Почему собственный образ ISO — самое оптимальное решение для своего сервера

    Подняв сервер, можно сразу поставить одну из стандартных ОС, которые предлагает хостер. Но есть и другой вариант — загрузить собственный образ ISO и установить из него произвольную ОС и любой софт на свой выбор.



    Это реально очень удобно. Мы можем поставить на сервер ParrotOS со всеми утилитами для пентестинга, готовый файл-сервер или любую ОС, даже Android или MacOS. Можно поставить специально подготовленную систему, настроенную именно для наших задач.

    Зачем это нужно? Вот несколько примеров.

    Установка системы из ISO — самый эффективный метод, если для сервера требуется нестандартное программное обеспечение и ОС. Всё-таки не каждому требуется именно типовая установка Nginx/Apache и стандартный набор программ из стека LAMP/LEMP/LEPP. Кому-то сервер нужен для других целей. Здесь много вариантов. Скажем, мы хотим запустить игровой сервер, медиасервер, групповой чат или набор утилит для пентестинга, то есть тестирования веб-сервисов на предмет уязвимостей, чтобы сообщить о них владельцу сервиса и, например, получить положенное вознаграждение по программе bug bounty.

    Пентестинг


    Многие задачи пентестинга удобно выполнять с выделенного сервера, а не со своего домашнего компьютера, где некоторые порты наглухо закрыты файрволом провайдера. А вот с сервера можно спокойно запустить, например, скан портов в круглосуточном режиме.

    Для пентестинга лучше всего подходят операционные системы вроде Kali Linux и ParrotOS. Соответственно, их удобнее всего устанавливать из образов ISO.

    Kali Linux


    Kali Linux включает инструменты для следующих задач:

    • Обратная разработка (реверс-инжиниринг). Средства для отладки программ и реверс-инжиниринга исполняемых файлов.
    • Стресс-тестирование. Инструменты для стресс-тестирования сетей и веб-сервисов. По сути это DDoS системы, но не с целью обвалить её, а с благими намеренями выяснить, какую нагрузку система способна выдержать.
    • Взлом оборудования. Инструменты для работы с Android и Arduino.
    • Судебная экспертиза (форензика). Инструменты для цифровой криминалистики. Они позволяют создавать образы дисков, проводить анализ образов памяти и извлекать файлы.

    Для упрощения пентестинга в системе есть категория Top 10 Security Tools (Топ-10 инструментов безопасности). В эту категорию входят aircrackng, burp-suite, hydra, john, maltego, metasploit, nmap, sqlmap, wireshark и zaproxy. Это самые известные и эффективные инструменты.

    Например, Metasploit — фреймворк с огромной коллекцией эксплоитов для всех известных уязвимостей, швейцарский нож пентестера. Nmap — идеальная программа для сканирования портов. Wireshark — лучший снифер и анализатор сетевого трафика. John the Ripper — известный инструмент для брутфорса паролей, и так далее. Всё это поставляется в комплекте Kali Linux, так что ничего не нужно инсталлировать вручную. Всего в комплект входит более 600 предустановленных хакерских приложений. Это удобно. Хотя, в принципе, ничто не мешает установить любые нужные программы в любом другом дистрибутиве Linux.

    Свежие образы Kali Linux генерируются каждую неделю и выкладываются на официальной странице.

    Как вариант: Parrot OS


    Дистрибутив Parrot OS на базе Debian служит той же цели, что и Kali Linux. Это своего рода «портативная лаборатория» для всех операций, связанных с ИБ, от пентестинга до форензики и стресс-тестирования, но при этом позиционируется также для разработчиков программного обеспечения с упором на безопасность и приватность.

    Kali Linux и Parrot OS во многом похожи, но отличаются системными требованиями (320 МБ ОЗУ для Parrot OS, 1 ГБ для Kali Linux), внешним видом (MATE и KDE у Parrot OS против GNOME у Kali Linux) и набором хакерских инструментов. В Parrot OS есть всё то же, что и в Kali Linux, плюс дополнительно собственные инструменты, такие как AnonSurf (удаление всех своих следов из браузера) и Wifiphisher (установка поддельной точки доступа WiFi для обмана окружающих устройств). По производительности Parrot OS тоже выигрывает, особенно на слабой конфигурации, где Kali Linux начинает заметно лагать.

    Различные варианты образов ISO и докер-контейнеры с Parrot OS выкладываются здесь.

