доступа.

(60)Чтобы бесплатно стабильно и без напильника? Ничего.
Все остальное либо платно, либо не очень стабильно, либо требует напильника.

(63) напильник не страшен

и кстати, у гипер-в есть аналог lvm2 ?

(64)Тогда накатывай xen или kvm на бубунту, бери напильник в руки, и - пилите, шура, пилите..

(65)lvm2 это насколько я понимаю менеджер томов.
Откуда ему взятся в системе виртуализации.
Есть аналог lvm2 в Windows server но только вот в бесплатном гипервизоре, не запустишь никаких других ролей в т.ч и файловых.

А вообще использование контейнера vhdx чем вам не lvm?

(67) ставится бубунта, на которой будет

два тома
основной для бут
и расширенный для лвм2

на лмв2 делаю
своп
корень
вар (для веб-сервера)
и
2-3 раздела для ВМ под виндой, которые будут зашифрованы

+ (69) хочется сделать + ещё два раздела -- зашифрованный и обычный, чтобы они были видны из-под вм винды

(69)lvm это удобно, а за удобство принято платить.
В данном случае быстродействием ФС.
Хотя если у тебя там SSD стоит, то в принципе пофиг.
Но вот на обычных HDD я бы не городил огород.

(71) Мне казалось там быстродействие не страдает. Но обычные разделы мне больше нравятся.

+ (72) Тем более ты туда шифрование будешь втыкать. Лучше обычный раздел, без оснасток, + LUKS.

Да кстати - 5nine Manager есть и бесплатный, просто он хитро упрятан на офсайте, сразу не найдешь.

(71)Страдает, это же еще одна прослойка между железом и приложением, которая требует ресурсов.

(73) ???

(74) нашёл

5nine Manager - Free Edition

http://www.5nine.com/5nine-manager-for-hyper-v-free.aspx

только в чём разница -- не ясно

а вот по-моему список различий http://www.vmgu.ru/search/5nine|1