[x86] Virtual TinyLEMP [VirtualBox OVA] [Linux TinyCore-14] [NGINX + PHP-8.2-fpm + MySQL] 14

Возможные сценарии использования

* Веб-разработка на стеке LEMP ( Linux + nginx + php + mysql )
* Тестирование и запуск веб-приложений в изолированной среде
* Быстрый запуск ВМ с веб-приложением (например, wordpress)
* Анализ траффика серверных веб-приложений
* Подключение в сети с тегированным (VLAN) и дважды тегированным (2x8021q-QinQ) траффиком.

Технические особенности сборки

* DHCP-клиент на LAN-порту eth0
* VLAN / QinQ поддерживается (пример /opt/eth1.sh)
* SSHd (авторизация на ключах и паролях)
+ передача файлов по SFTP
* Nginx настроен, пример для ssl и виртуального-хоста в наличии
* Adminer - легковесный веб-интерфейс для управления MySQL
* sendmail
* /opt/other/eth0_tcpdump.sh - запись дампов траффика
* links, wget, curl, mc, iperf3, htop, sshpass, nc
* Файервол iptables /opt/fw.sh :
+ списки ipset /opt/fw-pre.sh
+ ручной блоклист /opt/other/txt_2_banlist.sh
+ файервол в прозрачном режиме /opt/other/fw_bypass.sh
* При первом запуске будут сгенерированы новые SSH-ключи хоста и root-пароли
сохранены также будут в /opt/other/passwords.txt
* Nginx -- php-fpm -- MySQLd
* mysqld использует ряд хаков для корректного запуска
* Эта ВМ для РАЗРАБОТКИ. В боевом продакшене используйте ОСТОРОЖНО.
* После изменения системных настроек/конфигов используйте команду : backup и перезагрузите ВМ.
+ Только файлы из списка /opt/.filetool.lst будут сохранены из корневой ФС !
+ Файлы из /mnt/sd?1 НЕ ТРЕБУЮТ команды backup - эта ФС постоянного хранения !
* Скрипты автозапуска: /usr/local/etc/init.d
* Конфиги: /usr/local/etc/(nginx|php*|mysql*)
!! Изменения в конфигах должны быть сохранены командой backup после редактирования !!
* Основной сайт "по умолчанию" лежит в /mnt/sdb1/www-data , конфиг /usr/local/etc/nginx/sites-enabled/default.conf
* Сайт "по умолчанию" с TLS лежит в /mnt/sdb1/www-data , конфиг /usr/local/etc/nginx/sites-enabled/ssl.conf
* Виртуальный хост virt-host1.local лежит в /mnt/sdb1/www-data-virt-host1 , конфиг /usr/local/etc/nginx/sites-enabled/virt-host1.conf
Для доступа к виртуальному хосту отредактируйте файл hosts на ВАШЕМ компьютере (или настройте DNS-запись),
добавьте строку: IP-этой-ВМ virt-host1.local
Откройте в браузере веб-сайт http://virt-host1.local/
! Для безопасности при первом старте ВМ будет запущен специальный скрипт first_run.sh ,
который сбросит root-пароли локального linux-пользователя и пользователя MySQL.
При первом запуске пароли будут показаны на экране загрузки.
При последующих ребутах сгенерированные на первом старте пароли можно посмотреть командой:
cat /opt/other/passwords.txt

Запуск и использование

- установите VirtualBox, импортируйте ova-файл
- в настройках VM первой сетевой карте поставьте режим "Сетевой мост" с нужной вам сетевой картой
Как правило, это ваша основная сетевая карта или WiFi-адаптер.
- Запустите ВМ. Система при первой загрузке сгенерит ключи для SSHd, создаст новые пароли и залогинится локально
- команда backup для сохранения ключей и паролей будет выполнена автоматически
- ВМ готова к работе
- Откройте в браузере адрес запустившейся ВМ

Установка софта на TinyCore

Обязательно от пользователя tc, от рута пакетный менеджер не стартует.
su - tc
запускаем tce
жмём [S], вводим подстроку для поиска пакета, например, screen
Вводим цифру предложенного варианта
Читаем описание, версию, размер пакета.
Если всё правильно - жмём один раз [Q], чтобы выйти из описания.
Далее жмём [I] , чтобы начать установку.
По завершении снова жмём [Q], чтобы выйти из пакетного менеджера tce.
Настраиваем установленное, если надо, к изменённым конфигам дописываем пути
в /opt/.filetool.lst
Даём команду backup.
В системе ещё 14 Мб места есть. Если что - GParted с любого LiveCD (например, Knoppix) без проблем расширит вам файловую систему.