    Конечно, для пентестинга есть и другие дистрибутивы, которые тоже можно достать в виде образа ISO или сделать такой образ самому.

    Игровой сервер


    Если нужно поднять игровой сервер, во многих случаях тоже удобнее загрузить специализированный ISO и установиться из него.

    Например, игра Counter-Strike Global Offensive — самый популярный в мире шутер. Есть несколько причин для установки собственного приватного сервера. Здесь вы можете ограничить круг игроков, полностью исключить читеров. И самое главное — вы устанавливаете собственные правила игры.

    CSGO Server устанавливается на Linux, на Windows 10 или другую систему. Но может быть удобнее сделать ISO, где всё уже установлено, включая SteamCMD, консольный клиент Steam, который является обязательным условием для установки сервера CSGO. Так что если вы всё-таки устанавливаете CSGO сразу на сервер, то сначала нужно поставить SteamCMD. Если подготовить образ ISO со всем необходимым, то в дальнейшем его можно использовать многократно, накатывая на разные серверы.

    Некоторые хостеры предлагают уже готовые серверы CS. Их можно арендовать как с оплатой за слоты, так и с оплатой за ресурсы (профессиональные тарифы игровых VDS/VPS).

    Или взять Minecraft. Да, это детская игра, но она входит в пятёрку самых популярных онлайн-игр в мире. Для Minecraft-серверов создана специальная MineOS Turnkey, которая распространяется в виде ISO. Хотя всё необходимое программное обеспечение можно установить отдельно на существующий сервер BSD/Linux, но гораздо приятнее сразу накатить систему со всем необходимым. Система изначально сконфигурирована и оптимизирована под эту задачу: здесь есть инструмент администрирования сервера, управление резервными копиями, продвинутые инкрементальные бэкапы игрового мира (резервное копирование rdiff с использованием алгоритма rsync), загрузка пользовательского интерфейса и серверных модов (vanilla, bukkit и др.) одним щелчком мыши.




    MineOS

    MineOS Turnkey сделана на основе известной системы Turnkey Linux.

    Turnkey Linux


    Turnkey Linux — библиотека готовых системных образов на базе Debian 8 ("Jessie"). Turnkey переводится «под ключ», то есть «всё включено». В каждый образ изначально интегрированы лучшие компоненты свободного программного обеспечения. В результате получаются безопасные и простые в использовании решения — образы ISO для любых нужд, какие только могут понадобиться.


    Каталог образов ISO на сайте Turnkey

    Debian — крупнейший дистрибутив GNU/Linux, в состав которого входит 37 500 пакетов опенсорсных программ. Однако большая часть этих программ малоизвестны, потому что не включены по умолчанию в состав стандартных дистрибутивов. Turnkey ставит своей миссией изменить это.

    В рамках проекта создан простой, но мощный инструментарий разработки Linux-дистрибутивов TKLDev, который позволяет легко создавать готовые решения, которые за несколько минут разворачиваются из образа ISO непосредственно на железе, на виртуальном устройстве или в облаке.

    Turnkey — это более 100 готовых к использованию образов. Все они поддерживают автоматическое ежедневное обновление с последними патчами безопасности, резервное копирование и восстановление одной кнопкой: система сохраняет изменения в файлах, БД и управлении пакетами в зашифрованном хранилище, из которого серверы могут быть автоматически восстановлены. Инструмент для резервного копирования TKLBAM встроен в ядро системы Turnkey Core.

    Каждый дистрибутив Turnkey включает в себя веб-интерфейс управления, веб-оболочку и простую консоль конфигурации.

    Все образы легковесные (от 150 МБ), тщательно собраны с нуля с минимально необходимым набором компонентов, чтобы обеспечить наиболее эффективное потребление ресурсов, эффективность и безопасность. Во всех релевантных образах SSL работает из коробки на бесплатных сертификатах Let's Encrypt.

    Вот некоторые образы из коллекции Turnkey:

    • Стек LAMP (408 МБ VM, 378 МБ ISO). Типичный комплект Linux, Apache, MariaDB (вместо MySQL), PHP/Python/Perl.
    • NGINX PHP FastCGI (404 МБ VM, 373 МБ ISO). Альтернативный стек для веб-сервера.
    • WordPress (425 МБ VM, 392 МБ ISO). Одна из лучших платформ для публикации блога с тысячами доступных плагинов на любой вкус.
    • Ghost (740 МБ VM, 582 МБ ISO). Ещё одна опенсорсная платформа для публикации блогов, с красивым оформлением, простая в использовании и бесплатная, отличается высокой скоростью. Приложение написано на Node.js, клиент администрирования на фреймворке Ember.js, а темы — на движке Handlebars.js.


      Ghost
    • ZoneMinder (531 МБ VM, 483 МБ ISO). Система видеонаблюдения для дома, офиса или любого места. Использует лучший софт, совместим с любыми камерами. Подходит для систем любого размера. Продвинутое распознавание движения и объектов в реальном времени (системы EventServer и zmMagik).
    • Файл-сервер (508 МБ VM, 461 МБ ISO). Простой в использовании файл-сервер, совместимое с Windows общее хранилище файлов с веб-менеджером. Полностью готовый файл-сервер поддерживает протоколы передачи файлов SMB, SFTP, NFS, WebDAV и rsync. Возможно как приватное хранилище файлов, так и общедоступное на публичном хостинге. Работает на основе Samba и WebDAV CGI.


      Файл-сервер (File Server)
    • Nextcloud (639 МБ VM, 558 МБ ISO). Хранение файлов, фотогалерей, календаря и многого другого. Сервер доступен с любого устройства через интернет. Тоже можно установить или в локальной сети с доступом через интернет, или на публичном сервере.


      Nexctcloud
    • GitLab (1,1 ГБ VM, 1,0 ГБ ISO). Единый сервер для всего жизненного цикла разработки программного обеспечения. От планирования проекта и управления исходным кодом до CI/CD, мониторинга и безопасности. GitLab предоставляет собой управление версиями на основе Git, упакованное с полным набором инструментов DevOps. По сути, что-то вроде GitHub, но на своём сервере и с более продвинутым функционалом.
    • Медиасервер (648 МБ VM, 587 МБ ISO). Полностью настроенный медиасервер индексирует все ваши домашние видео, музыку и фотографии, затем автоматически транскодирует на лету и транслирует этот контент для воспроизведения на любом устройстве. На сервере работает Jellyfish с веб-приложением для управления файлами, система совместима с Windows и различными протоколами передачи данных, включая SFTP, rsync, NFS и WebDAV. Как и в случае с обычным файл-сервером (см. выше), здесь файлами можно управлять как в приватном, так и в публичном хранилище, то есть транслировать видео для всех желающих в интернете, насколько выдержит аппаратная часть сервера.
    • MySQL (398 МБ VM, 368 МБ ISO). Известная опенсорсная СУБД, которая сейчас принадлежит корпорации Oracle. Это быстрый, стабильный, надёжный, простой в использовании и многопоточный сервер баз данных SQL. Строго говоря, на самом деле на сервере фактически работает MariaDB, типичная замена для MySQL, хотя у неё есть некоторые функции, которые отсутствуют у MySQL, так что можно мигрировать с MySQL на MariaDB, но зачастую невозможно вернуться обратно.
    • Торрент-сервер (607 МБ VM, 549 МБ ISO). Файловый сервер с интегрированным общим доступом к файлам. Файлы добавляются в список загрузки через простой веб-интерфейс, который позволяет удалённо управлять сервером. Особенно полезно для централизации общего доступа к файлам в общей сети. Включает антивирусный сканер.

      Пожалуй, этот образ лучше подходит для установки в локальной сети вместе с медиасервером, чтобы скачивать фильмы и сериалы из торрентов, сохранять их в хранилище — и транслировать на все телевизоры, ноутбуки и смартфоны в доме.
    • phpBB (416 МБ VM, 384 МБ ISO). Самое популярное в мире опенсорсное решение для веб-форумов. Основано на модулях. Высокий уровень безопасности, многоязычный интерфейс и продвинутая административная панель с настройками всех функций форума.
    • Zen Cart (416 МБ VM, 384 МБ ISO). Сервер для управления интернет-магазином. Поддержка разных языков и валют.
    • AVideo (672 МБ VM, 616 МБ ISO), бывшее название YouPHPTube. Опенсорсный сервер для видеотрансляций, созданный по образцу YouTube, Vimeo и т. д. С помощью AVideo вы можете поднять собственный сайт с видеороликами, а также транслировать видео в прямом эфире. Среди некоторых функций — импорт и кодирование видео с других сайтов непосредственно из интернета, поддержка мобильных устройств через адаптивный гибридное приложение, которое позволяет непосредственно транслировать видео с телефона через сервер на широкую аудиторию.
    • Mattermost (622 МБ VM, 569 МБ ISO). Опенсорсная альтернатива Slack на своём хостинге. Объединяет обмен сообщениями и файлами, работает на ПК и мобильных устройствах, встроенное архивирование и поиск. Mattermost из коробки интегрируется с целым рядом других веб-приложений и расширяется модулями, так что вы можете создавать кастомные функции поверх ядра на Golang/React.