Возможные проблемы и решения

Если у вас нет DHCP-сервера во внешней сети.
- Система будет 20 секунд ждать, после чего напишет предупреждение. Файервол и сервисы при этом не запустятся.
- После старта ВМ с помощью vi / mcedit отредактируйте /opt/eth0.sh
Закомментируйте dhcpc, раскомментируйте и исправьте статические настройки сетевой карты в примере.
- выполните команду backup и перезагрузитесь.
VLAN и двойное тегирование QinQ
- посмотрите пример в /opt/eth1.sh и скопируйте нужное в eth0.sh
- добавьте по аналогии строчки настроек файервола в /opt/fw.sh
- backup, reboot
Удалённый и локальный доступ (SSH)
- Для отмены локального автологина:
* смените пароль рута: passwd root
или запомните текущий из /opt/other/passwords.txt
* в файл /opt/.filetool.lst добавьте строку
etc/sysconfig/noautologin
* touch /etc/sysconfig/noautologin
* backup
* reboot
После перезагрузки потребуется ввести пароль.
- Доступ через SSH по-умолчанию стоит только пользователю root.
* Для более удобного скачивания ключей есть mc / wget / links / curl
* После добавления ключей не забудьте команду backup
- для применения новых настроек SSH выполните команду:
/usr/local/etc/init.d/openssh restart
Сетевой мониторинг и анализ
- список правил файервола: iptables --list -vn
- списки ipset ipset list
- Мониторинг траффика: /opt/other/eth0_tcpdump.sh
Загрузка и системные особенности
- TinyCore по своим принципам управления больше похожа на линукс-прошивку железки,
чем на десктопный дистрибутив.
- Между ребутами из корневой ФС сохраняется только то, что перечислено в /opt/.filetool.lst
и что не забыли засабмитить командой backup !
- Данные с точек монтирования в /mnt сохраняются всегда.
- Код сайтов и база данных лежат в /mnt/sdb1 , это ФС размещена на втором диске, а не в памяти,
там команда backup не требуется.
- Схема загрузки:
* ядро + базовая ФС из /mnt/sda1/tce/boot грузятся
* затем подключаются образы доп.софта из /mnt/sda1/tce/optional
* восстанавливается ранее сохранённый бекап скриптов и конфигов из /mnt/sda1/tce/mydata.tgz
* Запускаются базовые сервисы
* Запускается /opt/bootsync.sh, из него уже /opt/bootlocal.sh и всё остальное
- Я добавил несколько полезных скриптов в /opt/other - пример запуска tcpdump, байпасс файервола, скрипт для формирования ipset-ов
- При старте системе требуется несколько больше оперативной памяти, как и при использовании браузера / пакетного менеджера, чем
потребляется просто в рабочем режиме.
- На диске весь софт уже ужат (используется SquashFS). Из жирных файлов (по меркам TinyCore) - база provides.db в /mnt/sda1/tce.
- Постоянная системная ФС: /dev/sda1 --> /mnt/sda1 На неё ничего не пишется по умолчанию, она очень компактная.
- Постоянная рабочая ФС: /dev/sdb1 --> /mnt/sdb1 На неё пишутся данные сайтов и базы данных. Размер ограничен размеров до 4 Гб.
- Корневая ФС рамдиском в памяти. Надо больше места в корне временно - просто добавьте ВМ оперативной памяти.
- Файервол может быть весьма навороченным по конфигу. Если вы что-то сломали в его конфиге - всегда
можно перевести шлюз в прозрачный, менее безопасный режим скриптом /opt/other/fw_bypass.sh
По умолчанию доступ к MySQL разрешён только с 127.0.0.1, к SSH - только из локальной сети, к веб-портам 80 и 443 - откуда угодно.
- Если вам надо больше места внутри ВМ, то либо используйте /mnt/sdb1, либо добавьте новый диск (это лучше, чем расширять системный).
Для этого выключите ВМ, добавьте ещё один виртуальный диск нужного размера,
запустите ВМ, с помощью fdsik /dev/sdс создайте там раздел, отформатьте с помощью mkfs.ext4 /dev/sdс1 ,
в /opt/bootlocal.sh добавьте например такую строчку:
mkdir /mnt/sdс1 && mount /dev/sdс1 /mnt/sdс1
Выполните backup и reboot
После ребута проверьте подключение диска командой df -h -t ext4
- Если 4 Гб на /mnt/sdb1 мало, то его можно расширить.
Сперва стопаем ВМ и в настройках носителей увеличиваем размер физического устройства
Загружаем ВМ кноппиксом или ещё чем-то типа GParted, ресайзим ФС с меткой WWW-MySQL-DATA
Отключаем кноппикс/ливку, перезапускаем ВМ .
- Если место в корне таки кончилось / не хватает, и таки хочется расширить.
Выключаем ВМ, докидываем памяти в ВМ, грузим Knoppix, ресайзим раздел, например GParted-ом.
Ошибка Out of Memory
- Вы слишком ужали выделяемый ВМ объем ОЗУ или запустили тяжелые процессы внутри ВМ. Добавьте больше памяти.
Поставленные 1024 Мб по умолчанию соответствуют дешёвой виртуалке, доступной у кучи хостеров
Используйте htop или free -mh для проверки
IPv6
Есть и поддерживается, включен по умолчанию.
Чтобы отключить, включите запуск этого скрипта:После чего выполните команду backup и перезагрузитесь.

Скриншоты