    Это лишь несколько примеров специализированных образов ISO из коллекции Turnkey. Загружаете такой образ на свой сервер, устанавливаете систему из него — и у вас сразу есть настроенное приложение со всеми необходимыми компонентами.



    Таким образом, технически на VDS можно поставить практически любую операционную систему с любыми приложениями, используя собственный ISO. Главное, чтобы система имела драйверы для работы с VirtIO устройствами. Если их нет в образе, то нужно их добавить самостоятельно.

    VDSina.ru
    Серверы в Москве и Амстердаме

    Комментарии 37

      0

      Какие-то виртуализации поддерживают установку контейнера из iso?

        0
        Точно KVM поддерживает.
          +1

          Все! Другое дело, что не все облака поддерживают.

          +2
          Ну-ка поподробнее на тему MacOS? Интересно конечно, но как насчет лицензионных ограничений и поддержки железом?
            0
            как насчет лицензионных ограничений
            в какой юриздикции?
              0
              чем вам поможет «юрисдикция»? Устанавливая MacOs, вы принимаете лицензионное соглашения, опять же — поддержка железом не зависит от локации
                0

                В некоторых юрисдикциях ограничения лицензии могут быть ничтожны.

                  –1
                  Есть закон в котором черным по белому написано что легально купив ноут Apple который поставляется с операционной системой авторства Apple я могу абсолютно легально делать с этим железом и софтом все что захочу. Ломать, реверсить, запускать в виртуалках для своих нужд, модифицировать по желанию левой пятки ноги. Так говорит местный закон.

                  Apple торгует своей продукцией в этой юриздикции абсолютно легально и подчиняется местным законам. Какие бы влажные мечты Apple не прописала в своем лицензионном соглашении оно абсолютно ничтожно в тех пунктах которые противоречат местному законодательству.

                  Единственное что мне прямо запрещает закон, распространять или продавать все эти издевательства над продукцией Apple.
                0
                Бог с ними, с ограничениями.
                Mac OS же проверяет наличие специального чипа. Или автор статьи имел в виду предварительно пропатченный Mac OS? Скажите, где можно взять такой ISO образ?
                  0
                  какого чипа? Установочный образ Mac OS скачаный с официального сайта Apple отлично запускается на виртуалке в QEMU, Virtualbox или Vmware. При єтом в самом образе Mac OS ничего патчить не нужно.
                    0
                    какого чипа?

                    T2 например. Если не сейчас, то уже скоро. Я уж молчу про переход на ARM.
                      0
                      ARM емулируется тем же QEMU, возможно тормозить будет страшно (но єто не точно). Т2 не нужон, Mac OS и без него работает.
                        0
                        Как говорю, пока работает. Не удивлюсь, если заодно с переходом на ARM Apple насмерть залочит свою ОС от несанкционированного использования.
                          –1
                          да пускай лочат, никто не может помешать им срельнуть себе в ногу). Чем быстрее этот динозавр загнется, тем раньше на его поле прорастеть что-то более новое и лучшее.
                +6
                С каких пор Minecraft это детская игра?
                  +2
                  Просто примите это и продолжайте играть.
                  +2
                  Имхо, когда пишете подобные статьи, надо сравнивать с альтернативными решениями. В данном случае, напрашиваются системы управления конфигурацией.
                  Почему это удобно по сравнению с, например, ansible или любым аналогом на выбор?
                    0

                    Если сравнивать с Ansible & co, то он вам не поможет сделать CentOS из Debian, или наоборот, и далеко не все провайдеры предоставляют все варианты дистрибутивов — иногда последней версии нет а делать release upgrade не всегда удобно, не говоря уже про наоборот — когда у провайдера только последняя версия а вам зачем-то нужна предыдущая.


                    К тому же, некоторые ставят минималки, некоторые максималки, некоторые добавляют своё (от которого нужно избавляться) и т.п. — слишком много вариаций для систем управления конфигурациями, проще реально свой установочный образ (если есть возможность).


                    Я обычно первым делом запускаю rescue system и тащу свой образ (в отличие от варианта с ISO, работает практически с любым провайдером) — даёт определенную долю уверенности что в системе ничего лишнего не будет (два провайдера уже были пойманы на установке софта и правке конфигурации через qemu-guest-agent, причём совсем не на managed серверах).

                      0
                      имхо, если вы хотите сделать центос из дебиана — вы чего-то не того хотите. Когда я был линуксовым админом, запомнилась фраза: такой гибкий, что хрен сделаешь прямым.

                      Ну и я не имею в виду, что совсем не нужно собирать образ. Я сторонник того, чтобы иметь один образ + плейбуки на все случаи жизни, а не по образу на задачу, как описывается в статье. Имхо, плейбуки легче управляются и поддерживаются.
                      0

                      Ну вот первый вариант пришедший в голову; iso образ с любимым дистром, пользователем ansible в sudo/wheel без пароля и прописанными ключами

                      0

                      Почему? Потому, что у вдсины образы кривые. Зачем-то выпилили стандартные репозитории и вставили нерабочие. Непонятно для чего это сделано.

                        0
                        Эта информация не соответствует действительности, используются стандартные образы.
                          0

                          Ну да. Странно такое говорить, когда я проверил несколько ваших образов и даже apt update не работал

                            0
                            Например, какой?
                              0
                              Из вашего вопроса, я вижу, что у вас явный пробел в этой сфере.
                              Вы должны иметь по виртуалке на каждый образ и таску в кроне, которая выполняет автоматическое обновление системы.
                              А еще вы должны иметь публичный график в котором приводятся результаты.
                                0
                                Ну я бы вас сказал, если бы созданный сервер отобразился в списке)
                                Видишь суслика? Вот и я не вижу, а он естьimage
                                А там оказывается фильтр в виде всплывающего сообщения) Умно)
                                Ну вот как миним не центосе проблемы с репами. Это свежий сервер. Ещё хуже дела обстоят на веста+цент
                                image
                                  +1
                                  Так ведь wheezy — это уже даже не oldstable.
                                    0

                                    Да, я понимаю. Однако его можно выбрать и как пользователь я не хочу разбираться с репозиториями и настройками. Такие же проблемы в другом образе, где центос и веста идут вместе

                          0

                          Вообще, это очень удобная и практически уникальная возможность на рынке лоу костеров vps. Из-за этой возможности я много раз пользовался услугами этого хостера и рекомендовал другим. Мое знакомство с ним как раз произошло, когда искал такую функцию. Нужно было использовать свои образы Windows.

                            +1

                            Докер-контейнер не проще запустить? Ядро как раз берете от хостера — оно может быть затюнено под их железо и инфраструктуру, а все прочее приносите а образе.

                              0
                              Ядро как раз берете от хостера — оно может быть затюнено под их железо и инфраструктуру

                              Ага, в него может быть уже добавлена пара лишних пользователей и шеллов.
                              ВДСина, камень не в ваш огород, но не так давно же тут на хабре проскакивала статья про кого-то из крупных хостеров, в образы которого заботливыми админами был встроен криптомайнер. Гуглить щас на ночь глядя — точно лень, если кто помнит киньте ссылкой
                                0

                                слышал истории, как сервера заражали майнерами-но чтобы вот так, «из коробки» — это что-то новое.

                                  0
                                  Не, там была история что в продакшн исошники которые предоставлял хостер «случайно» попали исошники из тестовой среды с добавленными учетками администратора
                                  Через которые через неделю «вчера уволенный сотрудник» заливал майнера.
                                  0

                                  Докер-образ ничем в этом плане не отличается от исо-образа. Или его собираете вы лично, или несёте риски безопасности.

                                    0

                                    А, вы про ядро же… Тут да. Но если это вдска, то есть ещё и хост-система, которую вы не контролируете вообще, и железо с непонятными прошивками. Тут все зависит от вашей модели безопасности — если за вами скажем охотятся крупные государства, то вам вообще про вдски лучше забыть.

                                      0
                                      Тут конечно вопрос больше доверия, но у меня не тот уровень паранойи чтобы проверять passwd в дистрибутиве полученном из вроде как надежного (ну раз мы пользуемся услугами этого хостера, подразумеваем его надежность) источника. Это все-таки не Zver-CD скачанный с торрентов
                                0
                                А когда вы планируете сделать доступ к загрузке ISO через API (POST)? Без API это решение перестает быть «самым оптимальным» и для раскатки сервера, например, удобнее воспользоваться vps2arch.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое