Guia Foca GNU/Linux †Avançado‡
Contents
1. OUTPUT mangle gt OUTPUT nat gt OUTPUT filter gt POSTROUTING mangle gt POSTROUTING nat A requisi o ftp passa atrav s dos chains especificados em SA DA DOS PACOTES e retorna por ENTRADA DE PACOTES Ap s a conex o ser estabelecida o caminho de SAIDA DE PACOTES ser u a abs OUTPUT mangle gt OUTPUT filter gt POSTROUTING mangle ma E a ps A a pois os dados de entrada que vem da interface externa s o passados diretamente a m quina do firewall n o necessitando de tratamento SNAT os chains OUTPUT nat e POSTROUTING nat s o processado somente uma vez a procura de regras que conferem principalmente para fazer SNAT Note novamente que mesmo n o sendo necess rio NAT o chain POSTROUTING mangle checado OBS1 Para conex es com destinos na pr pria m quina usando um endere o IP das interfaces locais a interface ser ajustada sempre para 1o loopback OBS2 Em qualquer opera o de entrada sa da de pacotes os dois chains da tabela mangle s o sempre os primeiros a serem acessados Isto necess rio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros 10 7 3 Conex o FTP de 192 168 1 1 para 192 168 1 4 Endere o de Origem 192 168 1 12. Classe M scara de Endere o da Rede de Rede Rede A 255 0 0 0 10 0400 029972997259 B l 25525900 FZ 600 2n L22205 e299 Cc 25542507 2990 i 192 168 20 40 1920168 255 4255 Voc deve decidir primeiro qual ser a largura de sua rede e ent o escolher a classe de rede que ser usada 4 4 Interface de rede As interfaces de rede no GNU Linux est o localizadas no diret rio dev e a maioria criada dinamicamente pelos softwares quando s o requisitadas Este o caso das interfaces ppp plip que s o criadas dinamicamente pelos softwares Abaixo a identifica o de algumas interfaces de rede no Linux a significa um n mero que identifica as interfaces sequencialmente iniciando em 0 eth Placa de rede Ethernet e WaveLan ppp Interface de rede PPP protocolo ponto a ponto slip Interface de rede serial eql Balanceador de tr fego para m ltiplas linhas plip Interface de porta paralela arc e arc s Interfaces Arcnet sl ax Interfaces de rede AX25 respectivamente para kernels 2 0 xx e 2 2 xx fddi Interfaces de rede FDDI dlci sdla Interfaces Frame Relay respectivamente para para dispositivos de encapsulamento DLCI e FRAD nr Interface Net Rom rs Interfaces Rose st Interfaces Strip Starmode Radio IP tr Token Ring Para maiores detalhes sobre as interfaces acima consulte o documento NET3 4 HOWTO
3. 6 0 a 6 60 a 6 06 Este par metro DEVER ser sempre especificado depois do client code page pois caso contr rio eles ser o substitu dos por estes 18 2 8 3 Restri es de acesso mapeamento de usu rios guest account conta Define a conta local de usu rio que ser mapeada quando um usu rio se conectar sem senha usu rio guest Veja mais detalhes em invalid users Define uma lista de usu rios que n o ter o acesso aos recursos do servidor ou compartilhamento seguro restringir o acesso samba a usu rios com grande poder no sistema como o root Veja mais detalhes em valid users Semelhante a op o invalid users mas permite que somente os usu rios especificados tenham acesso ao sistema Veja mais detalhes em default service nom Caso o servi o que o usu rio deseja se conectar n o for encontrado no servidor o SAMBA mapear o servi o especificado nesta diretiva como alternativa A vari vel S e o caracter podem ser interessantes em algumas alternativas de configura o A op o default um sin nimo para esta op o Caso utilize esta op o crie o compartilhamento em modo somente leitura e com acesso p blico caso contr rio dependendo do planejamento de parti es e seguran a do sistema de arquivos a m quina poder ser derrubada sem dificuldades username map arquivo Especifica um arquivo que faz o mapeamento entre nomes fornecidos por clientes e nomes de contas Unix
4. 235 StrictHostKeyChecking ves IdentityFile ssh identity IdentityFile ssh id dsa IdentityFile ssh id rsal IdentityFile ssh id rsa EscapeChar 15 2 1 2 Cliente ssh para Windows O putty um cliente ssh Win32 que possui suporte aos protocolos vers o 1 e 2 do ssh aceita compacta o al m de funcionar tamb m como cliente telnet Seu tamanho pequeno apenas um execut vel e requer 220KB de espa o em disco Ele pode ser baixado de http www chiark greenend org uk sgtatham putty Outra alternativa o MindTerm este baseado em Java e pode inclusive ser executado como um applet em uma p gina web Este programa encontrado emlhttp www mindbright se mindterm 15 2 2 scp Permite a c pia de arquivos entre o cliente servidor ssh A sintaxe usada por este comando a seguinte scp origem destino Os par metros de origem e destino s o semelhantes ao do comando cp mas possui um formato especial quando especificado uma m quina remota e Um caminho padr o Quando for especificado um arquivo local Por exemplo usr src arquivo tar gz e usuariofhost remoto diret rio arquivo Quando desejar copiar o arquivo de para um servidor remoto usando sua conta de usu rio Por exemplo gleydsoneftp debian org args A op o C recomend vel para aumentar a taxa de transfer ncia de dados usando compacta o Caso a porta remota do servidor sshd seja diferente de 22 a
5. honra que toda a informa o que voc assinou naquela chave verdadeira at onde voc pode verificar e que voc tentou verificar direitinho Pense nisso como um juramento Eu juro em nome da minha reputa o profissional e pessoal que o nom ndere os d mail nessa chave s o realmente verdadeiros at onde posso verificar e que fiz uma tentativa real e razo vel de verificar essa informa o Sim s rio desse jeito mesmo Voc pode ficar muito queimado em certos c rculos se voc assinar uma chave falsa pensando que verdadeira a sua assinatura mal verificada pode vir a prejudicar outros que confiaram em voc 378 Bom j que o assunto s rio como juntar um grupo de pessoas numa sala e trocar assinaturas de chaves entre si Particularmente se s o pessoas que voc nunca viu antes Siga o protocolo abaixo passo a passo e sem pular ou violar nenhum dos passos 1 Re na todos em uma sala ou outro local n o tumultuado pressa e bagun a s o inimigas da seguran a 2 Cada um dos presentes deve nt o ir de um em um e sd Apresentar se mostrando calmamente documenta o original nada de fotoc pia comprovando sua identidade RG CPF passaporte certid o de nascimento ou casamento carteira de motorista cart o de cr dito s o todos bons exemplos S o RG sozinho n o tem muito RG falsificado por a mas o RG junto com o cart o de banco j seria
6. OBS Tenha um especial cuidado durante a programa o de regras que usem TTL como elas est o especialmente associadas com o estado da comunica o estabelecida entre as duas pontas e o tipo de protocolo cuidados especiais devem ser tomados para que seu firewall n o manipule de forma incorreta tr fego v lido 10 6 11 Conferindo com n meros RPC O m dulo rpc permite um controle especial sobre o tr fego RPC que chega at a sua m quina Um uso til restringir a chamada a determinados n meros RPC e permitir outros por exemplo permitindo somente o servi o keyserv e bloqueando outros como o ypserv ou portmapper As seguintes op es podem ser usadas com o m dulo nfs e rpcs procedimentos Confere com a lista de chamadas RPC especificadas Mais de um procedimento RPC pode ser especificado como nome ou n mero separando os com v rgulas Um arquivo til que cont m esta lista o etc rpc e strict Ignora servi os RPC que n o contenham a chamada get do portmapper Em situa es normais o inicio de qualquer solicita o RPC Veja alguns exemplos Para conferir com todas as chamadas RPC referentes a conex es iniciadas para o portmapper iptables A INPUT m rpc rpcs portmapper strict 5 DROP Para permitir que somente as chamadas para status e statmon sejam aceitas iptables A INPUT m rpc rpcs 100023 100024 j ACCEPT 10 6 12 Conferindo com tipo de pacote O m dulo pkttype permite
7. inetd No modo inetd o servidor de nomes nmbd ser carregado assim que for feita a primeira requisi o de pesquisa e ficar residente na mem ria No caso de acesso a um compartilhamento o smbd ser carregado e ler a configura o em smb conf a cada acesso do cliente a um compartilhamento Quando o samba opera via inetd ele n o usa o controle de acesso dos arquivos hosts allow e hosts deny VejalRestringindo o acesso por IP rede Se o 18 12 2Je para detalhes de como fazer o controle de acesso Para reiniciar o samba digite killall HUP nmbd N o necess rio reiniciar o servi o smba conforme foi explicado acima daemon Quando opera no modo daemon ambos os daemons nmbd e smbd s o carregados No caso de um acesso a compartilhamento criado um processo filho do smbd que finalizado assim que o compartilhamento n o for mais usado Para iniciar o samba em modo daemon digite etc init d samba start para interromper o samba etc init d samba stop para reiniciar etc init d samba restart Se desejar mudar do modo daemon para inetd ou vice versa edite o arquivo etc default samba e modifique o valor da linha RUN MODE para daemons ou inetd Uma forma de fazer isso automaticamente executando O dpkg reconfigure samba OBS Como praticamente n o existe diferen a entre os modos de opera o inetd e daemon para o SAMBA aconselh vel que execute sempre que poss vel via inetd pois isto garantir uma
8. Este arquivo segue os padr es do arquivos de configura o e possui alguns par metros que controlam o comportamento do CVS Segue uma lista deles SystemAuth Define se ser utilizado a autentica o via etc passwd quando o m todo pserver for utilizado Note que se o arquivo passwd for criado no CVSROOT o SystemAuth ser definido automaticamente para no Exemplo SystemAuth yes LockDir Especifica o diret rio onde ser o gravados os arquivos de lock Caso n o seja especificado ser usado o diret rio do CVS Exemplo LockDir var lock cvs TopLevelAdmin Permite criar ou n o um diret rio cnamado cvs no root do diret rio de trabalho durante o cvs checkout 266 LogHistory Utiliza op es para especificar o que ser registrado nos arquivos de log do cvs TOFEWGCMAR OU all Registra todas as opera es nos logs do cvs e TMAR Registra todas as opera es que modificam os arquivos v 17 4 2 modules Especifica op es e programas externos que ser o usados durante a execu o de comandos no reposit rio CVS 17 4 3 cvswrappers Este arquivo define a es de controle de caracter sticas de arquivos de acordo com seu nome Pode ser tamb m definidas a es atrav s de arquivos cvswrappers 17 4 4 commit info Define programas para fazer uma checagem baseada no diret rio e dizer se o commit permitido 17 4 5 verifymsg Especifica o programa usado para verificar as mensagens de lo
9. YU G H AV Yoh Yom YolL YM Y N Yp YR O diret rio ra z do servi o atual se existir O nome de usu rio do servi o atual se aplic vel Esta vari vel bastante til para programa o de scripts e tamb m para criar arquivos de log personalizados etc O grupo prim rio do usu rio u O nome de usu rio da se o o nome de usu rio solicitado pelo cliente n o uma regra que ele ser sempre o mesmo que ele recebeu O nome do grupo prim rio de U O diret rio home do usu rio de acordo com u A vers o do Samba O nome DNS da m quina que est executando o Samba O nome NetBIOS da m quina do cliente Isto muito til para log de conex es personalizados e outras coisas teis O nome NetBIOS do servidor Como o servidor pode usar mais de um nome no samba aliases voc poder saber com qual nome o seu servidor est sendo acessado e possivelmente torna lo o nome prim rio de sua m quina O nome DNS da m quina cliente O nome do seu servidor de diret rios home NIS Este par metro obtido de uma entrada no seu arquivo auto map Se n o tiver compilado o SAMBA com a op o with automount ent o este valor ser o mesmo de L O caminho do diret rio home do servi o obtido de uma entrada mapeada no arquivo auto map do NIS A entrada NIS do arquivo auto map dividida na forma N p O n vel de protocolo selecionado ap s a negocia o O valor retorn
10. debug level valor Aumenta o n vel de depura o dos daemons do SAMBA de 0 a 9 Um n vel de depura o interessante e que produz uma quantidade razo vel de dados para configura o de um logrotate s para o SAMBA o 2 produzindo a lista de todos os compartilhamentos acessados quem acessou data hora dependendo das outras op es de depura o Isto permite ao administrador saber exatamente o que est sendo acessado e por quem quais as tentativas de acesso Assim ter certeza que o conte do n o est sendo acessado indevidamente O n vel de depura o 0 o padr o debug uid valor Este par metro inclui o euid egid uid gid nos arquivos de log O valor padr o no lock directory diret rio Define onde ser o gravados os arquivos de lock gerados pelo samba 283 18 2 8 6 Navega o no servidor tipo de servidor os level num Especifica o n vel do sistema operacional Este n mero usado para as elei es netbios para definir o navegador de grupo local e controlador de dom nio veja N veis de sistema para elei o de rede Se o 18 2 12 para detalhes O valor pode ser de 0 a 255 o padr o 32 announce as sistema Selecione o nome que o samba nmbd se anunciar na lista de pesquisa de rede Os seguintes nomes podem ser usados e NT Server ou NT Anuncia como Windows NT Server Este o padr o o NT Workstation Anuncia se como um NT Workstation o Win95 ou WfW Anuncia se na r
11. mais novo suporta full duplex e outros recursos adicionais al m de manter a compatibilidade com OSS O ALSA um padr o mais moderno e garante mais performance para a CPU da m quina principalmente para a exibi o de v deos etc 3 11 2 1 Reservando os recursos de hardware para sua placa de som Caso esteja usando uma placa ISA jumpeada jumperless ou Plug and Play preciso selecionar que recursos de hardware sua placa est usando e como estes ser o configurados O padr o a utiliza o da IRQ 5 DMA1 DMA16 I O 0x220 0x330 0x388 para PCM e MIDI A configura o de uma placa Plug and Play descrita em Plug and Play Se o 3 4 4 e de uma placa jumpeada em Jumpers Se o 3 4 1 Como refer ncia veja a tabela padr o de uso de interrup es em IRQ Requisi o de Interrup o Se o 3 3 1 3 11 2 2 Configurando uma placa de som usando o padr o OSS O padr o OSS o presente por padr o desde que o suporte a som foi inclu do no kernel Para configurar uma placa de som para usar este sistema de som primeiro compile seu kernel com o suporte ao m dulo de sua placa de som Caso seja uma placa ISA voc provavelmente ter que habilitar a se o Open Sound System para ver as op es dispon veis entre elas a Sound Blaster e compat veis Uma olhada na ajuda de cada m dulo deve ajuda lo a identificar quais placas cada op o do kernel suporta Caso seu kernel seja o padr o de uma distribui o Li
12. o 17 5 O uso mais frequente do ext para conex es seguras feitas via ssh feita da seguinte forma export CVS RSH ssh export CVSROOT ext michellefcvs cipsga org br var lib cvs cvs checkout O acesso de leitura grava o do usu rio definido de acordo com as permiss es deste usu rio no sistema Uma maneira recomendada definir um grupo que ter acesso a grava o no CVS e adicionar usu rios que possam fazer grava o neste grupo OBS1 O acesso via ssh traz a vantagem de que as senhas trafegar o de forma segura via rede n o sendo facilmente capturadas por sniffers e outros programas de monitora o que possam estar instalados na rota entre voc e o servidor OBS2 poss vel especificar a senha na vari vel CVSROOT usando a sintaxe semelhante a usada no ftp export CVSROOT ext michelle senhaftcvs cipsga org br var lib cvs Entretanto isto n o recomendado pois os processos da m quina poder o capturar facilmente a senha incluindo usu rios normais caso a m quina n o esteja com patches de restri es de acesso a processos configurada que o padr o em quase todas as distribui es de Linux 17 2 4 pserver password server Este um m todo de acesso remoto que utiliza um banco de dados de usu rios senhas para acesso ao reposit rio A diferen a em rela o ao m todo de acesso ext que o pserver roda atrav s de um servidor pr prio na porta 2401 O acesso dos usu rios leitura grava o
13. o Order especificada deny allow definido como padr o e como nenhuma op o de acesso allow deny foi especificada o padr o Order deny allow usado e permite TUDO como padr o lt Directory var www gt Options Indexes Order deny allow deny from all lt Directory gt Esta regra acima n o tem muita l gica pois restringe o acesso de todos os usu rios ao diret rio var www ao menos se esta for sua inten o lt Location focalinux gt Options All Order allow deny allow from all lt Location gt A regra acima permite o acesso a URL http www servidor org focalinux de qualquer host na Internet lt Files htaccess gt Order deny allow deny from all lt Files gt Bloqueia o acesso a qualquer arquivo hntaccess do sistema lt Files leiame arm alpha m68k sparc powerpc N txt gt Order deny allow deny from all lt Files gt Bloqueia o acesso a qualquer arquivo leiame arm txt leiame alpha txt leiame m68k txt leiame sparc txt leiame powerpc txt fazendo uso de express es regulares lt Directory var www gt Options Indexes Order mutual failure allow from dominio com br deny from lammer dominio com br lt Directory gt A diretiva acima somente permite acesso ao diret rio var www de m quinas pertencentes ao dom nio dominio com br desde que n o seja lammer dominio com br 177 lt Directory var www gt Options Indexes MultiViews Order allow deny deny from com
14. o RewriteLog os valores permitidos est o entre 0 e 9 Se for usado 0 o registro do RewriteLog totalmente desativado esta a padr o OBS Qualquer valor acima de 2 deixa o servidor Web cada vez mais lento devido ao processamento e a quantidade de detalhes registrados no arquivo especificado por RewriteLog 191 12 10 7 ScriptLog ScriptLog arquivo Especifica o nome do arquivo de log que receber as mensagens de erros gerados por scripts CGI executados no servidor Esta op o controlada pelo m dulos mod cgi Os arquivos de log ser o abertos por um sub processo rodando com as permiss es do usu rio especificado na diretiva user OBS Esta op o somente recomendada como depuradora de scripts CGI n o para uso cont nuo em servidores ativos Exemplo ScriptLog var lo0g apache cgiscripts log 12 10 8 ScriptLogBuffer ScriptLogBuffer Especifica o tamanho do cabe alho PUT ou POST gravado no arquivo especificado por ScriptLog O valor padr o 1024 bytes Esta op o controlada pelo m dulos mod cgi Exemplo ScriptLogBuffer 512 12 10 9 ScriptLogLength ScriptLogLength tamanho Especifica o tamanho m ximo do arquivo de log gerado pela op o ScriptLog O valor padr o 10385760 bytes 10 3MB Esta op o controlada pelo m dulos mod cgi Exemplo ScriptLogLength 1024480 12 10 10 LogFormat LogFormat Define os campos padr es do arquivo gerado pela op o TransferLog O seu formato
15. o de tipo encodifica o do conte do autom tico e mod negotiation Sele o de conte do baseado nos cabe alhos HTTP Accept Mapeamento de URL e mod alias Tradu o e redirecionamento de URL simples e mod_rewrite Tradu o e redirecionamento de URL avan ado e mod_userdir Sele o de diret rios de recursos por nome de usu rio e mod speling Corre o de URLs digitadas incorretamente e mod vhost alias Suporte para virtual hosts dinamicamente configurados em massa Manipula o de Diret rios e mod dir Manipula o de Diret rio e arquivo padr o de diret rio e mod_autoindex Gera o de ndice autom tico de diret rio Controle de Acesso e mod access Controle de acesso por autoriza o usu rio endere o rede e mod auth Autentica o HTTP b sica usu rio senha mod auth dbm Autentica o HTTP b sica atrav s de arquivos NDBM do Unix mod auth db Autentica o HTTP b sica atrav s de arquivos Berkeley DB mod auth anon Autentica o HTTP b sica para usu rios no estilo an nimo mod auth digest Autentica o MD5 e mod digest Autentica o HTTP Digest Respostas HTTP e mod headers Cabe alhos de respostas HTTP configurado e mod cern meta Cabe alhos de respostas HTTP arquivos no estilo CERN e mod expires Respostas de expira o HTTP e mod asis Respostas HTTP em formato simples raw Scripts e mod include Suporte a Includes no lado do s
16. o de troca swap for necess ria Em discos r gidos grandes 6GB ou maiores recomend vel criar no m nimo uma parti o pequena para boot outra para outra para swap e outra para usr Ficando distribu das da seguinte maneira no disco r gido BRRRRRRRRRRRRRRRRRRRRR RRRRRRRRRRRRRRRRRRRRRR SSSSSSSSSUUUUUUUUUUUUU UUUUUUUUUUUUUUUUUUUUUU UUUUUUUUUUUUUUUUUUUUUU UUUUUUUUUUUUUUUUUUUUUU UUUUUUUUUUUUUUUUUUUUUU UUUUUUUUUUUUUUUUUUUUUU UUUUUUUUUUUUUUUUUUUUUU Goo cacdcunTt boot Ra z Swap usr Cum Mas a swap n o ficaria ainda mais r pida sendo a primeira parti o no disco Sim e n o Realmente fica r pida na teoria conforme explicado acima mas levando em considera o que o deslocamento das cabe as de leitura grava o do disco r gido leva certo tempo mais vantajoso mant la entre as 2 parti es mais acessadas isto diminui o tempo de acesso caso um programa esteja fazendo uso constante de ou usr e precisar trocar dados na parti o swap 48 Al m do mais a parti o geralmente pequena no m ximo 800M deixando a swap em uma rea muito pr xima do inicio do disco r gido Com base nisto voc poder ter uma melhor vis o t cnica para a constru o de suas parti es dependendo da fun o do sistema 3 15 2 Spindles Em sistemas que utilizam um disco r gido dedicado para fazer swap a liga o deste em uma placa controladora independente a
17. o dos arquivos usados no processo de resolver um nome no sistema GNU Linux 4 6 2 1 etc resolv conf O etc resolv conf o arquivo de configura o principal do c digo do resolvedor de nomes Seu formato um arquivo texto simples com um par metro por linha e o endere o de servidores DNS externos s o especificados nele Existem tr s palavras chaves normalmente usadas que s o domain Especifica o nome do dom nio local search Especifica uma lista de nomes de dom nio alternativos ao procurar por um computador separados por espa os A linha search pode conter no m ximo 6 dom nios ou 256 caracteres nameserver Especifica o endere o IP de um servidor de nomes de dom nio para resolu o de nomes Pode ser usado v rias vezes 61 Como exemplo 0 etc resolv conf se parece com isto domain maths wu edu au search maths wu edu au wu edu au nameserver 192 168 10 1 nameserver 192 168 12 1 Este exemplo especifica que o nome de dom nio a adicionar ao nome n o qualificado i e hostnames sem o dom nio maths wu edu au e que se o computador n o for encontrado naquele dom nio ent o a procura segue para o dom nio wu edu au diretamente Duas linhas de nomes de servidores foram especificadas cada uma pode ser chamada pelo c digo resolvedor de nomes para resolver o nome 4 6 2 2 etc host conf O arquivo etc host conf o local onde poss vel configurar alguns tens que gerenciam o c digo do resolvedor
18. um excelente m todo para fazer o balanceamento de carga entre servidores O endere o IP selecionado escolhido de acordo com o ltimo IP alocado iptables t nat A PREROUTING i eth0 s 192 168 1 0 24 j DNAT to 200 200 217 40 200 200 217 50 1024 5000 Id ntico ao anterior mas faz somente substitui es na faixa de portas de destino de 1024 a 5000 A opera o acima a mesma realizada pelo ipmasqadm dos kernels da s rie 2 2 OBS1 Se por algum motivo n o for poss vel mapear uma conex o NAT ela ser derrubada OBS2 N o se esque a de conferir se o ip forward est ajustado para 1 echo 1 gt proc sys net ipv4 ip_forward 10 4 4 1 Redirecionamento de portas O redirecionamento de portas permite a voc repassar conex es com destino a uma porta para outra porta na mesma m quina O alvo REDIRECT usado para fazer esta opera o junto com o argumento to port especificando a porta que ser redirecionada Este o m todo DNAT espec fico para se para fazer proxy transparente para redirecionamento de endere os portas veja 10 4 4 Todas as opera es de redirecionamento de portas realizada no chain PREROUTING e OUTPUT da tabela nat iptables t nat A PREROUTING i eth0 p tcp dport 80 j REDIRECT to port 81 Redireciona as conex es indo para a porta 80 para a porta 81 rodando squid no firewall ATEN O O squid possui suporte a proxy transparente e poder atender as requisi
19. win program files printable Especifica se o compartilhamento uma impressora yes ou um compartilhamento de arquivo diret rio no O padr o no read only Especifica se o compartilhamento somente para leitura yes ou n o no para todos os usu rios O par metro writable um ant nimo equivalente a este par metro s que utiliza as op es invertidas Por seguran a o valor padr o somente leitura Veja uma explica o mais detalhada em Criando um compartilhamento com acesso somente leitura Se o 18 12 8 291 Ex read only yes create mask Modo padr o para cria o de arquivos no compartilhamento O par metro create mode um sin nimo para este O modo de arquivos deve ser especificado em formato octal Ex create mask 0600 directory mask Modo padr o para a cria o de diret rios no compartilhamento O par metro directory mode um sin nimo para este O modo de diret rio deve ser especificado em formato octal Ex directory mask 0700 getwd cache Permite utilizar um cache para acesso as requisi es getwd diminuindo o n mero de ciclos de processamento para acesso a arquivos diret rios O valor padr o Yes write cache size Tamanho do cache de leitura grava o do compartilhamento Este valor especificado em bytes e o padr o 0 VejalMelhorando a performance do compartilhamento servidor Se o 18 13 para detalhes sobre seu uso Ex write cache size 384
20. 200 OK 201 Criado 202 Aceito 203 Informa o n o autoritativa 204 Nenhum conte do 205 Conte do resetado 206 Conte do parcial 3xx Redirecionamento 300 M ltiplas escolhas 301 Movido Permanentemente 302 Movido Temporariamente 303 Veja outra 304 N o modificada 305 Use o Proxy redirecionamento proxy 4xx Erros no Cliente 400 Requisi o incorreta 401 N o autorizado 402 Pagamento Requerido 403 Bloqueado 404 N o encontrada 05 M todo n o permitido 06 N o aceit vel 07 Autentica o via proxy requerida 08 Tempo limite da requisi o expirado 09 Conflito 10 Gone 411 Tamanho requerido 412 Falha na pr condi o 413 A requisi o parece ser grande 4 4 4 4 4 4 4 4 14 A URL requisitada muito longa 15 Tipo de m dia n o suportado 5xx Erros no Servidor Os c digos de erros marcados com um 500 Erro Interno no Servidor 501 N o implementado 502 Gateway incorreto 503 Servi o n o dispon vel 504 Tempo limite no gateway 505 Vers o HTTP n o suportada nam pertencem ao padr o HTTP 1 1 221 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux Servidor ident Guia Foca GNU Linux Cap tulo 13 Servidor ident Este cap tulo documenta o uso benef cios configura o utiliza o e exemplos do servidor identd Tamb m s o explicad
21. Aponta para var www home focalinux e home focalinux Aponta para home focalinux Este diret rio deve conter um arquivo de ndice v lido especificado pela diretiva Documentindex no srm conf e permiss es de acesso v lidas no arquivo access conf para autorizar o acesso as p ginas em var www vejalRestri es de Acesso Se o 12 7 para detalhes Sub p ginas Sub p ginas s o armazenadas abaixo do diret rio da P gina ra z como http www guiafoca org download Elas podem ser um subdiret rio da p gina principal em var www OU serem criadas atrav s da diretiva Alias no arquivo srm conf Caso seja um sub diret rio as permiss es de acesso de var www ser o herdadas para este subdiret rio mas tamb m poder o ser modificadas com a especifica o de uma nova diretiva de acesso Atrav s da diretiva Alias a p gina pode estar localizada em outro diret rio do disco at mesmo outro sistema de arquivos e as permiss es de acesso dever o ser definidas para aquela p gina Para criar um endere o http www guiafoca org iniciante que aponta para o diret rio home focalinux download iniciante no disco local basta usar a seguinte diretiva no srm conf Alias iniciante home focalinux download iniciante Pode ser necess rio permitir o acesso a nova p gina caso o servidor tenha uma configura o restritiva por padr o veja Restri es de Acesso Se o 12 7 para detalhes Ap s isto fa a o servidor httpd re le
22. Endere o de Destino 192 168 1 4 Interface de Origem etho Interface de Destino etho Porta Origem 1405 Porta Destino 21 Protocolo TCP Descri o Conex o ftp at o prompt de login sem transfer ncia de arquivos SA DA DOS PACOTES envio da requisi o para 192 168 1 4 OUTPUT mangle gt OUTPUT nat gt OUTPUT filter gt POSTROUTING mangle gt POSTROUTING nat A requisi o ftp passa atrav s dos chains especificados em SA DA DOS PACOTES com o destino 192 168 1 4 porta 21 e retorna por ENTRADA DE PACOTES para 192 168 1 1 porta 1405 Ap s a conex o ser estabelecida o caminho de SAIDA DE PACOTES ser 146 E gt 4 E OUTPUT mangle gt OUTPUT filter gt POSTROUTING mangle H H E pois os dados n o precisam de tratamento SNAT os chains OUTPUT nate POSTROUTING nat s o processado somente uma vez a procura de regras que conferem principalmente para fazer SNAT OBS Em qualquer opera o de entrada sa da de pacotes os dois chains da tabela mangle s o sempre os primeiros a serem acessados Isto necess rio para definir a prioridade e controlar o
23. Execute o comando quota mostra os limites de usu rios grupos e a toler ncia restante antes do limite soft se tornar r gido Abaixo alguns exemplos descritivos deste comando quota Disk quotas for user gleydson uid 1234 Filesystem blocks quota limit grace files quota limit grace dev hda5 504944 500100 600000 00 05 10868 0 0 Os campos tem o seguinte significado e Filesystem Sistema de arquivos e blocks N mero de blocos usados atualmente na parti o em Kb O indica que o limite foi ultrapassado Atualmente em 504944 O quota Limite suave soft de espa o na parti o que o usu rio grupo possui Atualmente 500100 O valor O indica que o usu rio grupo n o possui restri es O limit Limite m ximo hard de espa o na parti o que o usu rio grupo possui Atualmente em 600000 O valor O indica que o usu rio grupo n o possui restri es O grace Toler ncia antes que o limite soft passe a valer como hard quando o espa o em disco ultrapassado Este usu rio tem 5 minutos restantes para que isto ocorra Quando o valor soft volta a ficar abaixo da quota a toler ncia resetada O par metro none indica que o tempo de toler ncia expirou caso existam limita es de quota que foram ultrapassadas ou que o usu rio grupo n o possui restri es Veja se existe um no campo blocks e files N mero m ximo de arquivos que usu rio grupo possui atualmente na parti o Um indica que o limite foi u
24. O viewcvs possui uma interface que se parece com a navega o de um diret rio de ftp recursos como a extra o de diffs coloridos entre vers es de um arquivo selecionado visualiza o de commits com data log do commit usu rio etc classifica o da listagem exibida OBS Leve em considera o as implica es de seguran a impostas por aplicativos cgi sendo executados em seu sistema Veja Apache Cap tulo 12 para entender melhor o assunto 17 6 Exemplo de uma se o CVS Nota este exemplo apenas did tico n o foi feita nenhuma modifica o real no conte do do reposit rio do dillo Definir o CVSROOT export CVSROOT pserver gleydsonfima cipsga org br var lib cvs entrar no servidor gleydsonthost tmp testeS cvs login Logging in to pserver gleydsonfima cipsga org br 2401 var lib cvs CVS password lt password gt gleydsonfoberon tmp testesS Pegar o m dulo dillo do cvs cvs z 3 co dillo cvs server Updating dillo cvs server Updating dillo CVSROOT U dillo CVSROOT checkoutlist U dillo CVSROOT commitinfo U dillo CVSROOT config U dillo CVSROOT cvswrappers U dillo CVSROOT editinfo U dillo CVSROOT loginfo U dillo CVSROOT modules U dillo CVSROOT notify U dillo CVSROOT rcsinfo U dillo CVSROOT taginfo U dillo CVSROOT verifymsg cvs server Updating dillo CVSROOT Emptydir cvs server Updating dillo dillo 270 U dillo dillo AUTHORS U dillo dillo COPYING U dillo d
25. apt get install iptables O pacote iptables cont m o utilit rio iptables e ip6tables para redes ipv6 necess rios para inserir suas regras no kernel Se voc n o sabe o que ipv6 n o precisar se preocupar com o utilit rio ip tables por enquanto 10 1 8 Enviando Corre es Contribuindo com o projeto A p gina principal do projeto jhttp netfilter filewatcher org Sugest es podem ser enviadas para a lista de desenvolvimento oficial do iptables lhttp lists samba org 10 1 9 O que aconteceu com o ipchains e ipfwadm O iptables faz parte da nova gera o de firewalls que acompanha o kernel 2 4 mas o suporte ao ipchains e ipfwadm ainda ser mantido atrav s de m dulos de compatibilidade do kernel at 2004 Seria uma grande falta de considera o retirar o suporte a estes firewalls do kernel como forma de 111 obrigar a aprenderem o iptables mesmo o suporte sendo removido ap s este per odo acredito que criar o patches externos para futuros kernels que n o trar o mais este suporte Se precisa do suporte a estes firewalls antes de passar em definitivo para o iptables leia Habilitando o suporte ao iptables no kernel Se o 10 1 15 Se voc um administrador que gosta de explorar todos os recursos de um firewall usa todos os recursos que ele oferece ou mant m uma complexa rede corporativa tenho certeza que gostar do iptables 10 1 10 Tipos de firewalls Existem basicamente dois tipos
26. e Entre na op o File Systems Native Language Support Na op o Default NLS Option coloque iso8859 1 Ative tamb m o suporte as p ginas de c digo 437 850 e 860 e tamb m ao conjunto de caracteres iso8859 1 e UTF8 Note que esta ordem pode variar dependendo da vers o do seu kernel basta que as entenda para fazer as modifica es apropriadas character set conjunto caracteres Seleciona o conjunto de caracteres dos arquivos exibidos pelo servidor samba Para os idiomas de l ngua latina sempre utilize iso8859 1 Ex character set iso8859 1 client code page pagina de codigo Seleciona a p gina de c digo do servidor samba para tratar os caracteres Para os idiomas de l ngua latina sempre utilize 850 280 Ex client code page 850 preserve case Seleciona se arquivos com nomes extensos criados ser o criados com os caracteres em mai sculas min sculas definidos pelo cliente no ou se ser usado o valor de default case caso seja especificado yes short preserve case Seleciona se os arquivos com nomes curtos formato 8 3 ser o criados com os caracteres mixtos enviados pelo cliente no ou se ser usando o valor de default case caso seja especificado yes default case lower upper Define se os arquivos criados ter o seus nomes todos em min sculas lower ou mai sculas upper valid chars caracteres Define caracteres v lidos nos nomes de arquivos valid chars 6 6
27. e priority acceptable Lista todas as configura es aceitas pelo seu hardware Ela minha op o preferida pois permite analisar dinamicamente todas as configura es permitidas pelo hardware e escolher qual a mais adequada para funcionar sem problemas no sistema e priority functional Pode conter 1 ou mais blocos de prioriade funcional por hardware Note que alguns recursos do hardware podem n o estar dispon vel neste tipo de prioridade til para uso em casos de conflito quando o hardware pode ser colocado em funcionamento de forma alternativa ou parcial Ap s a grava o do arquivo etc isapnp conf basta voc digitar isapnp etc isapnp conf para ativar a configura o dos dispositivos listados com as configura es que voc escolheu Se o isapnp lhe mostrar mensagens de conflito ou qualquer outro problema verifique as configura es do hardware e 34 modifique se necess rio Depois execute novamente o etc isapnp conf Para detalhes sobre outros par metros n o explicados aqui veja a p gina de manual do isapnp conf A maioria das distribui es GNU Linux configura os dispositivos Plug and Play existentes neste arquivo automaticamente na inicializa o como o caso da Debian ea Red Hat Se este n o for o seu caso coloque a linha isapnp etc isapnp conf em um dos scripts de inicializa o de sua distribui o 3 5 Listando as placas e outros hardwares em um computador Administradores e t cnicos
28. entregue no passo 2 2 Allo gpg receive key lt 0OxKEYID gt procura a chave especificada nos keyservers gpg sign key lt OxKEYID gt assina uma chave Assume se que voc sabe cifrar e decifrar mensagens n o saiba ainda n o hora de querer sair assinando chaves Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Ap ndice Guia Foca GNU Linux Cap tulo 21 Ap ndice Este cap tulo cont m considera es sobre o guia Foca GNU Linux 380 21 1 Sobre este guia Esta guia foi criado com a inten o de servir como refer ncia a usu rios Avan ados que j dominam grande parte do sistema operacional e procuram aprender mais sobre os seus detalhes e configura es especiais ou com refer ncia de consulta r pida A vers o que esta lendo agora foi gerada com as seguintes op es e Descri o detalhada de comandos e Op es usadas em comandos e programas e Observa es e Exemplos para a melhor compreens o do assunto discutido e cont m o s n vel is de aprendizado Iniciante Intermedi rio e Avan ado e Avan ado O Foca GNU Linux atualizado frequentemente por este motivo recomendo que preencha a ficha do aviso de atualiza es na p gina web em P gina Oficial do guia Foca GNU Linuxjno fim da p gina principal Ap s preencher a ficha do aviso de atualiza es eu te enviarei um e mail sobre o
29. marque a op o Efetuar logon no dom nio do Windows NT Coloque o nome do dom nio que ir configurar o cliente para fazer parte na caixa Dom nio do Windows NT por exemplo suporte Na parte de baixo da caixa de di logo voc poder escolher como ser o m todo para restaurar as conex es de rede Inicialmente recomendo que utilize a Efetuar logon e restaurar as conex es de rede que mais til para depurar problemas poss veis erros ser o mostrados logo que fizer o logon no dom nio Adeque esta configura o as suas necessidades quando estiver funcionando e Clique em Protocolo TCP IP e em Propriedades Clique na tab NetBIOS e marque a op o Desejo ativar o NetBIOS atrav s do TCP IP Caso esta caixa esteja em cinza ent o est tudo certo tamb m e Clique na tab Identifica o e coloque l o nome que identificar o computador at 15 caracteres e Digite o nome de um grupo de trabalho que a m quina far parte no campo Grupo de Trabalho por exemplo workgroup suporte etc Este campo somente ser usado caso o logon no dom nio NT n o seja feito com sucesso No campo Descri o do Computador coloque algo que identifique a m quina na rede por exemplo Computador da rea de suporte e Clique na tab Controle de Acesso e marque o Controle de acesso a n vel de usu rio e especifique o nome da m quina que serve a lista de usu rios que normalmente a mesma do PDC e Clique em O
30. o de identifica o mapeamento de nomes e masquerading veja Op es de linha de comando Se o 13 1 11 Aqui foi definido um par metro m ximo de 40 requisi es por minuto t pico de um servi o poucos usado no sistema caso este limite seja ultrapassado o servi o ser desativado na se o atual do inetd Os outros campos s o descritos em 4 7 2 1 2 Interrompa a execu o do daemon do oidentd atual dando um etc init d oidentd stop 3 Remova os links dos runlevels em etc rc da que iniciam interrompem a execu o do daemon com o comando update rc d f oidentd remove Neste ponto o daemon oidentd n o ser mais iniciado Para reverter esta a o execute o comando udpate rc d oidentd defaults 224 4 De um comando killall HUP inetd para fazer o servi o inetd recarregar o arquivo de configura o etc inetd conf O servi o de identd j estar funcionando OBS A configura o da distribui o Debi an permite detectar quando o servi o ident auth est sendo executado no etc inetd conf atrav s de seus scripts de inicializa o Voc poder fazer as coisas manualmente baseado nisso se desejar 13 1 9 Usando tcpwrappers com oidentd Especifique a op o W para fazer o oidenta utilizar o mecanismo de acesso em hosts allow e hosts deny para garantir bloquear ao servi o de acordo com endere os hosts especificados OBS O oidentda somente executado ap s a confer ncia de todos os par metros de
31. o do sistema todos os programas e daemons finalizados acionado pelo comando shutdown h 1 Modo monousu rio til para manuten o dos sistema 2 Modo multiusu rio padr o da Debian 3 Modo multiusu rio 4 Modo multiusu rio 5 Modo multiusu rio com login gr fico 6 Reinicializa o do sistema Todos os programas e daemons s o encerrados e o sistema reiniciado acionado pelo comando shutdown r e o pressionamento de CTRL ALT DEL Por exemplo para listar o n vel de execu o atual do sistema digite runlevel O runlevel dever listar algo como N 2 Agora para mudar para o n vel de execu o 1 digite init 3 Agora confira a mudan a digitando runlevel Voc dever ver este resultado 2 3 Isto quer dizer que o n vel de execu o anterior era o 2 e o atual o 3 7 5 Rede no sistema Debian O local que cont m as configura es de rede em um sistema Debian o etc network interfaces 7 6 Bug tracking system o sistema para relatar bugs e enviar sugest es sobre a distribui o Para relatar um bug primeiro voc deve saber ingl s a l ngua universal entendida pelos desenvolvedores e verificar se o bug j foi relatado O Debian Bug tracking system pode ser acessado pelo endere o http bugs debian org 96 Para relatar uma falha sugest o envie um e mail para submit ebugs debian org com o assunto referente a falha sugest o que deseja fazer e no corpo da mensage
32. o gia n o for especificada para a montagem de proc no etc fstab O grupo root ser usado como padr o NUNCA adicione usu rios ao grupo root use o m todo da observa o acima para permitir outros usu rios ver todos os processos em execu o OBS3 Caso o servidor identd esteja sendo usado na m quina servidora ser necess rio roda lo com a mesma GID do diret rio proc para que continue funcionando Se ele executado como daemon adicione a op o g GRUPO no script que inicia o servi o em etc init de reinicie o daemon Caso ele seja iniciado via inetd fa a a seguinte modifica o no arquivo etc inetd conf assumindo o uso do oidentd INFO Info services auth stream tcp nowait 40 nobody adm usr sbin oidentd oidend q i t 40 Veja Servidor ident Cap tulo 13 para detalhes sobre este servi o 19 12 Limitando o uso de espa o em disco quotas O sistema de quotas usado para limitar o espa o em disco dispon vel a usu rios grupo O uso de parti es independentes para o diret rio home e outros montados separadamente n o muito eficaz porque muitos usu rios ser o prejudicados se a parti o for totalmente ocupada e alguns possuem requerimentos de uso maior do que outros O suporte a Quotas deve estar compilado no kernel se o FileSystems e o sistema de arquivos dever ser do tipo ext2 ou XFS para funcionar 19 12 1 Instalando o sistema de quotas Abaixo o passo a passo para a instala o de quotas
33. problemas Utilize endere os IP na diretiva lt VirtualHost gt Use endere os IP na diretiva Listen Use um endere o IP na diretiva BindAddress Sempre utilize o par metro ServerName em todas as diretivas lt VirtualHost gt isto evita o retorno incorreto de nomes que pode evitar revelar fraudes 7 Quando utilizar virtual hosts crie uma diretiva lt VirtualHost default L gt usando uma diretiva DocumentRoot que n o aponte para lugar algum Esta diretiva ser acessada quando nenhuma diretiva VirtualHost servir a requisi o conferindo com o endere o ip Op Ea 12 13 Uso de criptografia SSL Esta se o uma refer ncia r pida para configura o e uso do m dulo apache ss1 com o servidor Apache Este m dulo realiza a comunica o segura de dados criptografada via porta 443 que usada como padr o quando especificamos uma url iniciando com https A transmiss o criptografada de dados importante quanto temos dados confidenciais que precisamos transmitir como movimenta o banc ria senhas n mero de cart es de cr dito fazer a administra o remota do servidor etc SSL significa Secure Sockets Layer camada segura de transfer ncia e TLS Transport Layer Security camada segura de Transporte 201 A inten o aqui fornecer explica es pr ticas para colocar um servidor Apache com suporte a SSL funcionando no menor tempo poss vel Detalhes sobre funcionamento de certificados m todos de cri
34. 2 13 4 Exemplo de configura o do m dulo mod ssl 2 13 5 Autorizando acesso somente a conex es SS 2 13 6 Iniciando o servidor Web com suporte a SSL 14 Exemplo comentado de um arquivo de configura o do Apache 2 14 1 httpd con 2 14 2 srm conf 2 14 3 access conf 15 C digos HTTP idor ident prq md 0 000 000 l pere pera pra h o erg 9 D lt O 1 Introdu o 3 1 1 Vers o 3 1 2 Contribuindo 3 1 3 Caracter sticas 3 1 4 Ficha t cnica 3 1 5 Requerimentos de Hardware 3 1 6 Arquivos de log criados pelo Iden 3 1 7 Instala 3 1 8 Instala o via Inetd 3 1 9 Usando tcpwrappers com oidentd 3 1 10 Iniciando o servidor reiniciando recarregando a configura o 3 1 11 Op es de linha de comand 3 1 12 Exemplos idor telne prq O 00000 0 0 0 0 0 0 60 O pry J P N D z O h EN ooo q 1 Introdu o 4 1 1 Vers o 4 1 2 Caracter sticas 4 1 3 Ficha t cnica 4 1 4 Requerimentos de Hardware 4 1 5 Arquivos de log criados pelo servidor telnet 4 1 6 Instala 4 1 7 Iniciando o servidor reiniciando recarregando a configura o 4 1 8 Op es de linha de comando 2 Controle de acesso Eq O Eq py 4 3 Recomenda es 4 4 Fazendo conex es ao servidor telnet e 15 Servidor ssh O D 5 1 Introdu o e 15 1 1 Vers o o 15 1 2 Hist ria e 15 1 3 Contribuindo a 2
35. 57 4 4 1 A interface loopback A interface loopback um tipo especial de interface que permite fazer conex es com voc mesmo Todos os computadores que usam o protocolo TCP IP utilizam esta interface e existem v rias raz es porque precisa fazer isto por exemplo voc pode testar v rios programas de rede sem interferir com ningu m em sua rede Por conven o o endere o IP 127 0 0 1 foi escolhido especificamente para a loopback assim se abrir uma conex o telnet para 127 0 0 1 abrir uma conex o para o pr prio computador local A configura o da interface loopback simples e voc deve ter certeza que fez isto mas note que esta tarefa normalmente feita pelos scripts padr es de inicializa o existentes em sua distribui o ifconfig lo 127 0 0 1 Caso a interface loopback n o esteja configurada voc poder ter problemas quando tentar qualquer tipo de conex o com as interfaces locais tendo problemas at mesmo com o comando ping 4 4 2 Atribuindo um endere o de rede a uma interface ifconfig Ap s configurada fisicamente a interface precisa receber um endere o IP para ser identificada na rede e se comunicar com outros computadores al m de outros par metros como o endere o de broadcast e a m scara de rede O comando usado para fazer isso o ifconfig interface configure Para configurar a interface de rede Ethernet eth0 com o endere o 192 168 1 1 m scara de rede 255 255 255 0 podemos usar o com
36. As seguintes diretivas s o um exemplo para um site onde estes diret rios est o restritos a somente leitura Veja detalhes sobre as op es de acesso e limites na se o sobre controle de acesso do guia Directory home public html gt AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec lt Limit GET POST OPTIONS PROPFIND gt Order allow deny Allow from all lt Limit gt lt Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK gt Order deny allow Deny from all lt Limit gt Directory gt As vezes ocorrem relatos de pessoas tentando abusar de uma falha antiga nos dias do Apache 1 1 muitas p ginas na Net documentam isso Esta falha envolve um script CGI distribu do como parte do Apache Descomentando estas linhas voc poder redirecionar estes ataques a um script de registro em phf apache org Ou poder gravar em sua pr pria m quina usando o script support phf abuse log cgi lt Location cgi bin phf gt Deny from all ErrorDocument 403 http phf apache org phf abuse log cgi lt Location gt Acesso aos servi os proxy do apache lt Directory proxy gt order deny allow Deny from all Allow from your domain com lt Directory gt a seguinte diretiva permite o acesso a todos os usu rios ao conte do da p gina do guia Foca GNU Linux exceto os que possuem navegadores MSIE Veja a se o sobre restri es de acesso para detalhes sobre a diretiv
37. CGC endere os de e mail memorandos etc De qualquer forma analise o tr fego de sua rede antes de querer implementar qualquer solu o baseada neste m todo sob o risco de afetar tr fego leg timo Outra utilidade eficiente a diminui o de tr fego pois podemos barrar programas que sobrecarregam o link em uma rede com muitos usu rios como por exemplo usando o Kazaa ou qualquer outro programa para c pia de arquivos via Internet Veja alguns exemplos Bloqueia qualquer tentativa de acesso ao programa Kazaa iptables A INPUT m string string X Kazaa j DROP N o permite que dados confidenciais sejam enviados para fora da empresa e registra o ocorrido iptables A OUTPUT m string string conta j LOG log prefix ALERTA dados confidencial iptables A OUTPUT m string string conta j DROP Somente permite a passagem de pacotes que n o cont m exe em seu conte do iptables A INPUT m string string exe j ACCEPT 142 10 6 10 Conferindo com o tempo de vida do pacote O m dulo tt 1 pode ser usado junto com as seguintes op es para conferir com o tempo de vida TTL de um pacote e ttl eg num o ttl 1t num o ttl gg num Veja alguns exemplos Confere com todos os pacotes que tem o L maior que 100 iptables A INPUT m ttl ttl gt 100 j LOG log prefix TTL alto Confere com todos os pacotes que tem o L igual a 1 iptables A INPUT m ttl ttl eq 1 j DROP
38. Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Introdu o Guia Foca GNU Linux Cap tulo 1 Introdu o Bem vindo ao guia Foca GNU Linux O nome FOCA significa FOnte de Consulta e Aprendizado Este guia dividido em 3 n veis de aprendizado e vers o que esta lendo agora cont m o s n vel is de aprendizado e Avan ado 15 Entre o conte do do guia voc encontrar An lise de logs do sistema GNU Linux e aplica o para a solu o de problemas Arquivos e daemons de Log Cap tulo 6 Gerenciamento de contas de usu rios defini o de per odo autom tico para troca de senha peri dica pol ticas de seguran a etc Gerenciamento de contas e cuidados para a prote o de senhas Cap tulo 11 Principais tipos de ataques para descoberta de senhas e alguns m todos de como evita las f ceis de adivinhar e escolha de boas senhas Se o 11 2 2 Integrar m quinas Windows e Linux em uma mesma rede compartilhando dados entre si e impress o SAMBA Cap tulo 18 Sistemas de prote o de senhas do sistema Melhorando a seguran a das senhas armazenadas em seu sistema Se o 11 4 Criptografia e seguran a na transmiss o de dados usando exemplos pr ticos do uso de sniffers para entender o porque da uso de criptografia para transmiss o segura de dados Introdu o ao uso de criptografia para transmiss o armazenamento
39. Normalmente veja Especificando uma exce o Se o 10 3 5 ou f veja Especificando fragmentos Se o 10 3 4 Interface de entrada de onde os dados chegam Veja out Interface de sa da para onde os dados v o Veja source Endere o de origem Veja Especificando um endere o de origem destino Se o 10 3 1 destination Endere o de destino Veja Especificando um endere o de origem destino Se o 10 3 1 outras op es Estas op es normalmente aparecem quando s o usadas a op o x e apt ou dpts Especifica a porta ou faixa de portas de destino O rcject with icmp port unreachable Significa que foi usado o alvo REJECT naquela regra veja Alvo REJECT Se o 10 3 6 1 in 10 2 3 Apagando uma regra D Para apagar um chain existem duas alternativas 1 Quando sabemos qual o n mero da regra no chain listado com a op o L podemos referenciar o n mero diretamente Por exemplo para apagar a regra criada acima iptables t filter D INPUT 1 Esta op o n o boa quando temos um firewall complexo com um grande n mero de regras por chains neste caso a segunda op o a mais apropriada 2 Usamos a mesma sintaxe para criar a regra no chain mas trocamos A por D 118 iptables t filter D INPUT d 127 0 0 1 j DROP Ent o a regra correspondentes no chain INPUT ser automaticamente apagada confira listando o chain com a op o L Caso o chain possua v rias regras semelhante
40. SIM o GNU Linux permite isso e ele ser configurado como dev hdg1 e JOYSTICK na porta 0x220 bom para jogos e controle do xmms Observe que as linhas iniciando com s o apenas coment rios e n o ser o interpretadas pelo isapnp SId pnpdump c v 1 21 1999 12 09 22 28 33 fox Exp Release isapnptools 1 21 library isapnptools 1 21 Para detalhes do formato do arquivo de sa da veja a p gina de manual do isapnp conf A se o abaixo faz o isolamento da placa atrav s da BIOS normalmente n o precisa ser alterado Com a configura o abaixo os dados sobre dispositivos ser o obtidos diretamente da BIOS Em placas m e que n o suportam Plug and Play necess rio apenas o par metro ISOLATE para que o isapnp possa assumir totalmente o controle para identifica o dos dispositivos Plug and Play READPORT 0x0273 ISOLATE PRESERVE IDENTIFY VERBOSITY 2 CONFLICT IO FATAL IRQ FATAL DMA FATAL MEM FATAL ou WARNING Card 1 serial identifier fc 10 01 fb 5d 28 00 8c 0e Vendor Id CTL0O028 Serial Number 268565341 checksum OxFC Version 1 0 Vendor version 1 0 31 ANSI string gt Creative SB16 PnP lt Descomente os valores desejados abaixo selecionando a configura o requerida Note que o valor padr o equivale ao primeiro par metro dispon vel Minimum CONFIGURE inicia um bloco de configura o e finaliza c
41. Se o 18 14 2 e Linux Se o 18 14 2 9 N N A a 18 14 2 1 Windows 9X Estas configura es s o v lidas para clientes Windows 95 Windows 950SR 2 Windows 98 Caso utilize O Windows 95 qualquer uma das s ries aconselh vel atualizar a stack TCP IP e NetBEUI para corrigir alguns problemas que podem deixar sua m quina vulner vel na vers o que acompanha o WinSock do Windows 95 Para tornar uma m quina parte do grupo de trabalho siga os seguintes passos e Entre nas propriedades de rede no Painel de Controle e Instale o Cliente para redes Microsoft caso n o esteja instalado e Instale o Protocolo TCP IP Voc tamb m pode instalar o protocolo NetBIOS mas utilizaremos o suporte NetBIOS sobre TCP IP que o usado pelo SAMBA al m de ter um melhor desempenho permitir integra o com servidores WINS etc Clique em Protocolo TCP IP e em Propriedades Clique na tab NetBIOS e marque a op o Desejo ativar o NetBIOS atrav s do TCP IP Caso esta caixa esteja em cinza ent o est tudo certo tamb m Clique na tab Identifica o e coloque l o nome que identificar o computador at 15 caracteres e o nome do grupo de trabalho que ele far parte por exemplo workgroup suporte etc No campo Descri o do Computador coloque algo que identifique a m quina na rede por exemplo Computador da rea de suporte Clique na tab Controle de Acesso e marque o Controle de ace
42. Se o 3 9 Se voc estiver em uma situa o destas certamente os computadores de menor pot ncia e com hardwares inteligentes que possuem seus pr prios chips de controle e processamento ter o um desempenho muito melhor Mas tamb m existem placas embutidas que tem a mesma qualidade de placas separadas como alguns modelos de placas m e que trazem a Sound Blaster embutida O pre o pode ser maior mas voc estar pagando por um dispositivo de melhor qualidade e que certamente trar benef cios a voc e ao seu sistema Consulte um t cnico em inform tica experiente para te indicar uma placa m e de bom pre o e de qualidade muito comum encontrar falta de profissionalismo em pessoas que n o sabem distinguir as caracter sticas fun es e vantagens entre uma placa de boa qualidade e um hardware for Windows a n o ser o pre o mais barato 3 9 Hardwares espec ficos ou For Windows Esta se o foi retirada do manual de instala o da Debian GNU Linux Uma tend ncia que perturba a prolifera o de Modens e impressoras espec ficos para Windows Em muitos casos estes s o especialmente fabricados para operar com o Sistema Operacional Microsoft Windows e costumam ter a legenda wWinModem for Windows OU Feito especialmente para computadores baseados no Windows 38 Geralmente estes dispositivos s o feitos retirando os processadores embutidos daquele hardware e o trabalho deles s o feitos por drivers do Windows que s o
43. Se o 4 9 1 4 7 1 Servi os iniciados como Daemons de rede Servi os de rede iniciados como daemons ficam residente o tempo todo na mem ria esperando que algu m se conecte tamb m chamado de modo standalone Um exemplo de daemon o servidor proxy squide o servidor web Apache operando no modo daemon Alguns programas servidores oferecem a op o de serem executados como daemons ou atrav s do inetd E recomend vel escolher daemon se o servi o for solicitado frequentemente como o caso dos servidores web ou proxy Para verificar se um programa est rodando como daemon basta digitar ps ax e procurar o nome do programa em caso positivo ele um daemon Normalmente os programas que s o iniciados como daemons possuem seus pr prios recursos de seguran a autentica o para decidir quem tem ou n o permiss o de se conectar 4 7 2 Servi os iniciados atrav s do inetd Servi os iniciados pelo inetd s o carregados para a mem ria somente quando s o solicitados O controle de quais servi os podem ser carregados e seus par metros s o feitos atrav s do arquivo etc inetd conf Um daemon chamado inetd l as configura es deste arquivo e permanece residente na mem ria esperando pela conex o dos clientes Quando uma conex o solicitada o daemon inetd verifica as permiss es de acesso nos arquivos etc hosts allowe etc hosts deny e carrega o programa servidor correspondente no arquivo etc inetd conf Um arquivo
44. a em rela o ao modo jumperless que o mesmo programa de configura o Plug and Play permite configurar todas as placas Plug and Play e a placa somente recebe os valores de IRQ DMA e I O ap s ser ativada por este programa normalmente o i sapnp no Linux Isto significa que a placa n o tem nenhum par metro de IRQ DMA e I O na partida do sistema 30 Desta forma somente sistemas operacionais que possuem suporte ao Plug and Play como o GNU Linux Windows OU programas acionadores PnP como o ICU para o DOS podem ativar e usar estes tipos de placas Placas Plug and Play permitem muita flexibilidade de configura o de dispositivos O programa usado para a configura o de placas Plug and Play no GNU Linux O isapnp e a configura o de todas as placas Plug and Play s o definidas no arquivo etc isapnp conf Veja a pr xima se o para entender como funciona o arquivo de configura o i sapnp conf e assim poder ativar seu dispositivo Plug and Play 3 4 4 1 Entendendo o arquivo de configura o isapnp conf Segue abaixo um exemplo de arquivo etc isapnp conf gerado atrav s do pnpdump para a configura o de uma placa de Som Sound Blaster com porta IDE embutida no GNU Linux O objetivo configurar a placa Sound Blaster para operar na configura o 10 0x220 IRQ 5 DMA 1 DMA16 5 MIDI 0x330 OPL 0x388 IDE operando como placa controladora quarten ria na porta 0x168 0x36e N s queremos ligar um HD na placa de som
45. ado Sendo que a vers o Iniciante voltada para o usu rio que n o tem nenhuma experi ncia no GNU Linux ltima vers o deste guia pode ser encontrada em P gina Oficial do guia Foca GNU Linux Caso tiver alguma sugest o corre o cr tica para a melhoria deste guia envie um e mail para gleydsonfguiafoca org O Foca GNU Linux atualizado frequentemente por este motivo recomendo que preencha a ficha do aviso de atualiza es na p gina web em P gina Oficial do guia Foca GNU Linuxjno fim da p gina principal Ap s preencher a ficha do aviso de atualiza es voc receber um e mail sobre o lan amento de novas vers es do guia e o que foi modificado desta forma voc poder decidir em copia la caso a nova vers o contenha modifica es que considera importantes Venho recebendo muitos elegios de pessoas do Brasil e de paises de fora tamb m elogiando o trabalho e a qualidade da documenta o Agrade o a todos pelo apoio tenham certeza que este trabalho desenvolvido pensando em repassar um pouco do conhecimento que adquiri ao come ar o uso do Linux Tamb m venho recebendo muitos e mails de pessoas que passaram na prova LPI n vel 1 e 2 ap s estudar usando o guia Foca GNU Linux Fico bastante feliz por saber disso pois nunca tive a inten o de tornar o guia uma refer ncia livre para estudo da LPI e hoje usado para estudo desta dif cil certifica o que aborda comandos servi os configura es segur
46. ado somente e Todos os exemplos e se es descritivas do guia s o de minha autoria Quanto a exemplos de configura es e utiliza o de programas ser citada a origem que foram baseados n o desmerecendo o trabalho de seus autores e Uso de programas e macetes aprendidos no dia a dia para gerenciar m quinas controlar redes e automatizar sistemas e As se es do n vel avan ado constru das com base em outras documenta es ter o as refer ncias explicitamente citadas em seus respectivos cap tulos e Manual de Instala o da Debian GNU Linux Os cap tulos contendo materiais extra dos do manual de instala o da Debian s o muito teis e explicativos seria desnecess rio reescrever um material como este O texto claro e didaticamente organizado o documento aborda detalhes t cnicos teis sobre hardwares em geral e o Linux ausentes nos manuais de outras distribui es Linux 21 4 Onde encontrar a vers o mais nova do guia Novas vers es deste guia avisos de lan amento outros n veis de aprendizado Iniciante Intermedi rio e Avan ado vers es para outras distribui es Linux podem ser encontradas em fP gina Oficial do guia Foca GNU Linux Se quiser receber notifica es de novas vers es por E Mail envie uma mensagem para gleydsonfguiafoca org pedindo para ser inclu do na lista de atualiza es do guia ou preencha o formul rio encontrado no final da Home Page do guia recomendado 21 5 Colaboradores
47. ao seu diret rio home remoto Recomendo utilizar o par metro public yes somente em compartilhamentos onde realmente necess rio como o netlogon ou outras reas de acesso p blico onde as permiss es do sistema de arquivos local estejam devidamente restritas Outra medida n o utilizar a op o follow symlinks que poder lhe causar problemas com usu rios mal intencionados que tenham acesso shell OBS Tenha em mente todas as considera es de seguran a abordadas neste cap tulo bem como as permiss es de acesso ao sistema Unix e como elas funcionam A disponibilidade de arquivos em uma rede simples simples tamb m pode ser o acesso indevido a eles caso n o saiba o que est fazendo 18 12 15 Senhas criptografadas ou em texto puro Como regra geral prefira sempre utilizar senhas criptografadas Aqui alguns motivos e A senha enviada de uma forma que dificulta sua captura por pessoas maliciosas e ONT n o permite que voc navegue no ambiente de rede em um sistema SAMBA com n vel de acesso por usu rio autenticando usando senhas em texto plano e Ser solicitada sempre a senha para reconex o em cada compartilhamento da m quina e Todas as vers es de Windows NT 4 a partir SP3 e Windows 95 OSR 2 utilizam senhas criptografadas como padr o poss vel faze lo utilizar senhas em texto plano modificando chaves no registro das m quinas clientes veja Ativando o suporte a senhas em texto plano Se o 18 9 para de
48. caso a BIOS esteja com a ordem inadequada de procura de discos e o ataque se dar com mais sofistica o e rapidez 19 15 4 Protegendo o LILO A op o passwd senha e restricted poder o ser usadas na se o da imagem que desejamos proteger Respectivamente pedem uma senha para a inicializa o do sistema e caso argumentos como root single sejam usados para conseguir acesso root sem fornecer senha E deixe somente as permiss es de acesso ao usu rio root caso contr rio sua senha poder ser vista por qualquer usu rio e modifique os atributos deste arquivo para imut vel para que nem mesmo o root possa modifica lo chattr i etc lilo conf 19 15 5 Disco r gido O disco r gido do servidor poder se retirado como alternativa para se ter acesso aos dados armazenados Isto poder ser dificultado com o uso de lacres de disco ou outras maneiras de dificultar mais esta tarefa mais parafusos armazenamento em partes de dif cil manipula o do HD etc qualquer coisa que possa lhe fazer ganhar tempo e despertar suspeitas para evitar o sucesso desta alternativa ousada Dados importantes ou confidenciais poder o ser armazenados em um sistema de arquivos criptografados e serem montados somente pelos administradores que possuem acesso f sico ao sistema O algoritmo Serpent muito forte na prote o de dados al m de possuir um timo desempenho Patches de criptografia poder o ser aplicados no kernel para ativa o deste recurso ve
49. ceis de adivinhar e escolha de boas senhas 1 2 3 Atualiza o de senhas de m ltiplas contas 1 2 4 A senha do usu rio root 1 3 Tipos de ataques mais comuns para se conseguir uma senha 1 3 1 Dedu o 1 3 2 Engenharia Social 1 3 3 Ataques por dicion rio 1 3 4 Brute Force 1 3 5 Monitoramento de toques do teclado 1 3 6 Login falso o 11 4 Melhorando a seguran a das senhas armazenadas em seu sistema 1 4 1 Shadow Passwords 1 4 2 Senhas MD5 00000 0 0 06 0 0 6 h te jap Eq e O NI P O TI Cans U SR NS S NO e D N O h Olje o o o oo ooo 7 o ol 0 000 temo O 0 ntrodu o 2 1 1 Vers o 2 1 2 Um resumo da Hist ria do Apache O NI i o oooooo ooo dh N dh O e e2 re D 3 D o D o Q O O eh NI cmd NI temo 2 1 3 Enviando Corre es Contribuindo com o projeto 2 1 4 Caracter sticas do Apache 2 1 5 Ficha t cnica 2 1 6 Requerimentos 2 1 7 Arquivos de log criados pelo Apache 2 1 8 Instala o 2 1 9 Iniciando o servidor reiniciando recarregando a configura o 2 1 10 Op es de linha de comando 2 Configurando a porta padr o do Apache 12 3 Adicionando uma p gina no Apache 2 4 Configurando as interfaces que o Apache atender 2 5 Especificando endere os portas adicionais a diretiva Listen specificando op es permiss es para as p ginas q
50. determinado endere o rede acessando o seu sistema e n o estejam em sua lista negra ATEN O importante saber se a p gina ser permissiva ou restritiva para escolher a ordem mais adequada ao seu caso tamb m leve em considera o a possibilidade do processamento cair na diretiva de acesso padr o caso nem a diretiva allow e deny conferiram e estiver usando a ordem de acesso allow deny ou deny allow Um sistema mal configurado neste aspecto poder trazer s rias consequ ncias comum em p ginas permissivas se definir a seguinte configura o Order allow deny allow from all O motivo que em um grande site se forem adicionadas mais restri es nesta p gina devido a alguns dom nios que tem usu rios mal comportados bloqueio de acesso a rede do concorrente potenciais atacantes etc estas dever o ser lidas antes da diretiva allow from all e podem passar desapercebidas ao administrador e podem simplesmente n o funcionar caso a op o Order n o esteja ajustada corretamente lembre se voc o administrador e a integridade do site depende de sua aten o na escolha da ordem correta das diretivas de acesso allow from Especifica o endere o que ter acesso ao recurso especificado A diretiva allow from aceita os seguintes valores e a11 O acesso permitido a todos 175 e um endere o de dom nio completo FQDN Por exemplo www debian org br e um endere o de dom nio parcial Qualquer compu
51. do grupo de trabalho pinguim ANORKGROUP pinguim e n o pede confirma o yes 18 7 Configura o em Dom nio Esta se o descreve todos os passos necess rios para configurar um servidor de dom nio PDC Primary Domain Control com perfis m veis e outros recursos que tornam teis e seguras a administra o de uma rede NetBEUI 18 7 1 Uma breve introdu o a um Dom nio de rede Um dom nio de rede consiste em uma m quina central chamada de PDC que mant m o controle de todas as contas de usu rios grupos e permiss es para acesso a rede NetBEUI O acesso desta forma centralizado como vantagem disto voc pode usar o n vel de acesso por usu rios nas m quinas definindo quais usu rios ou grupos ter o acesso de leitura grava o permitido criar scripts de logon assim comandos programados pelo administrador ser o executados nas m quinas clientes durante o logon no dom nio veja Criando Scripts de logon Se o 18 7 7 O nome da m quina protegido contra hijacking atrav s de contas de m quinas que fazem parte do dom nio veja Contas de m quinas de dom nio Se o 18 7 5 Isto s poss vel em clientes Linux Windows NT Windows 2000 e Windows XP Voc poder usar perfis m veis copiando todas as personaliza es do seu desktop para qualquer m quina na rede que voc fa a o logon Para o administrador ele poder definir pol ticas com o Poledit e outros programas que ser o salvas junto com
52. e uma grande lista de usu rios ficaria bastante complicada de ser gerenciada com v rios usu rios na diretiva Require user Quando existe esta situa o recomendado o uso de grupos de usu rios Para fazer uso desse recurso primeiro dever ser criado um arquivo quer armazenar o nome do grupo e dos usu rios pertencente aquele grupo usando a seguinte sintaxe vamos chamar este arquivo de SenhaGrupo admins gleydson usuario usuarios usuariol usuario2 usuario3 gleydson Agora adaptamos o exemplo anterior para que somente os usu rios especificados no grupo admins do arquivo criado acima 181 lt Location teste gt AuthName Acesso a p gina do Foca Linux AuthType basic AuthUserFile home gleydson SenhaUsuario AuthGroupFile home gleydson SenhaGrupo Require group admins lt Location gt Agora somente os usu rios pertencentes ao grupo admins gleydson e usuario poder o ter acesso ao diret rio teste OBS1 Verifique se o servidor Web possui acesso a leitura no arquivo de senhas de usu rios e grupos caso contr rio ser retornado um c digo 500 Internal Server Error Este tipo de erro caracterizado por tudo estar OK na sintaxe dos arquivos de configura o ap s checagem com apache t e todas as diretivas de controle de acesso apontam para os diret rios e arquivos corretos OBS2 Sempre use espa os para separar os nomes de usu rios pertencentes a um grupo OBS3 NUNCA coloque os arquivos que
53. echo 2048 gt proc sys net ipv4 ip conntrack max FEIE EAE AE AE AE AE AE HE AE E AE AE AE AE FE AE AE E AE HE AE FE E AE AE AE FE FE FE E FE AE AE AE TE AE E E AEE EE E EEE Ed Tabela filter PEREIRA JE EEEE EEEE EEEE EEEE EEEE E EEEE EEEE EEEE EEEE EEEE EEE EEEE EEE Chain INPUT Criamos um chain que ser usado para tratar o tr fego vindo da Internet e iptables N ppp input Aceita todo o tr fego vindo do loopback e indo pro loopback iptables A INPUT i lo j ACCEPT Todo tr fego vindo da rede interna tamb m aceito iptables A INPUT s 192 168 1 0 24 i eth0 j ACCEPT Conex es vindas da interface ppp0 s o tratadas pelo chain ppp input iptables A INPUT i ppp j ppp input Qualquer outra conex o desconhecida imediatamente registrada e derrubada iptables A INPUT j LOG log prefix FIREWALL INPUT iptables A INPUT j DROP Chain FORWARD Permite redirecionamento de conex es entre as interfaces locais especificadas abaixo Qualquer tr fego vindo indo para outras interfaces ser bloqueado neste passo iptables A FORWARD d 192 168 1 0 24 i ppp t o eth0 j ACCEPT iptables A FORWARD s 192 168 1 0 24 i eth0 o pppt j ACCEPT iptables A FORWARD j LOG log prefix FIREWALL FORWARD iptables A FORWARD j DROP Chain ppp input Aceitamos todas as mensagens icmp vindas de ppp0 com certa limita o O tr fego de pacotes icmp que superar este limite ser
54. em um servidor NFS ou outra rede ent o por favor leia a documenta o do LockFile dispon vel em lt http www apache org docs mod core htmlflockfile gt e se salvar de v rios problemas N o adicione uma barra no fim do caminho do diret rio ServerRoot etc apache BindAddress Voc pode usar esta op o em virtual hosts Esta op o usada para dizer ao servidor que endere o IP escutar Ele pode conter ou um endere o IP ou um nome de dom nio completamente qualificado FQDN Veja tamb m a diretiva VirtualHost BindAddress Suporte a Objetos Compartilhados Dinamicamente DSO Dynamic Shared Object Para ser capaz de usar a funcionalidade de um m dulo que foi compilado como um m dulo DSO voc ter que adicionar as linhas LoadModule correspondentes nesta localiza o assim as diretivas contidas nela estar o dispon veis antes de serem usadas Por favor leia o arquivo README DSO na distribui o 1 3 do Apache para mais detalhes sobre o mecanismo DSO e execute o comando apache 1 para a lista de m dulos j compilados estaticamente linkados e assim sempre dispon veis em seu bin rio do Apache Please keep this LoadModule line here it is needed for installation LoadModule vhost alias module usr lib apache 1 3 mod vhost alias so LoadModule env module usr lib apache 1 3 mod env so LoadModule config log module usr lib apache 1 3 mod log config so LoadModule mime
55. es de acesso recursos e servi os Cap tulo 19 para configura o de restri es usando PAM O ssh que acompanha a distribui o Debi an vem com o suporte a tcp wrappers compilado por padr o 15 1 7 Arquivos de log criados pelo servidor ssh Detalhes sobre a execu o do servidor sshd como inicio autentica o e t rmino s o enviadas ao syslog do sistema A prioridade e n vel s o definidos no arquivo de configura o etc ssh sshd config vejalExemplo de sshd config com explica es das diretivas Se o 15 3 8 15 1 8 Instala o do servidor openSSH apt get install ssh Por padr o o servidor sshd instalado como daemon tamb m poss vel executa lo via inetd mas isto n o aconselh vel porque o servidor gera uma chave aleat ria de se o toda vez que iniciado isto podendo levar v rios segundos quando usada a vers o 1 do protocolo ssh veja Diferen as nas vers es do protocolo Se o 15 3 7 232 15 1 9 Iniciando o servidor reiniciando recarregando a configura o O arquivo que controla o funcionamento do daemon do ssh controlado pelo arquivo etc init d ssh Utilize os m todos descritos em Arquivos de inicializa o Se o 7 3 e N veis del Execu o Se o 7 4 para entender como iniciar interromper os servi os e a organiza o SYSTEM 5 A execu o do ssh atrav s de inetd autom tica quando feita uma requisi o para a porta 22 15 1 10 Op es de linha de coma
56. etc inetd conf e o controle de acesso ao servi o feito atrav s dos arquivos etc hosts allowe etc hosts deny veja e O mecanismo de controle de acessos tcpd Se o 4 8 3 O servidor tem o nome in telnetd e este dever ser usado para ajustar o controle de acesso nos arquivos acima 14 1 7 Iniciando o servidor reiniciando recarregando a configura o O arquivo que controla o funcionamento do servidor telnet o etc inetd conf e o controle de acesso sendo feito pelos arquivos etc hosts allowe etc hosts deny Ser necess rio reiniciar o servidor inetd caso algum destes tr s arquivos seja modificado killall HUP inetd A porta de opera o padr o a 23 e pode ser modificada no arquivo etc services 14 1 8 Op es de linha de comando Op es de linha de comando do servidor telneta 228 e D n vel de depura o Permite especificar o que ser registrado pelo servidor durante a conex o dos clientes telnet As seguintes op es s o suportadas O options Mostra detalhes sobre a negocia o das op es de conex o O report Mostra detalhe de op es e o que est sendo feito O netdata Mostra os dados transferidos na conex o telnetd O ptydata Mostra os dados mostrados na pty e cdebug Ativa a depura o do c digo de criptografia apenas para o servidor telnet com suporte a ssl e hn Somente mostra os detalhes de configura o do seu PC ap s o usu rio fornecer um nome senha v l
57. explicado como fazer seu sistema Linux atuar como um servidor de impress o para outras m quinas de sua rede 9 6 1 Dando permiss o para impres o remota via Ipd lprng As m quinas autorizadas a usar a impressora local dever o ter seus nomes inclu dos no arquivo etc hosts lpd para o daemon 1pd padr o ou etc 1prng lpd perms para o daemon 1pd do pacote 1prng O arquivo etc lprng 1pd perms do lprng mais configur vel e complexo uma linha como ACCEPT HOST estacaol dominio org SERVICE X R P Q M C aceitar os servi os SERVICE de conex o X Ipr R impress o de trabalhos P Ipq Q Iprm M e Ipc C da m quina estacao1 dominio org Veja os coment rios neste arquivo para entender o funcionamento de suas op es ou a p gina de manual do 1pd perms 9 6 2 Impress o via rlpr O r1pr redireciona a impress o diretamente ao servidor de impress o Sua vantagem que a impress o feita diretamente sem a necessidade de configurar um arquivo etc printcap e dispensar trabalhos adicionais de administra o Ele envia o trabalho de impress o diretamente ao daemon 1pd na na porta 515 a m quina deve estar configurada para aceitar conex es veja remota via Ipd lprng Se o 9 6 1 Para enviar o arquivo listagem txt para a impressora hp no servidor impr meudominio org rlpr Himpr meudominio org Php listagem txt A op o H especifica o nome do servidor de impress o e P o nome da impressora
58. fego para a porta do servidor web por exemplo Mesmo assim se o servidor Apache estiver rodando como daemon e estiver ocioso ele ser movido para swap liberando a mem ria RAM para a execu o de outros programas Neste cap tulo ser assumido seu funcionamento do Apache como Daemon que o m todo de funcionamento recomendado para sites de grande tr fego onde ele frequentemente requisitado e considerado um servi o cr tico O m todo padr o para iniciar programas como daemons na Debian atrav s dos diret rios etc rc d Cada diret rio deste cont m os programas que ser o executados interrompidos no n vel de execu o rc1 d rc2 d O conte do destes diret rios s o links para os scripts originais em etc init d programa O nosso programa alvo etc init d apache O etc init d apache aceita os seguintes par metros e start Inicia o Apache e stop Finaliza o Apache e restart Reinicia o Apache efetuando uma pausa de 5 segundos entre a interrup o do seu funcionamento e reinicio e reload Recarrega os arquivos de configura o do Apache as altera es entram em funcionamento imediatamente e reload modules Recarrega os m dulos Basicamente feito um restart no servidor e force reload Faz a mesma fun o que o reload Para reiniciar o Apache usando o etc init d apache digite etc init d apache restart ou cd etc init d apache restart Na realidade o que o etc init d apache
59. fotos ou qualquer outro tipo de objeto ao navegador do cliente Ele tamb m pode operar recebendo dados do cliente processando e enviando o resultado para que o cliente possa tomar a a o desejada como em aplica es CGl s banco de dados web preenchimento de formul rios etc O Apache um servidor Web extremamente configur vel robusto e de alta performance desenvolvido por uma equipe de volunt rios conhecida como Apache Group buscando criar um servidor web com muitas caracter sticas e com c digo fonte dispon vel gratuitamente via Internet Segundo a Netcraft http www netcraft com O Apache mais usado que todos os outros servidores web do mundo juntos Este cap tulo n o tenta ser um guia completo ao Apache mas tentar mostrar como sua estrutura organizada as diretivas principais de configura o diretivas de seguran a virtual hosting proxy o uso de utilit rios de gerenciamento do servidor como personalizar algumas partes do servidor e programas teis de terceiros para an lise e diagn stico do servidor web N o deixe tamb m de ver comentado de um arquivo de configura o do Apache Se o 12 14 pois cont m diretivas b sicas de configura o comentadas e explica es interessante e faz parte do aprendizado 12 1 1 Vers o assumido que esteja usando a vers o 1 3 22 do apache As explica es contidas aqui podem funcionar para vers es posteriores mas recomend vel que leia a documenta
60. gleydson public no Agora verifique se existem erros na configura o com o comando test parm Buscando problemas nal e reinicie o SAMBA Iniciando o servidor reiniciando recarregando al O nome do grupo de trabalho que a m quina pertencer focalinux workgroup focalinux O n vel de acesso usado neste exemplo de usu rio security user para mais detalhes sobre este m todo veja N veis de autentica o Se o 18 2 8 4 O par metro local master foi definido para yes para o SAMBA tentar ser o navegador local do grupo de trabalho vejalLocal Master Browser Se o 18 7 2 Para testar se o servidor est funcionando digite o seguinte comando smbclient L servidor U usuario Digite a senha de usu rio quando solicitado O comando dever listar os recuros da m quina indicando que a configura o est funcionando corretamente Se voc paran ico e est preocupado com a seguran a da m quina recomendo ler ajControle de acesso ao servidor SAMBA Se o 18 12 293 18 5 Resolu o de nomes de m quinas no samba O Samba pode utiliza os seguintes m todos para resolu o de nomes de m quinas na rede m quina nome NetBios Se o 18 2 1 Eles est o listados em ordem de prioridade do mais para o menos recomend vel e Imhosts Pesquisa primeiro o arquivo etc samba Imhosts veja Arquivo para detalhes sobre este arquivo e host Faz a pesquisa no arquivo etc hosts e no DNS em busca
61. m diretivas que controlam o acesso aos documentos O nome desse arquivo pode ser substitu do atrav s da diretiva AccessConfig no arquivo principal de configura o O servidor Web l os arquivos acima na ordem que est o especificados httpd conf srm conf e access conf As configura es tamb m podem ser especificadas diretamente no arquivo httpd conf Note que n o obrigat rio usar os arquivos srm conf access conf mas isto proporciona uma melhor organiza o das diretivas do servidor principalmente quando se tem um grande conjunto de diretivas Um exemplo comentado destes tr s arquivos de configura o encontrado em Exemplo comentado de um arquivo de configura o do Apache Se o 12 14 12 1 6 Requerimentos A m quina m nima para se rodar um servidor Apache para atender a uma rede padr o 10MB s um Pentium 90 24MB de RAM um HD com um bom desempenho e espa o em disco consider vel de acordo com o tamanho projetado de seu servidor web considerando seu crescimento Uma configura o mais r pida para redes 100MB s teria como processador um Cyrix MX ou Intel Pentium MMX como plataforma m nima Cyrix o recomendado pelo alto desempenho no processamento de strings barramento de HD SCSI com uma boa placa controladora Adaptec 19160 ou superior com 64MB de RAM no m nimo 12 1 7 Arquivos de log criados pelo Apache O servidor httpd grava seus arquivos de log geralmente em var 1og apache n o poss vel d
62. medo dh O 5 Q em pad O D N o D g 2 Q 2 Z o lt fo Q O do ooo O EN q JJ O EN D JJ 4 2 Dip Switches 4 3 Jumperless sem jumper 4 4 Plug and Pla O 3 4 4 1 Entendendo o arquivo de configura o isapnp conf 5 Listando as placas e outros hardwares em um computado 6 Conflitos de hardwar 7 Barramento 8 Placas on board off boar 9 Hardwares espec ficos ou For Windows 10 Dispositivos espec ficos para GNU Linux S 11 1 Configurando uma placa de rede 11 2 Configurando uma placa de SOM no Linux 11 2 1 Reservando os recursos de hardware para sua placa de som 11 2 2 Configurando uma placa de som usando o padr o OSS Configurando um gravador de CD no Linux 11 3 1 Configurando o suporte a um gravador IDE 11 4 Configurando o gerenciamento de energia usando o APM 11 5 Configurando o gerenciamento de energia usando ACP 11 6 Ativando WakeUP on Lan 12 Aterramento 12 1 Condutores de eletricidade 13 Tomadas 4 Descargas est ticas 15 Melhoria de performance 15 1 Particionamento 15 2 Spindles 15 3 Fazendo ajustes finos de performance do disco 15 4 Data de acesso a arquivos diret rios 6 Perif ricos SCS 16 1 Configurando uma SCSI ID e termina o D O Ola o Q h 1 w o reo es ES O OO e do Q cmd Q Q mah 0 0 60 do do 89 V EN 1 O que
63. mero m ximo de dias que a conta permanece v lida ap s a data de expira o at ser desativada e g gid grupo ID do grupo ou nome do grupo que o usu rio pertencer inicialmente e s shell Shell do usu rio O padr o bin bash OBS Note que nem todas as op es acima ter o efeito com o adduser principalmente as op es f g e s que s o especificadas no seu arquivo de configura o etc adduser conf 11 2 2 Senhas f ceis de adivinhar e escolha de boas senhas A senha lhe identifica como o verdadeiro dono de uma conta em um sistema para garantir acesso a seus recursos A senha de um sistema t o importante quanto uma senha de sua conta banc ria caso caia em m os erradas as consequ ncias poder o ser catastr ficas todo cuidado pouco na hora de escolher uma senha Senhas f ceis de adivinhar s o o primeiro motivo de sucesso de crackers no acesso a sistemas de computadores veja Dedu o Se o 11 3 1 elEngenharia Social Se o 11 3 2 o administrador pode for ar o usu rio a fazer trocas peri dicas de senhas atrav s dos recursos citados em Cria o monitoramento e seguran a de contas Se o 11 2 mas quem vai garantir que ele esteja escolhendo boas senhas para que ningu m as descubra com facilidade Abaixo uma lista de senhas ruins que dever evitar a todo custo usa las e boas Senhas Ruins e O uso da palavra senha como senha Isto parece idiota mais existe e Senhas com
64. n o possua uma rede interna OBS2 A tabela filter ser usada como padr o caso nenhuma tabela seja especificada atrav s da op o t 116 10 2 2 Listando regras L A seguinte sintaxe usada para listar as regras criadas iptables t tabela L chain op es Onde tabela uma das tabelas usadas pelo iptables Se a tabela n o for especificada a tabela filter ser usada como padr o Veja O que s o tabelas Se o 10 1 14 para detalhes chain Um dos chains dispon veis na tabela acima veja O que s o tabelas Se o 10 1 14 ou criado pelo Caso o chain n o seja especificado todos os usu rio Criando um novo chain N Se o 10 2 6 chains da tabela ser o mostrados op es As seguintes op es podem ser usadas para listar o conte do de chains e v Exibe mais detalhes sobre as regras criadas nos chains e n Exibe endere os de m quinas portas como n meros ao inv s de tentar a resolu o DNS e consulta ao etc services resolu o de nomes pode tomar muito tempo dependendo da quantidade de regras que suas tabelas possuem e velocidade de sua conex o e x Exibe n meros exatos ao inv s de n meros redondos Tamb m mostra a faixa de portas de uma regra de firewall e line numbers Exibe o n mero da posi o da regra na primeira coluna da listagem Para listar a regra criada anteriormente usamos o comando Hiptables t filter L INPUT Chain INPUT policy
65. na distribui o Debian O var spool popbull o indicado Veja Enviando boletins de mensagens Se o 16 1 11 para instru es de utiliza o deste recurso Modifica a senha para caracteres min sculos antes de autenticar permitindo que clientes conectem com a senha em MAI SCULAS ou caracteres misTurados f arquivo Especifica um arquivo de configura o para o servidor qpopper Veja a p gina de manual para detalhes sobre as op es Recomendo usar as op es de linha de comando exceto se for requerida configura es especiais para modificar o comportamento do servidor pop3 num Modifica as op es de criptografia TLS SSL usada no transporta da se o Os seguintes valores s o aceitos e 0 Desativa TLS SSL o padr o e 1 Ativa o suporte a TLS SSL Se o cliente n o suportar criptografia os dados ser o transmitidos usando a forma padr o e 2 Tenta ativar uma conex o TLS quando o cliente conecta ao servidor usando uma porta alternativa C 247 p num S Seleciona como a senha em texto plano ser manipulada O servidor dever estar compilado com suporte a outras formas de autentica o como APOP ao inv s de texto plano As seguintes op es s o suportadas e 0 Senhas em texto plano podem ser usadas para usu rios n o cadastrados no arquivo etc pop auth gerenciado pelo popauth Este o padr o e 1 Somente permite acesso de usu rios cadastrados no arquivo etc pop auth Qualquer ac
66. necess rio exceto para alguns como o Solaris que possuem ponteiros not veis em suas bibliotecas Para estas plataformas ajuste para algo em torno de 10000 ou algo assim uma configura o de O significa ilimitado NOTA Este valor n o inclui requisi es keepalive ap s a requisi o inicial por conex o Por exemplo se um processo filho manipula uma requisi o inicial e 10 requisi es keptalive subsequentes ele somente contar 1 requisi o neste limite MaxRequestsPerChild 30 211 Listen Permite fazer o Apache escutar um IP determinado e ou porta em adi o a padr o Veja tamb m o comando VirtualHost Listen 3000 Listen 12 34 56 78 80 VirtualHost Permite o daemon responder a requisi es para mais que um endere o IP do servidor se sua m quina estiver configurada para aceitar pacotes para m ltiplos endere os de rede Isto pode ser feito com a op o de aliasing do ifconfig ou atrav s de patches do kernel como o de VIF Qualquer diretiva httpd conf ou srm conf pode ir no comando VirtualHost Veja tamb m a entrada BindAddress lt VirtualHost host some domain com gt ServerAdmin webmaster thost some domain com DocumentRoot var www host some domain com ServerName host some domain com ErrorLog var log apache host some domain com error log TransferLog var log apache host some domain com access log lt VirtualHost gt VirtualHost Se voc quiser manter m ltiplos dom nios
67. no reposit rio pode ser feita tanto atrav s do banco de dados de usu rios do sistema etc passwd como atrav s de um banco de dados separado por reposit rio A grande vantagem deste segundo m todo que cada projeto poder ter membros com acessos diferenciados o membro x poder ter acesso ao projeto sgml mas n o ao projeto focalinux OU O usu rio y poder ter acesso de grava o para trabalhar no projeto focal inux mas somente acesso de leitura ao projeto sgml 256 Este o m todo de acesso preferido para a cria o de usu rios an nimos uma vez que o administrador de um servidor que hospede muitos projetos n o vai querer abrir um acesso an nimo via ext para todos os projetos Tamb m existe a vantagem que novos membros do projeto e tarefas administrativas s o feitas por qualquer pessoa que possua acesso de grava o aos arquivos do reposit rio 17 2 5 Configurando um servidor pserver 17 2 5 1 Ativando o servidor pserver Para ativar o pserver caso ainda n o o tenha feito Execute o comando dpkg reconfigure cvs e selecione a op o Ativar o servidor pserver Uma maneira de fazer isso automaticamente modificando o arquivo etc inetd conf adicionando a seguinte linha na Debian cvspserver stream tcp nowait 400 root usr sbin tcpd usr sbin cvs pserver em outras Distribui es cvspserver stream tcp nowait root usr bin cvs cvs f allow root var lib cvs pserver Na Debian O cvs iniciado atrav
68. o 40 usu rio Este campo descreve que conta de usu rio usu rio no arquivo etc passwd ser escolhida como dono do daemon de rede quando este for iniciado Isto muito til se voc deseja diminuir os riscos de seguran a Voc pode ajustar o usu rio de qualquer item para o usu rio nobody assim se a seguran a do servidor de redes quebrada a possibilidade de problemas minimizada Normalmente este campo ajustado para root porque muitos servidores requerem privil gios de usu rio root para funcionarem corretamente caminho servidor Este campo o caminho para o programa servidor atual que ser executado argumentos servidor Este campo inclui o resto da linha e opcional Voc pode colocar neste campo qualquer argumento da linha de comando que deseje passar para o daemon servidor quando for iniciado Uma dica que pode aumentar significativamente a seguran a de seu sistema comentar colocar uma tno inicio da linha os servi os que n o ser o utilizados Abaixo um modelo de arquivo etc inetd conf usado em sistemas Debian 65 etc inetd conf veja inetd 8 para mais detalhes Banco de Dados de configura es do servidor Internet Linhas iniciando com LABEL ou lt off gt n o devem ser alteradas a n o ser que saiba o que est fazendo Os pacotes devem modificar este arquivo usando update inetd 8 lt nome servi o gt lt tipo soquete gt lt proto gt lt op es gt lt usu rio gt lt
69. o lida atrav s do arquivo ispoof Este arquivo deve ter como dono o usu rio do primeiro campo do identd spoof e a identifica o retornada ser a contida no arquivo Esteja certo que o daemon oidentd tem permiss es para acessar este arquivo caso contr rio nenhum spoof de identidade ser realizado Para o spoof ser habilitado o servi o oident da dever ser iniciado com a op o s ou S veja mais detalhes Op es de linha de comando Se o 13 1 11 OBS Certifique se de colocar as permiss es adequadas para que somente o daemon oidentd tenha acesso a este arquivo de acordo com o usu rio e grupo usado para executar O oidentd os detalhes de mapeamento de nomes podem ser perigosos em m os erradas e garantir o sucesso de uma conex o indesej vel oidentd users Mapeamento de nomes de usu rios efetuando conex es via Masquerading O formato deste arquivo o seguinte fEndere oIP m scara Usu rio Sistema 192 168 1 1 john WINDOWS T927 1684152 usuariol WINDOWS 192 168 1 1 32 usuario UNIX 192 168 1 0 24 usuario3 UNIX 192 168 1 0 16 usuario4 UNIX 223 As conex es vindas dos endere os da primeira coluna s o mapeados para o nome sistema da segunda terceira coluna e enviados a m quina que requisitou a identifica o Para o suporta a mapeamento de usu rios via Masquerading funcionar o daemon oidentd dever ser iniciado com a op o m 13 1 5 Requerimentos de Hardware O oidentd requer pouca mem
70. o 18 8 18 10 Mapeamento de usu rios grupos em clientes O mapeamento de usu rios do servidor remoto com a m quina local usado quando voc deseja controlar o acesso aos arquivos diret rios a n vel de usu rio No Windows isto permite que cada arquivo diret rio tenha o acesso leitura grava o somente para os usu rios definidos e autenticados no controlador de dom nio No Linux as permiss es de arquivos e diret rios podem ser definidas para o usu rio do PDC garantindo o mesmo n vel de controle de acesso Esta se o explica como configurar o mapeamento de UID GID entre o servidor PDC SAMBA e seus clientes NetBIOS Windows e Linux 18 10 1 Mapeamento de usu rios grupos dom nio em Windows Para o Windows utilizar os usu rios remotos do servidor para fazer seu controle de acesso por n vel de usu rio siga os seguintes passos Windows 9X Entre no Painel de Controle Propriedades de Rede e clique na tab Controle de Acesso Marque a op o Controle de acesso a n vel de usu rio e coloque o nome da m quina PDC na caixa de di logo de onde os usu rios grupos ser o obtidos Voc tamb m pode colocar o nome do grupo de trabalho neste caso a m quina far uma busca pelo PDC ou outra m quina de onde pode obter os nomes de usu rios grupos OBS Para fazer isto voc dever estar autenticado no dom nio 18 10 2 Mapeamento de usu rios grupos dom nio em Linux A associa o de UIDs de usu rios de um dom nio com usu
71. o locais onde as regras do firewall definidas pelo usu rio s o armazenadas para opera o do firewall Existem dois tipos de chains os embutidos como os chains INPUT OUTPUT e FORWARD e os criados pelo usu rio Os nomes dos chains embutidos devem ser especificados sempre em mai sculas note que os nomes dos chains s o case sensitive ou seja o chain input completamente diferente de INPUT 10 1 14 O que s o tabelas Tabelas s o os locais usados para armazenar os chains e conjunto de regras com uma determinada caracter stica em comum As tabelas podem ser referenciadas com a op o t tabela e existem 3 tabelas dispon veis no iptables e filter Esta a tabela padr o cont m 3 chains padr es O INPUT Consultado para dados que chegam a m quina O OUTPUT Consultado para dados que saem da m quina O FORWARD Consultado para dados que s o redirecionados para outra interface de rede ou outra 113 m quina Os chains INPUT e OUTPUT somente s o atravessados por conex es indo se originando de localhost OBS Para conex es locais somente os chains INPUT e OUTPUT s o consultados na tabela filter e nat Usada para dados que gera outra conex o masquerading source nat destination nat port forwarding proxy transparente s o alguns exemplos Possui 3 chains padr es O PREROUTING Consultado quando os pacotes precisam ser modificados logo que chegam o chain ideal para realiza o de DNAT e redirecionamen
72. o sobre modifica es no programa changelog em busca de mudan as que alterem o sentido das explica es fornecidas aqui 12 1 2 Um resumo da Hist ria do Apache O Apache tem como base o servidor web NCSA 1 3 National Center of Supercomputing Applications que foi desenvolvido por Rob McCool Quando Rob deixou o NCSA o desenvolvimento foi interrompido assim muitos desenvolvedores buscaram personalizar sua pr pria vers o do NCSA ou adicionar mais caracter sticas para atender as suas necessidades Neste momento come a a hist ria do Apache com Brian Behlendorf e Cliff Skolnick abrindo uma lista de discuss o para interessados no desenvolvimento conseguindo espa o em um servidor doado pela HotWired e trocando patches corrigindo problemas adicionando recursos e discutindo id ias com outros desenvolvedores e hackers interessados neste projeto A primeira vers o oficial do Apache foi a 0 6 2 lan ada em Abril de 1995 neste per odo a NCSA retomava o desenvolvimento de seu servidor web tendo como desenvolvedores Brandon Long e Beth Frank que tamb m se tornaram membros especiais do grupo Apache compartilhando id ias sobre seus projetos Nas vers es 2 x do Apache a escalabilidade do servidor foi ampliada suportando as plataformas win32 n o obtendo o mesmo desempenho que em plataformas UNIX mas sendo melhorado gradativamente 164 12 1 3 Enviando Corre es Contribuindo com o projeto Um formul rio est dispon vel na Web
73. outros desenvolvimento de documenta es etc Um dos desenvolvedores da distribui o Liberdade CAETECT Debian BR e desenvolvedor oficial da distribui o Debian Atuou como tradutor do LDP BR traduzindo v rios HOW TOs importantes para a comunidade Linux Brasileira um dos administradores do projeto CIPSGA cuidando de uma infinidade de servi os que o projeto oferece a comunidade que deseja estrutura para hospedar fortalecer e manter projetos em software livre 381 Trabalhou para algumas empresas do Esp rito Santo na implanta o de sistemas em software livre e seu ltimo trabalho foi atuando como consultor em servidores GNU Linux para a compania e processamento de dados de Campinas IMA sediada no CPQD N o concorda totalmente com certifica es acreditando que a pessoa deva tem em mente procurar pontos fracos quando notar dificuldade na avalia o e melhora los Mesmo assim possui certifica o LPI n vel 2 e um IS09001 internacional obtendo 20 lugar no ranking Brasileiro 21 3 Refer ncias de aux lio ao desenvolvimento do guia e As se es sobre comandos programas foram constru das ap s uso teste e observa o das op es dos comandos programas help on line p ginas de manual info pages e documenta o t cnica do sistema e How tos do Linux principalmente o Networking Howto Security Howto ajudaram a formar a base de desenvolvimento do guia e desenvolver algumas se es vers es Intermedi rio e Avan
74. por este motivo ele dever ter permiss es para montar desmontar o CD ROM no sistema Caso precise executar comandos como usu rio root utilize a variante root preexece root postexec Apenas tenha consci ncia que os programas sendo executados s o seguros o bastante para n o comprometer o seu sistema Usando a mesma t cnica poss vel que o sistema lhe envie e mails alertando sobre acesso a compartilhamentos que em conjunto com um debug level 2 e logs configurados independentes por m quina voc possa ver o que a m quina tentou acessar e foi negado e o que ela conseguiu acesso Como bom administrador voc poder criar scripts que fa am uma checagem de seguran a no compartilhamento e encerre automaticamente a conex o caso seja necess rio montar um honney pot para trojans etc Como deve estar notando as possibilidades do SAMBA se extendem al m do simples compartilhamento de arquivos se integrando com o potencial dos recursos do sistema UNIX 18 12 14 Considera es de seguran a com o uso do par metro public yes Este par metro permite que voc acesso um compartilhamento sem fornecer uma senha ou seja que o usu rio n o esteja autenticado N O utilize o par metro public yes ou um de seus sin nimos no compartilhamento homes pois abrir brechas para que possa acessar o diret rio home de qualquer usu rio e com acesso a grava o que o padr o adotado pelos administradores para permitir o acesso
75. que deseja integrar no grupo de trabalho Windows 9X Se o 18 14 2 1 Windows XP Home Edition Se o 18 14 2 Windows XP Professional Edition Se o 18 14 2 3 5 o fa Z A x UV D lt D m o fo 5 D fal O ez co L gt A N N A Windows NT WorkStation Se o 18 14 2 5 Windows NT Server Se o 18 14 2 Windows 2000 Professional Se o 18 14 2 indows 2000 Server Se o 18 14 2 inux Se o 18 14 2 9 Oo r OBS O Windows 2000 apresenta algumas dificuldades em entrar na rede do SAMBA 2 2 sendo necess rio o uso do SAMBA TNG 2 2 x para aceitar o logon de esta es Windows 2000 18 14 3 1 Windows 9X Estas configura es s o v lidas para clientes Windows 95 Windows 950SR 2 Windows 98 Caso utilize O Windows 95 qualquer uma das s ries aconselh vel atualizar a stack TCP IP e NetBEUI para corrigir alguns problemas que podem deixar sua m quina vulner vel na vers o que acompanha o WinSock do Windows 95 Para tornar uma m quina parte do dom nio siga os seguintes passos e Entre nas propriedades de rede no Painel de Controle e Instale o Cliente para redes Microsoft caso n o esteja instalado e Instale o Protocolo TCP IP Voc tamb m pode instalar o protocolo NetBIOS mas utilizaremos o suporte NetBIOS sobre TCP IP que o usado pelo SAMBA al m de ter um melhor desempenho permitir integra o com servidores WINS etc e Clique em Cliente para redes Microsoft
76. respectivamente cont m os nomes de usu rios que podem e n o podem ter acesso ao servidor qpopper Por motivos de seguran a recomend vel redirecionar os e mails do usu rio root para outra conta no arquivo etc aliases bloquear o acesso do usu rio root ao pop3 no arquivo etc popper deny Se a m quina servidora pop3 n o for utilizada para acesso remoto recomend vel desativar os servi os de login veja Desabilitando servi os de shell para usu rios Se o 19 1 6 249 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux CVS Guia Foca GNU Linux Cap tulo 17 CVS Este cap tulo explica os requerimentos instala o configura o seguran a e diversos modelos de configura o de acesso para trabalho em grupo utilizados pelo cvs N o tome o como uma refer ncia completa ao uso e configura o do cvs a pesquisa de sua info page muito importante 17 1 Introdu o ao CVS O CVS Concurrent Version Software permite que se organizem grupos de trabalho para desenvolvimento de projetos colaborativos Um projeto pode ser desde um programa em C documenta o em equipe etc O uso do CVS recomendado para qualquer desenvolvimento de projeto que tenha v rios envolvidos trabalhando ao mesmo tempo Para cada mudan a feita no programa pedido uma descri o dos trabalhos realizados e o sistema registra todas as modific
77. ria e pode ser executado sem problemas em um sistema com o m nimo de mem ria necess ria para rodar o kernel do Linux 2 MB para 2 2 e 4MB para as s ries 2 4 do kernel Mesmo assim interessante considerar 1 MB a mais que o m nimo requerido pelo kernel para uma folga na execu o do servi o de identifica o junto a outros do sistema 13 1 6 Arquivos de log criados pelo Ident Mensagens informativas erros e outras sobre execu es do servi o oi dentada s o enviadas ao syslog do sistema 13 1 7 Instala o Para instalar o daemon do ocidentd digite apt get install oidentd Por padr o o servi o instalado para ser executado como daemon para executa lo atrav s do inetd siga os passos em Instala o via Inetd Se o 13 1 8 O servi o ser executado sob o usu rio nobody e grupo nogroup por motivos de seguran a altera es de nome grupo que executar o cidentd podem ser feitas no arquivo etc defaults oidentdou etc init d oidentd 13 1 8 Instala o via Inetd Siga os procedimentos de instala o emllnstala o Se o 13 1 7Je os seguintes passos 1 Edite o arquivo etc inetd conf e adicione a seguinte linha f INFO Info services auth stream tcp nowait 40 nobody nogroup usr sbin oidentd oidentd q i t 40 A op o i permite o oidentad aceitar requisi es via inetd sem ela ele ser executado no modo daemon As op es s e m devem tamb m ser especificadas caso desejar os recursos de falsifica
78. ria usada pelo computador para enviar dados ao dispositivo e onde o dispositivo envia dados ao computador Ao contr rios da IRQ e DMA o dispositivo pode usar mais de uma porta de Entrada Sa da ou uma faixa de endere os Por exemplo uma placa de som padr o usa as portas 0x220 0x330 e 0x388 28 respectivamente audio digital midi op13 As placas de rede normalmente transferem grandes quantidades de dados assim ocupam uma faixa de endere os Minha NE2000 por exemplo ocupa a faixa de endere os 0x260 a 0x27F 0x260 0x27F O tamanho da faixa de endere os varia de acordo com o tipo de dispositivo Os endere os de I O em uso no sistema podem ser visualizados com o comando cat proc ioports Endere os das portas de entrada sa da n o podem ser compartilhados 3 4 Hardwares configur veis por jumpers dip switches jumperless e Plug and Play 3 4 1 Jumpers Hardwares configur veis por jumpers pinos met licos protegidos por uma capa pl stica tem sua configura o alterada atrav s da coloca o retirada ou mudan a de posi o Hardwares configur veis por jumpers s o os preferidos por t cnicos de inform tica muito experientes Estes hardwares possuem a caracter stica de somente terem seus par metros modificados atrav s da mudan a da posi o dos jumpers da placa desta forma se obt m uma configura o fixa n o podendo ser modificada por qualquer tipo de programa e o dispositivo estar sempre pronto para
79. s do script usr sbin cvs pserver que checa os bin rios e executa o cvs para todos os reposit rios especificados no arquivo etc cvs pserver conf Caso precise adicionar mais reposit rios para acesso via pserver ou outro m todo de acesso veja Criando um reposit rio Se o 17 3 2 Voc tamb m poder executar o m todo pserver sob um usu rio que n o seja o root para isto modifique a entreada refer nte ao usu rio grupo no inetd conf e tenha certeza que o daemon consegue fazer as opera es de suid sgid no diret rio onde o reposit rio se encontra 17 2 5 2 Servidor pserver usando autentica o do sistema Para usar o banco de dados de autentica o do sistema etc passwd para autenticar os usu rios remotos primeiro tenha certeza que o servidor pserver est ativado como descrito em Ativando o servidor pserver Se o 17 2 5 1 Repetindo o exemplo anterior a usu ria Michelle dever ter uma conta em etc passwd para fazer acesso ao cvs export CVSROOT pserver michellefcvs cipsga org br var lib cvs cvs login Ser pedido a senha da usu ria michelle Entrando com a senha correta o sistema retornar para o aviso de comando Uma mensagem ser mostrada caso a senha entrada seja incorreta Daqui em diante o resto da se o CVS normal e voc ter as permiss es de acesso ao reposit rio de acordo com as suas permiss es de acesso naquele diret rio OBS1 A senha poder ser passada junto com o login da
80. ximas e O custo para montagem desta rede extremamente baixo bastando um cabo Lap Link Paralelo que custa no m ximo R 20 00 o de 1 5M ou se gosta de eletr nica montar seu pr prio cabo usando o esquema que descrevo em e Voc poder fazer qualquer coisa que faria em uma rede normal incluindo MASQUERADING roteamento entre redes etc sendo bastante interessante para testes pr ticos dos exemplos do Foca Linux Avan ado e Ficar admirado com as capacidade de rede existente no Linux e feliz por ter colocado mais uma configura o em funcionamento Agora os contras da conex o via porta paralela e A porta paralela n o estar dispon vel para ser usada em impressoras conex o de c meras e O cabo n o pode ter mais de 4 5 metros Acima dessa comprimento voc pode colocar sua controladora em risco al m da perda de sinal Por seguran a o tamanho recomend vel 2 5 metros e Quando toda a banda do cabo utilizada algumas CPUs se tornam extremamente lentas Para configurar uma conex o via cabo paralelo plip entre duas m quinas vamos assumir que a primeira m quina ter o IP 192 168 1 1 e a segunda m quina 192 168 1 2 1 Conecte o cabo Lap Link em cada uma das portas de impressora Caso saiba fazer conex es eletr nicas ou goste do assunto veja 2 Verifique se o seu kernel est compilado com o suporte a rede p1ip Caso n o esteja a configura o da interface plip falhar no passo do ifconfig 3 Se o s
81. 16 4 O nome do servi o tentado como nome de usu rio O nome da m quina NetBios tentada como nome de usu rio 6 Os usu rios especificados na op o user do compartilhamentos s o utilizados veja Descri o de par metros usados em compartilhamento Se o 18 3 1 7 Caso nenhum destes m todos acima for satisfeito o acesso NEGADO 6 Hoje em dia o uso do n vel de acesso share raramente usado porque todos os sistemas a partir do Windows 95 e acima enviam o nome de usu rio ao acessar um compartilhamento caindo na segunda checagem do n vel share sendo equivalente a usar o n vel user Entretanto o n vel de seguran a share recomendado para servidores onde TODO o conte do deve ter acesso p blico seja leitura ou grava o e o par metro guest shares tamb m funciona nativamente As senhas criptografadas encrypt passwords 1 N O funcionar o no n vel share lembre se deste detalhe o user Este o padr o O usu rio precisa ter uma conta de usu rio no Linux para acessar seus compartilhamentos A mesma conta de usu rio senha dever ser usada no Windows para acessar seus recursos ou realizado um mapeamento de nomes de usu rios veja Mapeamento de nomes de usu rios Se o 18 12 16 Este o padr o do SAMBA No n vel de acesso user o usu rio precisa ser autenticado de qualquer forma inclusive se for usado o par metro guest only OU user Os seguintes passos s o usados para autorizar
82. 168 1 0 netmask 255 255 255 0 broadcast 192 168 1 255 gateway 192 168 1 1 bridge ports eth0 ethl Note que a interface virtual da brigde br0 deve ser configurada com par metros v lidos de interfaces assim com uma interface de rede padr o Note a adi o da linha bridge ports que indica que interfaces de rede ser o usadas para fazer a bridge Caso seja usado o par metro all todas as interfaces f sicas de rede ser o usadas para fazer bridge excluindo a 10 e Execute o ifdown a para desativar as interfaces antigas e Execute o ifup bro para levantar as interface br0 O sistema poder demorar um pouco para levantar a bridge as vezes at 40 segundos mas isto normal Pronto voc ter uma bridge simples j configurada e funcionando em seu sistema As interfaces f sicas ser o configuradas com o IP 0 0 0 0 e estar o operando em modo prom scuo 76 5 2 3 Configura es mais avan adas de bridge A bridge permite ainda definir prioridade para utiliza o de interfaces al m de outras funcionalidades que lhe permitem ajustar a performance da m quina de acordo com sua rede Um bom exemplo quando voc deseja criar 2 bridges em uma mesma m quina envolvendo interfaces de rede espec ficas uma atendendo a rede 192 168 0 x e outra a rede 192 168 1 x auto brO iface brO inet static address 192 168 0 2 network 192 168 0 0 netmask 255 255 255 0 broadcast 192 168 0 255 gateway 192 168 0 1 bridge ports eth0 ethl aut
83. 192 168 1 diretamente e requerer senha de acesso para outros usu rios o seguinte arquivo htaccess deve ser criado no diret rio var www Order deny allow allow from 192 168 1 0 24 deny from all AuthName Acesso a p gina Web principal da Empresa AuthType basic AuthUserFile var cache apache senhas Require valid user Satisfy any Note que a sintaxe exatamente a mesma das usadas na diretivas de acesso por este motivo vou dispensar explica es detalhadas a respeito ATEN O A diretiva Options Indexes dever ser especificada no AllowOverRide e n o no arquivo htaccess Agora voc j sabe o que fazer se estiver recebendo erros 500 ao tentar acessar a p gina Erro interno no servidor 12 7 5 Usando a diretiva SetEnvlf com Allow e Deny poss vel especificar o acesso baseado em vari veis de ambiente usando a diretiva SetEnvlf isto lhe permite controlar o acesso de acordo com o conte do de cabe alhos HTTP A sintaxe a seguinte 185 SetEnvIf atributo express o vari vel Isto poder ser facilmente interpretado como Se o atributo especificado conter a express o a vari vel ser criada e armazenar o valor verdadeiro Veja abaixo SetEnvIf User Agent MSIE EXPLODER lt Directory var www gt Order deny allow allow from all deny from env EXPLODER lt Directory gt Se o Navegador campo User Agent do cabe alho http usado para acessar a
84. 2 Limita o de recursos usando PAM Eq 9 2 1 Descobrindo se um determinado programa tem suporte a PAM 9 2 2 Definindo um policiamento padr o restritivo 9 2 3 Restringindo Bloqueando o login 9 2 4 Restringindo o acesso a root no s 9 2 5 Restri es de servi os PAM baseados em dia hora 9 2 6 Permitindo acesso a grupos extra 9 2 7 Limita o de recursos do shell 9 3 Restri es de acesso a programas diret rios arquivos usando grupos 7 em temo 9 4 Dando poderes de root para executar determinados programas 9 5 Restringindo o comando su q q 9 6 Restri es baseadas em usu rio IP 9 7 Restri es por MAC Address IP 9 8 Desabilitando servi os n o usados no Inetd 9 9 Evitando o uso de hosts equive rhosts 9 10 Restringindo o uso do shutdown 9 11 Restringindo o acesso ao sistema de arquivos proc 9 12 Limitando o uso de espa o em disco quotas 9 12 1 Instalando o sistema de quotas 9 12 2 Editando quotas de usu rios grupos 9 12 3 Modificando a quota de todos os usu rios de uma vez 9 12 4 Verificando a quota dispon vel ao usu rio 9 12 5 Verificando a quota de todos os usu rios grupos do sistema 9 12 6 Avisando usu rios sobre o estouro de quota 9 13 Suporte a senhas ocultas 9 14 Suporte a senhas md5 0 00 0 000 Eq py 9 15 Restri es no hardware do sistema 9 15 1 BIOS do sistema 9 15 2 Retirada da unidade de disquetes 9 15 3 Placas de rede com eprom de boo
85. 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Configura es especiais de Rede Guia Foca GNU Linux Cap tulo 5 Configura es especiais de Rede Este cap tulo descreve alguns tipos de configura es que podem ser feitas em rede utilizando os recursos dispon veis do Linux Aqui n o est o todas as aplica es pois o sistema bastante flex vel e o pr prio time de desenvolvimento do kernel n o demonstrou limita es quanto as formas de se construir 73 uma rede 5 1 IP Alias Este recurso permite configurar uma interface de rede para responder por um ou mais IPs que n o precisam pertencer a mesma faixa Para usu rios externos a impress o que a rede tem muitas m quinas quando na realidade apenas uma responde por todos estes endere os virtuais Podemos citar algumas utiliza es teis deste recurso e Simular uma rede com diversas m quinas e Construir virtual hosts baseados em IP e Definir endere amentos secund rios para fins de an lise e depura o de pacotes principalmente como armadilhas para trojans e Coloca o de servi os com opera o restritas a interfaces em funcionamento atrav s de faixas espec ficas usando as configura es da interface virtual e Transi o de IP de servidores de forma transparente e Entre muitas outras A id ia aqui mostrar a simplicidade de se configurar este recurso e entender o processo que bastante simples Para configu
86. 21 255 255 248 0 2 047 22 255 255 252 0 1 023 23 255 255 254 0 STI Classe C 24 7255255425520 255 25 255 255 255 128 127 26 7255 295 259192 63 27 2554255 255 224 31 28 725542552554240 15 29 255 255 255 248 7 30 725525542557252 3 32 2552255 2555255 T Qualquer outra m scara fora desta tabela principalmente para a classe A dever ser redimensionada com uma calculadora de IP para chegar a um n mero aproximado de redes m quinas aproximados que deseja 4 3 3 Para instalar uma m quina usando o Linux em uma rede existente Se voc quiser instalar uma m quina GNU Linux em uma rede TCP IP existente ent o voc deve contactar qualquer um dos administradores da sua rede e perguntar o seguinte Endere o IP de sua m quina Endere o IP da rede Endere o IP de broadcast M scara da Rede IP Endere o do Roteador Endere o do Servidor de Nomes DNS Voc deve ent o configurar seu dispositivo de rede GNU Linux com estes detalhes Voc n o pode simplesmente escolhe los e esperar que sua configura o funcione 56 4 3 4 Endere os reservados para uso em uma rede Privada Se voc estiver construindo uma rede privada que nunca ser conectada a Internet ent o voc pode escolher qualquer endere o que quiser No entanto para sua seguran a e padroniza o existem alguns endere os IP s que foram reservados especificamente para este prop sito Eles est o especificados no RFC1597 e s o os seguintes
87. 5 DROP O n mero 2 o n mero da regra que ser substitu da no chain INPUT e deve ser especificado O comando acima substituir a regra 2 do chain INPUT R INPUT 2 bloqueando j DROP qualquer pacote icmp p icmp com o destino 127 0 0 1 d 127 0 0 1 10 2 6 Criando um novo chain N Em firewalls organizados com um grande n mero de regras interessante criar chains individuais para organizar regras de um mesmo tipo ou que tenha por objetivo analisar um tr fego de uma mesma categoria interface endere o de origem destino protocolo etc pois podem consumir muitas linhas e tornar o gerenciamento do firewall confuso e consequentemente causar s rios riscos de seguran a O tamanho m ximo de um nome de chain de 31 caracteres e podem conter tanto letras mai sculas quanto min sculas iptables t tabela N novochain 119 Para criar o chain internet que pode ser usado para agrupar as regras de internet usamos o seguinte comando iptables t filter N internet Para inserir regras no chain internet basta especifica lo ap s a op o A iptables t filter A internet s 200 200 200 200 j DROP E ent o criamos um pulo j do chain INPUT para o chain internet iptables t filter A INPUT j internet OBS O chain criando pelo usu rio pode ter seu nome tanto em mai sculas como min sculas Se uma m quina do endere o 200 200 200 200 tentar acessar sua m quina O iptables consultar as seguintes r
88. 95 Windows 95A Se o 18 9 1 3 Windows 98 98SE Se o 18 9 1 6 IE S a a O fa Z Z 92 92 o o mi DO AlE D D AD A E O uh pod S IES O Ido a EN o Q e Z 62 Z 0e D lt D z e 5 A 0p pad O 5 0e D pad e pe Do co N Windows 2000 Se o 18 9 1 8 inux Se o 18 9 1 9 T Em cada se o tamb m explicado como habilitar novamente a autentica o usando senhas criptografadas se suportado pelo cliente 18 9 1 1 Lan Manager Cliente NetBIOS para DOS Ele trabalha somente com senhas em texto plano 18 9 1 2 Windows for Workgroups Este o padr o de autentica o do windows for Workgroups caso n o tenha feito nenhuma altera o espec fica mas desconhe o algo que fa a o trabalhar com senhas criptografadas 310 18 9 1 3 Windows 95 Windows 95A O windows 95 at a release A utiliza texto plano como padr o para autentica o veja qual a release clicando com o bot o direito em Meu Computador e Propriedades 18 9 1 4 Windows 95B Copie o seguinte conte do para um arquivo cnamado win95 textoplano reg REGEDITA4 HKEY LOCAL MACHINENSystemiCurrentControlSetNServicesNVxDIVNETSUP EnablePlainTextPassword dword 00000001 Ap s isto execute no Windows 95 o seguinte comando regedit win95 textoplano reg e reinicie o computador para fazer efeito Para voltar a utilizar criptografia
89. ACCEPT target prot opt source destination DROP all anywhere localhost O comando iptables L INPUT n tem o mesmo efeito a diferen a que s o mostrados n meros ao inv s de nomes fFiptables L INPUT n Chain INPUT policy ACCEPT target prot opt source destination DROP all 0 0 0 0 0 127 0 0 1 Hiptables L INPUT n line numbers Chain INPUT policy ACCEPT num target prot opt source destination di DROP all S 0 0 0 0 0 12750 0 01 fFiptables L INPUT n v Chain INPUT policy ACCEPT 78 packets 5820 bytes pkts bytes target prot opt in out source destination 2 194 DROP icmp 0 0 0 0 0 12 7 0 0 1 117 Os campos assim possuem o seguinte significado Chain INPUT Nome do chain listado policy ACCEPT 78 packets 5820 bytes Policiamento padr o do chain veja Especificando o policiamento padr o de um chain P Se o 10213 pkts Quantidade de pacotes que atravessaram a regra veja Zerando contador de bytes dos chains Z Se o 10 2 11 bytes Quantidade de bytes que atravessaram a regra Pode ser referenciado com K Kilobytes M Megabytes G Gigabytes target O alvo da regra o destino do pacote Pode ser ACCEPT DROP ou outro chain Veja Especificando para detalhes sobre a especifica o de um alvo prot Protocolo especificado pela regra Pode ser udp tcp icmp ou all Veja Especificando um protocolo Se o 10 3 3 para detalhes opt Op es extras passadas a regra
90. Assim pera tornar processadores 8088 e 80286 comunic veis a IRQ 2 usada como um redirecionador quando se utiliza uma interrup o acima da 8 Normalmente usado por dev ttySl mas seu uso depende dos dispositivos instalados em seu sistema como fax modem placas de rede 8 bits etc Normalmente usado por dev ttysSO quase sempre usada pelo mouse serial a n o ser que um mouse PS2 esteja instalado no sistema Normalmente a segunda porta paralela Muitos micros n o tem a segunda porta paralela assim comum encontrar placas de som e outros dispositivos usando esta IRQ Controlador de Disquete Esta interrup o pode ser compartilhada com placas aceleradoras de disquete usadas em tapes unidades de fita Primeira porta de impressora Pessoas tiveram sucesso compartilhando esta porta de impressora com a segunda porta de impressora uitas impressoras n o usam IRQs Rel gio em tempo real do CMOS N o pode ser usado por nenhum outro dispositivo Esta uma ponte para IRQ2 e deve ser a ltima IRQ a ser utilizada No entanto pode ser usada por dispositivos Interrup o normalmente livre para dispositivos O controlador USB utiliza essa interrup o quando presente mas n o regra Interrup o livre para dispositivos Interrup o normalmente livre para dispositivos O mouse PS 2 quando presente utiliza esta interrup o Processador de dados num ricos N o pode ser usada ou compartilh
91. Caso n o tenha permiss es para imprimir na impressora remota uma mensagem ser mostrada 107 9 6 3 Impress o via printcap Atrav s deste m todo a impress o ser tratada atrav s do spool remoto 1pd ou 1prng e enviada ao servidor de impress o Para que isto funcione utilize a seguinte configura o no seu arquivo etc printcap lp Impressora remota N sd var spool 1pd 1lp N rm impr meudominio org N rp hp N sh Ent o quando for executado o comando lpr na m quina remota o lprng enviar a impress o para a impressora hp rp hp na m quina impr meudominio org rm impr meudominio org Caso voc tenha a op o de imprimir tanto para uma impressora local quando para uma remota voc poder usar uma configura o como a seguinte lp hp Impressora Local N 1p dev 1p0 N sd var spool 1lpd hp N sh N pw 80 pl 66 px 1440 mx 0 if etc magicfilter dj930c filter af var log lp acct 1f var log lp errs hp r Impressora Remota N sd var spool 1pd 1lp N rm impr meudominio org N rp hp N sh Para selecionar qual impressora ser usada adicione a op o Pimpressora na linha de comando dos utilit rios 1pr lpg lprm por exemplo Lpr Php r relatorio txt Quando a op o P especificada a impressora p ser usada por padr o OBS Lembre se de reiniciar seu daemon de impress o toda vez que modificar o arquivo etc printcap Guia Foca GNU Linux Vers o 6 40 domi
92. IN ppp0 OUT MAC 10 20 30 40 50 60 70 80 90 00 00 00 08 00 SRC 200 200 200 1 DST 200 210 10 10 LEN 61 TOS 0x00 PREC 0x00 TTL 64 ID 0 DF PROTO UDP SPT 1031 DPT 53 LEN 41 Os campos possuem o seguinte significado Aug 25 10 08 01 M s dia e hora do registro do pacote debian Nome do computador que registrou o pacote kernel Daemon que registrou a mensagem no caso O iptables faz parte do pr prio kernel IN ppp0 Especifica a interface de entrada de onde o pacote veio OUT Especifica a interface de sa da para onde o pacote foi MAC 10 20 30 40 50 60 70 80 90 00 00 00 08 00 Endere o mac da interface de rede pode ser obtido com arp interface SRC 200 200 200 1 Endere o de origem do pacote 129 DST 200 210 10 10 Endere o de destino do pacote SEQ 234234343 N mero de segu ncia da recep o ativado com a op o log tcp sequence LEN 61 Tamanho em bytes do pacote IP TOS 0x00 Prioridade do cabe alho TOS Tipo Veja a se o Especificando o tipo de servi o Se o 10 5 1 para mais detalhes PREC 0x00 Prioridade do cabe alho TOS Preced ncia Veja a se o Especificando o tipo de servi o Se o 10 5 1 para mais detalhes TTL 64 Tempo de vida do pacote No exemplo 64 roteadores hops ID 0 Identifica o nica destes datagrama Esta identifica o tamb m usada pelos fragmentos seguintes deste pacote DF Op o Don t fragment n o fragmentar do pacote Usada quando o pacote pequeno o ba
93. IPv6 A maioria das op es s o realmente teis para modificar o comportamento do servidor ssh sem mexer em seu arquivo de configura o para fins de testes ou para executar um servidor ssh pessoal que dever ter arquivos de configura o espec ficos 15 2 Usando aplicativos clientes Esta se o explicar o uso dos utilit rios ssh scp sftp 15 2 1 ssh Esta a ferramenta usada para se es de console remotos O arquivo de configura o de usu rios ssh config e O arquivo global etc ssh ssh config Para conectar a um servidor ssh remoto ssh usuariofip nome do servidor ssh Caso o nome do usu rio seja omitido seu login atual do sistema ser usado O uso da op o C recomendado para ativar o modo de compacta o dos dados til em conex es lentas A op o I usu rio pode ser usada para alterar a identifica o de usu rio quando n o usada o login local usado como nome de usu rio remoto Uma porta alternativa pode ser especificada usando a op o p porta a 22 usada por padr o Na primeira conex o a chave p blica do servidor remoto ser gravada em ssh know hosts OU ssh know host s2 dependendo da vers o do servidor ssh remoto veja protocolo Se o 15 3 7 e verificada a cada conex o como checagem de seguran a para se certificar que o servidor n o foi alvo de qualquer ataque ou modifica o n o autorizada das chaves Por padr o o cliente utilizar o protocolo s
94. IRQ DMA e I O Nem todo dispositivo usam estes tr s par metros alguns apenas a I O e IRQ outros apenas a IO etc 3 3 1 IRQ Requisi o de Interrup o Existem dois tipos b sicos de interrup es as usadas por dispositivos para a comunica o com a placa m e e programas para obter a aten o do processador As interrup es de software s o mais usadas por programas incluindo o sistema operacional e interrup es de hardware mais usado por perif ricos Daqui para frente ser explicado somente detalhes sobre interrup es de hardware Os antigos computadores 8086 8088 XT usavam somente 8 interrup es de hardware operando a 8 bits Com o surgimento do AT foram inclu das 8 novas interrup es operando a 16 bits Os computadores 286 e superiores tem 16 interrup es de hardware numeradas de 0 a 15 Estas 25 interrup es oferecem ao dispositivo associado a capacidade de interromper o que o processador estiver fazendo pedindo aten o imediata As interrup es do sistema podem ser visualizadas no kernel com o comando cat proc interrupts Abaixo um resumo do uso mais comum das 16 interrup es de hardware 0 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 Timer do Sistema Fixa Teclado Fixa Controlador de Interrup o Program vel Fixa Esta interrup o usada como ponte para a IRQ 9 e vem dos antigos processadores 8086 8088 que somente tinham 8 IRQs
95. MAC Address e IP separados por espa o cada linha com uma nova entrada de MAC Address Veja o exemplo 00 03 47 AA AA AB www focalinux org br 00 03 47 BB AA BA www2 focalinux org br 00 03 47 BB AA BB 192 168 0 1 Caso n o conhe a o formato do endere o de MAC Address os tr s primeiros 3 campos definem o fabricante da placa de rede e os 3 ltimos uma identifica o nica do fabricante para a Placa ou seja NENHUMA placa de rede fabricada tem o mesmo MAC Address f sico Para que o comando arp crie as entradas est ticas no seu cache ARP ser necess rio executar o comando arp f etc ethers Este comando poder ser colocado em algum script ou diret rio de inicializa o de sua distribui o para que seja executado automaticamente como por exemplo no etc rc boot da Debian Digitando arp voc ver as linhas definidas no arquivo etc ethers marcadas com as op o flag M manual permanente Outra forma de verificar usando 0 arp a m quina OU somente arp a As m quinas especificadas estaticamente manualmente ter o o nome PERM listados cache arp permanente 354 OBS Como deve ter notado a restri o por MAC Address implica em um aumento no trabalho de gerenciamento das configura es Assim planeje se para que esta tarefa n o seja desgastante crie programas para realizar atualiza es din micas estudando a estrutura de sua rede e como suas m quinas se comunicam para n o ter problemas obscuros quando
96. OUTPUT o ppp j DROP Para bloquear a passagem de tr fego da interface ppp0 para a interface eth1 de uma de nossas redes internas iptables A FORWARD i ppp0 o ethl j DROP 10 3 3 Especificando um protocolo A op o p ou protocol usada para especificar protocolos no iptables Podem ser especificados os protocolos tcp udp e icmp Por exemplo para rejeitar todos os pacotes UDP vindos de 200 200 200 200 iptables A INPUT s 200 200 200 200 p udp j DROP OBS1 Tanto faz especificar os nomes de protocolos em mai sculas ou min sculas 10 3 3 1 Especificando portas de origem destino As portas de origem destino devem ser especificadas ap s o protocolo e podem ser precedidas por uma das seguintes op es e source port ou sport Especifica uma porta ou faixa de portas de origem e destination port ou dport Especifica uma porta ou faixa de portas de destino Uma faixa de portas pode ser especificada atrav s de PortaOrigem PortaDestino Bloqueia qualquer pacote indo para 200 200 200 200 na faixa de portas 0 a 1023 iptables A OUTPUT d 200 200 200 200 p tcp dport 1023 j DROP Caso a PortaOrigem de uma faixa de portas n o seja especificada O assumida como padr o caso a Porta Destino n o seja especificada 65535 assumida como padr o Caso precise especificar diversas regras que envolvam o tratamento de portas diferentes recomendo da uma olhada em m ltiplas portas de origem destin
97. SAMBA baseado em TCL TK Seu ponto forte a navega o nos recursos da m quina ao inv s da rede completa possibilitando autentica o em dom nio grupo de trabalho montagem de recursos etc 18 14 6 Cliente de configura o gr ficos S o ferramentas que permitem a configura o do samba usando a interface gr fica Isto facilita bastante o processo principalmente se estiver em d vidas em algumas configura es mas como todo bom administrador UNIX sabe isto n o substitui o conhecimento sobre o funcionamento de cada op o e ajustes e organiza o feita diretamente no arquivo de configura o 18 14 6 1 gnosamba Ferramenta de configura o gr fica usando o GNOME Com ele poss vel definir configura es localmente Ele ocupa pouco espa o em disco e se voc gosta de GTK este o recomendado As op es do SAMBA s o divididas em categorias facilitando sua localiza o e uso 18 14 6 2 swat Ferramenta de administra o via web do samba Este um daemon que opera na porta 901 da m quina onde o servidor samba foi instalado A configura o feita atrav s de qualquer navegador acessando http ip do servidor 901 e logando se como usu rio root o nico com poderes para escrever no arquivo de configura o Esta ferramenta vem evoluindo bastante ao decorrer dos meses e a recomendada para a configura o do servidor SAMBA remotamente Seu modo de opera o divide se em b sico e avan ado No modo b s
98. TE E AE AE AE AE AE HE HE HE FE FE FE FE FE FE FE FE TE TE TE TE FE FE Rd Tabela nat FEFE TE AE AE AE AE AE AE HE HE HE FE FE FE FE FE FE FE TE TE TE FE TE FE FE AE AE AE E HE HE FE FE FE FE FE FE FE FE FE FE TE TE TE TE TE FE E HE E E E H Chain POSTROUTING Permite qualquer conex o vinda com destino a lo e rede local para eth0 iptables t nat A POSTROUTING o lo j ACCEPT iptables t nat A POSTROUTING s 192 168 1 0 24 o eth0 j ACCEPT 154 N o queremos que usu rios tenham acesso direto a www e smtp da rede externa o squid e smtpd do firewall devem ser obrigatoriamente usados Tamb m registramos as tentativas para monitorarmos qual m quina est tentando conectar se diretamente iptables t nat A POSTROUTING s 192 168 1 0 24 o pppt p tcp dport 80 j LOG log prefix FIREWALL SNAT www iptables t nat A POSTROUTING s 192 168 1 0 24 o pppt p tcp dport 25 j LOG log prefix FIREWALL SNAT smtp iptables t nat A POSTROUTING s 192 168 1 0 24 o pppt p tcp dport 25 j DROP iptables t nat A POSTROUTING s 192 168 1 0 24 o pppt p tcp dport 80 j DROP feito masquerading dos outros servi os da rede interna indo para a interface ppp0 iptables t nat A POSTROUTING s 192 168 1 0 24 o pppt j MASQUERADE Qualquer outra origem de tr fego desconhecida indo para eth0 conex es vindas de ppp s o bloqueadas aqui iptables t nat A POSTROUTING o eth0 d 192 168 1 0 24 j L
99. a Numa teia de confian a voc confia na palavra de honra dos outros para tentar verificar se uma chave digital leg tima ou se uma pega bobo Suponha que Marcelo tenha assinado a chave de Cl udia e que Roberto que conhece Marcelo pessoalment assinou a chave de Marcelo queira falar com Cl udia Roberto sabe que Marcelo leu o manual do programa de criptografia e que ele n o irrespons vel Assim ele pode confiar na palavra de honra de Marcelo que aquela chave digital da Cl udia da Cl udia mesmo e usar a chave pra combinar um encontro com Cl udia Por outro lado Roberto n o conhece Cl udia ainda e n o sabe que tipo de pessoa ela Assim rapaz prevenido ele n o confia que Cl udia seja uma pessoa respons vel que verifica direitinho antes de assinar chaves Note que Roberto s confiou na assinatura de Marcelo porque como ele j tinha assinado a chave de Marcelo ele sabe que foi Marcelo mesmo quem assinou a chave de Cl udia Enrolado Sim um pouco complicado mas desenhe num papel as flechinhas de quem confia em quem que voc entende rapidinho como funciona O uso da assinatura feita por algu m cuja chave voc assinou para validar a chave digital de um terceiro um exemplo de uma pequena teia d confian a 3 Trocando assinaturas de chaves digitais com um grupo de pessoas Lembre se ao assinar uma chave digital voc est empenhando sua palavra de
100. a espessura de 3 3 mil metros e podem conter mais mem ria RAM ou mem ria Flash Tipo 2 Tem a espessura de 5 mil metros e capacidade de opera es I O um tipo usado para placas de fax modem rede som Computadores que aceitam cart es PCMCIA do tipo 2 mant m a compatibilidade com o tipo 1 36 Tipo 3 Tem a espessura de 10 5 mil metros e normalmente usado para discos r gidos PCMCIA Slots PCMCIA do tipo 3 mant m a compatibilidade com o tipo 2 e 1 AMR Audio Modem Raise Pequeno barramento criado pela Intel para a conex o de placas de som e modem Placas de som e modem AMR usam o HSP host signal processor e s o como as Placas on board e todo o processamento feito pela CPU do computador veja detalhes em on board off board Se o 3 8 elHardwares espec ficos ou For Windows Se o 3 9 Sua vantagem o pre o um modem ou placa de som AMR custa em torno de R 25 00 CNR Communication and Networking Rise Pequeno barramento criado pela Intel para a conex o de placas de som modens e placas de rede Este um pequenino slot marrom que localizado no ponto de fixa o das placas no chassis do gabinete Elas s o como as Placas on board e todo o processamento feito pela CPU do computador veja detalhes emjPlacas on board off board elHardwares espec ficos ou For Windows Se o 3 9 3 8 Placas on board off board Placas on board s o embutidas na placa m e motherboard Placas off board s o placas e
101. a seguran a de sua rede e seus dados dependem da escolha do profissional correto que entenda a fundo o TCP IP roteamento protocolos servi os e outros assuntos ligados a rede Frequentemente tem se ouvido falar de empresas que tiveram seus sistemas invadidos em parte isto devido a escolha do sistema operacional indevido mas na maioria das vezes o motivo a falta de investimento da empresa em pol ticas de seguran a que algumas simplesmente consideram a seguran a de seus dados e sigilo interno como uma despesa a mais Um bom firewall que recomendo o ipchains Sinus 0 TIS Particularmente gosto muito de usar o ipchains 0 Sinus e poss vel fazer coisas inimagin veis programando scripts para interagirem com estes programas 71 4 9 Outros arquivos de configura o relacionados com a rede 4 9 1 etc services O arquivo etc services um banco de dados simples que associa um nome amig vel a humanos a uma porta de servi o amig vel a m quinas um arquivo texto de formato muito simples cada linha representa um item no banco de dados Cada item dividido em tr s campos separados por qualquer n mero de espa os em branco tab ou espa os Os campos s o nome porta protocolo apelido coment rio name Uma palavra simples que representa o nome do servi o sendo descrito porta protocolo Este campo dividido em dois sub campos e porta Um n mero que especifica o n mero da porta em que o servi o e
102. a senha informada est incorreta 18 8 1 Migrando de senhas texto plano para criptografadas No SAMBA poss vel fazer um processo de migra o de senhas em texto plano de usu rios para criptografadas sem que eles deixem de acessar o servidor durante esta mudan a Caso este seja seu caso insira o par metro 307 updat ncrypted ves na se o global do seu arquivo de configura o smb conf A senha criptografada definida assim que o usu rio se logar usando sua senha em texto plano N o se esque a de desativar esta op o ou remove la ap s o prazo necess rio para que todas as senhas sejam trocadas 18 8 2 Adicionando usu rios no smbpasswd A adi o de um usu rio no smbpasswd segue duas etapas primeiro necess rio adiciona lo no sistema com o adduser e depois no samba com o smbpasswd Voc deve estar se perguntando qual a vantagem de se ter um arquivo separado de usu rios se ainda preciso criar o login nos dois arquivos O SAMBA para fazer o controle de acesso aos arquivos utiliza al m dos mecanismos tradicionais do NT o controle de permiss es a n vel UNIX para manter os arquivos ainda mais restritos Al m disso ser necess rio usu rios e grupos para cria o e acesso ao sistema 1 Adicione um usu rio no sistema com o comando useradd g grupo dominio c Usu rio de Dom nio s bin false d dev null joao Este comando adiciona o usu rio joao no grupo grupo dominio e n o define hem uma
103. acesso aos arquivos que deseja trabalhar e tamb m n o preciso nenhuma conex o de rede Este m todo ideal para trabalhar na m quina local ou com os arquivos administrativos do CVS existentes no diret rio CVSROOT do reposit rio E muito til tamb m para configurar outros m todos de acesso como O pserver Para criar seu reposit rio veja Criando um reposit rio Se o 17 3 2 254 17 2 1 1 Configurando o m todo local Para utilizar o m todo de acesso local basta definir a vari vel CVSROOT da seguinte forma assumindo que o reposit rio esteja instalado em var 1lib cvs export CVSROOT var lib cvs ou export CVSROOT local var lib cvs Depois disso basta utilizar os comandos normais do cvs sem precisar se autenticar no sistema Veja os detalhes de utiliza o dos comandos de CVS ap s o login na se o Clientes de CVS Se o 17 5 17 2 2 fork Este m todo semelhante ao local mas ele simula uma conex o de rede com o servidor muito usado para fins de testes 17 2 2 1 Configurando o m todo fork Para utilizar o m todo de acesso fork basta definir a vari vel CVSROOT da seguinte forma assumindo que o reposit rio esteja instalado em var 1lib cvs export CVSROOT fork var lib cvs Depois disso basta utilizar os comandos normais do cvs sem precisar se autenticar no sistema Veja os detalhes de utiliza o dos comandos do CVS ap s o login emiClientes de CVS Se o 17 5 17 2 3 ext Este
104. amador Suporte a dispositivos Plug and Play Suporte a dispositivos USB Suporte a Fireware Dispositivos Wireless V rios tipos de firewalls de alta qualidade e com grande poder de seguran a de gra a Roteamento est tico e din mico de pacotes Ponte entre Redes Proxy Tradicional e Transparente Possui recursos para atender a mais de um endere o IP na mesma placa de rede sendo muito til para situa es de manuten o em servidores de redes ou para a emula o de mais computadores virtualmente O servidor WEB e FTP podem estar localizados no mesmo computador mas o usu rio que se conecta tem a impress o que a rede possui servidores diferentes O sistema de arquivos usado pelo GNU Linux Ext 2 organiza os arquivos de forma inteligente evitando a fragmenta o e fazendo o um poderoso sistema para aplica es multi usu rias exigentes e grava es intensivas Permite a montagem de um servidor Web E mail News etc com um baixo custo e alta performance O melhor servidor Web do mercado o Apache distribu do gratuitamente junto com a maioria das distribui es Linux O mesmo acontece com o Sendmail Por ser um sistema operacional de c digo aberto voc pode ver o que o c digo fonte instru es digitadadas pelo programador faz e adapta lo as suas necessidades ou de sua empresa Esta caracter stica uma seguran a a mais para empresas s rias e outros que n o querem ter seus dados roubados vo
105. ao destino Nenhuma m quina da internet poder ter acesso direto a sua m quina conectava via Masquerading Para fazer o IP Masquerading de todas as m quinas da rede 192 168 1 iptables t nat A POSTROUTING s 192 168 1 0 24 o ppp0 j MASQUERADE Ap s definir a regra para fazer Masquerading SNAT execute o comando echo 1 gt proc sys net ipv4 ip forward para habilitar o suporte a redirecionamento de pacotes no kernel 10 4 4 Fazendo DNAT DNAT Destination nat nat no endere o de destino consiste em modificar o endere o de destino das m quinas clientes O destination nat muito usado para fazer redirecionamento de pacotes proxyes transparentes e balanceamento de carga 135 Toda opera o de DNAT feita no chain PREROUTING As demais op es e observa es do SNAT s o tamb m v lidas para DNAT com exce o que somente permitido especificar a interface de origem no chain PREROUTING Modifica o endere o IP destino dos pacotes de 200 200 217 40 vindo da interface eth0 para 192 168 1 2 iptables t nat A PREROUTING s 200 200 217 40 i eth0 j DNAT to 192 168 1 2 Tamb m poss vel especificar faixas de endere os e portas que ser o substitu das no DNAT iptables t nat A PREROUTING i eth0 s 192 168 1 0 24 j DNAT to 200 200 217 40 200 200 217 50 Modifica o endere o IP de destino do tr fego vindos da interface 192 168 1 0 24 para um IP de 200 241 200 40 a 200 241 200 50 Este
106. ap s digitar a frase de acesso correta Minha chave PGP segue abaixo ela tamb m pode ser encontrada emfhttp pgp ai mit edu Se voc deseja saber mais sobre o PGP recomendo um excelente documento encontrado na se o Apostilas emlhttp www cipsga org br EE BEGIN PGP PUBLIC KEY BLOCK Version GnuPG v1 0 6 GNU Linux Comment For info see http www gnupg org mQGiBD17WYgRBACsQNtIozvf8XId xEpF2D1x7nqgFdJyn1QA2VzXg0 0Z9DewXj qr7ChEIoyyzAmxBSubE jdtkAb9 9 2LsE9 0XgzJvBc4luYpv HG2IX1MPujI9drO ubLlkK6xaPiakBggBTS74rp ZEEAGOsr0sug7b8nsXHMk spyGk jsU8pPWwCgltai 4vfmBDMZMgBYvUoksVxbaKcD ApAMghgE53KAAKFtwX1I007K1DJImdZBufCvGDbEB Y3MVS4BI aXxoP5zQpEmQ5 1YOZ8RJPL9IpNUJaInoot Jf7Kiw 41BPDtIZXCeRR5S OcOTitOlYRCLGam7FZ22uliwh0hn 31pf401Mff3geLqviDECboS0sdn6yxynLinE OA9kA 9KIsqill 9gXM3 Sjz8EcrwQNk1IV3MoaETbDmukbXcOEUJdgfFr1lxARM5W 8SKoVrWO5yloale9XcQuK6g8c7KeJsK GEWYiRwXx2X2AqdBC22z2VfJSmgpguZJHn ltMdYZhPwZaCsNPdQSlem3UrGupLOpbpT PagkvyAHBH21tB9X7RKR2xleWRzb24g TWF6aW9saSBkYSBTaWx2YSAo02hhdmUgUEdOIFBIc3NvYWwpIDxnbGV5ZHNvbkB1 c2N1bHNhbmVOLmNvbS5icj6IVg9OTEQIAFgUCOXtZiAQLC9gODAxUDAgMWAgECF4AA CgkOpWvD35hbooFdwgCfQi jPTIW5VH Cep1HIBvyuw9uMg7wAoI RYWOtkJjnhrgH 8 Z29x6AgGIQ iEYEEBECAAYFAjnlrPAACgkQoUSye uc2tWZPgCfVgR41bd8xPBm bjPupLzB3EYAPISAoJomkfsgz NuUZyImD6pIlPtc fDiEYEEBECAAYFAjm4FfUA CgkQco65AkzGCoF34g9CgsVcH4b3s6kfCt JD7iMMhkubnDnUAOL2UiorB3Z2 m3f9A RZiRMhQUCIMRiEYEEBECAAYFAjm4ITAACgkQtlanjIgabEupXgCgl NjvT562Hgt ftSJETOf3y0FywAnl
107. apenas altere o valor dword para 00000000 no arquivo e executa novamente O regedit 18 9 1 5 Windows 98 98SE O procedimento id ntico ao Windows 95B Se o 18 9 1 4 18 9 1 6 Windows ME O procedimento id ntico ao Windows 95B Se o 18 9 1 4 18 9 1 7 Windows NT Server WorkStation Copie o seguinte conte do para um arquivo cnamado winNT textoplano reg REGEDITA4 HKEY LOCAL MACHINENSYSTEMNCurrentControlSetYServicesiRdrYParameters EnablePlainTextPassword dword 00000001 Ap s isto execute no Windows NT o seguinte comando regedit winNT textoplano reg e reinicie o computador para fazer efeito Para voltar a utilizar criptografia apenas altere o valor awora para 00000000 no arquivo e execute novamente O regedit 18 9 1 8 Windows 2000 Copie o seguinte conte do para um arquivo chamado win2000 textoplano reg 311 REGEDITA HKEY LOCAL MACHINENSYSTEMACurrentControlSetlServicesNLanmanWorkStationlParameters EnablePlainTextPassword dword 00000001 Ap s isto execute no Windows 2000 o seguinte comando regedit win2000 textoplano rege reinicie o computador para fazer efeito Para voltar a utilizar criptografia apenas altere o valor dword para 00000000 no arquivo e execute novamente O regedit 18 9 1 9 Linux Inclua modifique a linha encrypt passwords no no arquivo smb conf e reinicie o SAMBA Para voltar a utilizar criptografia veja Ativando o suporte a senhas criptografadas Se
108. arquivos bin rios ou seja imagens som planilhas de c lculo e chaves digitais 2 Chaves digitais e a teia de confian a Chaves digitais s o f ceis de falsificar voc s precisa criar uma chave nova no nome de sicrano por um endere o d mail novinho em folha daqueles que voc consegue nesses webmail da vida e pronto Agora s espalhar essa chave por a que os bestas v o us la pensando que de sicrano A menos que os bestas n o sejam t o bestas assim tenham lido o manual do seu software de criptografia e saibam usar assinaturas e a teia de confian a para verificar se a tal chave de sicrano mesmo Programas de criptografia os bons tipo PGP e GNUpg usam um sistema de 377 assinaturas nas chaves digitais para detectar impedir esse tipo de problema Ao usu rio dado o poder de assinar uma chave digital dizendo sim eu tenho certeza qu ssa chave de fulano que o mail de fulano esse que est na chave Note bem as palavras certeza e mail Ao assinar uma chave digital voc est empenhando sua palavra de honra que o nome do dono de verdade daquela chave o nome qu st na chave que o endere o d mail daquela chave da pessoa o nome que tamb m est na chave Se todo mundo fizer isso direitinho ou seja n o sair assinando a chave de qualquer um s porque a outra pessoa pediu por e mail ou numa sala de chat cria se a chamada teia de confian
109. arquivos usando dev null ResourceConfig etc apache srm conf AccessConfig etc apache access conf A diretiva LockFile define o caminho do lockfile usado quando o servidor Apache for compilado com a op o USE FCNTL SERIALIZED ACCEPT ou USE FLOCK SERIALIZED ACCEPT Esta diretiva normalmente deve ser deixada em seu valor padr o A raz o principal de modifica la no caso do diret rio de logs for montado via um servidor NFS lt pois o arquivo especificado em LockFile DEVE SER ARMAZENADO EM UM DISCO LOCAL O PID do processo do servidor principal automaticamente adicionado neste arquivo LockFile var run apache lock ServerName permite ajustar o nome de host que ser enviado aos clientes caso for diferente do nome real por exemplo se desejar usar www ao inv s do nome real de seu servidor Nota Voc n o pode simplesmente inventar nomes sperar que funcionem O nome que definir dever ser um nome DNS v lido para sua m quina ServerName debian meudominio org UseCanonicalName Com esta op o ligada se o Apache precisar construir uma URL de refer ncia uma url que um retorno do servidor a uma requisi o ele usar ServerName e Port para fazer o nome can nico Com esta op o desligada o Apache usar computador porta que o cliente forneceu quando poss vel Isto tamb m afeta SERVER NAME e SERVER PORT nos scripts CGIs Dependendo de
110. as op es acima respectivamente Uma vari vel DISPLAY criada automaticamente para fazer o redirecionamento ao servidor X local Ao executar um aplicativo remoto a conex o redirecionada a um DISPLAY proxy criado pelo ssh a partir de 10 por padr o que faz a conex o com o display real do X 0 ou seja ele pular os m todos de autentica o xhost e cookies Por medidas de seguran a recomend vel habilitar o redirecionamento individualmente somente se voc confia no administrador do sistema remoto Exemplo de configura o do ssh config Permite Redirecionamento de conex es para o pr prio computador nomes de m quinas podem ser especificadas Host 127 0 0 1 ForwardAgent yes ForwardX11 ves Op es espec ficas do cliente para conex es realizadas a 192 168 1 4 usando somente o protocolo 2 Host 192 168 1 4 As 2 linhas abaixo ativam o redirecionamento de conex es do X ForwardAgent ves ForwardX1l1l yes PasswordAuthentication yes Port 22 Protocol 2 Cipher blowfish Op es espec ficas do cliente para conex es realizadas a 192 168 1 5 usando somente o protocolo 1 Host 192 168 1 5 As 2 linhas abaixo desativam o redirecionamento de conex es do X ForwardAgent no ForwardX11 no PasswordAuthentication ves Port 22 Protocol 1 Cipher blowfish CheckHost IP ves RhostsAuthentication no RhostsRSAAuthentication yes RSAAuthentication ves FallBackToRsh no UseRsh no BatchMode no
111. background Necess rio principalmente se o syslogd for controlado pelo init 84 p soquete Especifica um soquete UNIX alternativo ao inv s de usar o padr o dev l1og r Permite o recebimento de mensagens atrav s da rede atrav s da porta UDP 514 Esta op o til para criar um servidor de logs centralizado na rede Por padr o o servidor syslog rejeitar conex es externas s dom nios Especifica a lista de dom nios separados por que dever o ser retirados antes de enviados ao log a soquetes Especifica soquetes adicionais que ser o monitorados Esta op o ser necess ria se estiver usando um ambiente chroot poss vel usar at 19 soquetes adicionais d Ativa o modo de depura o do syslog O syslog permanecer operando em primeiro plano e mostrar as mensagens no terminal atual Na distribui o Debian o daemon syslogd iniciado atrav s do script etc init d sysklogd 6 2 1 1 Arquivo de configura o syslog conf O arquivo de configura o etc syslog conf possui o seguinte formato facilidade n vel destino A facilidade e n vel s o separadas por um e cont m par metros que definem o que ser registrado nos arquivos de log do sistema e facilidade usada para especificar que tipo de programa est enviando a mensagem Os seguintes n veis s o permitidos em ordem alfab tica O auth Mensagens de seguran a autoriza o recomend vel usar authpriv ao inv s deste
112. baixado de http noc res cmu edu proc existem vers es para os kernels da s rie 2 2 e 2 4 baixe e aplique o patch na configura o do kernel ative a op o Restricted Proc fs support Compile e instale seu kernel No arquivo etc fstab inclua um grupo para a montagem do sistema de arquivos proc vamos usar o grupo adm com a GID 4 etc fstab informa es est ticas do sistemas de arquivos lt Sist Arg gt lt Ponto Mont gt lt tipo gt lt op es gt lt dump gt lt passo gt proc proc proc defaults gid 4 0 0 Ap s reiniciar o sistema execute o comando 1s lad proc note que o grupo do diret rio proc ser modificado para adm Agora entre como um usu rio e execute um ps aux somente seus processos ser o listados Para autorizar um usu rio espec fico ver todos os processos ter acesso novamente ao diret rio proc inclua este no grupo que usou no arquivo etc fstab 356 adduser usuario adm Ap s efetuar o usu rio j estar pertencendo ao grupo adm confira digitando groups e poder ver novamente os processos de todos os usu rios com o comando ps aux OBS1 Incluir um usu rio no grupo adm PERIGOSO porque este usu rio poder ter acesso a arquivo diret rios que perten am a este grupo como os arquivos diret rios em var log Se esta n o sua inten o crie um grupo independente como rest rproc para controlar quem ter acesso ao diret rio proc addgroup restrproc OBS2 Se a op
113. bloqueado pela regra ESTABLISHED RELATED j DROP no final do chain ppp input iptables A ppp input p icmp m limit limit 2 s j ACCEPT Primeiro aceitamos o tr fego vindo da Internet para o servi o www porta 80 iptables A ppp input p tcp dport 80 j ACCEPT A tentativa de acesso externo a estes servi os ser o registrados no syslog do sistema e ser o bloqueados pela ltima regra abaixo iptables A ppp input p tcp dport 21 j LOG log prefix FIREWALL ftp iptables A ppp input p tcp dport 25 j LOG log prefix FIREWALL smtp iptables A ppp input p udp dport 53 j LOG log prefix FIREWALL dns iptables A ppp input p tcp dport 110 j LOG log prefix FIREWALL pop3 iptables A ppp input p tcp dport 113 j LOG log prefix FIREWALL identd iptables A ppp input p udp dport 111 j LOG log prefix FIREWALL rpc iptables A ppp input p tcp dport 111 j LOG log prefix FIREWALL rpc iptables A ppp input p tcp dport 137 139 j LOG log prefix FIREWALL samba iptables A ppp input p udp dport 137 139 j LOG log prefix FIREWALL samba Bloqueia qualquer tentativa de nova conex o de fora para esta m quina iptables A ppp input m state state ESTABLISHED RELATED j LOG log prefix FIREWALL ppp in iptables A ppp input m state state ESTABLISHED RELATED j DROP Qualquer outro tipo de tr fego aceito iptables A ppp input j ACCEPT FEFE
114. bloqueado o cabe alho HTTP tamb m ser bloqueado OBS2 A diretiva de acesso lt Limit gt somente ter efeito na diretiva lt Location gt se for especificada no arquivo de configura o do servidor web A diretiva lt Location gt simplesmente ignorada nos arquivos htaccess 186 Este abaixo usado por padr o na distribui o Debi an para restringir para somente leitura o acesso aos diret rios de usu rios acessados via m dulo mod userdir lt Directory home public html gt AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec lt Limit GET POST OPTIONS PROPFIND gt Order allow deny Allow from all lt Limit gt lt Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK gt Order deny allow Deny from all lt Limit gt lt Directory gt 12 7 7 Diretiva lt LimitExcept gt Esta diretiva semelhante a lt Limit gt mas atinge todos os m todos HTTP menos os especificados 12 8 Definindo documentos de erro personalizados Documentos de erros personalizados s o definidos atrav s da diretiva ErrorDocument poss vel especificar c digos de erros que ser o atendidos por certos documentos ou colocar esta diretiva dentro de blocos de controle de acesso lt Directory gt lt Location gt ou lt VirtualHost gt para que tenham mensagens de erro personalizadas ao inv s da padr o usada pelo servidor httpd ErrorDocument c dig
115. caminho servidor gt lt args gt INTERNO Servi os internos echo stream tcp nowait root internal echo dgram udp wait root internal chargen stream tcp nowait root internal chargen dgram udp wait root internal discard stream tcp nowait root internal discard dgram udp wait root internal daytime stream tcp nowait root internal daytime dgram udp wait root internal time stream tcp nowait root internal time dgram udp wait root internal PADR ES Estes s o servi os padr es BSD Shell login exec e talk s o protocolos BSD shell stream tcp nowait root usr sbin tcpd usr sbin in rshd login stream tcp nowait root usr sbin tcpd usr sbin in rlogind exec stream tcp nowait root usr sbin tcpd usr sbin in rexecd talk dgram udp wait 10 nobody tty usr sbin tcpd usr sbin in talkd ntalk dgram udp wait 10 nobody tty usr sbin tcpd usr sbin in ntalkd MAIL Mail news e servi os uucp smtp stream tcp nowait 60 mail usr sbin exim exim bs INFO Servi os informativos BOOT O servi o Tftp oferecido primariamente para a inicializa o Alguns sites o executam somente em m quinas atuando como servidores de inicializa o RPC Servi os baseados em RPC HAM RADIO servi os de r dio amador OTHER Outros servi os 4 8 Seguran a da Rede e controle de Acesso Deixe me iniciar esta se o Ihe alertando que a seguran a da rede em sua m quina e ataques maliciosos s o uma arte complexa Um
116. com br allow from all lt Directory gt Bloqueia o acesso ao diret rio var www de computadores pertencentes aos dom nios com e com br lt Directory var www gt Options None Order deny allow allow from 192 168 1 guiafoca org debian org deny from 200 200 123 lt Directory gt A regra acima permite o acesso de m quinas da rede 192 168 1 do dom nio guiafoca orge debian org O acesso de m quinas da rede 200 200 123 bloqueado nada contra peguei nesse n mero ao acaso Note que a m quina 192 168 4 10 ter acesso LIVRE a regra acima pois n o conferir nem com allow nem com deny ent o o processamento cair na diretiva padr o de deny allow que neste caso permite o acesso caso nem allow e deny conferiram com o padr o lt Directory var www gt Options None Order allow deny allow from 192 168 1 cipsga org br debian org deny from 200 200 123 lt Directory gt A regra acima id ntica a anterior somente com a mudan a da op o Order Bloqueia o acesso de m quinas da rede 200 200 123 e permite o acesso de m quinas da rede 192 168 1 do dom nio cipsga org br e debian org Note que a m quina 192 168 4 10 ter acesso BLOQUEADO a regra acima pois n o conferir nem com allow nem com deny ent o o processamento cair na diretiva padr o de allow deny que neste caso bloqueia o acesso 12 7 2 Autentica o Atrav s da autentica o controlado pelo m dulo mod auth
117. conex o a servidores telnet padr o quando o servidor n o suporta ssl Por padr o tentada a conex o usando ssl se esta falhar ser assumida a transmiss o em texto plano 6 telnetd ss1 Servidor telnet com suporte a autentica o e ssl Tamb m suporta conex o de clientes telnet padr o sem suporte a ssl 227 Utilit rios e in telnetd Servidor telnet e telnet Cliente telnet padr o quando o pacote telnet ss1 est instalado simplesmente um link para telnet ssl1 e telnet ss Cliente telnet com suporte a ssl 14 1 4 Requerimentos de Hardware Normalmente o servidor telnet carregado via inetd o que permite sua utiliza o em uma m quina com a quantidade m nima de mem ria RAM requerida para o funcionamento do kernel 2 MB para kernels da s rie 2 2 e 4MB para kernels da s rie 2 4 14 1 5 Arquivos de log criados pelo servidor telnet Mensagens do servidor telnet relacionadas com se es s o enviadas para var 1log daemon log Adicionalmente as mensagens sobre autentica o servi os de login s o registradas pelos m dulos PAM em var log auth log 14 1 6 Instala o apt get install telnet telnetdou apt get install telnet ssl telnetd ssl Os pacotes com o ss1 no final possuem suporte a criptografia ssl Por padr o a porta usada para executar o servi o telnet a 23 ou outro n mero de porta definido no etc services A instala o do servidor telnet feita via inetd no arquivo
118. criptografado do samba para que a autentica o local funcione veja Ativando o suporte a senhas criptografadas Se o 18 8 Este n vel bastante usado quando configuramos um servidor de perfis de usu rios ou logon separado do PDC 18 2 8 5 Log de acessos servi os log file arquivo Define a localiza o e nome do arquivo de log gerado pelo samba As vari veis de expans o podem ser usadas caso o administrador queira ter um melhor controle dos logs gerados veja Vari veis de substitui o Se o 18 2 13 Ex var log samba samba log m OBS Se poss vel coloque uma extens o no arquivo de log gerado pelo SAMBA como log O motivo disto porque se estes logs forem rotacionados pelo logrotat e voc ter problemas de recompacta o m ltiplas caso utilize um coringa samba log gerando arquivos como gz gz gz lotando a tabela de arquivos do diret rio e deixando sua m quina em um loop de compacta o max log size tamanho Especifica o tamanho m ximo em Kb do arquivo de log gerado pelo samba O valor padr o 5000Kb 5MB debug pid valor Este processo adiciona a pid aos logs gerados pelo processo smbd Isto til para depura o caso existam m ltiplos processos rodando O valor padr o no e a op o debug timestamp deve ser yes para esta op o ter efeito debug timestamp valor Ativa ou desativa a grava o de data hora nos arquivos de log gerados pelo samba O valor padr o yes
119. da rede talvez uma ethernet talvez uma interface serial PPP ou SLIP OK viu como o roteamento funciona cada computador mant m uma lista de regras especiais de roteamento chamada tabela de roteamento Esta tabela cont m colunas que tipicamente cont m no m nimo tr s campos o primeiro o endere o de destino o segundo o nome da interface que o datagrama deve ser roteado e o terceiro opcionalmente o endere o IP da outra m quina que levar o datagrama em seu pr ximo passo atrav s da rede No GNU Linux voc pode ver a tabela de roteamento usando um dos seguintes comandos cat proc net route Foute i netstat sr O processo de roteamento muito simples um datagrama pacote IP recebido o endere o de destino para quem ele examinado e comparado com cada item da tabela de roteamento O item que mais corresponder com o endere o selecionado e o datagrama direcionado a interface especificada Se o campo gateway estiver preenchido ent o o datagrama direcionado para aquele computador pela interface especificada caso contr rio o endere o de destino assumido sendo uma rede suportada pela interface 4 5 1 Configurando uma rota no Linux A configura o da rota feita atrav s da ferramenta route Para adicionar uma rota para a rede 192 168 1 0 acess vel atrav s da interface eth0 basta digitar o comando route add net 192 168 1 0 eth0 Para apagar a rota acima da tabela de roteamento basta subst
120. de origem destino A sintaxe usada nas diretivas de acesso especificada na forma usu rio Dendere o O Servidor ident Cap tulo 13 explica a configura o utiliza o vulnerabilidades e recomenda es sobre este servi o Diversos programas que possuem controle de acesso baseado em IP s hosts aceitam esta especifica o como O exim ircd e o conhecido t cpa Segue um exemplo da utiliza o do identa com o arquivo hosts allow Permite o acesso ao servi o de telnet somente ao usu rio gleydson conectando a partir da m quina com IP 192 168 1 1 in telnetd gleydsonf192 168 1 1 Permite o acesso ao servi o ftp somente ao usu rio gleydson conectando de qualquer m quina da rede 192 168 1 in ftpd gleydson 192 168 1 353 Note que a utiliza o do identa torna a utiliza o do servi o um pouco mais restrita somente conhecendo os logins de quem tem acesso ao servi o um cracker conseguir ter acesso ao mesmo servi o naquele sistema este um dos motivos que recomendado sempre divulgar o m nimo detalhes poss veis sobre o sistema para minimizar riscos de ataques Veja mais detalhes sobre o uso do identa em Servidor ident Cap tulo 13 19 7 Restri es por MAC Address IP Esta prote o oferece uma barreira maior se seguran a contra IPs spoofing evitando que pessoas mal intencionadas fa am um IP spoofing da m quina para obter acessos privilegiados que somente o detentor original do MAC IP teri
121. de dados Cap tulo 20 Uso de servi os alternativos criptogr ficos Alternativas seguras a servi os sem criptografia Se o 20 9 Criptografia usando gnupgp Usando pop gpg para criptografia de arquivos Se o 20 5 Uso de sistema de arquivos criptogr ficos para armazenamento de dados Sistemas de arquivos criptogr fico Se o 20 4 Otimiza o de performance na transfer ncia de dados do disco r gido atrav s de particionamento e hdparm uso de spindles para cria o de swap Melhoria de performance Se o 3 15 O que s o descargas est ticas e a import ncia do aterramento da instala o el trica do computador dirigido a usu rios dom sticos e de pequenas instala es Descargas est ticas Se o 3 14 Maiores considera es a seguran a de sistema e a problemas de seguran a relativos a falhas de configura o distribu da entre os cap tulos de daemons e servidores Montagem de um servidor Web usando o Apache Apache Cap tulo 12 Montagem de um firewall para prote o do sistema filtragem de pacotes usando o iptables redirecionamento de pacotes nat masquerading balanceamento de carga marca o de pacotes logging Firewall iptables Cap tulo 10 Servidor de acesso para permitir o acesso a dist ncia ao seu computador usando O telnetd Servidor telnet Cap tulo 14 Servidor de acesso para permitir o acesso a dist ncia a seu computador com criptografia usando o ssh Servidor
122. de n vel mais altos e s rios incidentes de seguran a em servidores CVS mal configurados pelo Administrador 17 3 7 Sincronizando a c pia remota com a c pia local Este comando sincroniza a c pia remota do CVS ou arquivo com a c pia local que est trabalhando em sua m quina Quando se trabalha nativamente no CVS em equipe recomendado a utiliza o deste comando pois algu m pode ter modificado o arquivo antes de voc ent o uma incompastibilidade entre sua vers o e a nova poderia causar problemas Supondo que tenha acabado de modificar o arquivo main c do m dulo cvsproj ent o antes de fazer o commit Enviando as mudan as para o servidor remoto Se o 17 3 8 use o update cvs update main c ou cvs d ext usuariofservidor com br 2401 var lib cvs update main c Ap s alguns segundos sua c pia local ficar sincronizada com a c pia remota Caso ele mostre alguma mensagem de sa da verifique o arquivo para solucionar qualquer conflito e ent o envie o arquivo para o servidor remoto Enviando as mudan as para o servidor remoto Se o 17 3 8 Voc pode fazer o update de mais arquivos usando refer ncias globais 2 ou 17 3 8 Enviando as mudan as para o servidor remoto O comando commit ou ci envia as mudan as feitas nos arquivos locais para o servidor remoto Um exemplo de commit no arquivo main c cvs commit main c cvs commit main cvs commit O editor padr o do sistema ser aberto e p
123. de nomes O formato deste arquivo descrito em detalhes na p gina de manual resolv Em quase todas as situa es o exemplo seguinte funcionar order hosts bind multi on Este arquivo de configura o diz ao resolvedor de nomes para checar o arquivo etc hosts par metro hosts antes de tentar verificar um servidor de nomes par metro bind e retornar um endere o IP v lido para o computador procurado e multi on retornar todos os endere os IP resolvidos no arquivo etc hosts ao inv s do primeiro Os seguintes par metros podem ser adicionados para evitar ataques de IP spoofing nospoof on spoofalert on O par metro nospoof on ativa a resolu o reversa do nome da biblioteca resolv para checar se o endere o pertence realmente quele nome e o spoofalert on registra falhas desta opera o no syslog 4 6 2 3 etc hosts O arquivo etc hosts faz o relacionamento entre um nome de computador e endere o IP local Recomendado para IPs constantemente acessados e para coloca o de endere os de virtual hosts quando deseja referir pelo nome ao inv s de IP A inclus o de um computador neste arquivo dispenda a consulta de um servidor de nomes para obter um endere o IP sendo muito til para m quinas que s o acessadas frequentemente A desvantagem de fazer isto que voc mesmo precisar manter este arquivo atualizado e se o endere o IP de algum computador for modificado esta altera o dever ser feita em cada um dos a
124. destino 20 1 Introdu o Quando enviamos um tr fego de nossa m quina para outra e mails mensagens de ICQ navega o ftp etc os dados passam por v rias m quinas at atingir o seu destino isto se chama roteamento Se algum cracker instalou algum capturador de pacotes sniffer em alguma das m quinas de nossa rota os dados poder o facilmente visualizados Crackers normalmente configuram estes programas a procura de campos como passwd e outras express es que sejam teis para acesso ao seu sistema ou espionagem Quem gosta de ter sua privacidade violada A internet definitivamente uma rede insegura e nem todos os administradores de servidores s o respons veis o suficiente para fazer uma configura o restrita para evitar acesso de pessoas mal intencionadas Este cap tulo mostra na pr tica como um sniffer funciona para captura de pacotes isto ajudar a entender como servi os que enviam seus dados em forma texto plano s o vulner veis a isto e alternativas para transmiss o segura de dados Este cap tulo tem a inten o de mostrar alternativas seguras de prote o dos dados que trafegam em sua rede e a seguran a de suas instala es 20 2 Sniffer O sniffer farejador um programa que monitoram registram a passagem de dados entre as interfaces de rede instaladas no computador Os dados coletados por sniffers s o usados para obten o de detalhes teis para solu o de problemas em rede quando usado com bo
125. disponibilidade maior do servi o caso algo aconte a com um dos processos 275 18 1 10 Op es de linha de comando Op es de linha de comando usadas pelo nmbd H arquivo Imhosts Quando especificado o servidor samba far a procura de nomes primeiro neste arquivo e depois usando a rede S arquivo cfg Especifica uma nova localiza o para o arquivo de configura o do samba Por padr o o etc samba smb conf usado d num Especifica o n vel de depura o do nmbd que podem ir de 0 a 10 O valor padr o 0 diret rio Especifica a localiza o do diret rio onde o nmbd gravar o arquivo de log log nmbd O valor padr o var log samba n nomeNetBIOS Permite utilizar o nome NetBIOS especificado a inv s do especificado no arquivo smb conf para identificar o computador na rede 18 2 Conceitos gerais para a configura o do SAMBA Este cap tulo documenta como configurar o seu servidor SAMBA permitindo o acesso a compartilhamento de arquivos e impress o no sistema 18 2 1 Nome de m quina nome NetBios Toda a m quina em uma rede NetBEUI identificada por um nome este nome deve ser nico na rede e permite que outras m quinas acessem os recursos disponibilizados ou que sejam enviadas mensagens para a m quina Este nome composto de 16 caracteres sendo 15 que identificam a m quina e o ltimo o tipo de servi o que ela disponibiliza O tipo de servi o associado com o nome da m quina e re
126. do nome da m quina e wins Pesquisa no servidor WINS especificado pelo par metro wins server do smb conf veja WINS Se o 185 3 e bcast Envia um pacote para o endere o de broadcast de sua configura o de rede Este geralmente deve ser o ltimo m todo por gerar tr fego excessivo em uma rede com um consider vel n mero de computadores A ordem que a resolu o de nomes feita pelo samba pode ser modificada usando o par metro name resolve order ordem no arquivo de configura o do samba ex name resolve order Imhosts host wins bcast 18 5 1 Arquivo etc samba lmhosts Este arquivo um banco de dados que mapeia o endere o IP com o nome NetBIOS de uma m quina semelhante ao formato do etc hosts Este arquivo til quando temos servidores que s o acessados com frequ ncia quando servidores de rede est o em segmentos separados e n o temos um servidor WINS entre os dois pontos para resolu o de nomes para definir m quinas WINS que ser o acessados pela internet etc Para ter certeza da localiza o do arquivo Imhost s em sua m quina digite smbclient d 3 L localhost e veja o diret rio de pesquisa deste arquivo Veja um exemplo de arquivo Imhost s em Exemplo de Imhosts do UNIX Se o 18 5 1 1 O uso do arquivo Imhost s evita o excesso de broadcasting na rede pois a ordem padr o usada para a resolu o de nomes do samba procura primeiro resolver o nome procurando em arquivos Imhosts depois us
127. do seu sistema pois mesmo usando uma senha inv lida a m quina poder ter acesso a todos os recursos do compartilhamento e n o complicado fazer um ataque usando DNS spoofing Se realmente deseja fazer isto tenha em mente os dados que poder o ser acessados daquela m quina se realmente n o existe nenhuma outra forma de disponibilizar o acesso de forma que mantenha o controle de restri es usando todos os outros m todos restrinja o acesso usando MAC Address com o iptables ou o arp vejalRestri es por MAC Address IP Se o 19 7 O padr o n o usar nenhum arquivo hosts equiv 18 12 6 Evite o uso de senhas em branco O par metro null passwords usado na se o global permitindo que contas de usu rios sem senha tenham acesso permitido ao servidor ISTO TOTALMENTE INSEGURO e deve ser sempre evitado Caso voc tenha feito uma bela restri o em sua m quina e deseja que o seu shell script de c pia de arquivos funcione usando este m todo voc est jogando toda a seguran a do seu sistema por ralo abaixo N o existe motivo para usar senhas em branco em um controle de acesso por usu rio a n o ser que precise testar algo realmente tempor rio e que depurando algo no SAMBA 18 12 7 Criando um compartilhamento para acesso sem senha Em algumas situa es mesmo em instala es seguras preciso tornar um compartilhamento acess vel publicamente exemplos disto incluem um diret rio que cont m drivers d
128. em seu sistema 1 Recompile seu kernel com suporte a quota Habilite a op o Quota support na se o FileSystems na configura o de recursos do seu kernel 2 Instale o pacote quota no sistema apt get install quota 3 Habilite a quota para os sistemas de arquivos que deseja restringir no arquivo etc fstab dev hndal boot ext2 defaults 4 T dev hda3 ext 2 defaults usrquota E A2 dev hda4 usr ext2 defaults grpquota 1 3 dev hda5 pub ext2 defaults usrquota grpquota 1 4 357 O sistema de arquivos dev hdal n o ter suporte a quota dev hda3 ter suporte a quotas de usu rios usrquota dev hnda4 ter suporte a quotas de grupos groquota e dev hdas5 ter suporte a ambos Por padr o assumido que os arquivos de controle de quota est o localizados no ponto de montagem da parti o com os nomes quota user e quota group Agora ser necess rio criar os arquivos quota user quota group no ponto de montagem de cada parti o ext2 acima que utilizar o recurso de quotas O arquivo quota user controla as quotas de usu rios e quota group controla as quotas de grupos e Crie um arquivo vazio quota user em ter suporte somente a quota de usu rios veja a op o de montagem no etc fstab touch quota user 0u echo n gt quota user e Crie um arquivo vazio quota group em usr ter suporte somente a quota de grupos touch usr quota group OUecho n gt usr quota group e Crie um arquivo vazio quo
129. est ticas que possam gerar fa scas e causar um desastre Pulseiras cord es objetos met licos podem ser usados para eliminar descargas est ticas de pessoas O contato frequente com o solo um m todo muito til Existem casos em que um colar salvou a vida de pessoas atingidas por raio justamente pelas explica es acima O colar derrete com a drenagem da eletricidade do raio mas a pessoa tem mais chances de sair viva Em indiv duos realmente sens veis uma chapinha de metal pode ser colocada no sapato fazendo contato com o calcanhar drenando constantemente estas descargas isto eficaz e bem melhor que sair arrastando correntes por ai Se voc trabalha com hardwares ou apenas mais um fu ador de PCs agora voc entender porque recomend vel sempre tocar em partes met licas do computador antes de mexer em qualquer placa e porque aquele seu amigo disse que a placa dele queimou depois que resolveu limpar seus contatos 3 15 Melhoria de performance 3 15 1 Particionamento Para um melhor desempenho os dados que s o solicitados constantemente dever o ser armazenados em uma parti o no inicio do disco r gido Esta rea a mais r pida e checa a ser 60 mais r pida que o final do HD em alguns modelos Em especial a parti o de boot swap e bin rios do sistema poder o ser armazenados nesta parti o para aumentar a velocidade da carga de programas e n o prejudicar a performance do sistema quando o uso da parti
130. evitar riscos de seguran a com arquivos lidos por todos os usu rios StrictModes yes Permite ves ou n o no o redirecionamento de conex es X11 A seguran a do sistema n o aumentada com a desativa o desta op o outros m todos de redirecionamento podem ser usados x11lForwarding yes Especifica o n mero do primeiro display que ser usado para o redirecionamento X11 do ssh Por padr o usado o display 10 como inicial para evitar conflito com display X locais X11DisplayOffset 10 Mostra ves ou n o no a mensagem em etc motd no login O padr o no PrintMotd no Mostra ves ou n o no a mensagem de ltimo login do usu rio O padr o no PrintLastLog no Permite ves ou n o no o envio de pacotes keepalive para verificar se o cliente responde Isto bom para fechar conex es que n o respondem mas tamb m podem fechar conex es caso n o existam rotas para o cliente naquele momento um problema tempor rio Colocando esta op o como no por outro lado pode deixar usu rios que n o tiveram a oportunidade de efetuar o logout do servidor dados como permanentemente conectados no sistema Esta op o deve ser ativada desativada aqui e no programa cliente para funcionar KeepAlive yes Facilidade e n vel das mensagens do sshd que aparecer o no syslogd SyslogFacility AUTH LogLevel INFO Especifica se somente a autentica o via arquivos rhosts
131. executados pelo processador principal do computador Esta estrat gia torna o hardware menos caro mas o que poupado n o passado para o usu rio e este hardware pode at mesmo ser mais caro quanto dispositivos equivalentes que possuem intelig ncia embutida Voc deve evitar o hardware baseado no Windows por duas raz es 1 O primeiro que aqueles fabricantes n o tornam os recursos dispon veis para criar um driver para Linux Geralmente o hardware e a interface de software para o dispositivo propriet ria e a documenta o n o dispon vel sem o acordo de n o revela o se ele estiver dispon vel Isto impede seu uso como software livre desde que os escritores de software gr tis descubram o c digo fonte destes programas 2 A segunda raz o que quando estes dispositivos tem os processadores embutidos removidos o sistema operacional deve fazer o trabalho dos processadores embutidos frequentemente em prioridade de tempo real e assim a CPU n o esta dispon vel para executar programas enquanto ela esta controlando estes dispositivos Um exemplo t pico disso s o os Modens for Windows Al m da carga jogada na CPU o dispositivo n o possui o chip UART 16550 que essencial para uma boa taxa de transfer ncia do modem O que alguns destes dispositivos fazem a emula o deste chip exigindo no m nimo uma CPU Pentium de 166 MHZ para operar adequadamente nesta taxa de transmiss o Mesmo assim devido a falta do chip
132. hac A linha hdc ide scsi dever ser retirada caso contr rio seu disco r gido n o ser detectado Agora siga at Testando o funcionamento Se o 3 11 3 3 3 11 3 2 Configurando o suporte a um gravador SCSI Caso tenha um autentico gravador SCSI n o ser preciso fazer qualquer configura o de emula o a unidade estar pronta para ser usada desde que seu suporte esteja no kernel As seguintes op es do kernel s o necess rias para funcionamento de gravadores SCSI Depois em SCSI support marque as op es SCSI support M SCSI CD ROM Support M SCSI Generic Support 43 Al m disso deve ser adicionado o suporte EMBUTIDO no kernel a sua controladora SCSI Se o seu disco r gido tamb m SCSI e seu CD est ligado na mesma controladora SCSI ela j est funcionando e voc poder seguir para o passo Testando o funcionamento Se o 3 11 3 3 Caso contr rio carregue o suporte da sua placa adaptadora SCSI antes de seguir para este passo 3 11 3 3 Testando o funcionamento Para testar se o seu gravador instale o pacote cdrecord e execute o comando cdrecord scanbus para verificar se sua unidade de CD ROM detectada Voc dever ver uma linha como scsibuso0 0 0 0 0 CREATIVE CD RW RWXXXX 11 00 Removable CD ROM 0 1 0 dj 0 2 0 2 O que significa que sua unidade foi reconhecida perfeitamente pelo sistema e j pode ser usada para grava o 3 11 4 Configurando o gere
133. indica o valor de confian a do dono e o segundo ap s a o valor de confian a calculado automaticamente na chave As seguintes possuem o seguinte significado e Nenhum dono encontrado confian a n o calculada e Chave expirada falha na checagem de confian a q Quando n o conhece o usu rio n Quando n o confia no usu rio o padr o m Pouca confian a no usu rio Totalmente confi vel u Indiscutivelmente confi vel Somente usado para especificar a chave p blica do pr prio usu rio O valor de confian a da chave pode ser modificado com o comando trust e selecionando uma das op es de confian a Os valores de confian a para a chave p blica pessoal u n o necess rio calcular a confian a indiscutivelmente confi vel 20 5 13 Listando assinaturas digitais Execute o comando gpg list sigs para listas todas as assinaturas existentes no seu chaveiro Opcionalmente pode ser especificado um par metro para fazer refer ncia a assinatura de um usu rio gpg list sigs usuario O comando gpg check sigs adicionalmente faz a checagem de assinaturas 376 20 5 14 Recomenda es para a assinatura de chaves gpg Este texto foi divulgado por uma pessoa que pediu para permanecer an nima na lista debian user portugueseflists debian org explicando os procedimentos de seguran a para a troca de chaves p blicas individuais e em grupo de usu rios Ele um pouco longo mas a pessoa especiali
134. indiv duo no ambiente GNU Linux j que ele permite muita flexibilidade para fazer qualquer coisa funcionar em rede A comunica o entre computadores em uma rede feita atrav s do Protocolo de Rede 4 2 Protocolo de Rede O protocolo de rede a linguagem usada para a comunica o entre um computador e outro Existem v rios tipos de protocolos usados para a comunica o de dados alguns s o projetados para pequenas redes como o caso do NetBios outros para redes mundiais TCP IP que possui caracter sticas de roteamento Dentre os protocolos o que mais se destaca atualmente o TCP IP devido ao seu projeto velocidade e capacidade de roteamento 4 3 Endere o IP O endere o IP s o n meros que identificam seu computador em uma rede Inicialmente voc pode imaginar o IP como um n mero de telefone O IP compostos por quatro bytes e a conven o de escrita dos n meros chamada de nota o decimal pontuada Por conven o cada interface placa usada p rede do computador ou roteador tem um endere o IP Tamb m permitido que o mesmo endere o IP seja usado em mais de uma interface de uma mesma m quina mas normalmente cada interface tem seu pr prio endere o IP As Redes do Protocolo Internet s o sequ ncias cont nuas de endere os IP s Todos os endere os dentro da rede tem um n mero de d gitos dentro dos endere os em comum A por o dos endere os que s o comuns entre todos os endere os de uma r
135. locais Veja Mapeamento de nomes de usu rios Se o 18 12 16 para mais detalhes de como configurar este recurso obey pam restrictions yes Indica se as restri es do usu rio nos m dulos PAM ter o efeito tamb m no SAMBA 18 2 8 4 N veis de autentica o esta se o cont m algumas explica es que dependem do resto do conte do do guia caso n o entenda de imediato a fundo as explica es recomendo que a leia novamente mais tarde 281 Define o n vel de seguran a do servidor Os seguintes valores s o v lidos e share Usada principalmente quando apenas a senha enviada por compartilhamento acessado para o servidor caso muito t pico em sistemas Lan Manager Windows for Workgroups Mesmo assim o samba tenta mapear para um UID de usu rio local do sistema usando os seguintes m todos retirado da p gina de manual do samba 1 Se o par metro quest only usado no compartilhamento junto com O guest ok acesso imediatamente permitido sem verificar inclusive a senha 2 Caso um nome de usu rio seja enviado junto com a senha ele utilizado para mapear o UID e aplicar as permiss es deste usu rio como acontece no n vel de seguran a user 3 Se ele usou um nome para fazer o logon no Windows este nome ser usado como usu rio local do SAMBA Caso ele seja diferente voc dever usar o mapeamento de nomes para associar o nome remoto do nome local vejalMapeamento de nomes de usu rios Se o 18 12
136. localmente ser id ntica ao do servidor remoto 17 3 6 Adicionando um novo projeto Use o comando cvs import para adicionar um novo projeto ao CVS As entradas nos arquivos administrativos ser o criadas e o projeto estar dispon vel para utiliza o dos usu rios A sintaxe b sica do comando import a seguinte cvs import op es dir modulo tag start Para adicionar o projeto focal inux que reside em usr src focalinux ao cvs Primeiro exportamos o CVSROOT para dizer onde e qual reposit rio acessar export CVSROOT ext usuariofservidor com br 2401 var lib cvs cd usr src focalinux cvs import documentos focalinux tag modulo start 262 Por padr o o import sempre utiliza a m scara para fazer a importa o dos arquivos do diret rio atual O projeto focal inux ser acessado atrav s de CVSROOT documentos focalinux cvs checkout documentos focalinux ou seja var 1ib cvs documentos focalinux no servidor CVS ter a c pia do focalinux tag modulo define o nome que ser usado como identificador nas opera es com os arquivos do CVS pode ser usado focalinux em nosso exemplo O par metro start diz para criar o m dulo OBS Por seguran a o diret rio que cont m os arquivos dever ser sempre um caminho relativo na estrutura de diret rios ou seja voc precisar entrar no diret rio pai como usr src projeto para executar 0 cvs import N o permitido usar ou isto pro be a descida em diret rios
137. m quinas Windows onde necess rio adicionar um do nome de compartilhamento para criar um compartilhamento oculto como testes o SAMBA cria um compartilhamento realmente oculto n o aparecendo mesmo na listagem do smbclient 18 12 13 Executando comandos antes e ap s o acesso ao compartilhamento Este recurso oferece uma infinidade de solu es que podem resolver desde problemas de praticidade at seguran a usando as op es preexec e postexec Por exemplo imagine que esteja compartilhando 4 unidades de CD Rom de um servidor na rede e deseje que estes CDs estejam sempre dispon veis mesmo que algum operador engra adinho tenha ejetado as gavetas de prop sito podemos fazer a seguinte configura o cdrom path cdrom comment Unidade de CD ROM 1 read only yes preexec bin mount cdrom preexec close yes postexec bin umount cdrom Na configura o acima o CD ROM ser compartilhado como carom cdrom somente leitura red only yes quando o usu rio acessar o compartilhamento ele fechar a gaveta do CD preexec bin mount cdrom e desmontar o drive de CD assim que o compartilhamento for fechado postexec bin umount cdrom Adicionalmente caso o comando mount da op o preexec tenha retornado um valor diferente de 0 a conex o do compartilhamento fechada preexec close yes 322 A UID do processo do preexec e postexec ser o mesmo do usu rio que est acessando o compartilhamento
138. m todos conhecidos de recupera o via disquete CD inicializ vel ou simplesmente aumentar nossa confian a no sistema e Coloque uma senha para entrada no Setup da m quina compartilhe esta senha somente com as pessoas que tem poder de root ou seja pessoal de confian a que administra a m quina e Mude a sequencia de partida para somente sua unidade de disco r gido que cont m o sistema operacional As BIOS trazem conven es de DOS para especificar o m todo de partida ent o Only C quer dizer somente o primeiro disco r gido SCSI tentar dispositivos SCSI primeiro etc Isso pode variar de acordo com o modelo de sua BIOS Com os dois tens acima qualquer um ficar impedido de inicializar o sistema a partir de um disco de recupera o ou entrar no Setup para modificar a ordem de procura do sistema operacional para dar a partida via disquetes 19 15 2 Retirada da unidade de disquetes Como n o seguro confiar nas restri es de senha da BIOS qualquer um com conhecimentos de hardware e acesso f sico a m quina pode abrir o gabinete e dar um curto na bateria que mant m os dados na CMOS ou aterrar o pino de sinal da CMOS a retirada da unidade de disquetes recomendada isso dificultar bastante as coisas 365 19 15 3 Placas de rede com eprom de boot Evite a utiliza o de placas de rede com recursos de boot via EPROM no servidor um servidor dhcp bootp tftp poder ser configurado sem problemas por um cracker na rede
139. magic module usr lib apache 1 3 mod mime magic so LoadModule mime module usr lib apache 1 3 mod mime so 207 LoadModu LoadModu Lo Lo LoadModu LoadModu LoadModu LoadModu amp LoadModule asis module usr lib apache 1 3 mod asis so amp LoadModule imap module usr lib apache 1 3 mod imap so amp LoadModule action module usr lib apache 1 3 mod actions so amp LoadModule speling module usr lib apache 1 3 mod speling so userdir module usr lib apache 1 3 mod userdir so alias module usr lib apache 1 3 mod alias so rewrite module usr lib apache 1 3 mod rewrite so access module usr lib apache 1 3 mod access so auth module usr lib apache 1 3 mod auth so LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule anon auth module usr lib apache 1 dbm auth module usr lib apache 1 le negotiation module usr lib apache 1 3 mod negotiation le status module usr lib apache 1 3 mod status so adModule info module usr lib apache 1 3 mod info so adModule includes module usr lib apache 1 3 mod include so le autoindex module usr lib apache 1 3 mod autoindex so le dir module usr lib apache 1 3 mod dir so le php3 module usr lib apache 1 3 1ibphp3 so le cgi module usr lib apache 1 3 mod cgi so 1 3 mod auth anon so 3 mod auth dbm so db auth module usr lib apache 1 3 mod auth db so proxy module usr lib apache 1 3 Libproxy
140. no write list users gleydson Neste o mesmo compartilhamento teste teste foi definido como acesso de leitura para todos writable no mas os usu rios do grupo users e o usu rio gleydson ser o os nicos que ter o tamb m acesso a grava o write list users gleydson Esta forma de restri o explicada melhor em Excess o de acesso na permiss o padr o de compartilhamento Se o 18 12 10 18 12 10 Excess o de acesso na permiss o padr o de compartilhamento poss vel alterar o n vel de acesso para determinados usu rios grupos em um compartilhamento para entender melhor Caso tenha criado um compartilhamento somente leitura e queira permitir que apenas alguns usu rios ou grupos tenham acesso a grava o isto poss vel e ser explicado nesta se o Este comportamento controlado por duas op es read list ewrite list Veja alguns exemplos temporario comment Diret rio tempor rio path tmp writable yes read list gleydson root browseable no available yes 320 Neste exemplo disponibilizamos o diret rio tmp path tmp como compartilhamento de nome temporario temporario seu acesso padr o leitura grava o para todos writable yes exceto para os usu rios root e gleydson read list root gleydson Em adi o tornamos o compartilhamento invis vel veja Criando um compartilhamento invis vel Se o 18 12 12 no Ambiente de Rede do Windows browsea
141. no servidor de CVS veja novo projeto Se o 17 3 6 OBS Voc dever ter permiss o de grava o para criar um novo projeto no servidor CVS 8 A partir de agora voc poder explorar as fun es do programa e fazer uso das fun es habituais do CVS Todas as fun es de opera o e op es extras do CVS est o dispon veis na interface gr fica basta se acostumar com sua utiliza o Ap s isto explore bastante as op es do programa Todas as funcionalidades do CVS est o organizadas entre os menus do programa Caso n o entenda bem as fun es do programa leia atentamente projetos para serem usados no CVS Se o 17 3 e tamb m n o deixe de consultar detalhes na info page do cvs 17 5 3 WinCVS Windows Este um cliente CVS em Python para Windows equivalente ao gcvs para Linux Suas funcionalidades e recomenda es s o id nticas aos do gcvs Este cliente pode ser baixado de e o Python para Windows de Para sua utiliza o as explica es emlgcvs Linux Se o 17 5 2 s o totalmente v lidas 269 17 5 4 MacCVS Macintosh PPC Id ntico ao gevs pode ser baixado de 17 5 5 viewcvs Este um visualizador de reposit rios CVS via web ele precisa apenas de um servidor web instalado com suporte a CGI Para instalar execute o comando apt get install viewcvs e siga os passos para configurar programa Para adequar melhor o viewcvs ao seu sistema edite o arquivo etc viewcvs viewcvs conf
142. o seguinte LogFormat formato nome Quando o formato n o especificado assume o valor padr o bh 1 u t r s Zb especifica o do nome permite que voc utilize o formato especificado em uma op o CustomLog ou outra diretiva LogFormat facilitando a especifica o do formato do log Os seguintes formatos s o v lidos b Bytes enviados excluindo cabe alhos HTTP zf Nome do arquivo FOOBARJe O conte do da vari vel de ambiente FOOBAR sh M quina cliente a Endere o IP da m quina cliente ZA Endere o IP local Muito til em virtual hostings Foobar i O conte do de Foobar linhas de cabe alho na requisi o enviada ao servidor 1 O nome de login remoto enviado pelo identd se fornecido 192 e Foobar n O conte do de FooBar de outro m dulo e S Foobarj o O conte do de Foobar linhas de cabe alho na resposta e p A porta do servidor servindo a requisi o e gt P A identifica o do processo filho que serviu a requisi o e r primeira linha da requisi o e gt s Status Para requisi es que foram redirecionadas internamente Este o status de uma requisi o original Use s para a ltima e gt t Hora no formato do arquivo de log formato ingl s padr o e S format t Hora no formato definido por str time e T O tempo necess rio para servir a requisi o em segundos e zu Usu rio remoto atrav s do auth pode
143. o da Debian GNU Linux Existem diversos vendedores agora que vendem sistemas com a Debian ou outra distribui o do GNU Linux pr instaladas Voc pode pagar mais para ter este privil gio mas compra um n vel de paz de mente desde ent o voc pode ter certeza que seu hardware bem compat vel com GNU Linux Praticamente todas as placas que possuem processadores pr prios funcionam sem nenhum problema no Linux algumas placas da Turtle Beach e mwave tem suporte de som limitado 39 Se voc tiver que comprar uma m quina com Windows instalado leia cuidadosamente a licen a que acompanha o Windows voc pode rejeitar a licen a e obter um desconto de seu vendedor Se n o estiver comprando um computador com GNU Linux instalado ou at mesmo um computador usado importante verificar se os hardwares existentes s o suportados pelo kernel do GNU Linux Verifique se seu hardware listado no Hardware Compatibility HOWTO na documenta o do c digo fonte do kernel no diret rio Documentat ion sound ou consulte um t cnico de GNU Linux experiente Deixe seu vendedor se conhecer saber que o que est comprando para um sistema GNU Linux Desta forma isto servir de experi ncia para que ele poder recomendar o mesmo dispositivo a outras pessoas que procuram bons dispositivos para sistemas GNU Linux Ap ie vendedores de hardwares amigos do GNU Linux 3 11 Configura es de Dispositivos As se es abaixo explicam como fazer con
144. o e treinamento tanto do administrador como dos usu rios das contas para n o expor o sistema a um ataque direto Este cap tulo do guia explicar as situa es mais comuns e alguns exemplos de como tais ataques acontecem ATEN O Os dados aqui disponibilizados s o puramente para fins did ticos e compreens o de como tais situa es funcionam para se criar mecanismos de defesa personalizados de acordo com o que deseja proteger 11 2 Cria o monitoramento e seguran a de contas Para adicionar uma conta de usu rio ao sistema simples basta um comando adduser usu rio e alguns poucos segundos para responder as quest es do programa Quando criamos contas para outros usu rios temos 2 alternativas deixarmos a senha em branco ou escolher uma senha que ser passada ao usu rio para que ele possa fazer a troca mais tarde A primeira alternativa muito perigosa pois uma pessoa com acesso a etc passwd poder facilmente descobrir sua lista de usu rios principalmente em uma grande empresa quando conhecemos as pol ticas de cria o de novas contas Um funcion rio notaria a presen a do novato e poderia aproveitar esta oportunidade para tentar incriminar este usando a conta rec m criada ou tentar outras coisas para obter benef cio pr prio atrav s do descuido de outros O segundo m todo de senha inicial um pouco mais seguro e de prefer ncia a senha deve ser escolhida pelo usu rio para que pessoas que conhecem o estilo de
145. o limitada pelas restri es de acesso do sistema de arquivos e execu o Frequentemente s o criados exploits que tentam se aproveitar de falhas existentes em sistemas desatualizados e usa las para danificar o sistema Erroneamente este tipo de ataque classificado como v rus por pessoas mal informadas e s o resolvidas com sistemas bem mantidos Em geral usando uma boa distribui o que tenha um bom sistema de atualiza o resolve em 99 9 os problemas com exploits Qualquer programa nocivo ou n o poder alterar partes do sistema que possui permiss es ser abordado como alterar permiss es e tornar seu sistema mais restrito no decorrer do guia Rede TCP IP mais r pida que no Windows e tem sua pilha constantemente melhorada O GNU Linux tem suporte nativo a redes TCP IP e n o depende de uma camada intermedi ria como o WinSock Em acessos via modem a Internet a velocidade de transmiss o 10 maior Jogadores do Quake ou qualquer outro tipo de jogo via Internet preferem o GNU Linux por causa da maior velocidade do Jogo em rede f cil rodar um servidor Quake em seu computador e assim jogar contra v rios advers rios via Internet Roda aplica es DOS atrav s do DOSEMU QEMU BOCHS Para se ter uma id ia poss vel dar o boot em um sistema DOS qualquer dentro dele e ao mesmo tempo usar a multitarefa deste sistema Roda aplica es Windows atrav s do WINE Suporte a dispositivos infravermelho Suporte a rede via r dio
146. o nome do servi o sshd Mesmo operando como daemon o servidor utiliza estes arquivos para fazer um controle de acesso adicional 15 3 2 Controle de acesso definido pelas op es ListenAddress AllowUsers DenyUsers AllowGroups DenyGroups PermitRootLogin do arquivo de configura o sshd config vejalExemplo de ssha config com explica es das diretivas Se o 15 3 8 e via tcpd arquivos hosts allow e hosts deny VejalO 237 mecanismo de controle de acessos tcpd Se o 4 8 3 15 3 3 Usando autentica o RSA DSA chave p blica privada Este m todo de autentica o utiliza o par de chaves p blica que ser distribu do nas m quinas que voc conecta e outra privada que ficar em seu diret rio pessoal para autentica o A encripta o e decripta o s o feitas usando chaves separadas e n o poss vel conseguir a chave de decripta o usando a chave de encripta o poss vel inclusive gerar uma chave sem senha para efetuar o logon em um sistema ou execu o de comandos remotos este esquema um pouco mais seguro que os arquivos rhosts shosts Siga os seguintes passos para se autenticar usando RSA 1 usada na vers o 1 do ssh 1 Gere um par de chaves p blica privada usando o comando ssh keygen Um par de chaves RSA vers o 1 ser gerado com o tamanho de 1024 bits por padr o garantindo uma boa seguran a performance e salvas no diret rio ssh com o nome identity e ident
147. o perfil do usu rio valendo para qualquer m quina que ele se autentique na rede veja Criando Scripts de logon Se o 18 7 7 Se voc deseja iniciar logo a configura o do seu dom nio siga at Configurando um servidor PDC no SAMBA Se o 18 7 4 18 7 2 Local Master Browser a m quina que ganhou a elei o no segmento local de rede veja N veis de sistema para elei o de rede Se o 18 2 12 Logo que declarada o local master browser ela come a a receber via broadcasting a lista de recursos compartilhados por cada m quina para montar a lista principal que ser retornada para outras m quinas do grupo de trabalho ou outras subredes que solicite os recursos compartilhados por aquele grupo Uma nova elei o feita a cada 36 minutos ou quando a m quina escolhida desligada 298 18 7 3 Domain Master Browser Quando o local master browse eleito no segmento de rede uma consulta feita ao servidor WINS para saber quem o Domain Master Browse da rede para enviar a lista de compartilhamentos A m quina escolhida como Local Master Browse envia pacotes para a porta UDP 138 do Domain Master e este responde pedindo a lista de todos os nomes de m quinas que o local master conhece e tamb m o registra como local master para aquele segmento de rede Caso tenha configurado sua m quina para ser o domain master browser da rede tamb m chamado de controlador principal de dom nio ou PDC ela tentar se torn
148. o uso de cache nas chamadas getwd getwd cache permite aumentar a seguran a e tem um impacto percept vel na performance dos dados A desativa o da op o global nt smb support tamb m melhora a performance de acesso dos compartilhamentos Esta uma op o til para detectar problemas de negocia o de protocolo e por padr o ela ativada Caso utiliza um valor de depura o de log muito alto debug level o sistema ficar mais lento pois o servidor sincroniza o arquivo ap s cada opera o Em uso excessivo do servidor de arquivos isso apresenta uma degrada o percept vel de performance A op o prediction permite que o SAMBA fa a uma leitura adiante no arquivo abertos como somente leitura enquanto aguarda por pr ximos comandos Esta op o associada com bons valores de write cache size pode fazer alguma diferen a Note que o valor de leitura nunca ultrapassa o valor de H read size 325 A op o read size permite obter um sincronismo fino entre a leitura e grava o do disco com o envio recebimento de dados da rede O valor dependente da instala o local levando em considera o a velocidade de disco r gido rede etc O valor padr o 16384 Em casos onde um NFS montado ou at mesmo leitura em discos locais compartilhada o par metro strict locking definido para yes pode fazer alguma diferen a de performance Note que nem todos os sistemas ganham performance com o uso desta op o e n o de
149. op o P porta dever ser especificada P mai scula mesmo pois a p usada para preservar permiss es data horas dos arquivos transferidos Exemplos Para copiar um arquivo local chamado pub teste script sh para meu diret rio pessoal em ftp sshserver org scp C pub teste script sh gleydsonfftp sshserver org Para fazer a opera o inversa a acima copiando do servidor remoto para o local s inverter os par metros origem destino scp C gleydsonfftp sshserver org script sh pub teste Para copiar o arquivo local chamado pub teste script sh para o diret rio scripts dentro do meu diret rio pessoal em ftp sshserver org com o nome teste sh scp C pub teste script sh gleydsonfftp sshserver org scripts teste sh O exemplo abaixo faz a transfer ncia de arquivos entre 2 computadores remotos O arquivo teste sh lido do servidor serverl ssh org e copiado para server2 ssh org ambos usando o login gleydson scp C gleydsonfserverl ssh org teste sh gleydsonfserver2 ssh org 236 15 2 2 1 Cliente scp para Windows O pscp faz a tarefa equivalente ao scp no windows e pode ser baixado de http www chiark greenend org uk sgtatham putty 15 2 3 sftp Permite realizar transfer ncia de arquivos seguras atrav s do protocolo ssh A conex o e transfer ncias s o realizadas atrav s da porta 22 ainda n o poss vel modificar a porta padr o A sintaxe para uso deste comando a seguinte sftp
150. os arquivos htaccess nos diret rios podem ser substitu das Pode tamb m conter All ou qualquer combina o de Options 4 FileInfo AuthConfig e Limit AllowOverride None Controla quem pode obter materiais deste servidor Leia a se o adequada no 4 guia para mais explica es sobre a ordem de acesso padr es e valores permitidos order allow deny allow from all lt Directory gt 4 O diret rio usr lib cgi bin deve ser modificado para o diret rio que 4 possuem seus scripts CGI caso tenha configurado o suporte a CGI s no servidor lt Directory usr lib cgi bin gt AllowOverride None Options ExecCGI order allow deny Allow from all lt Directory gt Permite ver relat rios de status e funcionamento do servidor web e processos filhos atrav s da URL http servidor server status isto requer o m dulo status module mod status c carregado no arquivo httpd conf f lt Location server status gt SetHandler server status Order deny allow Deny from all Allow from meudominio org lt Location gt Permite relat rio de configura o remota do servidor atrav s da URL http servername server info Isto requer o m dulo info module mod info c carregado no arquivo httpd conf lt Location server info gt SetHandler server info order deny allow Deny from all Allow from meudominio org lt Location gt 3E 3k e Sk de JE d a dE a dE ae Visualiza o
151. os valores em allow hosts e deny hosts para checagem Por exemplo para verificar o acesso vindo do IP 192 168 1 50 testparm etc samba smb conf 192 168 1 50 Load smb config files from etc samba smb conf Processing section homes Processing section printers Processing section tmp Processing section cdrom Loaded services file OK Allow connection from etc samba smb conf focalinux to homes Allow connection from etc samba smb conf focalinux to printers Allow connection from etc samba smb conf focalinux to tmp Allow connection from etc samba smb conf focalinux to cdrom 18 12 3 Restringindo o acesso por interface de rede Esta restri o de acesso permite que fa amos o SAMBA responder requisi es somente para a interfaces indicadas O m todo de seguran a descrito em Restringindo o acesso por IP rede Se o 18 12 2 ser o analisadas logo ap s esta checagem Para restringir o servi o SAMBA a interfaces primeiro ser necess rio ativar o par metro bind interfaces only usando 1 yes Ou true o padr o desativado Depois definir que interfaces ser o servidas pelo samba com o par metro interfaces Os seguintes formatos de interfaces s o permitidos e eth0 sl0 plip0 etc Um nome de interface local permitido o uso de para fazer o SAMBA monitorar todas as interfaces que iniciam com aquele nome por exemplo eth e 192 168 1 1 192 168 1 2 etc Um endere o IP de interface local e 19
152. ou destino esteja presente no par metro Este m dulo pode eliminar muitas regras de firewall que fazem o mesmo tratamento de pacotes para diversas portas diferentes iptables A INPUT p tcp i ppp0 m multiport destination port 21 23 25 80 110 113 6667 j DROP Bloqueia todos os pacotes vindo de pppO para as portas 21 ftp 23 telnet 25 smtp 80 www 110 pop3 113 ident 6667 irc 10 6 7 Especificando o endere o MAC da interface O m dulo mac serve para conferir com o endere o Ethernet dos pacotes de origem Somente faz sentido se usado nos chains de PREROUTING da tabela nat ou INPUT da tabela filter Aceita como argumento a op o mac source endere o O s mbolo pode ser usado para especificar uma exce o iptables t filter A INPUT m mac mac source 00 80 AD B2 60 0B j DROP Confere com a m quina com endere o ethernet igual a 00 80 AD B2 60 0B 141 10 6 8 Conferindo com quem criou o pacote Este m dulo confere com o usu rio que iniciou a conex o somente v lido no chain OUTPUT da tabela filter Os seguintes argumentos s o v lidas para este m dulo e uid owner UID Confere se o pacote foi criado por um processo com o UID especificado At o momento somente UID num ricos s o aceitos e gid owner GID Confere se o pacote foi criado por um usu rio pertencente ao grupo GID At o momento somente GID num ricos s o aceitos e pid owner PID Confere se o pacote f
153. outros sites tem adotado a conven o de usar O endere o de rede como o endere o broadcast Na pr tica n o importa muito se usar este endere o mas voc deve ter certeza que todo computador na rede esteja configurado para escutar o mesmo endere o broadcast 4 3 1 Classes de Rede IP Por raz es administrativas ap s algum pouco tempo no desenvolvimento do protocolo IP alguns grupos arbitr rios de endere os foram formados em redes e estas redes foram agrupadas no que foram chamadas de classes Estas classes armazenam um tamanho padr o de redes que podem ser usadas As faixas alocadas s o Classe M scara de Endere o da Rede Rede A 255 000 0 0 0 0 27 DDD LD DID B 25525500 12 8 0040 5 0 197 255 2594255 M2552552 90 19200000 a2 2320205299 Multicast 240 0 0 0 224000 0239 255 25502455 O tipo de endere o que voc deve utilizar depende exatamente do que estiver fazendo 4 3 2 Refer ncia r pida de m scara de redes A tabela abaixo faz refer ncia as m scaras de rede mais comuns e a quantidade de m quinas m ximas que ela atinge Note que a especifica o da m scara tem influ ncia direta na classe de rede usada 55 M scara M scara N mero Forma Forma M ximo de octal 32 bits M quinas Classe A 8 255 0 0 0 Tertii pat Classe B 16 255 255 0 0 65 530 17 J255 255a 12850 32 767 18 255 255 192 0 16 383 19 255 255 224 0 8 191 20 255 255 240 0 4 095
154. p gina armazenada nele Por exemplo lt Directory var www gt Order deny allow deny from all allow from 10 1 0 1 lt Directory gt 170 O acesso ao diret rio var www ser permitido somente ao computador com o endere o IP Orr 0 di DirectoryMatch Funciona como a diretiva lt Directory gt mas trabalha com express es regulares como argumento Por exemplo lt DirectoryMatch www gt Order deny allow deny from all lt DirectoryMatch gt Bloquear o acesso ao diret rio www e sub diret rios dentro dele Files As restri es afetar o os arquivos do disco que conferem com o especificado poss vel usar os coringas e como no shell Tamb m podem ser usadas express es regulares especificando um ap s Files e antes da express o Por exemplo lt Files txt gt Order deny allow deny from all lt Files gt Bloqueia o acesso a todos os arquivos com a extens o txt lt Files gif jpe glbmp png S gt Order deny allow lt Files gt Bloqueia o acesso a arquivos gif jpg jpeg bmp png note que o ativa o modo de interpreta o de express es regulares FilesMatch Permite usar express es regulares na especifica o de arquivos equivalente a diretiva lt Files express o gt Por exemplo lt FilesMatch NY gif jpe glbmp png S gt Order deny allow lt FilesMatch gt Bloqueia o acesso a arquivos gif jpg jpeg bmp png Location As restri es afetar o o di
155. pacotes em redes distribu das porque somente os dados destinados a m quina onde o sniffer est instalado poder o ser capturados 20 3 Alternativas seguras a servi os sem criptografia 20 3 1 http O uso de alternativas seguras indispens vel em servidores que servem p ginas de com rcio eletr nico banco de dados sistemas banc rios administra o via web ou que tenham dados que oferecem risco se capturados 368 Existem duas alternativas instalar o servidor Apache ssl pacote apache ss1 ou adicionar o m dulo mod ss1 na instala o padr o do Apache Esta segunda a preferida por ser mais r pida e simples de se administrar por usar o servidor Web Apache padr o e sua configura o Veja SSL Se o 12 13 para detalhes de como configurar um servidor Web para transmiss o de dados criptografados 20 3 2 Transmiss o segura de e mails A codifica o padr o usada para o envio de mensagens em muitos clientes de e mail o MIME base64 Isto n o oferece muita seguran a porque os dados podem ser facilmente descriptografados se pegos por sniffers veja Sniffer Se o 20 2 ou abertos por administradores n o confi veis no diret rio de spool do servidor Existem uma diversidade de servidores SMTP POP IMAP do Linux que j implementam o protocolo de autentica o SSL TLS exigindo login senha para o envio recep o de mensagens cabe alhos de autentica o aumentando um pouco mais a confian a sobre quem enviou a m
156. para Linux e Windows 14 4 Fazendo conex es ao servidor telnet Use o comando telnet endere o porta para realizar conex es com uma m quina rodando o servidor telnet Adicionalmente as seguintes op es podem ser usadas e 1 usuario Envia o nome de usu rio ao computador remoto Muito til com o telnet ss1 e F Desativa o caracter de escape e a Tenta fazer o login autom tico usando o nome de usu rio local Se o login falhar ser solicitado o nome de usu rio Esta op o usada por padr o com o cliente telnet ss1 229 e r Emula o comportamento do programa rlogin Exemplos Conecta se ao servidor telnet rodando na porta 23 de sua pr pria m quina telnet localhost Conecta se ao servidor telnet 200 200 200 200 operando na porta 53454 usando o nome de usu rio john telnet 1 john 200 200 200 200 53454 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Servidor ssh Guia Foca GNU Linux Cap tulo 15 Servidor ssh Este cap tulo documenta a instala o configura o e personaliza o do servidor de shell seguro sshd al m de explicar as vantagens da utiliza o dos servi os criptogr ficos A utiliza o do programa cliente ssh tamb m explicada al m de utilit rios usados para gera o de chaves p blica privada para 0 ssh autentica o RSA DAS o que vantagens c pia de arquivos
157. para o envio de corre es sugest es em http www apache org bug report html1 Uma lista de anuncio sobre o Apache est dispon vel em apache announcefapache org que divulgam corre es novas vers es e realiza o de eventos Mais detalhes sobre o desenvolvimento do Apache podem ser visualizadas na URL http dev apache org 12 1 4 Caracter sticas do Apache Abaixo est o algumas caracter sticas que fazem esse servidor web o preferido entre os administradores de sistemas Possui suporte a scripts cgi usando linguagens como Perl PHP Shell Script ASP etc Suporte a autoriza o de acesso podendo ser especificadas restri es de acesso separadamente para cada endere o arquivo diret rio acessado no servidor Autentica o requerendo um nome de usu rio e senha v lidos para acesso a alguma p gina sub diret rio arquivo suportando criptografia via Crypto e MD5 Negocia o de conte do permitindo a exibi o da p gina Web no idioma requisitado pelo Cliente Navegador Suporte a tipos mime Personaliza o de logs Mensagens de erro Suporte a virtual hosting poss vel servir 2 ou mais p ginas com endere os portas diferentes atrav s do mesmo processo ou usar mais de um processo para controlar mais de um endere o Suporte a IP virtual hosting Suporte a name virtual hosting Suporte a servidor Proxy ftp e http com limite de acesso caching todas flexivelmente configur veis Suporte a proxy e r
158. permitem adicionar remover caracter sticas do Apache sem necessidade de recompilar todo o servidor web assim interrompendo o servi o para a atualiza o dos arquivos M dulos de programas terceiros tamb m podem ser compilados e adicionado sem problemas atrav s deste recurso Os m dulos s o carregados para a mem ria no momento que o apache iniciado atrav s da diretiva LoadModule no arquivo de configura o Dessa forma toda vez que um novo m dulo for adicionado removido ou alterado ser necess rio reiniciar o servidor apache A sintaxe da linha para carregar m dulos so a seguinte LoadModule nome do modulo caminho do arquivo so nome do modulo Especifica o nome do m dulo n o deve conter espa os caminho do arquivo so Define a localiza o do arquivo que cont m o m dulo especificado Por padr o os m dulos est o localizados em usr lib apache vers o A posi o em que os m dulos aparecem podem ter influ ncia em seu funcionamento alguns requerem que sejam especificados antes de outros m dulos para funcionarem corretamente como o m dulo php3 module que deve ser carregado antes de qualquer m dulo de controle de CGl s Leia a documenta o espec fica sobe o m dulo em caso de d vidas os m dulos que acompanham o Apache s o documentados em detalhes no manual do Apache Para usar uma caracter stica diretiva op o do Apache que dependa de um certo m dulo obviamente voc dever carregar o m
159. policiamento modificado O chain deve ser especificado ACCEPT DROP ACCEPT aceita os pacotes caso nenhuma regra do chain conferir usado em regras permissivas DROP rejeita os pacotes caso nenhuma regra do chain conferir usado em regras restritivas O policiamento padr o de um chain mostrado com o comando iptables L iptables L INPUT Chain INPUT policy ACCEPT target prot opt source destination DROP icmp anywhere localhost No exemplo acima o policiamento padr o de INPUT ACCEPT policy ACCEPT o que significa que qualquer pacote que n o seja rejeitado pela regra do chain ser aceito Para alterar o policiamento padr o deste chain usamos o comando iptables t filter P INPUT DROP NOTA Os policiamentos PERMISSIVOS ACCEPT normalmente s o usados em conjunto com regras restritivas no chain correspondentes tudo bloqueado e o que sobrar liberado e policiamentos RESTRITIVOS DROP s o usados em conjunto com regras permissivas no chain correspondente tudo liberado e o que sobrar bloqueado pelo policiamento padr o 10 3 Outras op es do iptables 10 3 1 Especificando um endere o de origem destino As op es s ou src source e d ou dst destination servem para especificar endere os de origem e destino respectivamente permitido usar um endere o IP completo como 192 168 1 1 um hostname debian um endere o fqdn www debian org ou um par rede m scara como 200 200 200 0
160. por linha 3 Agora utilize o ssh para entrar no sistema remoto usando o m todo de chave p blica privada Entre com a senha que usou para gerar o par de chaves p blico privado ele entrar diretamente caso n o tenha digitado uma senha OBS Dever ser levado em considera o a possibilidade de acesso f sico ao seu diret rio pessoal qualquer um que tenha posse de sua chave privada poder ter acesso ao sistema remoto O tipo de chave criada por padr o a rsa1 compat vel com as vers es 1 e 2 do ssh A op o t chave poder ser usada ao gerar a chave para selecionar o m todo de criptografia e rsal Cria uma chave rsa compat vel com a vers o 1 e 2 do ssh esta a padr o e rsa Cria uma chave rsa compat vel somente com a vers o 2 do ssh e dsa Cria uma chave dsa compat vel somente com a vers o 2 do ssh Para trocar a senha utilize o comando ssh keygen p t tipo chave f ssh identity ser pedida sua senha antiga e a nova senha no mesmo estilo do passwd Opcionalmente voc pode utilizar a sintaxe ssn keygen p f ssh identity P senha antiga N senha nova que troca a senha em um nico comando til para ser usado em scripts junto com a op o q para evitar a exibi o de mensagens de sa da do ssh keygen 15 3 4 Execu o de comandos espec ficos usando chaves Com o uso de chaves tamb m poss vel o uso do ssh para execu o de comandos espec ficos em m quinas remotas isto poss vel
161. printers This file is in the public domain This file has been automatically adapted to your system wild guess native control codes start with ESC 0 1033 cat PostScript O filter usr bin gs q dSAFER dNOPAUSE r120x72 sDEVICE epson sOutputFile c quit O N004 filter usr bin gs q dSAFER dNOPAUSE r120x72 sDEVICE epson sOutputFile c quit PDF 0 PDF fpipe usr bin gs q dSAFER dNOPAUSE r120x72 sDEVICE epson sOutputFile SFILE c quit TeX DVI 0 367 002 fpipe usr bin dvips X 120 Y 72 R q f compress d data 0 037 235 pipe bin gzip cdq packed gzipped frozen and SCO LZH data 0 037 036 pipe bin gzip cdq 0 037 213 pipe bin gzip cdq 0 037 236 pipe bin gzip cdq 0 037 240 pipe bin gzip cdq 106 0 Bzh pipe usr bin bzip2 cdq troff documents 0 N2121040 fpipe usr bin grog Tps SFILE Do e ANA fpipe usr bin grog Tps SFILE O LNNT fpipe usr bin grog Tps FILE Bota fpipe usr bin grog Tps SFILE o MR fpipe usr bin grog Tps SFILE Voc deve ter notado que para cada tipo de arquivo existe o respectivo programa que executado basta voc modificar as op es usadas nos programas neste arquivo como faria na linha de comando para afetar o comportamento da impress o Por exemplo modificando a resolu o para r240x72 no processamento de arquivos Pos Script gs a impressora passar a usar esta resolu o 9 6 Impress o remota Aqui ser
162. prio kernel sendo uma das alternativas de controle prioriza o de tr fego das mais simples e r pidas Uma das vantagens da utiliza o do tipo de servi o dar prioridade ao tr fego de pacotes interativos como os do ICQ IRC servidores de chat etc Com o TOS especificado mesmo que esteja fazendo um download consumindo toda a banda de sua interface de rede o tr fego com prioridade interativa ser enviado antes aumentando a efici ncia do uso de servi os em sua m quina Em testes realizados em minha conex o de 56K o uso de regras TOS aumentou bastante o desempenho em tr fego interativo em torno de 300 durante o uso total da banda da interface ppp em grande consumo de banda Usamos o alvo TOS j TOS para especificar a modifica o do tipo de servi o nos pacotes que atravessam as regras do firewall acompanhada do argumento set tos TOS que define a nova prioridade dos pacotes Os valores aceitos s o os seguintes Espera M nima especificado atrav s de Minimize Delay 16 ou 0x10 M ximo Processamento especificado atrav s de Maximize Throughput 8 ou 0x08 M xima Confian a especificado atrav s de Maximize Reliability 4 ou 0x04 Custo m nimo Especificado atrav s de Minimize Cost 2 ou 0x02 Prioridade Normal Especificado atrav s de Normal Service O ou 0x00 Os pacotes vem por padr o com o valor TOS ajustado como prioridade normal bits tos ajustados para 0x00 O tipo M nima Espera o de
163. prioridade no processamento Que m quinas redes NUNCA dever o ter acesso a certas todas m quinas O volume de tr fego que o servidor manipular Atrav s disso voc pode ter que balancear o tr fego entre outras m quinas configurar prote es contra DoS syn flood etc O que tem permiss o de passar de uma rede para outra em m quinas que atuam como roteadores gateways de uma rede interna e Etc A an lise destes pontos pode determinar a complexidade do firewall custos de implementa o prazo de desenvolvimento e tempo de maturidade do c digo para implementa o Existem muitos outros pontos que podem entrar na quest o de desenvolvimento de um sistema de firewall eles dependem do tipo de firewall que est desenvolvendo e das pol ticas de seguran a de sua rede 10 1 12 O que s o regras As regras s o como comandos passados ao iptables para que ele realize uma determinada a o como bloquear ou deixar passar um pacote de acordo com o endere o porta de origem destino interface de origem destino etc As regras s o armazenadas dentro dos chains e processadas na ordem que s o inseridas As regras s o armazenadas no kernel o que significa que quando o computador for reiniciado tudo o que fez ser perdido Por este motivo elas dever o ser gravadas em um arquivo para serem carregadas a cada inicializa o Um exemplo de regra iptables A INPUT s 123 123 123 1 j DROP 10 1 13 O que s o chains Os Chains s
164. que seja feita a entrada no dom nio usando a conta do administrador de dom nio no SAMBA Este o m todo recomend vel de coloca o de m quinas no dom nio por ser mais pr tica ao inv s do m todo manual Note que normalmente isto funciona para o WinXP e Win2000 mas n o funciona em redes com o NT4 devendo ser criadas contas de m quinas usando o m todo manual Para fazer a configura o autom tica coloque a seguinte linha no arquivo smb conf na se o global o add user script useradd g domainmac c Maquina de Dominio s pin false d dev null u Assim a conta de m quina ser automaticamente criada quando o administrador fizer sua configura o no dom nio veja Criando uma conta de administrador de dom nio Se o 18 7 6 No SAMBA 3 0 a op o add machine script dever ser usada no lugar de add user script para adicionar uma m quina no dom nio 301 18 7 6 Criando uma conta de administrador de dom nio A conta de administrador do dom nio a conta que tem permiss es para realizar opera es de manuten o e administra o de m quinas que comp em o dom nio de rede Com ela poss vel entre outras coisas adicionar e remover m quina que comp em o dom nio Para especificar que contas de usu rios do arquivo etc samba smbpasswd que ter o poderes administrativos utilize a op o domain admin group OU admin users na se o global do arquivo etc samba smb conf O par metro admin us
165. recursos do sistema Tamb m s o descritos m todos para aumentar a seguran a do acesso f sico a seu servidor e maneiras de restringir o uso de servi os dispon veis no sistema Se voc deseja restringir o acesso de m quinas na rede ou portas espec ficas em sua m quina veja tamb m Firewall iptables Cap tulo 10 19 1 Limitando recursos no bash 19 1 1 Uso do comando readonly para exportar vari veis Vari veis exportadas na forma comum podem ser modificadas a qualquer momento pelo usu rio e isso pode trazer problemas de acordo com o tipo de sistema que administramos A defini o da vari vel como somente leitura readonly evita a maioria destes problemas readonly TESTE 123 A vari vel TESTE n o poder ser modificada ou exclu da Com isto o administrador pode bloquear a modifica o de vari veis que controlam o funcionamento de determinados recursos do interpretador de comandos alguns deles ser o vistos ainda nesta se o OBS1 Algumas vari veis de controle de ambientes ambiente do interpretador de comandos j s o iniciadas com valores somente leitura como as vari veis EUID e PPID OBS2 Vari veis exportadas como somente leitura em shell scripts s o mantidas at a finaliza o do script e depois liberadas 19 1 2 Restri es nos diret rios de usu rios e root O controle de acesso a diret rios de usu rios importante quando desejamos que outras pessoas n o tenham acesso ao diret
166. rio de outros usu rios violando a privacidade do mesmo e obtendo acesso a partes indesej veis principalmente do usu rio root recomendado restringir o acesso somente ao dono grupo do usu rio bloqueando o acesso a outros tipos de usu rios chmod 2750 root chmod 2750 home usuario O exemplo acima permitir o acesso do diret rio root e home usuario somente ao usu rio e grupo que pertencem Este processo pode ser facilitado na cria o dos diret rios de usu rios em home especificando a vari vel DIR MODE 0750 no arquivo etc adduser conf OBS Algumas distribui es de Linux garantem o acesso livre a diret rios de usu rios por padr o pois alguns daemons que requerem acesso a diret rio de usu rios rodam sob outros usu rios ao inv s do root Um bom exemplo a utiliza o do recurso UserDir do Apache para servir requisi es como http servidor org usuario 342 A restri o de diret rio home neste caso bloquear o acesso do servidor web Apache ao diret rio home usuario public html Mesmo assim uma alternativa para garantir a utiliza o da restri o incluir o usu rio do servidor web Apache www data no grupo usuario que possui acesso ao diret rio home usuario adduser www data usuario Isto garantir que o servidor Apache continue servindo as requisi es dentro do diret rio home usuario com acesso garantido via grupo O mesmo principio pode ser aplicado em outros programas apena
167. rio na parti o mesmo n o sendo monitorado pelas restri es de quota isto ajuda a monitorar a es suspeitas com a exced ncia de espa o em disco de determinados usu rios grupos do sistema Um exemplo algu m que esteja fora da quota e abusando de seu usu rio grupo para uso excessivo de espa o em disco sem seu conhecimento 363 OBS Este utilit rio pode ser executado por qualquer usu rio no sistema e mostrar o uso de quotas de usu rios grupos que n o deveria ter acesso E recomendado deve ter permiss es de leitura grava o somente para o usu rio root e sem permiss es para grupo outros usu rios 19 12 6 Avisando usu rios sobre o estouro de quota Avisos sobre quota ultrapassada podem ser enviadas automaticamente a todos os usu rios pelo utilit rio warnquota Ele poder ser executado periodicamente atrav s do cron por padr o isto feito diariamente na distribui o Debian pelo script etc cron daily quota Dados adicionais sobre o envio das mensagens devem ser especificados no arquivo etc warnquota conf seu formato o seguinte Programa usado para enviar as mensagens MAIL CMD usr sbin sendmail t Campo de origem da mensagem FROM root flocalhost but they don t have to be SUBJEC Quota excedida CC TO rootflocalhost SUPPORT root flocalhost PHONE 5555 2525 O e mail enviado aos usu rios e usu rios que pertencem a grupos com a quota excedida com o segu
168. rio root pode se conectar ttyl tty2 tty3 tty4 4 8 3 O mecanismo de controle de acessos tcpd O programa tcpa que voc deve ter visto listado no mesmo arquivo etc inetd conf oferece mecanismos de registro e controle de acesso para os servi os que esta configurado para proteger Ele um tipo de firewall simples e f cil de configurar que pode evitar tipos indesejados de ataques e registrar poss veis tentativas de invas o Quando executado pelo programa inetd ele l dos arquivos contendo regras de acesso e permite ou bloqueia o acesso ao servidor protegendo adequadamente Ele procura nos arquivos de regras at que uma regra confira Se nenhuma regra conferir ent o ele assume que o acesso deve ser permitido a qualquer um Os arquivos que ele procura em sequ ncia s o etc hosts allowe etc hosts deny Eu descreverei cada um destes arquivos separadamente Para uma descri o completa desta facilidade voc deve verificar a p gina de manual apropriada hosts access 5 um bom ponto de partida 67 4 8 3 1 etc hosts allow O arquivo etc hosts allow um arquivo de configura o do programa usr sbin tcpd O arquivo hosts allow cont m regras descrevendo que hosts tem permiss o de acessar um servi o em sua m quina O formato do arquivo muito simples etc hosts allow lista de servi os lista de hosts comando lista de servi os uma lista de nomes de servi os separados por v rgula que esta
169. rios a tamb m n o usar o arquivo rhosts 69 ATEN O O uso do sinal sozinho significa permitir acesso livre a qualquer pessoa de qualquer lugar Se este mecanismo for mesmo necess rio tenha muita aten o na especifica o de seus campos Evita tamb m A TODO CUSTO uso de nomes de usu rios a n o ser para negar o acesso pois f cil forjar o login entrar no sistema tomar conta de processos como por exemplo do servidor Apache rodando sob o usu rio www data ou at mesmo o root causando enormes estragos 4 8 3 4 Verificando a seguran a do TCPD e a sintaxe dos arquivos O utilit rio tcpdchk til para verificar problemas nos arquivos hosts allow hosts deny Quando executado ele verifica a sintaxe destes arquivos e relata problemas caso eles existam Outro utilit rio til o tcpdmat ch o que ele faz permitir que voc simule a tentativa de conex es ao seu sistema e observar ser ela ser permitida ou bloqueada pelos arquivos hosts allow e hosts deny importante mostrar na pr tica como o tcpdmat ch funciona atrav s de um exemplo simulando um teste simples em um sistema com a configura o padr o de acesso restrito e O arquivo hosts allow cont m as seguintes linhas ADE 1 27 05 0 1 in talkd in ntalkd ALL in fingerd 192 168 1 EXCEPT 192 168 1 30 A primeira linha permite o loopback 127 0 0 1 acessar qualquer servi o TCP UDP em nosso computador a segunda linha perm
170. s o uma resposta a uma conex o masquerading e far a regrava o dos pacotes substituindo o endere o de destino para 192 168 1 4 Caso uma opera o de Masquerading falhe os pacotes ser o Bloqueados 10 7 8 Conex o FTP de 200 198 129 162 para 200 217 29 167 Porta Origem 3716 Porta Destino 21 Protocolo TCP ENTRADA DOS PACOTES PREROUTING mangle Endere o de Origem 200 198 129 162 Endere o de Destino 200 217 29 67 Interface de Origem ppp0 Interface de Destino pppO Descri o Conex o ao servi o ftp do firewall requisi o vinda de 200 198 129 162 gt PREROUTING nat gt INPUT mangle gt INPUT filter t SA DA DE PACOTES respostas da requisi o de 200 198 129 1 OUTPUT mangle gt OUTPUT filter gt POSTROUTING mangle t 62 A requisi o ftp passa atrav s dos chains especificados em ENTRADA DOS PACOTES com o destino 200 217 29 67 nossa interface ppp0 local porta 21 e retorna por SAIDA DE PACOTES para 200 198 129 162 porta 3716 tamb m via ppp0 Ap s a conex o ser estabelecida o caminho de entrada de pacotes 150 Isto acontece porque ap s feita a an lise do chain PREROUTING para necessidade de DNAT a m quina j saber tomar a decis o apropriada para gerenciar aquela conex o 10 7 9 Gr fico geral da passagem dos pac
171. se o guest caso contr rio todos os diret rios de usu rios ser o lidos por todos VejajConsidera es de seguran a com o uso do par metro public yes Se o 18 12 14 para maiores detalhes 18 2 10 Se o printers Esta se o tem a fun o de disponibilizar as impressoras existentes no sistema lp Ip1 Ip2 etc existentes no etc printcap como compartilhamento de sistemas Windows O m todo que os nomes de impressoras s o pesquisados id ntico a forma feita para a se o homes Primeiro o nome do compartilhamento pesquisado como um nome de servi o depois se ele um nome de usu rio tentando mapear o servi o disponibilizado em homes depois ser verificado a se o printers 285 Ao inv s de usar este recurso se preferir voc poder compartilhar as impressoras individualmente Para detalhes veja Configurando o Linux como um servidor de impress o Windows Se o 18 11 1 OBS importante lembrar que a se o printers DEVE ser definida como printable usando o par metro printable yes para funcionar O utilit rio testparm poder ser usado para verificar problemas no arquivo cd configura o do SAMBA veja Buscando problemas na configura o Se o 18 2 11 18 2 11 Buscando problemas na configura o Durante o processo de configura o do SAMBA comum cometer erros de digita o usar par metros em lugares indevidos etc recomend vel o uso do testparm para checar a conf
172. senhas em branco usam senhas simples como o pr prio nome abcdef asdfg 123456 e outros tipos de senhas comuns para tentar obter acesso ao sistema Senhas deduzidas s o geralmente senhas muito simples e muito usadas Uma situa o comum para a escolha de uma senha deste tipo o medo de esquecer a senha quando n o se consegue pensar em algo mais dif cil e ao mesmo tempo que seja f cil de lembrar e quando o usu rio pego desprevenido e n o se sabe o que usar como senha como na assinatura de um provedor Internet muito comum essa situa o Geralmente muito r pido e muito eficaz dependendo das habilidades do atacante disp e 11 3 2 Engenharia Social Ataques por engenharia social s o feitos atrav s de pesquisa de dados pessoais e outras caracter sticas relacionadas ao usu rio time de futebol data de nascimento dele da esposa filhos nome da atriz predileta etc e usando estes dados coletados para auxiliar na descoberta da senha Este ataque requer uma pesquisa sobre os h bitos gostos etc Mas existem outros tipos de ataque baseados em engenharia social inclusive com o cracker passando se pelo usu rio Para diminuir as possibilidades deste tipo de ataque entenda e siga os procedimentos da parte Senhas Boas na adivinhar e escolha de boas senhas Se o 11 2 2Je continue lendo esta se o Outro detalhe importante para diminuir as possibilidades de um ataque deste tipo bem sucedido permitir somente o a
173. ser simplesmente ignorada Para acesso ao arquivo htaccess do diret rio var www focalinux O Apache buscar os arquivos htaccess na sequencia ntaccess var htaccess var www htaccess var www focalinux htaccess qualquer diretiva que n o exista no htaccess do diret rio var www focalinux ter seu valor definido pela diretiva dos arquivos htaccess dos diret rios anteriores Somente ap s esta sequencia de checagens o acesso ao documento permitido ou negado Por este motivo muitos administradores decidem desativar completamente o uso de arquivos htaccess no diret rio ra z e habilitar somente nos diret rios especificados pela diretiva lt Directory gt no arquivo de configura o do Apache evitando brechas de seguran a na manipula o destes arquivos esta uma boa id ia a n o ser que se dedique 24 horas somente na administra o do seu servidor Web e conhe a toda sua estrutura hier rquica de seguran a lt Directory gt AllowOverride none lt Directory gt lt Directory var www gt AllowOverride limit authconfig indexes lt Directory gt Na especifica o acima o arquivo htaccess ser procurado no diret rio var www e seus sub diret rios usando somente op es que controlam a autoriza o de acesso limit autentica o e op es authconfig e de indexa o de documentos indexes Alguns exemplos do uso do arquivo htaccess Para permitir o acesso direto de usu rios da rede
174. ser ativado ap s a inicializa o de qualquer sistema operacional O nico inconveniente a necessidade de se retirar a placa do computador para se ter acesso aos jumpers de configura o a n o ser que estejam manualmente acess veis Alguns hardwares configur veis atrav s de jumpers podem tamb m funcionar como Plug and Play atrav s de um ajuste da posi o dos jumpers para Plug and Play Normalmente as placas controladoras SIDE rede bons modelos de fax modens placas de som SCSI etc s o configuradas por jumpers e possuem um mapa de configura o gravado em seu circuito impresso que explica as posi es de como os jumpers devem ser posicionados para operar na configura o desejada Normalmente poss vel escolher uma entre v rios tipos de configura o mas recomendado optar por valores padr es para detalhes veja 8 3 1 DMA Acesso Direto a Mem ria Se o 3 3 2Je I O Porta de Entrada Sa da Se o 3 3 3 As disposi o dos jumpers s o normalmente definidas em fechado aberto e multi posi o Na disposi o fechado aberto o jumper pode ou n o ser colocado definindo a configura o do dispositivo Eoge ac Esta disposi o facilmente encontrada na sele o de IRQ e I O em placas de fax modem Na disposi o multi posi o os pinos de encaixe s o numerados de 1 a 3 ou 1 a 4 1 a 5 etc e os pinos podem ou n o ser colocados na placa e a posi o que s o colocados tamb m influencia os
175. servidor DNS mais difundido na Internet o bina Atrav s do DNS necess rio apenas decorar o endere o sem precisar se preocupar com o endere o IP alguns usu rios simplesmente n o sabem que isto existe Se desejar mais detalhes sobre DNS veja o documento DNS HOWTO 4 6 1 O que um nome Voc deve estar acostumado com o uso dos nomes de computadores na Internet mas pode n o entender como eles s o organizados Os nomes de dom nio na Internet s o uma estrutura hier rquica ou seja eles tem uma estrutura semelhante aos diret rios de seu sistema Um dom nio uma fam lia ou grupo de nomes Um dom nio pode ser colocado em um sub dom nio Um dom nio principal um dom nio que n o um sub dom nio Os dom nios principais s o especificados na RFC 920 Alguns exemplos de dom nios principais comuns s o COM Organiza es Comerciais EDU Organiza es Educacionais GOV Organiza es Governamentais IL Organiza es Militares ORG Outras Organiza es NET Organiza es relacionadas com a Internet Identificador do Pa s S o duas letras que representam um pa s em particular 60 Cada um dos dom nios principais tem sub dom nios Os dom nios principais baseados no nome do pa s s o frequentemente divididos em sub dom nios baseado nos dom nios com edu gov mile org Assim por exemplo voc pode finaliza lo com com au e gov au para organiza es comerciais e governamen
176. seu firewall para cria o de estat sticas que podem servir como base para a cria o de novas regras de firewall ou elimina o de outras OBS Se voc sente falta da fun o l do ipchains que combina o alvo e log na mesma regra voc pode criar um alvo como o seguinte iptables N log drop iptables A log drop j LOG iptables A log drop j DROP E usar log drop como alvo em suas regras Mesmo assim esta solu o limitada em rela o a I do ipchains porque O iptables n o inclui detalhes de qual chain bloqueou o pacote qual pacote foi bloqueado assim necess rio a especifica o da op o og prefix para as mensagens se tornarem mais compreens veis Esta limita o pode ser contornada utilizando um firewall feito em linguagem shell script desta forma voc ter um controle maior sobre o seu programa usando fun es e integra o com outros utilit rios 10 3 6 3 Especificando RETURN como alvo O alvo RETURN diz ao iptables interromper o processamento no chain atual e retornar o processamento ao chain anterior Ele til quando criamos um chain que faz um determinado tratamento de pacotes por exemplo bloquear conex es vindas da internet para portas baixas exceto para um endere o IP espec fico Como segue 131 iptables t filter A INPUT i ppp0 j internet iptables t filter j ACCEPT iptables t filter N internet iptables t filter A internet s www debian org p tcp dport 80 j RETURN
177. shell diret rio home nem senha para este usu rio Isto mant m o sistema mais seguro e n o interfere no funcionamento do SAMBA pois somente necess rio para fazer o mapeamento de UID GID de usu rios com as permiss es do sistema UNIX interessante padronizar os usu rios criados no dom nio para um mesmo grupo para pesquisa e outras coisas 2 Crie o usu rio joao no SAMBA smbpasswd a joao Ser solicitada a senha do usu rio 18 8 3 Removendo usu rios do smbpasswd Utilize o comando smbpasswd x usuario para remover um usu rio do arquivo smbpasswd Se desejar voc pode manter o usu rio no etc passwd ou remove lo com O userdel OBS Removendo um usu rio deste arquivo far que ele n o tenha mais acesso ao SAMBA Utilize o comando smbpasswd a teste 18 8 4 Desabilitando uma conta no smbpasswd Como administrador pode ser necess rio que precise desativar temporariamente uma conta de usu rio por alguma situa o qualquer m utiliza o de recursos d vida se a conta est sendo usada para que ele ligue reclamando de autentica o para ter aquela desejada conversa hehe etc Remover uma conta e novamente adiciona la ent o n o uma situa o muito pr tica Utilize ent o o seguinte comando para desativar uma conta de usu rio 308 smbpasswd d usuario Quando a conta de usu rio desativada uma flag D adicionada s op es do usu rio junto com as op es UX Veja Habilitando
178. suficiente Se nenhum documento tiver foto tamb m n o o bastante Se algu m pedir o documento na m o para verificar direitinho n o leve pro lado pessoal Deixe a pessoa verificar at estar satisfeita mas n o descuide do documento Isso s significa que ela leva muito a s rio a responsabilidade de assinar chaves 2 2 Entregar um papel com as informa es da chave Nome QUE OBRIGATORIAMENTE PRECISA SER O MESMO NOME CONSTANTE NOS DOCUMENTOS APRESENTADOS EM 2 1 e mail n mero da chave keyID fingerprint da chave assinatura digital da chave RECIPIENTE DO PAPEL Se voc achar que os documentos que te apresentaram n o s o prova suficiente talvez porque o nome n o bate com o da chave ou porque uma foto nos documentos n o est parecida com quem mostrou os documentos marque discretamente no papel porque voc N O deve assinar essa chave Se achar que o outro vai engrossar n o diga para ele que n o vai assinar a chave dele 3 Pronto Podem ir embora porque o resto dos passos deve ser feito com calma em casa Lembre se que voc n o vai estar efetuando nenhum julgamento moral a respeito de quem voc assinar a chave Voc s ir afirmar que a chave de sicrano realmente aquela mais nada 4 Para cada uma das chaves que voc marcou no papel que posso assinar 4 1 Pe a para o seu programa de criptografia mo
179. tamb m importante neste processo o etc services que faz o mapeamento das portas e nomes dos servi os Alguns programas servidores oferecem a op o de serem executados como daemons ou atrav s do inetd E recomend vel escolher inetd se o servi o n o for solicitado frequentemente como o caso de servidores ftp telnet talk etc 4 7 2 1 etc inetd conf O arquivo etc inetd conf um arquivo de configura o para o daemon servidor inetd Sua fun o dizer ao inetd o que fazer quando receber uma requisi o de conex o para um servi o em particular Para cada servi o que deseja aceitar conex es voc precisa dizer ao inetd qual daemon servidor executar e como executa lo Seu formato tamb m muito simples um arquivo texto com cada linha descrevendo um servi o que deseja oferecer Qualquer texto em uma linha seguindo uma ignorada e considerada um coment rio Cada linha cont m sete campos separados por qualquer n mero de espa os em branco tab 64 ou espa os O formato geral o seguinte servi o tipo soquete proto op es num usu rio caminho serv op es serv servi o o servi o relevante a este arquivo de configura o pego do arquivo etc services tipo soquete Este campo descreve o tipo do soquete que este item utilizar valores permitidos s o stream dgram raw rdm OU segpacket Isto um pouco t cnico de natureza mas como uma regra geral todos os servi os baseados em tcp
180. tanto utilizar o banco de dados de contas senhas do sistema como um banco de dados de autentica o do pr prio CVS e Permite utilizar diversos m todos de acesso ao servidor local pserver ext etc Cada um destes m todos ser descrito a seguir e Permite o acesso via ssh para usu rios que j possuam conta na m quina servidora Este m todo garante seguran a no envio da senha criptografada veja Sniffer Se o 20 2 para detalhes e Permite visualizar facilmente o que foi modificado entre duas vers es de um arquivo OBS O CVS possui algumas limita es e falhas uma delas que mais me faz falta um suporte a protocolo pserver via ssh que resolveria o problema de tr fego em texto plano e gerenciamento de grupos com permiss es diferenciadas 17 1 5 Ficha t cnica Pacote cvs Utilit rios e cvs Servidor ferramenta cliente e cvsbug Envia um bug sobre o CVS para a equipe de suporte e rcs210g Converte arquivos de log do formato usado pelo RCS para o cvs Utilizado na migra o desta ferramenta para o CVs e cvsconfig Usado pela Debian para ativar desativar o servidor pserver Pode tamb m ser usado O dpkg reconfigure cvs para desativar o servidor pserver e suas caracter sticas e cvs makerepos Script da Debian que l a lista de reposit rios de etc cvs pserver conf cria os reposit rios no local apropriado corrige as permiss es do diret rio e adiciona os reposit rios no servidor pserver e cvs pse
181. tem ou n o permiss o de acessar sua m quina fazer Masquerading NAT em sua rede etc voc precisar dos seguintes componentes compilados em seu kernel os m dulos experimentais fora ignorados intencionalmente Network Options Network packet filtering replaces ipchains Y m n Network packet filtering debugging Y m n e na Subse o ei IP Netfilter Configuration 114 Connection tracking required for masq NAT CONFIG IP NF CONNTRACK M n y 2 FTP protocol support CONFIG IP NF FTP M n 2 IRC protocol support CONFIG IP NF IRC M n 2 IP tables support required for filtering masq NAT CONFIG IP NF IPTABLES Y m n limit match support CONFIG IP NF MATCH LIMIT Y m n 2 MAC address match support CONFIG IP NF MATCH MAC M n y 2 netfilter MARK match support CONFIG IP NF MATCH MARK M n y Multiple port match support CONFIG IP NF MATCH MULTIPORT M n y TOS match support CONFIG IP NF MATCH TOS M n y 2 LENGTH match support CONFIG IP NF MATCH LENGTH M n y 2 TTL match support CONFIG IP NF TTL M n y tcpmss match support CONFIG IP NF MATCH TCPMSS M n y 2 Connection state match support CONFIG IP NF MATCH STATE M n 2 Packet filtering CONFIG IP NF FILTER M n y Hj REJECT target support CONFIG IP NF TARGET REJECT M n Full NAT CONFIG IP NF NAT M n 2 ASQUERADE target support CONFIG IP NF TARGE
182. tenha aplicado o patch bridge nf aparecer uma sub op o chamada net filter firewalling support que permitir que o firewall trabalhe com as interfaces f sicas ao inv s de somente atrav s da interface virtual criada pela bridge OBS O patch bridge nf viola a RFC de bridges Mesmo assim ela a nica op o em muitas aplica es principalmente quando se deseja controlar o tr fego que atravessam as interfaces Ap s isto instale o pacote bridge utils ele possui os utilit rios necess rios para ativar configurar e monitorar o funcionamento de sua bridge N o necess ria ativa o do ip forward para o funcionamento da bridge uma vez que ela funcionar como uma interface l gica que re ne interfaces de rede f sicas 5 2 2 Configura o da bridge Nos exemplos abaixo eu assumirei a utiliza o do nome de dispositivo bro para se referir a bridge no sistema Siga estes passos para configurar uma bridge em sistemas Debian e Primeiro desative os blocos no arquivo etc network interfaces que configuram as interfaces que ser o usadas na bridge por exemplo eth0 e eth1 Elas podem ser comentadas removidas ou voc poder comentar a linha auto eth0 e auto eth1 para que ele n o ative automaticamente estas interfaces com o i fup a executado durante a inicializa o Desta forma a inicializa o destas interfaces poder somente ser feita manualmente auto br0O iface br0 inet static address 192 168 1 2 network 192
183. tiver que fazer uma simples modifica o em uma interface de rede Uma boa configura o restritiva requer an lise sobre os impactos na rede 19 8 Desabilitando servi os n o usados no Inetd Desative todos os servi os que n o ser o utilizados no arquivo etc inetd conf isto diminui bastante as possibilidades de ataques em seu sistema Os nomes de servi os s o os par metros especificados na primeira coluna do arquivo etc inetd conf por exemplo talk ircd pop3 auth smtp Para desativar servi os neste arquivo ponha o s mbolo no inicio das linhas que deseja comentar e execute um killall HUP inetd Alternativamente o comando update inetda pode ser usado para facilitar esta tarefa update inetd disable finger talk time daytime update inetd disabl Este comando envia automaticamente o sinal de reinicio HUP ao inetd O servi o poder ser novamente ativado substituindo a op o disable por enable ou retirando o trecho f lt off gt no come o da linha do servi o do etc inetd conf 19 9 Evitando o uso de hosts equive rhosts O arquivo hosts equiv cont m uma lista de usu rios autorizados desautorizados que podem fazer uso dos servi os r sem fornecer uma senha como rsh rcp rexec etc veja etc hosts equiv e Vetc shosts equiv Se o 4 8 3 3 muito f cil falsificar um nome de usu rio para obter acesso aos privil gios de outro usu rio usando este recurso Os arquivos r
184. um n mero de expans es que podem ser inclu das alguns exemplos comuns s o h expande o endere o do computador que est conectado ou endere o se ele n o possuir um nome Y d o nome do daemon sendo chamado Se o computador tiver permiss o de acessar um servi o atrav s do etc hosts allow ent o o etc hosts deny n o ser consultado e o acesso ser permitido Como exemplo etc hosts allow Permite que qualquer um envi mails in smtpd ALL Permitir telnet e ftp somente para hosts locais e myhost athome org au in telnetd in ftpd LOCAL myhost athome org au Permitir finger para qualquer um mas manter um registro de quem in fingerd ALL finger h mail s finger from h root 68 Qualquer modifica o no arquivo etc hosts allow entrar em a o ap s reiniciar o daemon inetd Isto pode ser feito com o comando kill HUP pid do inetd o pid do inetd pode ser obtido com o comando ps ax grep inetd 4 8 3 2 etc hosts deny O arquivo etc hosts deny um arquivo de configura o das regras descrevendo quais computadores n o tem a permiss o de acessar um servi o em sua m quina Um modelo simples deste arquivo se parece com isto etc hosts deny Bloqueia o acesso de computadores com endere os suspeitos ALL PARANOID Bloqueia todos os computadores ALL ALL A entrada PARANOID realmente redundante porque a outra entrada nega tudo Qualquer uma destas linhas pode fazer
185. uma rede 2 Protocolo de Rede 4 3 Endere o IP e 4 3 1 Classes de Rede IP e 4 3 2 Refer ncia r pida de m scara de redes e 4 3 3 Para instalar uma m quina usando o Linux em uma rede existente e 4 3 4 Endere os reservados para uso em uma rede Privada terface de rede 4 1 A interface loopbac 4 2 Atribuindo um endere o de rede a uma interface ifconfig i oteamento 5 1 Configurando uma rota no Linux 6 Resolvedor de nomes DNS 7 E 4 4 A J E N E D 1 O que um nome gt A O N D gt Q lt O 77 Q D O O 5 gt Q a fot A O a a Q O 77 5 D D n o Cc A O Q D 5 O 3 D S 6 2 1 etc resolv con 6 2 2 etc host con 6 2 3 etc hosts 6 2 4 etc networks l ZA ER A ooooo DIE poe x D O e D 5 a O am 3 02 D D lt a O Q o D o O 3 D 62 7 Servi os de Rede 7 1 Servi os iniciados como Daemons de rede 7 2 Servi os iniciados atrav s do inetd O 4 7 2 1 etc inetd conf eguran a da Rede e controle de Acesso 8 1 etc ftpusers 8 2 etc securett O N NI zrl o o o O EN 0 09 o o o SIENEN oo EIS Ol 3 D Q OD gt 94 3 o D O O 5 o D o D OD O D 9p 02 O 92 O Q d 8 3 1 etc hosts allow 8 3 2 etc hosts den 8 3 4 Verificando a seguran a do TCPD e a sintaxe dos arquivos 8 4 Firewall utros arquivos de configura o re
186. uma seguran a padr o dependendo de seu requerimento em particular Tendo um padr o ALL ALL no arquivo etc hosts deny e ent o ativando especificamente os servi os e permitindo computadores que voc deseja no arquivo etc hosts allow a configura o mais segura Qualquer modifica o no arquivo etc hosts deny entrar em a o ap s reiniciar o daemon inetd Isto pode ser feito com o comando kill HUP pid do inetd opid do inetd pode ser obtido com o comando ps ax grep inetd 4 8 3 3 etc hosts equiv e etc shosts equiv O arquivo etc hosts equiv usado para garantir bloquear certos computadores e usu rios o direito de acesso aos servi os r rsh rexec rcp etc sem precisar fornecer uma senha O etc shosts equiv equivalente mas lido somente pelo servi o ssh Esta fun o til em um ambiente seguro onde voc controla todas as m quinas mesmo assim isto um perigo de seguran a veja nas observa es O formato deste arquivo o seguinte fAcesso M quina Usu rio maquina2 dominio com br usuario2 maquina4 dominio com br usuario2 maquinal dominio com br usuarios O primeiro campo especifica se o acesso ser permitido ou negado caso o segundo e terceiro campo confiram Por raz es de seguran a deve ser especificado o FQDN no caso de nomes de m quinas Grupos de rede podem ser especificados usando a sintaxe grupo Para aumentar a seguran a n o use este mecanismo e encoraje seus usu
187. use o comando hdparm T dev hd OBS Se o Linux resetar o disco r gido a maioria das configura es retornar o ao seu valor padr o Isto ocorre devido a op es mau utilizadas no hdparm n o suportadas pelo disco r gido ou por problemas no HD controladora Exemplos Ajusta o n mero de setores simult neos para 16 e o modo de transfer ncia para 32 bits no disco r gido dev hda hdparm c1 m16 dev hda Programa a leitura adiante do HD para 64 blocos 32Kb o modo de transfer ncia para 32 bits usar DMA e 16 setores simult neos hdparm c1 d1 m16 a64 dev hda Mostra os valores de configura o atuais do disco r gido hdparm dev hda 3 15 4 Data de acesso a arquivos diret rios Toda vez que acessamos um arquivo ou diret rio da m quina Linux a data hora atualizada Em m quinas normais isto OK mas em servidores onde o acesso a arquivos constante como no diret rio var spool em servidores de e mail ou usr em servidores diskless recomend vel desativar esta caracter stica Isto reduzir a quantidade de buscas das cabe as do disco r gido para a atualiza o deste atributo e conseq entemente aumentar a performance na grava o de arquivos o disco r gido usa o sistema mec nico para ler gravar dados muito mais lento que a mem ria RAM eletr nica chattr R A var spool O atributo a desativa a grava o da data de acesso dos arquivos e sub diret rios dentro de var spool Par
188. usr teste testel txt teste2 txt teste3 txt teste4 new testeb neuw nam Caso deseje listar todos os arquivos do diret rio usr teste voc pode usar o coringa especificar todos os arquivos do diret rio para cd usr testee ls ouls usr teste ES N o tem muito sentido usar o comando 1s com usado sem nenhum Coringa porque todos os arquivos ser o listados se O 1s for Agora para listar todos os arquivos testel txt teste2 txt teste3 txt com excess o de teste4 new teste5 new podemos usar inicialmente 3 m todos 1 Usando o comando 1s txt que pega todos os arquivos que come am com qualquer nome e terminam com txt 2 Usando o comando 1s teste txt que pega todos os arquivos que come am com o nome teste tenham qualquer caracter no lugar do coringa e terminem com txt Com o exemplo acima teste txt tamb m faria a mesma coisa mas se tamb m tiv ssemos um arquivo chamado testel0 txt este tamb m seria listado 3 Usando o comando 1s teste 1 3 txt que pega todos os arquivos que come am com o nome teste tenham qualquer caracter entre o n mero 1 3 no lugar da 6a letra e terminem com txt Neste caso se obt m uma filtragem mais exata pois o coringa especifica qualquer caracter naquela posi o e especifica n meros letras ou intervalo que ser usado Agora para listar somente teste4 new e teste5 new podemos usar os seguintes m todos 1 1s new que lista todos os arquivos que termina
189. usu rio possui atualmente na parti o especificada O usu rio gleydson possui atualmente 10868 arquivos na parti o pub O soft Restri o m nima de n mero de arquivos que o usu rio grupo possui no disco Atualmente em 15 000 O hard Restri o m xima de n mero de arquivos que o usu rio grupo possui no disco Atualmente em 20 000 Para desativar as restri es coloque 0 no campo soft ou hard Quando o limite soft atingido o usu rio alertado por ter ultrapassado sua quota com a mensagem warning user quota excedeed quota do usu rio excedida O programa set quota uma programa n o interativo para edi o de quotas para ser usado diretamente na linha de comando ou em shell scripts Ap s ultrapassar o limite soft come a a contagem do tempo para que este passe a valer como limite hard o m ximo aceit vel e que nunca poder ser ultrapassado O comando edquota t serve para modificar estes valores na parti o especificada Grace period befor nforcing soft limits for users Time units may be days hours minutes or seconds Filesystem Block grace period Inode grace period dev hnda5 2days 7days Abaixo a explica o destes campos e Filesystem Sistema de arquivos que ter o per odo de toler ncia modificado e Block grade period Tempo m ximo de toler ncia para usu rios grupos que ultrapassaram sua quota soft de espa o em disco antes de passar a valer como hard No exemplo o usu rio tem 2
190. usu rios em grupos manualmente no arquivo etc passwd tamb m precisar fazer isto no arquivo etc shadow para que n o tenha problemas Esta tarefa feita automaticamente com o comando adduser usu rio grupo O programa vipw e vigr tamb m podem ser usados com a op o s para editar os arquivos etc shadow e etc gshadow respectivamente 11 4 2 Senhas MD5 O sistema de criptografia usado pelas senhas MD5 mais seguro que o padr o Crypto e permitem o uso de senhas maiores do que 8 caracteres O uso de senhas MD5 recomendado para aumentar o n vel de prote o da senha N o use caso estiver executando um servi o de NIS OBS Caso utilize senhas MD5 em um sistema com PAM inclua a palavra md5 na linha de configura o do m todo de autentica o password do m dulo pam unix so password required pam unix so md5 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Apache Guia Foca GNU Linux Cap tulo 12 Apache Esta cap tulo documenta a configura o personaliza o introdu o aos mecanismos de autentica o e controle de acesso do Apache sistema proxy virtual hosting e exemplos de configura o do servidor httpd Ele n o tem como objetivo ser uma refer ncia completa de configura o mas sim abordar didaticamente o assunto 163 12 1 Introdu o O servidor web um programa respons vel por disponibilizar p ginas
191. valores escolhidos para o funcionamento do dispositivo a posi o 1 2 especificam um valor enquanto 2 3 especificam outro A associa o entre a posi o dos jumpers e a configura o desejada feita consultando o mapa desenhado no circuito impresso da placa ou o manual de instru es da placa 29 A configura o de jumper atrav s de multi posi o normalmente usada em placas m e para definir a freq ncia de opera o do barramento a frequ ncia de multiplica o ou o tipo do processador Se n o possuir o mapa de configura o de sua placa e ou o manual de instru es ser necess rio fazer um mapeamento manual da placa mas para isto voc precisar conhecer detalhadamente a configura o de portas I O DMA IRQ usadas na m quina que ser usada e anotar as diferen as obtidas atrav s da modifica o da pinagem do dispositivo Isto n o f cil mas t cnicos de inform tica experientes conhecer o as armadilhas encontradas pelo mapeamento manual de placas e far o o esquema de configura o completo do dispositivo obtendo um excelente manual de instru es Nesta hora a experi ncia conta mais que o uso de programas de diagn stico Outra caracter stica de hardwares configurados atrav s de jumpers que raramente apresentam problemas de funcionamento a n o ser que seus par metros como IRQ DMA ou I O estejam em conflitos com outro dispositivo mas isso n o culpa do fabricante e nem mesmo do dispositiv
192. vel das mensagens de log registradas por SSLLog SSLLogLevel info Algumas diretivas deste m dulo podem fazer parte tanto da configura o global do servidor como diretivas de acesso Directory Location htaccess veja a op o Context na documenta o do mod ssl 12 13 5 Autorizando acesso somente a conex es SSL Existem casos que precisa restringir o uso de conex es normais e permitir somente conex es via SSL como por exemplo dentro da diretiva de acesso que controla seu acesso a uma p gina com listagem de clientes A op o SSLRequereSSL usada para tal e deve ser usada dentro das diretivas de controle acesso lt Directory var www secure clientes gt Options Indexes Order deny allow Deny from evil cracker com SSLRequiresSSL lt Directory gt A diretiva acima requer que sejam feitas conex es SSL porta 443 https para acesso ao diret rio var www secure clientes qualquer conex o padr o n o criptografada feita na porta 80 ser rejeitada com o erro 408 OBS A diretiva SSLRequireSSL podia ser colocada entre as condicionais lfModule mod ssl c mas o servidor web permitiria conex es n o criptografadas se por algum motivo esse m dulo n o estivesse carregado Na configura o acima ocorrer um erro e impedir o funcionamento do servidor web caso ocorra algum problema com o mod ss 204 12 13 6 Iniciando o servidor Web com suporte a SSL Verifique se a configura o do Apache est ok
193. vendo um conector branco de 3 terminais instalado na placa que o local onde o cabo wake up conectado e Suporte na BIOS tamb m dever ter a op o para WakeUP on Lan Com todos esses tens existentes instale em uma m quina da rede o pacote etherwake Depois disso pegue o MAC address a placa de rede da m quina que tem o wakeup on lan e na m quina da rede onde instalou o pacote execute o seguinte comando ether wake AA BB CC DD EE FE Onde AA BB CC DD EE FF o endere o MAC da placa de rede A m quina dever ligar e realizar o procedimento padr o de POST normalmente 45 Algumas das situa es onde o WOL n o funciona quando sua rede controlada por Switches devido a natureza de funcionamento deste equipamentos ou caso esteja atr s de um roteador que n o faz proxy arp 3 12 Aterramento O aterramento correto da instala o el trica essencial para garantir a prote o de seu microcomputador e outros aparelhos que requerem isto Muitos usu rios simplesmente removem o pino central da tomada de seu computador ou ligam o terra junto ao neutro da rede el trica isto errado e pode trazer s rias consequ ncias O computador possui componentes sens veis que geram descargas est ticas durante seu funcionamento fonte discos placas etc estas descargas e ru dos s o absorvidas pelo sistema de aterramento que ligado no gabinete do computador e outros componentes internos Sem ate
194. vez que entrar no sistema veja Arquivo bash profile Se o 8 5Je Arquivo bashrc Se o 8 6 8 4 Arquivo etc profile Este arquivo cont m comandos que s o executados para todos os usu rios do sistema no momento do login Somente o usu rio root pode ter permiss o para modificar este arquivo Este arquivo lido antes do arquivo de configura o pessoal de cada usu rio profile root e bash profile 99 Quando carregado atrav s de um shell que requer login nome e senha o bash procura estes arquivos em sequ ncia e executa os comandos contidos caso existam etc profile bash profile bash login 4 profile 69 Ele ionterrompe a pesquisa assim que localiza o primeiro arquivo no diret rio do usu rio usando a sequ ncia acima Por exemplo se voc tem o arquivo bash logine bash profile em seu diret rio de usu rio ele processar o etc profile e ap sistoo bash profile mas nunca processar o bash login amenos que o bash profile seja apagado ou renomeado Caso o bash seja carregado atrav s de um shell que n o requer login um terminal no X por exemplo o seguinte arquivo executado bashrc Observa o Nos sistemas Debian o profile do usu rio root est configurado no arquivo root profile A raz o disto porque se o bash for carregado atrav s do comando sh ele far a inicializa o cl ssica deste shell lendo primeiro o arquivo etc profile e
195. 0 O O Eq e pa q ooooooooo 0 000 000 e e pare puuro pura pura a ey D Eq ER N 8 12 8 Criando um compartilhamento com acesso somente leitura 8 12 9 Criando um compartilhamento com acesso leitura grava o 8 12 10 Excess o de acesso na permiss o padr o de compartilhamento 8 12 11 Restringindo o IPC e ADMIN 8 12 12 Criando um compartilhamento invis ve 8 12 13 Executando comandos antes e ap s o acesso ao compartilhamento 8 12 14 Considera es de seguran a com o uso do par metro public yes 8 12 15 Senhas criptografadas ou em texto puro 8 12 16 Mapeamento de nomes de usu rios amp pry 00000 0 0 60 e O O h Co o ara pa Eli col O So 35 o 19 JE la MIO Om o D Q gt r D 92 Z D er 95 m 8 14 1 Considera es sobre o Windows for Workgroups e LanManager h foe EN NO O 5 Q Z o 5 O O o D 5 Ee D n o 3 O e Q D o o v 5 0 8 14 2 1 Windows 9X 8 14 2 2 Windows XP Home Edition 8 14 2 3 Windows XP Professional Edition 8 14 2 4 Windows XP Server Edition 8 14 2 5 Windows NT WorkStation 8 14 2 6 Windows NT Serve 8 14 2 7 Windows 2000 Professiona 8 14 2 8 Windows 2000 Serve 8 14 2 9 Linux 14 3 Configurando clientes em Dom nio 8 14 3 1 Windows 9X 8 14 3 2 Windows XP Home Editio 8 14 3 3 Windows XP Professional Edition 8 14 3 4 Windows XP Serve
196. 000 inherit permissions Permite herdar permiss es de arquivos diret rios do diret rio pai quando novos arquivos diret rios s o criados isto inclui bits SGID set group ID O padr o N o herdar permiss es O uso desta op o substitui as op es fornecidas por create mask directory mask force create mask e force directory mask Ex inherit permissions preexec Executa um comando antes a abertura de um compartilhamento O par metro exec um sin nimo para este Veja Executando comandos antes e ap s o acesso ao compartilhamento Se o 18 12 13 postexec Executa um comando depois da utiliza o do compartilhamento VejalExecutando comandos antes e ap s o acesso ao compartilhamento Se o 18 12 13 preexec close Fecha imediatamente o compartilhamento caso o valor do comando executado pela op o preexec seja diferente de 0 O uso desta op o s faz sentido em conjunto com preexec O valor padr o no Veja Executando comandos antes e ap s o acesso ao compartilhamento Se o 18 12 13 Exemplo preexec close yes volume nome Retorna o nome de volume especificado quando feito o acesso ao compartilhamento Isto muito til para instala es onde o serial do CD disquete ou HD verificado durante o acesso Isto acontece com frequ ncia em produtos de fabricantes propriet rios como forma de evitar a execu o ilegal do programa 18 4 Configura o em Grupo de Trabalho A configura o grupo de t
197. 1 loopback Primeiro daremos um ping para verificar seu funcionamento ping 127 0 0 1 PING 127 0 0 1 127 0 0 1 56 data bytes 64 bytes from 127 0 0 1 icmp_seq 0 ttl 255 time 0 6 ms 64 bytes from 127 0 0 1 icmp_seq 1 ttl 255 time 0 5 ms 127 0 0 1 ping statistics 2 packets transmitted 2 packets received 0 packet loss round trip min avg max 0 5 0 5 0 6 ms Ok a m quina responde agora vamos incluir uma regra no chain INPUT A INPUT que bloqueie j DROP qualquer acesso indo ao endere o 127 0 0 1 d 127 0 0 1 iptables t filter A INPUT d 127 0 0 1 j DROP Agora verificamos um novo ping ping 127 0 0 1 PING 127 0 0 1 127 0 0 1 56 data bytes 127 0 0 1 ping statistics 2 packets transmitted 0 packets received 100 packet loss Desta vez a m quina 127 0 0 1 n o respondeu pois todos os pacotes com o destino 127 0 0 1 d 127 0 0 1 s o rejeitados j DROP A op o A usada para adicionar novas regras no final do chain Al m de j DROP que serve para rejeitar os pacotes podemos tamb m usar j ACCEPT para aceitar pacotes A op o j chamada de alvo da regra ou somente alvo pois define o destino do pacote que atravessa a regra veja Especificando um alvo Se o 10 3 6 Bem vindo a base de um sistema de firewall OBS1 O acesso a interface loopback n o deve ser de forma alguma bloqueado pois muitos aplicativos utilizam soquetes tcp para realizarem conex es mesmo que voc
198. 12 10 15 Relat rio gr fico de acesso ao sistema O programa webalizer poder ser instalado para gerar um relat rio gr fico com a estat sticas de visitas por ano mes dia hora usando os dados do access 109 Outra interessante caracter stica s o as estat sticas de c digos http veja C digos HTTP Se o 12 15 onde poss vel saber a quantidade de links quebrados existentes em nosso servidor estes poder o ser detectados usando o pacote de an lise de sites linbot O webalizer tamb m compat vel com os formatos de log do squid e proftpd Na distribui o Debi an ele pode ser instalado a partir do pacote webalizer e gera um relat rio geral quando executado sem op es 12 11 Configurando o Apache como servidor proxy O Apache pode ser configurado para funcionar como servidor proxy transparente para sua rede interna possibilitando inclusive o uso de cache de disco poss vel se fazer conex es HTTP incluindo SSL e FTP Atrav s desta caracter stica tamb m poss vel usar uma das caracter sticas mais interessante desse servidor web o redirecionamento de conex es para uma determinada URL para uma outra m quina que pode ser um outro host remoto ou uma m quina da rede interna n o acess vel diretamente via Internet 194 O primeiro passo ativar o m dulo de proxy no arquivo httpd conf basta descomentar a linha LoadModule proxy module usr lib apache 1 3 libproxy so O seguinte bloco pode ser colocado no fi
199. 2 168 1 2 24 192 168 1 2 255 255 255 0 Um par de endere o m scara de rede 316 Mais de uma interface pode ser usada separando as com v rgula ou espa os A escolha do uso de nome da interface ou do IP feita de acordo com a configura o da m quina Em uma m quina DHCP por exemplo recomendado o uso do nome da interface Quando bind interfaces only estiver ativado o padr o esperar conex es em todas as interfaces que permitem broadcast exceto a loopback Exemplo bind interfaces only 1 interfaces loopback eth0 Permite o recebimento de requisi es de acesso ao SAMBA somente da interface Loopback desnecess rio pois como notou durante a leitura sempre permitida a conex o e etho 18 12 4 Restringindo o acesso por usu rios Permite que voc controle quem poder ou n o acessar o compartilhamento da m quina Este controle feito pelos par metros valid users e invalid users O invalid users lista de usu rio que N O ter o acesso ao compartilhamento Se o nome for iniciado por o par metro ser tratado como um nome de grupo UNIX etc group O caracter amp faz ele pesquisar o nome de grupo no banco de dados NIS O caracter permite fazer a busca do grupo primeiro no banco de dados NIS e caso ele n o seja encontrado no arquivo de grupos do sistema etc group poss vel usar a combina o de caracteres amp e amp para alternar a ordem de busca enter o etc groupeo NIS Exemplo
200. 255 255 255 0 ou 200 200 200 0 24 Caso um endere o m scara n o sejam especificados assumido 0 0 como padr o todos as m quinas de todas as redes A interpreta o dos endere os de origem destino dependem do chain que est sendo especificado como INPUT e OUTPUT por exemplo OBS Caso seja especificado um endere o fqdn e este resolver mais de um endere o IP ser o criadas v rias regras cada uma se aplicando a este endere o IP espec fico recomend vel sempre que poss vel a especifica o de endere os IP s nas regras pois al m de serem muito r pidos pois n o precisar de resolu o DNS s o mais seguros para evitar que nosso firewall seja enganado por um ataque de IP spoofing 128 Bloqueia o tr fego vindo da rede 200 200 200 iptables A INPUT s 200 200 200 0 24 j DROP Bloqueia conex es com o destino 10 1 2 3 iptables A OUTPUT d 10 1 2 3 5 DROP Bloqueia o tr fego da m quina www dominio teste org a rede 210 21 1 83 nossa m quina possui o endere o 210 21 1 3 iptables A INPUT s www dominio teste org d 210 21 1 3 j DROP 10 3 2 Especificando a interface de origem destino As op es i ou in interface e o ou out interface especificam as interfaces de origem destino de pacotes Nem todos as chains aceitam as interfaces de origem destino simultaneamente a interface de entrada i nunca poder ser especificada em um chain OUTPUT e a interface de sa da 0 nunca poder ser e
201. 4 2 6 Windows NT Server Clique no item Rede do painel de controle Na tab Servi os confira se os servi os Esta o de trabalho Interface de NetBIOS e Servi os TCP IP simples est o instalados Caso n o estejam fa a sua instala o usando o 328 bot o Adicionar nesta mesma janela e Natab Protocolos verifique se os protocolos NetBEUI e TCP IP est o instalados Caso n o estejam fa a sua instala o clicando no bot o Adicionar nesta mesma janela e Natab identifica o clique no bot o Alterar e Najanela que se abrir coloque o nome do computador no campo Nome do Computador e Clique em Grupo de trabalho e escreva o nome do grupo de trabalho em frente e Clique em OK at voltar e Pronto seu computador agora faz parte do grupo de trabalho 18 14 2 7 Windows 2000 Professional e Logue como administrador do sistemas local e Entre no item Sistema dentro do painel de controle A tela propriedades de sistema ser aberta Clique em Computador e ent o no bot o Propriedades e No campo nome do computador coloque um nome de no m ximo 15 caracteres para identificar a m quina na rede e Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di logo e Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho Ser necess rio reiniciar a m quina 18 14 2 8 Windows 2000 Server e Logue como administrador do sistemas local e Entre no item Sistema dentro do paine
202. 5 7 7 5 3 2 3 2 7 4 5 8 6 6 20 4 2 3 2 3 8 5 4 7 4 20 6 6 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux Arquivos e daemons de Log Guia Foca GNU Linux Cap tulo 6 Arquivos e daemons de Log A atividade dos programas s o registradas em arquivos localizados em var 1og Estes arquivos de registros s o chamados de ogs e cont m a data hora e a mensagem emitida pelo programa viola es do sistema mensagens de erro alerta e outros eventos entre outros campos Enfim muitos detalhes teis ao administrador tanto para acompanhar o funcionamento do seu sistema comportamento dos programas ou ajudar na solu o e preven o de problemas Alguns programas como o Apache exim ircd e squid criam diversos arquivos de log e por este motivo estes s o organizados em sub diret rios a mesma t cnica usada nos arquivos de configura o em etc conforme a padr o FHS atual 83 6 1 Formato do arquivo de log Um arquivo de log normalmente composto pelos seguintes campos Data Hora M quina daemon mensagem O campo m quina o nome do computador que registrou a mensagem a m quina pode atuar como um servidor de logs registrando mensagens de diversos computadores em sua rede O campo daemon indica qual programa gravou a mensagem O uso dos utilit rios do console pode ajudar muito na pesquisa e monitora o dos
203. 6 Ligando sua rede interna a Internet 0 2 1 Adicionando regras 0 2 2 Listando regras L 0 2 3 Apagando uma regra D 0 2 4 Inserindo uma regra 0 2 5 Substituindo uma regra 0 2 6 Criando um novo chain 0 2 7 Renomeando um chain criado pelo usu rio E 0 2 8 Listando os nomes de todas as tabelas atuais 0 2 9 Limpando as regras de um chain F 0 2 10 Apagando um chain criado pelo usu rio 0 2 11 Zerando contador de bytes dos chains 0 2 12 Especificando o policiamento padr o de um chain P 0 3 1 Especificando um endere o de origem destino 0 3 2 Especificando a interface de origem destino 3 3 Especificando um protocolo 0 3 3 1 Especificando portas de origem destino 0 3 3 2 Especificando mensagens do protocolo ICMP 0 3 3 3 Especificando pacotes syn 3 4 Especificando fragmentos 3 5 Especificando uma exce o 3 6 Especificando um alvo 10 3 6 1 Alvo REJECT 0 3 6 2 Especificando LOG como alvo 10 3 6 3 Especificando RETURN como alvo 0 3 7 Salvando e Restaurando regras 0 4 1 Criando um novo chain na tabela NAT 0 4 2 Fazendo IP masquerading para os apressados 0000 Em sr gt prq 0000 0 0 0 0 0 0 60 N Eq sy md dl h So 00 cmo Ol md o oo o e ho 0 4 3 Fazendo SNAT o o e 10 4 5 Monitorando conex es feitas na tabela nat 0 5 1 Especificando o tipo de servi o o 10 5 1 1 Especificando o TOS
204. 9 15 4 Protegendo o LILO 9 15 5 Disco r gido 0 000 000 Cad trodu o ao uso de criptografia para transmiss o armazenamento de dados 0 1 Introdu o e N 0 2 1 Detectando a presen a de sniffers 3 Alternativas seguras a servi os sem criptografia 0 3 1 http 0 3 2 Transmiss o segura de e mai 0 3 3 Servidor pop3 0 3 4 Transfer ncia de arquivos 0 3 5 login remoto 0 3 6 Bate papo via IRC D N N e 20 3 7 Transmiss o de mensagens via ICQ 0 4 Sistemas de arquivos criptogr fico 0 5 Usando pop gpg para criptografia de arquivos 0 5 1 Instalando o PG 0 5 2 Criando um par de chaves p blica privada 0 5 3 Encriptando dados 0 5 4 Decriptando dados com o gpg 0 5 5 Assinando arquivos 0 5 6 Checando assinaturas 0 5 7 Extraindo sua chave p blica do chaveiro 0 5 8 Adicionando chaves p blicas ao seu chaveiro pessoa 0 5 9 Listando chaves de seu chaveiro 0 5 10 Apagando chaves de seu chaveiro 0 5 11 Mudando sua FraseSenha 0 5 12 Assinando uma chave digita 0 5 13 Listando assinaturas digitais 0 5 14 Recomenda es para a assinatura de chaves gpg O O TV N NI NI N A 1 1 Sobre este guia 1 2 Sobre o Autor 1 3 Refer ncias de aux lio ao desenvolvimento do guia 1 4 Onde encontrar a vers o mais nova do guia 1 5 Colaboradores do Guia 1 6 Marcas Registradas 1 7 Futuras vers e 1 8 Chave P blica PGP J N prq NIDO CD 5 2 O D NO N oooooo oo 2 NO
205. A O 2 Programas de configura o 3 Arquivos de inicializa o 4 N veis de Execu o 5 Rede no sistema Debia 6 Bug tracking system 7 Onde encontrar a Debian para Download INI td O 3 o log a D T w w D D pad NI gt IN 1 Vari veis de Ambientes 2 Modificando o Idioma usado em seu sistema 3 alias 4 Arquivo etc profile 5 Arquivo bash profile 6 Arquivo bashrc 8 Arquivo etc environment 9 Diret rio etc ske ess o 1 Portas de impressora 2 Imprimindo diretamente para a porta de impressora 3 Imprimindo via spool O 4 1 Ghost Script agic Filter 5 1 Instala o e configura o do Magic Filter 5 2 Outros detalhes t cnicos sobre o Magic Filter 9 6 Impress o remota 1D e iu CIO Siro 9 6 3 Impress o via printcap Firewall iptables 0 1 1 Vers o 0 1 2 Um resumo da hist ria do iptables 0 1 3 Caracter sticas do firewall iptables 0 1 4 Ficha t cnica 0 1 5 Requerimentos 0 1 6 Arquivos de logs criados pelo iptables 0 1 7 Instala o 0 1 8 Enviando Corre es Contribuindo com o projeto 0 1 9 O que aconteceu com o ipchains e ipfwadm 0 1 10 Tipos de firewalls 0 1 11 O que proteger n 00000 0 06 0 0 0 6 dh O O O O O peg 02 tema 0 1 12 O que s o regras 0 1 13 O que s o chains 0 1 14 O que s o tabelas 0 1 15 Habilitando o suporte ao iptables no kerne 0 1 1
206. A distribui o Debi an em especial possui grupos e nomes de usu rios organizados de forma a permitir seguran a e separa o total caso utilize este mecanismo Este recurso se mostra bem eficiente para proteger a integridade da m quina at mesmo no comprometimento de m quinas que possui a senha semelhante somente se usado em conjunto com as restri es de acesso de outros servi os remotos como o ssh ftp etc O guia Foca documenta as formas de restri o e seu impacto na seguran a da m quina nos cap tulos do n vel Avan ado veja o ndice para buscar o cap tulo correspondente ao que deseja proteger Para configurar esta restri o siga os seguintes passos e Crie um grupo onde os usu rios cadastrados ter o acesso root Por exemplo usuarios su ou algo mais discreto e Edite o arquivo etc pam d su Insira a seguinte linha caso n o existir no arquivo de configura o auth required pam wheel so group usuarios su O que ela faz usar o m dulo pam whee1 so requerendo que os usu rios perten am ao grupo usuarios su Salve e saia do editor e Ainda como usu rio root adicione os usu rios que ter o acesso a root no grupo usuarios su Recomendo que adicione seu usu rio primeiro principalmente se estiver fazendo acesso remoto pois se acontecer uma queda no link n o ficar sem acesso root por cair na restri o e Tente pegar o root com outros usu rios que n o perten am ao grupo usuarios su estes simple
207. AT etc Podem existir mais alvos pois o iptables modulariz vel e m dulos que acrescentam mais fun es podem ser carregados em adi o aos j existentes no kernel Nos exemplos anteriores vimos o uso de diversos alvos como o DROP e o ACCEPT Apenas farei uma breve refer ncia sobre os alvos mais usados em opera es comuns dos chains Os alvos REDIRECT SNAT e DNAT ser o explicados em uma se o seguinte ACCEPT O pacote ACEITO e o processamento das regras daquele chains conclu do Pode ser usado como alvo em todos os chains de todas as tabelas do iptables e tamb m pode ser especificado no policiamento padr o das regras do firewall vejalEspecificando o policiamento padr o de um chain P Se o 10 2 12 DROP Rejeita o pacote e o processamento das regras daquele chain conclu do Pode ser usado como alvo em todos os chains de todas as tabelas do iptables e tamb m pode ser especificado no policiamento padr o das regras do firewall vejalEspecificando o policiamento padr o de um chain P Se o 10 2 12 REJECT Este um m dulo opcional que faz a mesma fun o do alvo DROP com a diferen a de que uma mensagem ICMP do tipo icmp port unreachable TCP UDP ou host unreachable ICMP retornada para a m quina de origem Pode ser usado como alvo somente nos chains da tabela n o como policiamento padr o LOG Este m dulo envia uma mensagem ao syslog caso a regra confira o processamento continua norm
208. Address Atender requisi es vindas de qualquer interface de rede 12 5 Especificando endere os portas adicionais a diretiva Listen A diretiva Listen usada para se ter um controle maior sobre a especifica o de endere os portas alternativas que o servidor web esperar por requisi es externas Esta diretiva muito usada na constru o de Virtual Hosts Esta diretiva pode substituir completamente as diretivas Port e BindAddress Podem ser usados o n mero da porta ou O par endere o porta Listen 192 168 1 1 80 Listen 192 168 7 1 81 Listen 60000 O endere o que dever ser usado o da interface de rede assim como na diretiva BindAddress No exemplo acima o servidor httpd esperar por requisi es vindas de 192 168 1 na porta 80 e tamb m 60000 e requisi es vindas de 192 168 7 1 na porta 81 e tamb m 60000 12 6 Especificando op es permiss es para as p ginas As op es de restri o podem tanto ser especificadas nas diretivas lt Directory gt lt Location gt ou lt Files gt quanto nos arquivos htaccess ou outro nome de arquivo de controle de acesso especificado pela op o AccessFileName do arquivo de configura o do Apache Cada diretiva de acesso especificada entre lt tags gt e devem ser fechadas com lt tag gt como na linguagem HTML As seguintes diretivas de acesso s o v lidas no Apache Directory As restri o afetar o diret rio no disco especificado consequentemente a
209. As op es padr es e definidas na se o global deste arquivo ser o usadas para processar os arquivos de logs restantes Qualquer defini o de par metro especificado no arquivo de configura o substituir as defini es anteriores Quando o n mero m ximo de logs mantidos pela op o rotate num atingida os logs eliminados ser o enviados para o usu rio especificado na op o mail email A utiliza o da diretiva nomail evita isso Quando for utilizar coringas para se referir a determinados arquivos dentro de um diret rio n o utilize a sintaxe log xxx porque isto for aria a recompacta o de arquivos gz j feitas gerando arquivos do tipo gz gz e derrubando o processamento da sua m quina gerada por um loop de compacta o e enchendo as entradas de diret rio Prefira usar a sintaxe 1og xxx log ou outra modificando a configura o do programa que gera os logs OBS importante enviar um sinal HUP ao programa que grava para aquele arquivo de log para que n o ocorram problemas ap s a rota o isto feito usando o par metro postrotate 6 5 Configurando um servidor de logs As mensagens das m quinas de sua rede podem ser centralizadas em uma nica m quina isto facilita o gerenciamento an lise e solu o de problemas que ocorrem nas m quinas da rede Mais importante ainda que qualquer invas o a esta o de trabalho n o ser registrada localmente podendo ser apagada posteriormen
210. BS acesso remoto bina etc e rede para permitir a comunica o com outros computadores em uma rede interna e controladora de perif ricos Para ligar discos r gidos unidades de disquete impressora mouse joystick etc e scsI Para ligar unidades de disco r gidos e perif ricos de alto desempenho e Controladora de Scanner Para ligar um Scanner externo ao micro computador O encaixe da placa m e que recebe as placas de expans o s o chamados de Slots 3 2 Nomes de dispositivos Seria terr vel se ao configurar CADA programa que utilize o mouse ou o modem precis ssemos nos se referir a ele pela IRQ I O etc para evitar isso s o usados os nomes de dispositivos Os nomes de dispositivos no sistema GNU Linux s o acessados atrav s do diret rio dev Ap s configurar corretamente o modem com sua porta I O 0x2F8 e IRQ 3 ele identificado automaticamente por dev ttyS1 equivalente a com2 no DOS Daqui para frente basta se referira dev ttyS1 para fazer alguma coisa com o modem 24 Voc tamb m pode fazer um link de dev ttyS1 para um arquivo chamado dev modem usando 1n s dev ttyS1 dev modem fa a a configura o dos seus programas usando dev modem ao inv s de dev ttyS1 e se precisar reconfigurar o seu modem e a porta serial mudar para dev ttys3 ser necess rio somente apagar o link dev modem antigo e criar um novo apontando para a porta serial dev ttyS3 N o ser necess rio reconfigurar os progra
211. CVSROOT ou pela op o d reposit rio do cvs VejajServidor de CVS configurando m todos de acesso ao reposit rio Se o 17 2 para ver exemplos de m todos de acesso O Reposit rio pode conter um ou mais m dulos cada m dulo representa um projeto no servidor criado ap s o uso do comando import Segue um exemplo da estrutura de um reposit rio CVS var lib cvs CVSROOT projetol projeto2 260 O subdiret rio cvs o reposit rio veja o subdiret rio CVSROOT dentro dele e os diret rios dentro dele projetol e projeto2 s o os m dulos criados atrav s do comando cvs import veja Adicionando um novo projeto Se o 17 3 6 Para acessar o projeto do CVS ent o definido o reposit rio que tem permiss es de acesso na vari vel CVSROOT e ent o executado um comando checkout update commit etc no m dulo que desejamos utilizar export CVSROOT ext anonymousf servidor org br var lib cvs lt Reposit rio cvs cvs checkout projetol lt m dulo que desejamos pegar do servidor Nas se es seguintes ser o explicados cada um dos comandos usados para trabalhar com um projeto no cvs 17 3 2 Criando um reposit rio Para adicionar um novo reposit rio no sistema edite o arquivo etc cvs pserver conf e defina o nome de cada reposit rio na vari vel CVS PSERV REPOS separados por exemplo CVS PSERV REPOS var lib cvs var lib evs2 Feito isso execute o comando cvs makerep
212. Caracter sticas 7 1 5 Ficha t cnica 7 1 6 Requerimentos de Hardware 7 1 7 Arquivos de log criados pelo CVS O NI th Eq 000000 o O O O h 7 1 8 Instala o 7 1 9 Iniciando o servidor reiniciando recarregando a configura o 7 1 10 Op es de linha de comando 7 2 Servidor de CVS configurando m todos de acesso ao reposit rio A ra E k 7 2 1 local o 17 2 1 1 Configurando o m todo local 7 2 2 for o 17 2 2 1 Configurando o m todo fork 7 2 3 x o 17 2 3 1 Configurando o m todo ext 7 2 4 pserver password server 7 2 5 Configurando um servidor pserve 17 2 5 3 Servidor pserver com autentica o pr pria 7 2 6 gssapi ed j mah ooo Eq N 3 Criando projetos para serem usados no CVS 7 3 1 Reposit rio 7 3 2 Criando um reposit rio 7 3 3 Logando no servidor de CVS via pserver 7 3 4 Encerrando uma se o de CV 7 3 5 Baixando arquivos 7 3 6 Adicionando um novo projeto 7 3 7 Sincronizando a c pia remota com a c pia loca 7 3 8 Enviando as mudan as para o servidor remoto 7 3 9 Adicionando um arquivo ao m dulo CVS do servidor 7 3 10 Adicionando um diret rio ao m dulo CVS do servidor 7 3 11 Removendo um arquivo do m dulo CVS remot 7 3 12 Removendo um diret rio do m dulo CVS remoto 7 3 13 Dizendo que o m dulo atual n o est mais em us 7 3 14 Visualizando diferen as entre vers es de um arquivo 7 3 15 Visualizando o stat
213. Compartilhamento de impress o no servidor SAMBA Este cap tulo documenta como configurar o seu servidor samba para permitir o acesso a compartilhamento de arquivos e impress o no sistema 18 11 1 Configurando o Linux como um servidor de impress o Windows Ser necess rio ter o pacote samba instalado e adicionar as seguintes linhas no seu arquivo etc samba smb conf hp printer path tmp printer name HP DeskJet 690C printable yes print command lpr r h P amp p s valid users winuser winuser2 create mode 0700 314 O compartilhamento acima tornar dispon vel a impressora local lp as m quinas Windows com o nome HP DeskJet 690C Uma impressora alternativa pode ser especificada modificando a op o P da linha de comando do lpr Note que somente os usu rios winuser e winuser2 poder o usar esta impressora Os arquivos de spool para gerenciar a fila de impress o ser o gravador em tmp path tmp e o compartilhamento hp printer ser mostrado como uma impressora printable yes Agora ser necess rio instalar o driver desta impressora no Windows HP 690C e escolher impressora instalada via rede e seguir os demais passos de configura o 18 12 Controle de acesso ao servidor SAMBA Este cap tulo documenta o controle de acesso ao servidor samba e restri es 18 12 1 N vel de acesso de usu rios conectados ao SAMBA Quando acessa um compartilhamento o usu rio do samba mapeado com
214. ERDA DE DADOS unmaskirg Modificado com ufnum Habilita ou n o o controlador de disco mascarar as interrup es de processador durante o processamento das interrup es de disco 0 desativa esta fun o e 1 ativa Use esta op o com cuidado e sob seu pr prio risco algumas placas controladores de HD e controladoras de perif ricos n o trabalham bem com a taxa de transfer ncia aumentada podem ocorrer perda de dados Coloque o sistema de arquivos como somente leitura antes de testar esta 50 caracter stica readonly Modificado com rfnum Coloca o disco em modo somente leitura A montagem da parti o com a op o rono etc fstab preferida readahead Modificado com afnumj Configura o n mero de blocos que ser o lidos antecipadamente no sistema de arquivos por padr o usado 8 blocos 4 Kb Este n mero poder ser modificado para se adequar a utiliza o do computador Em sistemas com muita procura de arquivos pequenos servidores web um valor pequeno como o padr o recomend vel Se a m quina um servidor de arquivos dedicado um valor maior trar maiores benef cios Veja mais detalhes sobre o comando hdparm em sua p gina de manual Depois de selecionado o melhor valor de performance voc dever salvar em um arquivo que ser lido na inicializa o para ativa o destes valores Para fazer teste de performance de leitura bruta utilize o comando hdparm t dev hd para fazer testes com o uso de cache
215. ES com o destino 200 198 129 162 porta 21 ap s a resolu o DNS de ftp debian org br e retorna por ENTRADA DE PACOTES para 192 168 1 4 porta 1032 149 Note que o Masquerading regrava os pacotes para a m quina 200 198 129 162 a conex o est sendo feita para 200 217 29 67 As respostas de conex es vindas de 200 198 129 162 e indo para 200 217 29 67 s o regravadas no firewall com o destino 192 168 1 4 e enviadas para a m quina correspondente Ap s a conex o ser estabelecida o caminho de sa da de pacotes para 200 198 129 163 e PREROUTING mangle gt FORWARD mangle FORWARD filter gt POSTROUTING mangle Ap s a conex o estabelecida o caminho da entrada de pacotes vindos de 200 198 129 163 PREROUTING mangle gt FORWARD mangle gt FORWARD filter gt POSTROUTING mangle Isto acontece porque ap s feita a conex o Masquerading via PREROUTING nat o firewall j sabe como reescrever os pacotes para realizar a opera o de Masquerading reescrevendo todos os pacotes que chegam de www debian org br para 192 168 1 4 OBS As conex es Masquerading feitas atrav s da rede interna s o enviadas para 200 198 129 162 tem o endere o de origem ajustado para 200 217 29 67 que o IP de nossa interface ppp0 Quando as respostas atravessam o firewall os pacotes s o checados pra saber se
216. GNU Linux a porta de impressora identificada como 1p0 1p1 1p2 no diret rio dev correspondendo respectivamente a LPT1 LPT2 e LPT3 No DOS e Windows Recomendo que o suporte a porta paralela esteja compilado como m dulo no kernel 9 2 Imprimindo diretamente para a porta de impressora Isto feito direcionando a sa da ou o texto com gt diretamente para a porta de impressora no diret rio dev Supondo que voc quer imprimir o texto contido do arquivo trabalho txt e a porta de impressora em seu sistema dev 1p0 voc pode usar os seguintes comandos cat trabalho txt gt dev 1po0 Direciona a sa da do comando cat para a impressora cat lt trabalho txt gt dev 1p0 Faz a mesma coisa que o acima cat n trabalho txt gt dev 1p0 Numera as linhas durante a impress o head n 30 trabalho txt gt dev 1p0 Imprime as 30 linhas iniciais do arquivo cat trabalho txt tee dev 1p0 Mostra o conte do do cat na tela e envia tamb m para a impressora Os m todos acima servem somente para imprimir em modo texto letras n meros e caracteres semi gr ficos 9 3 Imprimindo via spool A impress o via spool tem por objetivo liberar logo o programa do servi o de impress o deixando um outro programa especifico tomar conta Este programa chamado de daemon de impress o normalmente o lpr ou O lprng recomendado em sistemas GNU Linux Logo ap s receber o arquivo que ser impresso o programa de spool gera um arquivo
217. Guia Foca GNU Linux Avan ado Guia Foca GNU Linux Resumo Este documento tem por objetivo ser uma refer ncia ao aprendizado do usu rio e um guia de consulta opera o e configura o de sistemas Linux e outros tipos de ix A ltima vers o deste guia pode ser encontrada nalP gina Oficial do Foca GNU Linux Novas vers es s o lan adas com uma frequ ncia mensal e voc pode receber avisos de novos lan amentos deste guia preenchendo um formul rio na p gina Web A apresenta o deste documento foi editada por kretcheu Duppernet com br Nota de Copyright Copyleft O 1999 2005 Gleydson Mazioli da Silva Permission is granted to copy distribute and or modify this document under the terms of the GNU Free Documentation License Version 1 1 or any later version published by the Free Software Foundation A copy of the license is included in the section entitled GNU Free Documentation License Conte do e mrad o LT Considera es sobre o nivel Avan ado o 1 2 Pr requisitos para a utiliza o deste guial o 50 ino e L31 Algumas Caracteristicas do Linux e E Explica es B sicas o 2 1 Monitorando os logs e 2 1 1 Destruindo arquivos parti es de forma segura o 2 2 Curingas o o o o o 3 3 2 i N amp 3 2 1 Conflitos de DMA e 3 3 3 I O Porta de Entrada Sa da 3 4 Hardwares configur veis j e 3 4 1 Jumpers do dip switches jumperless e Plug ooooooo olaaa
218. INT O IRQ 10 MODE E Descomentamos e aceitamos o valor acima pois n o entra em conflito com nenhum outro dispositivo do sistema Logical device decodes 16 bit IO address lines Minimum IO base address 0x0168 Maximum IO base address 0x0168 IO O SIZE 8 BASE 0x0168 Descomentamos e aceitamos o valor acima pois n o entra em conflito com nenhum outro dispositivo do sistema Logical device decodes 16 bit IO address lines Minimum IO base address 0x036e Maximum IO base address 0x036e IO base alignment 1 bytes Number of IO addresses required 2 IO 1 SIZE 2 BASE 0x036e Descomentamos e aceitamos o valor acima pois n o entra em conflito com nenhum outro dispositivo do sistema End dependent functions NAME CTLO028 268565341 1 IDE F ACT Y Descomentando esta linha a placa IDE da Sound Blaster passar a funcionar como IDE quarten ria de acordo com os recursos passados W 33 FERE TE FE E FE FE TE FE TE FE E FE EE TE FE TE FE E FE EEE E E E E E EE E E E Logical device id CTL7001 Descomente os valores desejados abaixo selecionando a configura o requerida Note que o valor padr o equivale ao primeiro par metro dispon vel Minimum CONFIGURE inicia um bloco de configura o e finaliza com ACT Y Para ativar as configura es selecionadas basta descomentar a linha ACT Y no final do bloco de configura o CONFIGURE CTL0028 268565341 LD 3 Compati
219. K at reiniciar o computador Quando for mostrada a tela pedindo o nome senha preencha com os dados da conta de usu rio que criou no servidor No campo dom nio coloque o dom nio que esta conta de usu rio pertence e tecle lt Enter gt Voc ver o script de logon em a o caso esteja configurado e a m quina cliente agora faz parte do dom nio Tente acessar um outro computador da rede e navegar atrav s do ambiente de rede Caso a lista de m quinas demore em aparecer tente acessar diretamente pelo nome do computador usando o seguinte formato icomputador 18 14 3 2 Windows XP Home Edition N o poss vel fazer o Windows XP Home Edition ser parte de um dom nio por causa de limita es desta vers o 332 18 14 3 3 Windows XP Professional Edition Primeiro siga todos os passos para ingressar a m quina em um grupo de trabalho como documentado em Windows XP Professional Edition Se o 18 14 2 3 Atualize o registro para permitir a entrada no dom nio 1 Copie o seguinte conte do para o arquivo WinXP Dom reg REGEDITA HKEY LOCAL MACHINENSYSTEMNCurrentControlSetlServices netlogoniparameters RequireSignOrSeal dword 00000000 SignSecureChannel dword 00000000 2 Execute o comando regedit WinXP Dom reg no cliente XP Entre nos tens em sequencia Painel de controle Ferramentas Administrativas Pol tica de seguran a local pol ticas locais e depois em op es de seguran
220. MULTICAST MTU 1500 M trica l IRQ 10 Endere o de E S 0x300 Note que o MAC Address da placa eth0 e etho 0 s o o mesmo indicando que a mesma interface atende ambos os IPs 4 Se necess rio ajuste as rotas ou gateway com o comando route veja Configurando uma rota no Linux Se o 4 5 1 74 Para desativar uma interface de rede virtual utilize a sintaxe ifconfig eth0 0 down OU ifdown eth0 0 caso esteja usando a Debian Se o teste com o ping n o funcionar verifique se possui o suporte a P Alias no kernel se o m dulo precisa ser carregado manualmente caso seu kernel n o esteja compilado com o kmod ou se existe um firewall restritivo bloqueando seu IP Na distribui o Debian a configura o de uma interface virtual pode ser feita de forma id ntica a interfaces est ticas padr o auto eth0 iface eth0 inet static address 192 168 1 1 netmask 255 255 255 0 network 192 168 1 0 broadcast 192 168 1 255 auto eth0 0 iface eth0 0 inet static address 172 16 0 1 netmask 255 255 0 0 network 172 16 0 1 broadcast 172 16 255 255 OBS1 Quando voc desativa uma interface f sica eth0 todas as interfaces virtuais tamb m s o desativadas OBS2 Caso utilize um firewall principalmente com a pol tica padr o permissiva esteja atento as modifica es que precisa realizar para n o comprometer a seguran a de sua m quina Caso tenha dados considerados seguros em sua m quina e esteja em d vida sobre as impli
221. Masquerading onde m quinas de uma rede interna podem acessar a Internet atrav s de uma m quina Linux redirecionamento de porta proxy transparente etc Esta se o abordar os tipos de NAT exemplos de como criar rapidamente uma conex o IP masquerading e entender como a tradu o de endere os funciona no iptables Se sua inten o ligar sua rede a Internet existem duas op es e Voc possui uma conex o que lhe oferece um endere o IP din mico a cada conex o dado um endere o IP como uma conex o PPP ent o o IP masquerading o que precisa veja Fazendo IP masquerading para os apressados Se o 10 4 2 oulFazendo IP Masquerading Se o 10 4 3 1 e Voc tem uma conex o que lhe oferece um endere o IP permanente ADSL por exemplo ent o o SNAT o que precisa vejalFazendo SNAT Se o 10 4 3 10 4 1 Criando um novo chain na tabela NAT O procedimento para cria o de um novo chain nesta tabela o mesmo descrito em chain N Se o 10 2 6 ser necess rio somente especificar a tabela nat t nat para que o novo chain n o seja criado na tabela padr o t filter iptables t nat N intra inter Que criar o chain cnamado intra inter na tabela nat Para inserir regras neste chain ser necess rio especificar a op o t nat 10 4 2 Fazendo IP masquerading para os apressados Voc precisar de um kernel com suporte ao iptables veja Se o 10 1 15le ip forward e ent o digitar
222. N pr pary N 6 m F N Restri es de Acesso 2 1 1 Autoriza o NO o 7 2 Autentica o 2 7 2 1 Criando um arquivo de Senhas 12 7 2 2 Autentica o atrav s de usu rios 12 7 2 3 Autentica o usando grupos 3 Usando autoriza o e autentica o junto 7 4 O arquivo htaccess 2 7 5 Usando a diretiva SetEnvlf com Allow e Den 2 1 6 diretiva lt Limit gt 2 1 1 Diretiva lt Limit xcept gt 8 Definindo documentos de erro personalizados 9 M dulos DSO ooo 72 O pare guro pura pra M NI prq NI do Apache 2 10 1 AgentLog 2 10 2 ErrorLog 2 10 3 CustomLog 2 10 4 RefererLog 2 10 5 RewriteLog 2 10 6 RewriteLogLeve 2 10 7 ScriptLog 2 10 8 ScriptLogBuffer 2 10 9 ScriptLogLengt 2 10 10 LogFormat 2 10 11 TransferLog 2 10 12 LogLevel 2 10 13 Anonymous LogEma 2 10 14 CookieLog 2 10 15 Relat rio gr fico de acesso ao sistema 2 11 1 Controlando o acesso ao servidor prox 2 11 2 Redirecionamento de conex es no Apache 12 Virtual Hosts a gt 4 h e IM eh O Er NI emb Q O h NO ss EN O emb N S Eq 2 12 1 Virtual hosts baseados em IP 2 12 2 Virtual hosts baseados em nom 2 12 3 Seguran a no uso de IP s em Virtual Hosts 13 Uso de criptografia SSL 2 13 1 Servidor apache com suporte a ss 2 13 2 Instalando o suporte a m dulo SSL no Apache 2 13 3 Gerando um certificado digita
223. NT 4 service pack3 o suporte a senhas criptografadas vem habilitado como padr o para login e utiliza o de servi os da rede N o recomend vel desativar o uso de senhas criptografadas mas se mesmo assim for necess rio veja Senhas criptografadas ou em texto puro Se o 18 12 15 Quando usamos senhas criptografadas elas s o armazenadas no arquivo etc samba smbpasswd ao inv s do etc passwd isto permite que possamos controlar as permiss es de usu rios separadamente das do sistema e diferenciar os logins do dom nio dos logins do sistema usu rios que possuem shell Caso tenha um servidor que j possua muitas contas de usu rios acessando em texto plano recomendo lerlMigrando de senhas texto plano para criptografadas Se o 18 8 1 para facilitar o processo de migra o de contas O utilit rio smbpasswd o programa utilizado para gerenciar este arquivo de senhas e tamb m o status de contas de usu rios m quinas do dom nio Siga estes passos para ativar o uso de senhas criptografadas no SAMBA 1 Edite o arquivo etc samba smb conf e altere as seguintes linhas na se o global para adicionar o suporte a senhas criptografadas global encrypt passwords true smb passwd file etc samba smbpasswd Alinha encrypt passwords true diz para usar senhas criptografadas e que o arquivo etc samba smbpasswd cont m as senhas smb passwd file etc samba smbpasswd Caso sua m quina seja apenas um cliente de rede
224. O valor padr o 5 139 10 6 3 Prote o contra ping da morte A regra abaixo pode tomada como base para prote o contra ping flood iptables t filter A ping chain p icmp icmp type echo request m limit limit 1 s j ACCEPT iptables t filter A ping chain j DROP A regra acima limita em 1 vez por segundo limit 1 s a passagem de pings echo requests para a m quina Linux iptables t filter A ping chain i ppp0 p icmp icmp type echo reply m limit limit 1 s j RETURN iptables t filter A ping chain DROP Limita respostas a pings echo reply vindos da interface pppO i ppp0 a 1 por segundo ATEN O O exemplo acima somente para a cria o de suas pr prias regras com limita es caso um pacote n o confira ele ser bloqueado pela pr xima regra Se uma regra como esta for colocada no chain INPUT sem modifica es ela n o ter o efeito desejado podendo colocar em risco a sua instala o pela falsa impress o de seguran a Portanto recomend vel sempre testar as modifica es para ter certeza que elas tem efeito 10 6 4 Prote o contra syn flood A regra abaixo uma boa prote o para os ataques syn floods iptables t filter A syn chain p tcp syn m limit limit 2 s j ACCEPT iptables t filter A syn chain j DROP Esta regra limita o atendimento de requisi es de conex es a 2 por segundo Outra forma de aumentar a seguran a contra syn floods atrav s do pr prio ke
225. OG log prefix FIREWALL SNAT unknown iptables t nat A POSTROUTING o eth0 d 192 168 1 0 24 j DROP Quando iniciamos uma conex o ppp obtermos um endere o classe A 10 x x x e ap s estabelecida a conex o real este endere o modificado O tr fego indo para a interface ppp n o dever ser bloqueado Os bloqueios ser o feitos no chain INPUT da tabela filter iptables t nat A POSTROUTING o ppp j ACCEPT Registra e bloqueia qualquer outro tipo de tr fego desconhecido iptables t nat A POSTROUTING j LOG log prefix FIREWALL SNAT iptables t nat A POSTROUTING j DROP EEIE ETE EE E FEAE AE AE AE FE E FE EAE E AE AE E AEE AE AE AE FE E E EEEE E E EE EEHEHE Tabela mangle FEAE EAE AE AE AEE AEE AE FE EEE Chain OUTPUT Define m nimo de espera para os servi os ftp telnet irc e DNS isto dar uma melhor sensa o de conex o em tempo real e diminuir o tempo de espera para conex es que requerem resolu o de nomes iptables t mangle A OUTPUT o ppp p tcp dport 21 j TOS set tos 0x10 iptables t mangle A OUTPUT o ppp p tcp dport 23 j TOS set tos 0x10 iptables t mangle A OUTPUT o ppp p tcp dport 6665 6668 j TOS set tos 0x10 iptables t mangle A OUTPUT o ppp p udp dport 53 j TOS set tos 0x10 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydson guiafoca org Guia Foca GNU Linux Gerenciamento de cont
226. OUTPUT filter gt POSTROUTING mangle 4 gt gt Quando damos o ping echo request os pacotes seguem o caminho em ENTRADA DE PACOTES percorrendo os chains na ordem especificada e retornam via SAIDA DOS PACOTES echo reply OBS1 Para qualquer opera o de entrada sa da de pacotes os dois chains da tabela mangle s o sempre os primeiros a serem acessados Isto necess rio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros 10 7 6 Conex o FTP de 192 168 1 4 para 192 168 1 1 Endere o de Origem 192 168 1 4 Endere o de Destino 192 168 1 1 Interface de Origem etho Interface de Destino etho Porta Origem 1030 Porta Destino 21 Protocolo TCP Descri o Conex o ftp at o prompt de login sem transfer ncia de dados 148 ENT RADA DOS PACOTES envio da requisi o vindas de 192 168 1 4 PR EROUTING mangle PR gt EROUTING nat gt INPUT fes gt INPUT mangle ilter SA DA DE PACOTE S respostas da requisi o acima para 192 168 1 4 OUTPUT mangle gt OUTPUT filter gt POSTROUTING mangle A requisi o ftp passa atrav s dos chains especificados em ENTRADA DOS PACOTES com o destino 192 168 1 1 porta 21 e r
227. Placa de rede NE 2000 por exemplo e N o h a necessidade de se reiniciar o sistema ap s a modificar a configura o de qualquer perif rico ou par metros de rede Somente necess rio reiniciar o sistema no caso de uma instala o interna de um novo perif rico falha em algum hardware queima do processador placa m e etc e N o precisa de um processador potente para funcionar O sistema roda bem em computadores 386Sx 25 com 4MB de mem ria RAM sem rodar o sistema gr fico X que recomendado 8MB de RAM J pensou no seu desempenho em um 486 ou Pentium e O crescimento e novas vers es do sistema n o provocam lentid o pelo contr rio a cada nova vers o os desenvolvedores procuram buscar maior compatibilidade acrescentar recursos teis e melhor desempenho do sistema como o que aconteceu na passagem do kernel 2 0 x para 2 2 x e N o requerida uma licen a para seu uso O GNU Linux licenciado de acordo com os termos da GPL 19 Acessa corretamente discos formatados pelo DOS Windows Novell 0S 2 NTFS SunOS Amiga Atari Mac etc Utiliza permiss es de acesso a arquivos diret rios e programas em execu o na mem ria RAM O LINUX N O VULNER VEL A V RUS Devido a separa o de privil gios entre processos e respeitadas as recomenda es padr o de pol tica de seguran a e uso de contas privilegiadas como a de root como veremos adiante programas como v rus tornam se in teis pois tem sua a
228. SmkK3unyhMUSGU9Id4 9IMNM3 fNgBt iEYEEBECAAYFAjnFWrYA CgkQ0ORwuc54x 1t8VOCeMZTCIa98rrI60EnlkAvb9AaScm4AnA4V795veVlr3ix9 f6fcl5YGamkKciEYEEBECAAYFAjvSF6SACgkQUZATEOypagPVQ7wCbBTRiSGGMzMTd KJot fRKf5aoUAr0AOIAX00E5XEEFm7Ea0IQgG91TITVXtDtHLGV5ZHNvbiBNYXpp b2xpIGRhIFNpbHZhIChEZXZ1bG9wZXIpIDxnbGV5ZHANvbkBkZWJpYW4ub3JnPohX BBMRAgAXBOI BR7fBOSHC9MEAxUDA9gMWAgECF4AACgkQpWvD35hbooESRACCcCIIiY yxROZKEBYs8cxKav9LOwlzwAn2Z9DWAbqi 9Mv4 faPqgZImViSMRbeiEYEEBECAAYE AjsauX0ACgkOt lanjIgabEvBEAC ffJxYfK22YPQ8ZkcjIc85BCiPLuVANRqIEE9i ukdUHPUoOvzHBeiN355miEYEEBECAAYFAjxEY28ACgkOGERS iaKCE2fgwCeNGNV MpalEWgXF Hjl5gidVjaVCAAn187X6eATJAVzspveNSf Ny1liuFnuQENBDITWasQ BACxhBiSFOGaStv7MOn0OXVa6WCViBuOs90Jx22nMrx KssRHMsNXnps i zVENqgr 1Lz5zPpP7eWgrUyv6B7 V9R4LV8nwHC1llZrR 1xyJ6G5j9RLSbYInZCLIAFUMIAar iTTAMhvXM Pf7SXPj ivrP9EYPSLxgTs1lkK dWAbrDK QiwADBOP9Hgc3E0Ow 71uB bxWss0p70bF9yvZLCGOgIE rZIbOxumXkPIV7FTDgv h47Bgcj2KDPEM98LUyxG GcJAmrC9gWH7mYEUFNn1IbGD qHRwJ7 x 45NXBJUDOBbHzTDS8QhacCRGWICVRVgP 8ycPDOv hmGfAJEzqgzUkSOluBcPmmXSIR9gOYEQIABgUCOXt ZqwAKCRCla8PfmFui g0HnAJ4kDKHKvG9s90jGV6RvszTDGE5SligCeCczn0rO Sildek97bTCIusQzIF pA bvnT PERAE END PGP PUBLIC KEY BLOCK Guia Foca GNU Linux Vers o 6 40 d
229. T MASQUERADE M n 2 REDIRECT target support CONFIG IP NF TARGET REDIRECT M n Packet mangling CONFIG IP NF MANGLE M n y 2 TOS target support CONFIG IP NF TARGET TOS M n 2 ARK target support CONFIG IP NF TARGI MARK M n 2 LOG target support CONFIG IP NF TARGET LOG M n y TCPMSS target support CONFIG IP NF TARGET TCPMSS M n y E Esta configura o permite que voc n o tenha problemas para iniciar o uso e configura o do seu firewall iptables ela ativa os m dulos necess rios para utiliza o de todos os recursos do firewall iptables Quando conhecer a fun o de cada um dos par metros acima durante o decorrer do texto voc poder eliminar muitas das op es desnecess rias para seu estilo de firewall ou continuar fazendo uso de todas E OBS1 A configura o acima leva em considera o que voc N O executar os c digos antigos de firewall ipfwadm e ipchains Caso deseje utilizar o ipchains ou 0 ipfwadm ser preciso responder com M a quest o IP tables support required for filtering masq NAT CONFIG IP NF IPTABLES Ser necess rio carregar manualmente o m dulo correspondente ao firewall que deseja utilizar modprobe iptables filter o no caso do iptables N o execute mais de um tipo de firewall ao mesmo tempo OBS2 recomend vel ativar o daemon kmod para carga autom tica de m dulos caso contr rio ser
230. UART um modem destes inicia uma transmiss o de um arquivo a 57 600 a tend ncia sua taxa de transfer ncia ir caindo na medida que um arquivo transferido at se estabilizar em 21 25 Kbps Assim o usu rio t pico do Windows n o obt m um multi processamento t o intensivo como um usu rio do Linux o fabricante espera que aquele usu rio do Windows simplesmente n o note a carga de trabalho que este hardware p e naquela CPU No entanto qualquer sistema operacional de multi processamento at mesmo Windows 95 98 ou NT s o prejudicados quando fabricantes de perif ricos retiram o processador embutido de suas placas e colocam o processamento do hardware na CPU Voc pode ajudar a reverter esta situa o encorajando estes fabricantes a lan arem a documenta o e outros recursos necess rios para n s desenvolvermos drivers para estes hardwares mas a melhor estrat gia simplesmente evitar estes tipos de hardwares at que ele esteja listado no HOWTO de hardwares compat veis com Linux Note que hoje j existem muitos drivers para WinModems e outros hardwares for Windows para o Linux Veja a lista de hardwares compat veis no HARDWARE HOWTO ou procure o driver no site do fabricante de seu dispositivo Mesmo assim a dica evitar hardwares for Windows e comprar hardwares inteligentes onde cada um faz sua fun o sem carregar a CPU 3 10 Dispositivos espec ficos para GNU Linux Esta se o foi retirada do manual de instala
231. UITO importante entender a fun o de cada filtro e a ordem de acesso dos chains de acordo com o tipo de conex o e interface de origem destino Esta se o explica a ordem que as regra s o atravessadas isso lhe permitir planejar a distribui o das regras nos chains e evitar erros de localiza o de regras que poderia deixar seu firewall com s rios problemas de seguran a ou um sistema de firewall totalmente confuso e sem l gica Nos exemplos abaixo assumirei a seguinte configura o e A m quina do firewall com iptables possui o endere o IP 192 168 1 1 e conecta a rede interna ligada via interface etho a internet via a interface pppo e Rede interna com a faixa de endere os 192 168 1 0 conectada ao firewall via interface etho e Interface ppp0 fazendo conex o com a Internet com o endere o IP 200 217 29 67 e A conex o das m quinas da rede interna eth0 com a rede externa ppp0 feita via Masquerading Tamb m utilizarei a sintaxe CHAIN tabela para fazer refer ncia aos chains e tabelas dos blocos ASCII INPUT filter chain INPUT da tabela filter ATEN O A ordem de processamento das regras do iptables diferente do ipchains devido a inclus o do novo sistema de nat e da tabela mangle 144 10 7 1 Ping de 192 168 1 1 para 192 168 1 1 Endere o de Origem 192 168 1 1 Endere o de Destino 192 168 1 1 Interface de Entrada 1o Interface de Sa da 10 Protocolo ICMP Descri o Ping para o pr prio firew
232. We0731 1456 Todos os dias da semana a partir de Quarta de 07 31 da manh as 14 56 da tarde AlJMo0000 2400 Todos os dias da semana exceto segunda feira Por padr o o acesso garantido a todos os usu rios Abaixo um exemplo de restri es usando o etc security time conf Bloqueia o login do usu rio userl ou user2 em qualquer tty a restri o durante todos os dias de 00 00 as 06 30 login tty userl user2 A10000 0630 Bloqueia o acesso do usu rio root ao servi o login nos terminais tty e n o nos terminais ttyp nos finais de semana login tty amp Ittyp root wWd0000 2400 O usu rio 1 n o poder efetuar o login as ter as feiras de 00 00 as 06 00 login tty userl Tu0000 0600 OBS1 Mesmo se existir uma regra autorizando o acesso ao usu rio as restantes ser o verificadas em busca de uma que bloqueie o acesso do usu rio Se nenhuma regra conferir o usu rio ter acesso garantido OBS2 Quando as restri es de tempo s o ativadas no etc security time conf 0 daemon logoutad poder ser ativado manualmente atrav s de etc init d logoutd para monitora as restri es neste arquivo for ando o logout de usu rio de acordo com as configura es do etc security time conf Isto ocorrer automaticamente na pr xima vez que iniciar o sistema a distribui o detecta a presen a de restri es de tempo no arquivo etc security time conf para decidir se deve ou n o carregar este daemon 348 Quand
233. a es realizadas ao longo do desenvolvimento permitindo voltar a uma vers o anterior ou ver as mudan as entre elas facilmente Imagine uma situa o onde voc est desenvolvendo um programa de computador e ap s a ltima modifica o ele para de funcionar Com o CVS poss vel ver o que foi modificado e voltar at a vers o que estava funcionando para consertar o problema No desenvolvimento de documenta o e tradu o o CVS tamb m desempenha um papel importante pois com ele o tradutor pode ver o que foi modificado entre a vers o do documento original que ele usou para tradu o e uma vers o recente traduzindo apenas as diferen as Uma se o de cvs feita de modo interativo atrav s do comando cvs Por exemplo e logar no sistema cvs login e baixar um projeto cvs checkout projeto Cada comando do cvs ser explicado em detalhes no decorrer deste cap tulo 250 17 1 1 Vers o A vers o do cvs documentada no guia a 1 11 1 As explica es aqui certamente ser o compat veis com vers es posteriores deste programa 17 1 2 Hist ria O cvs uma substitui o do sistema RCS Revision Control System ele possui mais recursos e foi criado sendo compat vel com o RCS A hist ria do CVS extra da de sua info page que ele foi iniciado a partir de um conjunto de scripts shell escritos por Dick Grune que foram postados ao grupo de not cias comp sources unix no volume 6 de Dezembro de 1986 Na vers o a
234. a Na janela de op es de seguran a desative as op es Encriptar digitalmente ou assinar um canal seguro sempre Desativar modifica es de senha na conta de m quina e Requer chave de se o forte Windows 2000 ou superior Reinicie a m quina Ap s reiniciar a m quina volte na tela de altera o de identifica o de m quina na rede Clique com o mouse em Dom nio e digite o nome do dom nio na caixa de di logo Na tela seguinte ser lhe pedido o nome de usu rio e senha com poderes administrativos que podem inserir remover m quinas do dom nio Clique em OK e aguarde a mensagem confirmando sua entrada no dom nio Ser necess rio reiniciar a m quina ap s concluir este passo 18 14 3 4 Windows XP Server Edition Siga os procedimentos documentados em Windows XP Professional Edition Se o 18 14 3 3 18 14 3 5 Windows NT WorkStation Veja os passos em Windows NT Server Se o 18 14 3 6 18 14 3 6 Windows NT Server Clique no item Rede do painel de controle Na tab Servi os confira se os servi os Esta o de trabalho Interface de NetBIOS e Servi os TCP IP simples est o instalados Caso n o estejam fa a sua instala o usando o bot o Adicionar nesta mesma janela Na tab Protocolos verifique se os protocolos NetBEUI e TCP IP est o instalados Caso n o estejam fa a sua instala o clicando no bot o Adicionar nesta mesma janela Na tab identifica o clique no bot o Alterar Na janela que se ab
235. a Recomendo n o levar em considera o que isto seja a solu o definitiva contra IP spoofing pois poss vel falsificar o MAC address de uma interface para tomar outra identidade Este m todo poder ser aplicado para fornecer um maior la o de confian a por hardware entre as m quinas que comp em uma rede de servidores Ele tamb m evita mesmo que uma m quina configurada de forma err nea tenha acesso indevido ao servidor ou em uma situa o extrema se torne o gateway da rede Para restringir as conex es para uma m quina Linux por MAC address utilize o firewall iptables Com ele ser permitido fazer a restri o por servi os criando uma barreira bastante chata para crackers tentarem se conectar a um servi o Como refer ncia leia a se o Especificando o endere o MAC da interface Se o 10 6 7 Outra situa o a restri o por par MAC IP usando o pr prio cache arp da m quina usando entradas est ticas de endere os Um exemplo deste uso quando voc extremamente paran ico ou quando uma rede que utiliza algum m todo de autentica o baseado no rhost s como o caso do sistema de backup do Amanda ent o importante dizer para as m quinas servidoras qual o MAC address IP privilegiado que ter o acesso ao usu rio para conex o sem senha O local padronizado para definir um MAC est tico e bastante desconhecido da maioria dos administradores de sistemas o etc ethers O formato deste arquivo o
236. a dizer qual o endere o IP do servidor que est servindo os virtual hosts baseados em nome Veja o exemplo de configura o NameVirtualHost 200 200 200 10 80 lt VirtualHost default 80 200 200 200 10 80 gt ServerName www site com br ServerAdmin adminfsite com br DocumentRoot var www TransferLog var log apache access log ErrorLog var log apache error log lt VirtualHost gt lt VirtualHost 200 200 200 10 gt ServerName www sitel com br ServerAdmin adminlf sitel com br DocumentRoot var www www sitel com br TransferLog var log apache sitel access log ErrorLog var log apache sitel error log lt VirtualHost gt lt VirtualHost 200 200 200 10 gt ServerName www site2 com br ServerAdmin admin2fsite2 com br DocumentRoot var www www site2 com br TransferLog var log apache site2 access log ErrorLog var log apache site2 error log lt VirtualHost gt 199 A diretiva NameVirtualHost diz que ser usado virtual hosts baseados em nome servidos pela m quina com IP 200 200 200 10 Os par metros dentro do bloco das diretivas lt VirtualHost gt s o espec ficas somente no site virtual especificado caso contr rio os valores padr es definidos no arquivo de configura o ser o usados Caso nenhum virtual host confira com a configura o o virtualhost default ser usado Digite apache s para ver suas configura es de virtual hosts atual Se sua inten o criar um grande n mero de virtual hos
237. a ou estar rigidamente protegido tendo que passar por diversas barreiras para chegar ao seu conte do como senhas endere o de origem interfaces usu rio autorizados permiss es de visualiza o etc 271 O guia Foca Linux abordar estes assuntos com detalhes e explicar didaticamente como tornar seguro seu servidor samba e garantir um minucioso controle de acesso a seus compartilhamentos 18 2 5 Mapeamento Mapear significa pegar um diret rio arquivo impressora compartilhado por alguma m quina da rede para ser acessada pela m quina local Para mapear algum recurso de rede necess rio que ele seja compartilhado na outra m quina veja Compartilhamento Se o 18 2 4 Por exemplo o diret rio usr compartilhado com o nome usr pode ser mapeado por uma m quina Windows como a unidade F ou mapeado por uma m quina Linux no diret rio mnt samba O programa respons vel por mapear unidades compartilhadas no Linux O smbmount e smbclient vejalLinux Se o 18 14 2 9 18 2 6 Navega o na Rede e controle de dom nio Esta fun o controlada pelo nmbd que fica ativo o tempo todo disponibilizando os recursos da m quina na rede participando de elei es NetBIOS N veis de sistema para elei o de rede Se o 18 2 12 fazer logon de m quinas no dom nio Uma breve introdu o a um Dom nio de rede Se o 18 7 1 etc A fun o de navega o na rede feita utilizando o compartilhamento TPcS Este co
238. a 15000 para mapeamento e UIDs dos usu rios do dom nio para usu rios locais winbind gid Especifica o intervalo de GIDs que ser usado para mapear os nomes de grupos remotos do dom nio como GIDs locais Como no par metro winbind uid voc dever ter certeza que esta faixa de GIDs n o est sendo usada em seu sistema OBS Atualmente SAMBA n o possui suporte a grupos globais apenas para usu rios globais desta forma os grupos da m quina remota n o ser o trazidos para o sistema Uma forma de contornar isto utilizando o LDAP ou o NIS no PDC e nos clientes Linux winbind enum users Permite enumerar usu rios do winbind para retornarem dados quando solicitados A n o ser que possua uma instala o parecida em todas as m quinas como com o uso de LDAP e NIS responda yes para n o ter problemas winbind enum groups Permite enumerar grupos do winbind para retornarem dados quando solicitados A n o ser que possua uma instala o parecida em todas as m quinas como com o uso de LDAP e NIS responda yes para n o ter problemas template homedir Quando o sistema cliente for um Windows NT ou baseado este diret rio ser retornado como diret rio de usu rio para o sistema O par metro D ser substitu do pelo nome do dom nio e U pelo nome de usu rio durante a conex o template shell Este ser o shell enviado para m quinas NT ou baseadas nele como shell usado para login O valor usado foi bin false pois desabilita os l
239. a configura o voc notar o poder da flexibilidade oferecida pelo samba na configura o de um servidor SMB Linhas iniciadas por ou s o tratadas como coment rio Quebras de linha pode ser especificadas com uma no final da linha 18 2 8 Se o global Os par metros especificados nesta se o tem efeito em todo o servidor samba incluindo os compartilhamentos Caso o par metro seja novamente especificado para o compartilhamento o valor que valer o do compartilhamento Por exemplo se guest user nobody for usado na se o global e o guest user foca for usado no compartilhamento focalinux o usu rio que far acesso p blico a todos os compartilhamentos do servidor ser o nobody exceto para o compartilhamento focalinux que ser feito pelo usu rio foca Veja Compartilhamento de arquivos e diret rios Se o 18 8 para obter uma lista e descri o dos principais par metros de compartilhamentos existentes Uma lista completa pode ser obtida na p gina de manual do smb conf Irei descrever alguns par metros utilizados nesta se o organizado de forma did tica e simplificada 279 18 2 8 1 Nomes e grupos de trabalho netbios name nome do servidor Especifica o nome NetBIOS prim rio do servidor samba Caso n o seja ajustado ele usar o hostname de sua m quina como valor padr o Ex netbios name focasamba workgroup grupo de trabalho dom nio Diz qual o nome do grupo
240. a configura o do apache est correta digitando apache t como usu rio root se tudo estiver correto com suas configura es ele retornar a mensagem Syntax OK OBS2 Se Options n o for especificado o padr o ser permitir tudo exceto MultiViews OBS3 Qualquer restri o afetar o diret rio atual e todos os seus sub diret rios Defina permiss es de sub diret rios espec ficos separadamente caso precise de um n vel de acesso diferente Veja tamb m a se o sobre arquivos OverRide htaccess para detalhes sobre este tipo de arquivo OBS4 A diretiva de acesso lt Directory gt n o afetar outros sistemas de arquivos montados dentro de seus subdiret rios Caso uma diretiva de acesso padr o n o seja especificada para outros sistemas de arquivos o acesso ser automaticamente negado 12 7 Restri es de Acesso A restri o de acesso do Apache feita atrav s de Autoriza o Autoriza o Se o 12 7 1 e Autentica o Autentica o Se o 12 7 2 Atrav s da autoriza o checado se o endere o rede especificada tem ou n o permiss o para acessar a p gina A autentica o requer que seja passado nome e senha para garantir acesso a p gina Os m todos de Autoriza o e Autentica o podem ser combinados como veremos mais adiante 174 12 7 1 Autoriza o A restri o de acesso por autoriza o controlado pelo m dulo mod access permite ou n o o acesso ao cliente de acordo com o ende
241. a de controle de acesso baseado no user agent etEnvIf User Agent MSIE EXPLODER Directory var www focalinux gt Options Indexes Order allow deny allow from all deny from env EXPLODER ErrorDocument 403 Explorer n o entra p gina com o conte do potencialmente perigoso ao Windows Directory gt A diretiva abaixo somente permite acesso a leitura do arquivo h supor fonte txt a pessoas que fornecerem o nome senha corretos que constam no arquivo passwdl Este bloco cont m um erro que a localiza o do arquivo da senha em um diret rio p blico voc dever adapta lo se n o quiser se ver em apuros A permiss o do diret rio de n vel superior prevalece sobre seus sub diret rios no caso as permiss es de focalinux a menos que sejam definidas op es de acesso espec ficas ao arquivo abaixo Location focalinux humor h supor fonte txt gt AuthName Piada de fonte de alimenta o AuthType basic AuthUserFile home gleydson public html passwdl Require valid user Satisfy all Location gt Libera o acesso a localiza o debian acessada atrav s de pub mirror debian definida no Alias acima Location debian gt Options Indexes order deny allow allow from all deny from all Location gt 220 use um navegador seguro para ter acesso a esta p gina 12 15 C digos HTTP Esta se o pode ser uma interessante refer ncia para a programa o e configura o da diretiva ErrorDocument etc 2xx Sucesso
242. a desativar a atualiza o da data de acesso para toda a parti o voc pode incluir a op o de montagem noatime no seu etc fstab dev hdal var spool ext2 defaults noatime 0 a 51 OBS O Linux utiliza tr s atributos de data para controle de arquivos e atime Data Hora de acesso atualizado toda vez que o arquivo lido ou executado e mtime Data Hora da modifica o atualizado sempre que alguma modifica o ocorre no arquivo ou no conte do do diret rio Esta mais interessante que a ct ime principalmente quando temos hardlinks e ctime Data Hora da ltima modifica o do inodo do arquivo Em parti es onde a grava o frequente como na pr pria var spool a desativa o do atributo atime al m de melhorar o desempenho do disco n o far muita falta 3 16 Perif ricos SCSI Hardwares SCSI Small Computer System Interfaces representam a tecnologia ideal para a transfer ncia de dados em alta velocidade e liga o de v rios perif ricos A taxa de transfer ncia especificada para dispositivos SCSI sempre a padr o se comparada a dispositivos IDE quando uma taxa de 66Mb s quase nunca atingida Estes dispositivos s o classificados em 3 categorias e SCSI I Usa um cabo de 25 condutores para a liga o de perif ricos Normalmente usado em scanners impressoras e outros dispositivos A taxa de transfer ncia n o muito alta se comparado aos outros tipos SCSI e SCSI II Tamb m chama
243. a fazer autentica o gerenciamento de contas controle de recursos dos usu rios no sistema em adi o ao tradicional sistema de acesso baseado em usu rios grupos Este recurso permite modificar a forma que um aplicativo autentica e define recursos para o usu rio sem necessidade de recompilar o aplicativo principal Os recursos que desejamos controlar restri es via PAM s o especificados 344 individualmente por servi os nos arquivos correspondentes em etc pam d e ent o os arquivos correspondentes em etc security s o usados para controlar tais restri es Nesta se o assumirei explica es dirigidas aos recursos controlados pelos arquivos em etc security A maioria das explica es s o baseadas em testes e nos pr prios exemplos dos arquivos de configura o do PAM 19 2 1 Descobrindo se um determinado programa tem suporte a PAM Um m todo simples de se determinar se um programa bin rio possui suporte a PAM executando o comando ldd programa Por exemplo ldd bin login libcrypt so 1l gt lib libcrypt so 1l 0x4001c000 libpam so 0 gt 1lib libpam so 0 0x40049000 libpam misc so 0 gt lib libpam misc so 0 0x40051000 libdl so 2 gt lib libdl so 2 0x40054000 libc so 6 gt lib libc so 6 0x40058000 lib ld linux so 2 gt lib ld linux so 2 0x40000000 Caso a biblioteca 1ibpam for listada o programa tem suporte a PAM compilado Programas que n o possuem suporte a PAM dever o ter o c d
244. a fazer logons no dom nio Quando este par metro definido para yes a m quina automaticamente tentar ser o PDC e logon pathe logon home definem respectivamente o diret rio de logon do pub profilesNT usuario NT e pub profiles usuario Win95 respectivamente Durante o logon a vari vel N ser substitu da pelo nome do servidor ou servidor de diret rios se for o caso e a vari vel su pelo nome do usu rio O sistema operacional de origem detectado no momento da conex o Isto significa que o usu rio poder ter 2 profiles diferentes de acordo com o tipo de sistema operacional cliente que estiver conectando e O diret rio home do usu rio ser mapeado para a unidade H logon drive h O par metro logon drive somente usado pelo NT 2000 XP e As op es preserve case short preserve case e case sensitive permite que os nomes dos arquivos diret rios tenham as letras mai sculas min sculas mantidas isto requerido para os profiles O compartilhamento dos 2 profiles pode ser feito sem tantos traumas mas isto n o ser explicado profundamente no guia pois o procedimento segue o mesmo padr o do NT sendo bastante documentado na internet Note que poss vel definir um servidor separado para servir os profiles para um dom nio modificando a vari vel N para apontar direto para a m quina Na m quina que armazenar os profiles basta definir o n vel de seguran a por servidor security server e o ender
245. a no pacote cvs doc 17 1 9 Iniciando o servidor reiniciando recarregando a configura o A nica configura o requerida quando o cvs executado via pserver Para isto necess ria a seguinte linha no arquivo etc inetd conf cvspserver stream tcp nowait 200 root usr sbin tcpd usr sbin cvs pserver Note que o par metro 200 indica quantas vezes o processo cvs poder ser executado por minuto no sistema Caso esse n mero seja excedido o servi o ser desabilitado e ser necess rio reiniciar o servidor inetd com o comando killall HUP inetd para reativar o servidor CVS pserver veja Vetc inetd conf Se o 4 7 2 1 cap tulo do ineta para detalhes Ajuste este valor de forma adequada ao seu servidor Veja o script cvs pserver sendo executado no final da linha Ele foi desenvolvido para lidar de forma mais inteligente com a configura o do servidor CVS pserver 17 1 10 Op es de linha de comando As seguintes op es s o aceitas pelo CVS z num Utiliza o gzip para fazer a transfer ncia compactada dos arquivos O valor especificado pode ser de 0 a 9 quanto maior o n mero maior o n vel de compacta o e uso da CPU Exemplo cvs z 3 checkout teste Oculta mensagens sobre recurs o de diret rio durante os comandos do CVS d reposit rio Permite especificar o reposit rio atrav s da linha de comando 253 e editor Define qual o editor de textos usado para registrar o texto de commits n Exec
246. a prote o onde qualquer usu rio existente no grupo adm automaticamente rejeitado e o usu rio baduser somente possui permiss o de leitura read list baduser win path win comment Disco do Windows volume 3CF434C invalid users fadm browseable ves read list baduser Compartilha o diret rio pub path pub com o nome publico publico A descri o Diret rio de acesso p blico associada ao compartilhamento com acesso somente leitura read only ves e exibido na janela de navega o da rede browseable yes O par metro public yes permite qu st compartilhamento seja acessado usando o usu rio nobody sem o fornecimento de senha publico path pub comment Diret rio de acesso p blico read only yes browseable ves public yes HE Compartilhamento especial utilizado para o logon de m quinas na rede inetlogon path pub samba netlogon logon bat read only yes Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux Restri es de acesso recursos e servi os Guia Foca GNU Linux Cap tulo 19 Restri es de acesso recursos e servi os 341 Este cap tulo documenta diversos m todos de fazer restri es de contas limita o de acesso interno externo de recursos por usu rios grupos login tempo m ximo ocioso e outros modos para limitar o uso de
247. a rede interna conectada via Masquerading Este exemplo n o t o complexo e cobre as expectativas mais comuns de pessoas que gostam de explorar os potenciais de rede no Linux ou satisfazer sua curiosidade Ele poder ser facilmente adaptado para atender outro tipo de necessidade A configura o assumida a seguinte 1 M quina do firewall com 2 interfaces de rede uma eth0 com o IP 192 168 1 1 que serve de liga o a sua rede Interna a outra ppp0 que a interface Internet 2 Qualquer acesso externo a m quinas da rede interna bloqueado Os usu rios da rede local tem acesso livre ao servidor Linux 4 Qualquer acesso externo a m quina do firewall bloqueado exceto conex es para o servi o Apache httpd Outras tentativas de conex es devem ser explicitamente registradas nos logs do sistema para conhecimento do administrador 5 Todos os usu rios possuem acesso livre a Internet via Masquerading exceto que o acesso para o servi o www deve ser obrigatoriamente feito via squid e o servidor smtp a ser usado dever ser o do firewall Linux 6 Prioridades ser o estabelecidas para os servi os de telnet IRC talk e DNS w bin sh Modelo de configura o de firewall Autor Gleydson M Silva Data 05 09 2001 Descri o Produzido para ser distribu do livremente acompanha o guia Foca GNU Linux http www guiafoca org 3E e H assumido um sistema usando kmod para carga autom tica dos m dulos usado
248. a regra importante N o ofere a servi os de rede que n o deseja utilizar Muitas distribui es vem configuradas com v rios tipos de servi os que s o iniciados automaticamente Para melhorar mesmo que insignificantemente o n vel de seguran a em seu sistema voc deve editar se arquivo etc inetd conf e comentar colocar uma as linhas que cont m servi os que n o utiliza 66 Bons candidatos s o servi os tais como she11 login exec uucp ftp e servi os de informa o tais como finger netstat e sysstat Existem todos os tipos de mecanismos de seguran a e controle de acesso eu descreverei os mais importantes deles 4 8 1 etc ftpusers O arquivo etc ftpusers um mecanismo simples que lhe permite bloquear a conex o de certos usu rios via ftp O arquivo etc ftpusers lido pelo programa daemon ftp ftpd quando um pedido de conex o recebido O arquivo uma lista simples de usu rios que n o tem permiss o de se coneciar Ele se parece com etc ftpusers login de usu rios bloqueados via ftp root uucp bin mail 4 8 2 etc securetty O arquivo etc securetty lhe permite especificar que dispositivos tty que o usu rio root pode se conectar O arquivo etc securetty lido pelo programa login normalmente bin 1ogin Seu formato uma lista de dispositivos tty onde a conex o permitida em todos os outros a entrada do usu rio root bloqueada etc securetty terminais que o usu
249. a tendem a usar o usu rio root para fazer tarefas como conex o com internet utiliza o da placa de som modem etc e as vezes nem sabem que isso pode ser feito atrav s do mesmo usu rio adicionando este a um grupo espec fico Esta tarefa pode ser feita com o comando adduser usu rio grupo ou editando manualmente os arquivos etc group e etc gshadow Podemos ter as seguintes situa es facilitadas com o uso de grupos 350 e Usar a placa de som Os dispositivos usados pela placa de som como dev audio dev dsp dev sndstat etc normalmente tem permiss o leitura grava o para o usu rio root e grupo audio cheque com o comando 1s la dev audio Para autorizar determinados usu rios usar a placa de som basta adiciona los neste grupo adduser usuario audio e Conectar a Internet Normalmente o utilit rio ppp tem as permiss es SUID root e grupo dip Adicionamos o usu rio a este grupo adduser usuario dip Agora ele poder conectar desconectar a internet sem a interven o do usu rio root OBS Certamente o usu rio ter acesso aos arquivos de configura o da discagem do ppp e consequentemente a senha de conex o internet e esta senha a mesma usada no e mail prim rio do provedor com o mesmo nome da conta Esta mesma situa o pode acontecer com outros programas que autorize o acesso a grupos importante que conhe a bem as permiss es do programa e entender se existem riscos e Utilizar o modem Um bom grupo para perm
250. acotes deste tipo significa bloquear novas conex es Pacotes de conex es j estabelecidas ainda s o permitidos 151 Estas regras acima servem para quem n o deseja NENHUM acesso indevido a sua m quina Existem outras formas de bloquear conex es de modo mais seletivo usando chains espec ficos endere os de origem destino portas etc este tipo de configura o muito usada caso precise fornecer algum tipo de servi o que seja acess vel externamente e protegendo outros 10 8 2 Monitorando tentativa de conex o de trojans em sua m quina As regras abaixo alertam sobre a tentativa de conex o dos trojans For Win mais conhecidos Coloquei isto aqui por curiosidade de algumas pessoas pois m quinas Linux s o imunes a este tipo de coisa E bin sh TROJAN PORTS 12345 31336 31337 31338 3024 4092 5714 5742 2583 8787 5556 5557 iptables t filter N trojans in for PORTA in S TROJAN PORTS do iptables A trojans in p tcp sport 1024 dport S PORTA j LOG N log prefix FIREWALL Trojan S PORTA iptables A trojans in p tcp sport 1024 dport S PORTA j DROP done iptables t filter A INPUT i ppp0 j trojans in A primeira linha do iptables cria o chain trojans in dentro da tabela filter que usaremos para armazenar nossas regras de firewall A segunda dentro do la o for faz uma regra de LOG para registrar as tentativas de acesso de trojans em nosso sistema a terceira rejeita o acesso A qua
251. ada Esta interrup o usada pela primeira controladora de discos r gidos e n o pode ser compartilhada Esta a interrup o usada pela segunda controladora de discos e n o pode ser compartilhada Pode ser usada caso a segunda controladora esteja desativada 26 Dispositivos ISA VESA EISA SCSI n o permitem o compartilhamento de uma mesma IRQ talvez isto ainda seja poss vel caso n o haja outras op es dispon veis e ou os dois dispositivos n o acessem a IRQ ao mesmo tempo mas isto uma solu o prec ria Conflitos de IRQ ocorrem quando dois dispositivos disputam uma mesma IRQ e normalmente ocasionam a parada ou mal funcionamento de um dispositivo e ou de todo o sistema Para resolver um conflito de IRQs deve se conhecer quais IRQs est o sendo usadas por quais dispositivos usando cat proc interrupts e configurar as interrup es de forma que uma n o entre em conflito com outra Isto normalmente feito atrav s dos jumpers de placas ou atrav s de software no caso de dispositivos jumperless ou plug and play Dispositivos PCI s o projetados para permitir o compartilhamento de uma mesma IRQ pois as manipulam de forma diferente Se for necess rio usar uma interrup o normal o chipset ou BIOS mapear a interrup o para uma interrup o normal do sistema normalmente usando alguma interrup o entre a IRQ 9 e IRQ 12 3 3 1 1 Prioridade das Interrup es Cada IRQ no sistema tem um n mero que iden
252. administrador do sitef n o ter acesso ao httpd conf p gina do site2 porque ele estar rodando sob uma UID e GID diferentes e o acesso restrito Para usar este m todo especifique a op o f arquivo cfg para utilizar um arquivo de configura o personalizado e a diretiva Listen endere o porta para dizer onde o servidor aguardar as requisi es As vantagens do uso de um mesmo daemon para servir as requisi es s o quando n o h problema se os administradores de outros sites tenham acesso ao mesmo arquivo de configura o ou quando h a necessidade de servir muitas requisi es de uma s vez quanto menos servidores web estiverem em execu o melhor o desempenho do sistema Abaixo um exemplo de configura o de virtual hosts servindo os sites www sitel com br e www site2 com br ServerAdmin webmasterfsite com br lt VirtualHost www sitel com br gt ServerName www sitel com br ServerAdmin sitelfsitel com br DocumentRoot var www www sitel com br TransferLog var log apache sitel access log ErrorLog var log apache sitel error log User www data Group www data lt VirtualHost gt lt VirtualHost www site2 com br gt ServerName www site2 com br DocumentRoot var www www site2 com br CustomLog var log apache site2 access log combined ErrorLog var log apache site2 error log lt VirtualHost gt 198 Qualquer diretiva dentro de lt VirtualHost gt controlar o ter o efeito no site virtual esp
253. ado a op o Options dentro de uma das diretivas acima a fun o desta diretiva controlar os seguintes aspectos da listagem de diret rios All Todas as op es s o usadas exceto a MultiViews a padr o caso a op o Options n o seja especificada ExecCGI Permite a execu o de scripts CGI FollowSymLinks O servidor seguir links simb licos neste diret rio o caminho n o modificado Esta op o ignorada caso apare a dentro das diretivas lt Location gt lt LocationMatch gt e lt DirectoryMatch gt Includes permitido o uso de includes no lado do servidor IncludesNOEXEC permitido o uso de includes do lado do servidor mas o comando exec e include de um script CGI s o desativados Indexes Se n o existir um arquivo especificado pela diretiva lt DirectoryIndex gt no diret rio especificado o servidor formatar automaticamente a listagem ao inv s de gerar uma resposta de acesso negado MultiViews Permite o uso da Negocia o de conte do naquele diret rio A negocia o de conte do permite o envio de um documento no idioma requisitado pelo navegador do cliente SymLinkslfOwnerMatch O servidor somente seguir links simb licos se o arquivo ou diret rio alvo tiver como dono o mesmo user ID do link Esta op o ignorada caso apare a dentro das diretivas lt Location gt lt LocationMatch gt e lt DirectoryMatch gt M ltiplos par metros para Options podem ser especificados atrav s de espa
254. ado pode ser CORE COREPLUS LANMAN1 LANMAN2 ou NT1 288 d A identifica o de processo do processo atual do servidor a A arquitetura da m quina remota Somente algumas s o reconhecidas e a resposta pode n o ser totalmente confi vel O samba atualmente reconhece Samba Windows for Workgroups Windows 95 Windows NT e Windows 2000 Qualquer outra coisa ser mostrado como UNKNOWN desconhecido Yol O endere o IP da m quina do cliente T A data e hora atual Y g var ambiente Retorna o valor da vari vel de ambiente especificada 18 3 Compartilhamento de arquivos e diret rios Esta se o documenta como disponibilizar arquivos e impressoras com o SAMBA e os par metros usados para realizar restri es de compartilhamento modo que os dados ser o disponibilizados e tens de performance A maior parte destes par metros s o empregados em servi os do SAMBA mas nada impede que tamb m sejam colocado na se o global do arquivo de configura o principalmente quando isto v lido para diversos servi os compartilhados veja Se o global Se o 18 2 8 18 3 1 Descri o de par metros usados em compartilhamento Abaixo o guia traz algumas das op es que podem ser usadas para controlar o comportamento do compartilhamento de arquivos por servi os no servidor SAMBA path Indica o diret rio que ser compartilhado Lembre se que o usu rio ter as permiss es de acesso que ele teria caso estivesse
255. ados Leia Arquivos e daemons de Log Cap tulo 6 para mais detalhes 2 1 1 Destruindo arquivos parti es de forma segura Esta se o tem a inten o de conscientizar o administrador do uso devido de t cnicas para garantir que dados sens veis sejam apagados de forma segura em seu sistema Quando um arquivo apagado apenas a entrada na tabela de inodes mexida e ele pode ainda ser recuperado com o debugfs e um pouco de paci ncia e engenharia O mesmo acontece com as parti es que podem ser recuperadas com facilidade isto explicado no n vel Intermedi rio do guia Esta recupera o proporcionada pelas regras de funcionamento do sistema de arquivos e do esquema de particionamento ou seja s o permitidas pelo SO 21 Vou um pouco mais al m O disco r gido uma m dia magn tica e opera de forma mec nica para ler gravar dados Quando um arquivo apagado seja por qualquer motivo ainda poss vel recupera lo O que permite isto porque o HD nem sempre tem a precis o de gravar exatamente no mesmo lugar pois a cabe a movida mecanicamente gravando em trilhas microsc picamente vizinhas a anterior Ent o a imagem do arquivo que foi apagada continua l Segundo ouvi falar a NASA possui recursos para recuperar at 60 regrava es posteriores no disco claro que isto pode ocorrer em pouco tempo dependendo do tamanho de sua parti o e se esta for uma var spool em um servidor de e mails Baseado nes
256. ados em nmblookup Se o 18 14 2 9 3 e 18 2 3 Dom nio O funcionamento semelhante ao grupo de trabalho com a diferen a que a seguran a controlada pela m quina central PDC usando diretivas de acesso e grupos O PDC Primary Domain Controller dever ter todas as contas de acesso que ser o utilizadas pelo usu rio para acessar os recursos existentes em outras m quinas script de logon que poder ser executado em cada m quina para fazer ajustes sincronismo manuten o ou qualquer outra tarefa programada pelo administrador do sistema Estas caracter sticas para configura o de m quinas em dom nio s o documentadas passo a passo em Uma breve introdu o a um Dom nio de rede Se o 18 7 1 18 2 4 Compartilhamento Um compartilhamento um recurso da m quina local que disponibilizado para acesso via rede que poder ser mapeada veja Mapeamento Se o 18 2 5 por outra m quina O compartilhamento pode ser um diret rio arquivo impressora Al m de permitir o acesso do usu rio o compartilhamento pode ser protegido por senha e ter controle de acesso de leitura grava o monitora o de acessos diret rios ocultos autentica o via PDC dom nio e outras formas para restringir e garantir seguran a na disponibiliza o dos dados veja Controle de acesso ao servidor SAMBA Se o 18 12 para aprender os m todos de como fazer isto Um compartilhamento no SAMBA pode ser acess vel publicamente sem senh
257. afio Autentica o baseada em senha A autentica o usando Rhosts normalmente desativada por ser muito insegura mas pode ser ativada no arquivo de configura o do servidor se realmente necess rio A seguran a do sistema n o melhorada a n o ser que os servi os rshd rlogind rexecd e rexd estejam desativados assim O rlogin e rsh ser o completamente desativados na m quina Protocolo SSH vers o 2 A vers o 2 funciona de forma parecida com a 1 Cada m quina possui uma chave RSA DSA espec fica usada para se identificar A diferen a que quando o sshd inicia ele n o gera uma chave de servidor A seguran a de redirecionamento oferecida atrav s da concord ncia do uso de uma chave Diffie Hellman Esta concord ncia de chave resulta em uma se o com chave compartilhada O resto da se o encriptada usando um algoritmo sim trico como Blowfish 3DES CAST 128 Arcfour 128 bit AES ou 256 bit AES O cliente que seleciona o algoritmo de criptografia que ser usado entre os oferecidos pelo servidor A vers o 2 tamb m possui integridade de se o feita atrav s de um c digo de autentica o de mensagem criptogr fica hmac sha1 ou hmac md5 A vers o 2 do protocolo oferece um m todo de autentica o baseado em chave p blica Pubkey Authentication e o m todo de autentica o convencional usando senhas 15 3 8 Exemplo de sshd config com explica es das diretivas Abaixo segue um exemplo deste arquivo que p
258. aixo um exemplo de como se parece este arquivo loopnet 127 0 0 0 localnet 192 168 DO amprnet 44 0 0 0 Quando usar comandos como route se um destino uma rede e esta rede se encontra no arquivo etc networks ent o o comando route mostrar o nome da rede ao inv s de seu endere o 4 6 3 Executando um servidor de nomes Se voc planeja executar um servidor de nomes voc pode fazer isto facilmente Por favor veja o documento DNS HOWTO e quaisquer documentos inclu dos em sua vers o do BIND Berkeley Internet Name Domain 4 7 Servi os de Rede Servi os de rede o que est dispon vel para ser acessado pelo usu rio No TCP IP cada servi o associado a um n mero chamado porta que onde o servidor espera pelas conex es dos computadores clientes Uma porta de rede pode se referenciada tanto pelo n mero como pelo nome do servi o Abaixo alguns exemplos de portas padr es usadas em servi os TCP IP 21 FTP transfer ncia de arquivos 23 Telnet terminal virtual remoto 25 Smtp envio de e mails 53 DNS resolvedor de nomes 79 Finger detalhes sobre usu rios do sistema 63 e 380 http protocolo www transfer ncia de p ginas Internet e 110 Pop 3 recebimento de mensagens e 119 NNTP usado por programas de noticias O arquivo padr o respons vel pelo mapeamento do nome dos servi os e das portas mais utilizadas o etc services para detalhes sobre o seu formato veja a etc services
259. alid user lt Location gt Ao tentar acessar o endere o http servidor teste ser aberta uma janela no navegador com o t tulo Enter username for Acesso a p gina do Foca Linux at servidor org a diretiva Require valid user definem que o usu rio e senha digitados devem existir no arquivo especificado por AuthUserFile para que o acesso seja garantido Uma explica o de cada op o de acesso usado na autentica o AuthName Ser o nome que aparecer na janela de autentica o do seu navegador indicando qual rea restrita est solicitando senha podem existir v rias no servidor bastando especificar v rias diretivas de restri es AuthType Especifica o m todo de que o nome e senha ser o passados ao servidor Este m todo de autentica o pode ser Basic ou Digest e Basic Utiliza a codifica o base64 para encodifica o de nome e senha enviando o resultado ao servidor Este um m todo muito usado e pouco seguro pois qualquer sniffer instalado em um roteador pode capturar e descobrir facilmente seu nome e senha e Digest Transmite os dados de uma maneira que n o pode ser facilmente decodificada incluindo a codifica o da rea protegida especificada pela diretiva AuthName que possui a sequencia de login senha v lida A diferen a deste m todo que voc precisar de arquivos de senhas diferentes para cada rea protegida especificada por AuthName tamb m chamada de Realm AuthUserFile o arqu
260. all SA DA DE PACOTES envio do ping para 192 168 1 1 ENTRADA DOS PACOTES Retorno da resposta ping acima Quando damos o ping echo request os pacotes seguem o caminho em SA DA DE PACOTES percorrendo os chains na ordem especificada e retornam via ENTRADA DOS PACOTES echo reply No envio da resposta da requisi o de ping o caminho de sa da do pacote ignora os chains OUTPUT nat e POSTROUTING nat j que n o necess rio nat mas sempre processa os chains correspondentes da tabela mangle na ordem indicada acima OBS1 Para conex es com destinos na pr pria m quina usando um endere o IP das interfaces locais a interface ser ajustada sempre para 1o loopback OBS2 Em qualquer opera o de entrada sa da de pacotes os dois chains da tabela mangle s o sempre os primeiros a serem acessados Isto necess rio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros OBS3 O chain OUTPUT da tabela filter consultado sempre quando existem conex es se originando em endere os de interfaces locais 10 7 2 Conex o FTP de 192 168 1 1 para 192 168 1 1 Endere o de Origem 192 168 1 1 Endere o de Destino 192 168 1 1 Interface de Origem 10 Interface de Destino 1o Porta Origem 1404 Porta Destino 21 Protocolo TCP Descri o Conex o ftp at o prompt de login sem transfer ncia de arquivos 145 SA DA DOS PACOTES envio da requisi o para 192 168 1 1
261. almente para a pr xima regra o pacote n o nem considerado ACEITO ou REJEITADO RETURN Retorna o processamento do chain anterior sem processar o resto do chain atual QUEUE Passa o processamento para um programa a n vel de usu rio 10 3 6 1 Alvo REJECT Para ser usado o m dulo ipt REJECT deve ser compilado no kernel ou como m dulo Este alvo rejeita o pacote como o DROP e envia uma mensagem ICMP do tipo icmp port unreachable como padr o para a m quina de origem um alvo interessante para bloqueio de portas TCP pois em alguns casos da a impress o que a m quina n o disp e de um sistema de firewall o alvo DROP causa uma parada de muito tempo em alguns portscanners e tentativas de conex o de servi os revelando imediatamente o uso de um sistema 128 de firewall pela m quina O alvo REJECT vem dos tempos do ipchains e somente pode ser usado na tabela filter Quando um pacote confere ele rejeitado com a mensagem ICMP do tipo port unreachable poss vel especificar outro tipo de mensagem ICMP com a op o reject with tipo icmp OBS REJECT pode ser usado somente como alvo na tabela filter e n o poss vel especifica lo como policiamento padr o do chain filter como acontecia no ipchains Uma forma alternativa inserir como ltima regra uma que pegue todos os pacotes restantes daquele chain e tenha como alvo REJECT como iptables A INPUT j REJECT desta forma ele nunca atingir o policiament
262. amento de energia usando ACPI O ACPI Advanced Configuration and Power Interface Interface de Configura o e Gerenciamento de Energia Avan ado uma camada de gerenciamento de energia que opera a n vel de sistema operacional Apresenta os mesmos recursos que o APM e outros como o desligamento da m quina por teclas especiais de teclado controle de brilho e contraste de notebooks suspend para RAM suspend para disco redu o de velocidade de CPU manualmente monitoramento de perif ricos temperatura hardwares etc 44 Desta forma o ACPI varia de sistema para sistema em quest es relacionadas com suporte a recursos especiais estes dados s o armazenados em tabelas chamadas DSDT O Linux inclui suporte a recursos ACPI gen ricos entre placas m e recursos espec ficos devem ser extra dos diretamente da BIOS e disassemblados manualmente para a constru o de um kernel com suporte espec fico a tabela DSDT do hardware n o falarei das formas de se fazer disso aqui somente do suporte gen rico recomend vel pelo menos o uso do kernel 2 4 21 para suporte a ACPI Para compilar estaticamente marque com Y a op o ACPI depois marque os m dulos que voc quer que ele monitore button bot o power fan ventoinhas etc Se compilou como m dulo adicione o nome do m dulo acpi no arquivo etc modules N o h problema em compilar tamb m o suporte a APM pois n o causar problemas com um kernel com ACPI tamb m compilado C
263. an a empacotamento criptografia etc 1 1 Considera es sobre o n vel Avan ado Este guia foi compilado incluindo o n vel Avan ado do guia FOCA GNU Linux ele n o tem a inten o de oferecer detalhes completos sobre a configura o de servi os servidores aplicativos nem garantia que ele atender a determinada finalidade espec fica do usu rio principalmente de uma rede que depende de uma perfeita compreens o para adapta o de acordo com os requisitos de uma instala o local Seu foco principal a instala o do servi o considera es voltadas a seguran a e exemplos de configura o e seu funcionamento Com rela o a cap tulos sobre servidores importante observar qual vers o documentada no guia e se confere com a instalada em seu sistema a fim de que tudo funcione corretamente Entretanto na maioria dos casos as explica es relacionadas a uma vers o de um programa s o inteiramente v lidas em uma nova vers o 1 2 Pr requisitos para a utiliza o deste guia assumido que voc ja tenha experi ncia na configura o de sistemas Linux conhe a boa parte dos comandos e sua utiliza o tenha no es de rede e saiba como procurar documenta o para complementar o que vem aprendendo Enfim requer que se tiver interesse em se aprofundar em determinada rea que utilize os m todos de busca de documenta o sugeridos no guia para complementa o do aprendizado O guia n o cont m todos os
264. ando ifconfig eth0 192 168 1 1 netmask 255 255 255 0 up O comando acima ativa a interface de rede A palavra up pode ser omitida pois a ativa o da interface de rede o padr o Para desativar a mesma interface de rede basta usar usar o comando ifconfig eth0 down Digitando ifconfig s o mostradas todas as interfaces ativas no momento pacotes enviados recebidos e colis es de datagramas Para mostrar a configura o somente da interface eth0 use o comando ifconfig eth0 Em sistemas Debian O arquivo correto para especificar os dados das interfaces o etc network interfaces Para mais detalhes veja a p gina de manual do ifconfig ou o NET3 4 HOWTO 4 5 Roteamento Roteamento quando uma m quina com m ltiplas conex es de rede decide onde entregar os pacotes IP que recebeu para que cheguem ao seu destino Pode ser til ilustrar isto com um exemplo Imagine um simples roteador de escrit rio ele pode ter um link intermitente com a Internet um n mero de segmentos ethernet alimentando as esta es de trabalho e outro link PPP intermitente fora de outro escrit rio Quando o roteador recebe um datagrama de qualquer de suas conex es de rede o mecanismo que usa determina qual a pr xima interface deve enviar o datagrama Computadores simples tamb m precisam rotear todos os computadores na Internet tem dois dispositivos de rede um a interface oopback explicada acima o outro um usado para falar com o 58 resto
265. ando a porta paralela Se o 5 3 O m todo que irei descrever bastante simples e utiliza o slattach e o protocolo slip para comunica o entre as duas m quinas mas nada impede que seja usado o ppp para comunica o apenas acrescentar um pouco mais de complexibilidade para esta configura o para obter o mesmo resultado Usando o m todo descrito ser criada uma interface chamada s1 interface SLIP onde o n mero da interface rec m configurada A rede via porta serial pode atingir em m dia 115 200kbps s mas pr tico quando n o tem outras op es para fazer uma rede ponto a ponto Segue algumas caracter sticas deste tipo de rede e Pode ser configurado em qualquer m quina pois sempre haver uma porta serial dispon vel e poss vel fazer a instala o de Linux em m quinas sem CD ROM e acesso a rede onde n o poss vel gerar disquetes para instalar o resto dos pacotes necess rios embora seja limitado a 11Kb s No momento da instala o preciso somente alternar para um console executar os passos descritos aqui e continuar com o processo de instala o normal e uma boa solu o quando as duas m quinas at em ambientes pr ximos e O custo para montagem desta rede extremamente baixo bastando um cabo Lap Link Serial custa em m dia R 20 00 o cabo de 4 metros Se voc tamb m um amante da eletr nica estou descrevendo o esquema de montagem do cabo em Construindo um cabo LapLink Serial S
266. ando dns wins e broadcast Dependendo do projeto de sua rede e como as m quinas resolvem os nomes ele pode ser uma camada a mais de seguran a contra um simples hijacking de servidor atrav s de NetBEUI ou WINS isso evitado com o uso de dom nios veja Configurando um servidor PDC no SAMBA Se o 18 7 4 OBS Note que em clientes windows que estejam em outra subrede necess rio o arquivo YwindowsVImhosts apontando para um servidor PDC mesmo que ele esteja apontando para o servidor WINS caso contr rio a m quina n o efetuar o logon O formato do arquivo Imhost s do Windows mais complexo do que o do Linux pois o sistema precisa de mais detalhes para resolver os nomes e tipos de m quinas no dom nio Veja o modelo Imhosts sam em seu sistema Windows para compreender seu funcionamento 18 5 1 1 Exemplo de Imhost s do UNIX O exemplo abaixo mapeia o endere o IP das m quinas primeira coluna com o respectivo nome de m quina segunda coluna 294 172 16 0 34 servarg 172 16 0 30 serverdom 192 168 5 2 servwins 172 16 0 3 servpde 172 16 0 1 gateway 18 5 1 2 Exemplo de Imhosts do Windows O arquivo possui uma sintaxe id ntica a do Imhost s do UNIX mas alguns par metros especiais s o especificados para ajudar O Windows resolver algumas coisas que n o consegue fazer sozinho principalmente com rela o a identifica o de fun o de m quinas em redes segmentadas 192 168 0 5 servarg 192 168 0 1 serverpdc FPRE
267. ante o n mero de combina es necess rias para se quebrar uma senha em um ataque brute force veja Brute Force Se o 11 3 4 Mesmo que a senha escolhida n o chegue a 8 caracteres m nimos voc poder combina la com n meros Com as dicas acima a possibilidade de algu m conseguir quebrar uma senha criptografada em seu sistema usando os ataques descritos em Tipos de ataques mais comuns para se conseguir uma senha Se o 11 3 praticamente nula Para os paran icos de plant o o utilit rio makepasswd pode criar uma senha com caracteres completamente aleat rios makepasswd chars 8 4y0sBdwM Este comando retorna uma string com 8 caracteres chars 8 4y0sBdwM Se voc entendeu boa parte deste guia tenho certeza que 1 ou 2 dias de treino e se acostuma com uma senha como esta OBS NUNCA NUNCA d pistas sobre sua senha Para voc isto pode ser um desafio lan ado a outras pessoas quase imposs vel de ser resolvido mas n o se esque a que muita gente especializada neste tipo de dedu o 11 2 3 Atualiza o de senhas de m ltiplas contas O programa chpasswd usado para tal opera o Deve ser especificado um arquivo que cont m os campos usu rio senha por linha Caso as senhas estejam encriptadas dever ser especificada a op o e ao programa chpasswd e localadmin contas contas db O comando acima atualiza a senha de todos os usu rios especificados no arquivo contas db de uma s vez 11 2 4 A s
268. ao configurar uma m quina precisar o saber quais os hardwares ela possui perif ricos e at mesmo a revis o de dispositivos e clock para configurar as coisas e ver a necessidade de atualiza es de dispositivos atuais Dispositivos PCI AMR CNR podem ser listados executando o comando cat proc pci Outra forma de listar tais dispositivos usando o 1spci se voc precisa de mais detalhes como o mapeamento de mem ria use lspci vv O mapeamento de mem ria de dispositivos podem ser mostrados com o comando cat proc ioports ou usando o comando Isdev O barramento USB e dispositivos conectados a ele podem ser listados com o comando 1sushb ou com cat proc bus usb devices Hardwares dispon veis na m quina como placa m e clock multiplicador discos placas diversas vers es e n meros seriais de dispositivos podem ser mostrados atrav s do comando 1shw Use Ishw html1 para produzir a listagem em formato HTML bem interessante para relat rios 3 6 Conflitos de hardware Ocorre quando um ou mais dispositivos usam a mesma RQ I O ou DMA Um sistema com configura es de hardware em conflito tem seu funcionamento inst vel travamentos constantes mal funcionamento de um ou mais dispositivos e at mesmo em casos mais graves a perda de dados Sempre que poss vel conhe a e utilize os valores padr es para a configura o de perif ricos isto pode te livrar de conflitos com outros dispositivos e mal funcionamento do sistema Al
269. ap s o profilee ignorando O bash profile e bashrc que s o arquivos de configura o usados somente pelo Bash Exemplo inserindo a linha mesg y no arquivo etc profile permite que todos os usu rios do sistema recebam pedidos de talk de outros usu rios Caso um usu rio n o quiser receber pedidos de talk basta somente adicionar a linha mesg n no arquivo pessoal bash profile 8 5 Arquivo bash profile Este arquivo reside no diret rio pessoal de cada usu rio executado por shells que usam autentica o nome e senha bash profile cont m comandos que s o executados para o usu rio no momento do login no sistema ap s o etc profile Note que este um arquivo oculto pois tem um no in cio do nome Por exemplo colocando a linha alias 1s 1s colors auto no bash profile cria um apelido para o comando 1s colors auto usando ls assim toda vez que voc digitar 1s ser mostrada a listagem colorida 8 6 Arquivo bashrc Possui as mesmas caracter sticas do bash profile mas executado por shells que n o requerem autentica o como uma se o de terminal no X Os comandos deste arquivo s o executados no momento que o usu rio inicia um shell com as caracter sticas acima Note que este um arquivo oculto pois tem um no inicio do nome 100 8 7 Arquivo hushlogin Deve ser colocado no diret rio pessoal do usu rio Este arquivo faz o bash pular as mensagens do etc motd n mero de e mails etc Ex
270. apenas para curiosidade pois n o compensa uma multi serial para ligar uma quantidade grande de m quinas a baixa velocidade Para derrubar a conex o basta derrubar a interface serial com o ifconfig sl0 down dar um kill no daemon do slattach e remover o m dulo slip e cslip com o comando rmmod Assim sua porta serial ser liberada e poder ser usada por outros aplicativos 5 4 1 Construindo um cabo LapLink Serial Se voc uma pessoa que sabe mexer com eletr nica poder construir seu pr prio cabo LapLink serial para fazer os testes desta se o Os materiais necess rios s o e 2 Conectores seriais DB9 f mea e 2 Capas para os conectores acima e Fios para liga o dos conectores Uma forma que utilizei para montar este cabo foi aproveitar um carretel de cabo SCSI aproveitando 10 metros desfiando somente 9 dos 50 fios que acompanha o cabo deixei um fio extra no caso de algum outro se romper e Ferro de solda e solda para as liga es 82 e Concentra o e paci ncia para a confec o correta dos cabos Este o conector f mea DB9 tomada que liga na m quina visto por tr s hora de mostrar novamente meu talento com arte ASCII A figura acima mostra a posi o dos pinos como refer ncia para a soldagem dos terminais A tabela abaixo mostra a liga o dos fios nos cabos das 2 pontas Note que cada ponta pode ter a op o da serial de 9 ou 25 pinos ou as duas Ponta 1 Ponta 2 9 25 25 9
271. ar a m quina que ter a lista completa de recursos enviados pelos locais master browsers de cada segmento de rede Um PDC tamb m o local master browse de seu pr prio segmento de rede poss vel ter mais de um domain master browse desde que cada um controle seu pr prio dom nio mas n o poss vel ter 2 domain master browsers em um mesmo dom nio Caso utilize um servidor WINS em sua rede o PDC far consultas constantes em sua base de dados para obter a lista de dom nios registrados O dom nio identificado pelo caracter 1b na rede vejajnmblookup Se o 18 14 2 9 3 OBS O Windows NT configurado como PDC sempre tenta se tornar o domain master browser em seu grupo de trabalho N o sendo poss vel retirar o Windows NT configurado como PDC do dom nio por alguma outra raz o a nica forma ser deixar ele ser o domain master browser Se este for o caso voc poder continuar lendo este documento para aprender mais sobre NetBIOS e talvez ainda mudar de id ia sobre manter o NT na rede ap s ver as caracter sticas do SAMBA 18 7 4 Configurando um servidor PDC no SAMBA Esta a parte interessante do guia a pr tica Para os administradores que conhecem atrav s da experi ncia pr pria os problemas e defini es do SAMBA grande parte do guia foi apenas uma revis o por favor se faltou algo que acha interessante me notifiquem que incluirei na pr xima vers o e colocarei uma nota no lan amento e na p gina com os d
272. ar todas as parti es com suporte a quota no arquivo etc mtab u para checar quotas de usu rios g para checar grupos e v para mostrar o progresso da checagem da parti o Na primeira execu o mostrado uma mensagem de erro de arquivo quota user guota group corrompido mas isto normal porque o arquivo anterior tem tamanho zero Estes nomes tamb m servem para O quotacheck auto detectar a vers o do sistema de quota usada no sistema de arquivos OBS Certamente ser necess rio for ar a remontagem como somente leitura do sistema de arquivos com a op o m para O quotacheck criar as configura es de quota nesta parti o Agora resta ativar o suporte as quotas de disco em todas as parti es a com recurso de quota especificado no etc mtab 358 quotaon augv As op es possuem o mesmo significado do comando quotacheck O utilit rio quotaoff serve para desativar quotas de usu rios e usa as mesmas op es do quot aon Estes tr s utilit rios somente podem ser usados pelo usu rio root As op es de quota podem ser especificadas independente para cada sistema de arquivos Ativa o suporte a quota em pub somente grupos de usu rios no momento quotaon gv pub Ativa as quotas de usu rios em pub quotaon uv pub Desativa as quotas de grupos em pub deixando somente a de usu rios ativa quotaoff gv pub A atualiza o de quotas durante a grava o exclus o de arquivos feita au
273. ara a impress o de gr ficos em GNU Linux devido a boa qualidade da impress o liberdade de configura o gerenciamento de impress o feito pelo gs e por ser um formato universal compat veis com outros sistemas operacionais Para imprimir um documento via Ghost Script voc precisar do pacote gs gsfonts para a distribui o Debian e distribui es baseadas ou outros de acordo com sua distribui o Linux e suas depend ncias A distribui o Debian vem com v rios exemplos Pos Script no diret rio usr share doc gs example que s o teis para o aprendizado e testes com o Ghost Script Hora da divers o e Copie os arquivos tiger ps gz alphabet ps gz do diret rio usr share doc gs examples sistemas Debian para tmp e descompacte os com o comando gzip d tiger ps gz e gzip d alphabet ps gz Se a sua distribui o n o possui arquivos de exemplo ou voc n o encontra nenhuma refer ncia de onde se localizam mande um e mail que os envio os 2 arquivos acima s o 32Kb e O Ghost Script requer um monitor EGA VGA ou superior para a visualiza o dos seus arquivos n o tenho certeza se ele funciona com monitores CGA ou H rcules Monocrom tico Para visualizar os arquivos na tela digite gs tiger ps gs alphabet ps Para sair do Ghost Script pressione CTRL C Neste ponto voc deve ter visto um desenho de um tigre e talvez letras do alfabeto Se o comando gs alphabet ps mostrou somente uma tela em branco voc s
274. ara ser o PDC da rede OBS Por favor certifique se que n o existe outro PDC no dom nio Veja Domain Master Browser Se o 18 3 prefered master yes For a uma elei o com algumas vantagens para seu servidor ser eleito sempre como o controlador de dom nio Isto garante que a m quina SAMBA sempre seja o PDC Veja Navega o no servidor tipo de servidor Se o 18 2 8 6 local master yes Define se a m quina ser o controlador principal do grupo de trabalho local que ela pertence Pronto agora teste se existem erros em sua configura o executando o comando testparm Buscando problemas na configura o Se o 18 2 11 e corrija os se existir Resta agora reiniciar o servidor nmbda para que todas as suas altera es tenham efeito Para adicionar seus clientes a um dom nio vejajContas de m quinas de dom nio Se o 18 7 5 elConfigurando clientes em Dom nio Se o 18 14 3 18 7 5 Contas de m quinas de dom nio Uma conta de m quina de dom nio garante que nenhum outro computador possa utilizar o mesmo nome de uma m quina confi vel e assim utilizar os compartilhamentos que ela tem permiss o Os clientes Windows NT Windows XP Windows 2000 precisam de uma conta de m quina para ter acesso ao dom nio e seus recursos A cria o de uma conta de m quina bastante semelhante a cria o da conta de um usu rio normal no dom nio Existe uma coisa que precisa sempre ter em mente quando estiver configu
275. as e cuidados para a prote o de senhas Guia Foca GNU Linux Cap tulo 11 Gerenciamento de contas e cuidados para a prote o de senhas Este cap tulo traz explica es e comandos teis para o gerenciamento de contas e prote o de senhas de usu rios em sistemas Linux Tamb m explica os principais m todos usados para quebra de senha usando diversos m todos como engenharia social brute force etc bem como dicas de como escolher boas senhas para voc e seus usu rios e m todos automatizados de checagem de senhas vulner veis Estes m todos s o explicados para que voc entenda se previna destes tipos de ataques al m de entender a import ncia de pol ticas de prote o de senhas 155 11 1 Introdu o A cria o de uma conta em uma m quina Linux pode expor seu sistema ou todas suas redes a crackers simplesmente com a falta de treinamento e pol ticas de seguran a Uma invasor com um simples acesso a uma conta de usu rio pode conseguir acesso a reas que cont m dados importantes expondo seu sistema a ataques ou roubo de dados Um firewall n o pode fazer muito em uma situa o dessas um acesso atrav s de uma conta de sistema v lida dif cil de ser auditado e descoberto a n o ser que o usu rio monitore seus acesso via last log e o administrador conhe a os h bitos de seus usu rios para notar o uso estranho de contas em determinados dias hor rios Evitar situa es como esta depende mais de conscientiza
276. as inten es pelo administrador do sistema ou para ataques ao sistema quando usado pelo cracker para obter nomes senhas e outros detalhes teis para espionagem Os sniffers mais conhecidos para sistemas Linux s o tcpdump ethereal Este ltimo apresenta uma interface gr fica GTK para f cil opera o em m quinas que executam o servidor X Para explicar o funcionamento de um sniffer vou assumir O ethereal instalado ele n o requer modifica es no sistema al m de ser f cil de executar e fazer pesquisa de express es espec ficas Instale o ethereal com o comando apt get install ethereal Agora vamos a pr tica para entender como o sniffer funciona e a import ncia da criptografia de dados s assim mesmo n o da para entender falando muita teoria 367 1 Conecte se a Internet 2 Execute O ethereal como usu rio root 3 Pressione CTRL K para abrir a tela de captura de pacotes Em Interface selecione sua interface de internet Nesta tela clique no bot o FILE e coloque um nome de arquivo que a captura ser gravada Opcionalmente marque a op o Update list of packets in real time para monitorar a passagem de pacotes em tempo real 4 Clique em OK A captura de pacotes ser iniciada 5 Conecte se a um site ftp qualquer digamos ftp debian org br Entre com o usu rio anonymous e senha minhasenhaQsegura com br 6 Finalize a captura de pacotes clicando no bot o STOP Agora v em File Open e abra o a
277. aso n o saiba quais m dulos ACPI seu sistema aceita marque o suporte a todos e carregue os Ap s isto entre no diret rio proc acpi e de um 1s entrando nos diret rios e vendo se existem arquivos dentro deles Remova o m dulo correspondente daqueles que n o tiver conte do Ap s isto instale o daemon acpid e configure o para monitorar algumas caracter sticas do seu sistema Por padr o o acpid monitora o bot o POWER assim se voc pressionar o power seu sistema entrar automaticamente em run level 0 fechando todos os processos e desligando sua m quina O suporte a ACPI pode ser desativado de 3 formas Removendo seu suporte do kernel passando o argumento acpi off ao kernel caso esteja compilado estaticamente ou removendo o m dulo de etc modules caso tenha compilado como m dulo Ap s isto remova o daemon acpid do seu sistema 3 11 6 Ativando WakeUP on Lan Algumas placas m e ATX possuem suporte a este interessante recurso que permite sua m quina ser ligada atrav s de uma rede Isto feito enviando se uma sequ ncia especial de pacotes diretamente para o MAC endere o f sico da placa de rede usando um programa especial Para usar este recurso seu sistema dever ter as seguintes caracter sticas e Placa m e ATX e Fonte de alimenta o ATX compat vel com o padr o 2 0 com fornecimento de pelo menos 720ma de corrente na sa da 3v e Placa de rede com suporte a WakeUP on Lan WOL voc poder confirmar isto
278. authpriv Mensagens de seguran a autoriza o privativas cron Daemons de agendamento cron e at daemon Outros daemons do sistema que n o possuem facilidades espec ficas ftp Daemon de ftp do sistema kern Mensagens do kernel lpr Subsistema de impress o local0 a local7 Reservados para uso local mail Subsistema de e mail news Subsistema de not cias da USENET security Sin nimo para a facilidade auth evite usa la syslog Mensagens internas geradas pelo syslogd user Mensagens gen ricas de n vel do usu rio uucp Subsistema de UUCP Confere com todas as facilidades o0000000000000 Mais de uma facilidade pode ser especificada na mesma linha do syslog conf separando as com e n vel Especifica a import ncia da mensagem Os seguintes n veis s o permitidos em ordem de import ncia invertida da mais para a menos importante O emerg O sistema est inutiliz vel 85 alert Uma a o deve ser tomada imediatamente para resolver o problema crit Condi es cr ticas err Condi es de erro warning Condi es de alerta notice Condi o normal mas significante info Mensagens informativas debug Mensagens de depura o Confere com todos os n veis none Nenhuma prioridade ooooooooo Al m destes n veis os seguintes sin nimos est o dispon veis O error Sin nimo para o n vel err O panic Sin nimo para o n vel emerg O warn Sin nimo
279. b m explicada a utiliza o do cliente telnet e o suporte a criptografia ssl 14 1 Introdu o O servi o telnet oferece o login remoto em seu computador que lhe permite trabalhar conectado a dist ncia como se estivesse em frente a ela Ele substitui o rlogin e possui muitas melhorias em rela o a ele como o controle de acesso personaliza o de se o e controle de terminal 14 1 1 Vers o assumido que esteja usando a vers o 0 17 16 do telnet As explica es contidas aqui podem funcionar para vers es posteriores mas recomend vel que leia a documenta o sobre modifica es no programa changelog em busca de mudan as que alterem o sentido das explica es fornecidas aqui 14 1 2 Caracter sticas e Conex o r pida n o utiliza transmiss o de dados criptografada recomendado para ambientes seguros e Possui uma vers o com suporte a criptografia via ssl Possui controle de acesso tcpd usando etc hosts allowe etc hosts deny e A maioria dos sistemas operacionais trazem este utilit rio por padr o como sistema de acesso remoto a m quinas UNIX e Suporte a terminais ANSI cores e c digos de escape especiais para o console e uma grande variedade de outros terminais 14 1 3 Ficha t cnica Pacotes e telnet Cliente telnet com suporte a autentica o e telnetd Servidor telnet com suporte a autentica o e teclnet ss1 Cliente telnet com suporte a autentica o e ssl Tamb m suporta
280. ble no e ele ser lido e disponibilizado pelo SAMBA available yes temporario comment Diret rio tempor rio path tmp writable no write list gleydson operadores browseable yes Neste exemplo disponibilizamos o diret rio tmp path tmp como compartilhamento de nome temporario temporario seu acesso padr o apenas leitura para todos writable no exceto para o usu rio gleydson e usu rios do grupo Unix operadores que tem acesso a leitura grava o write list gleydson Doperadores Tornamos o compartilhamento vis vel no Ambiente de Rede do Windows browseable yes que o padr o 18 12 11 Restringindo o IPC e ADMIN seguro restringir os servi os IPCS e ADMINS para acesso somente pelas faixas de rede de confian a Isto pode ser feito atrav s da mesma forma que a restri o em outros compartilhamentos Os efeitos desta restri o ser o que somente as redes autorizadas possam obter a lista de m quinas se autenticar no dom nio e realizar tarefas administrativas gerais IPC read only yes allow from 192 168 1 0 24 ADMIN read only yes allow from 192 168 1 0 24 O exemplo acima permite que os servi os IPC e ADMIN sejam acessados de qualquer m quina na faixa de rede 192 168 1 0 24 Para for ar a autentica o para acesso a estes servi os IPC invalid users nobody valid users gleydson michelle read only yes allow from 192 168 1 0 24 ADMINS invali
281. ble device id PNPb02f ANSI string gt Game lt Pela string acima sabemos que a Entrada para Joystick Logical device decodes 16 bit IO address lines Minimum IO base address 0x0200 Maximum IO base address 0x0200 IO base alignment 1 bytes Number of IO addresses required 8 IO O SIZE 8 BASE 0x0200 NAME CTL0O028 268565341 3 Jogo Em ACT Y Sem muitos coment rios descomentamos a linha IO acima e ativamos a configura o descomentando ACT Y A diferen a que especificamos o nome GAME para o recurso atrav s da linha NAME CTL0028 268565341 3 Jogo Pra Este nome ser mostrado quando o Joystick for ativado Returns all cards to the Wait for Key state WAITFORKEY Note ainda que o isapnp conf gerado atrav s do pnpdump cont m v rios tipos de prioridades de configura o para o mesmo bloco de configura o e a prioridade que usamos acima foi priority acceptable para o bloco de audio da Sound Blaster e priority preferred para a porta IDE e Joystick Os tipos de prioridades dispon veis s o e priority preferred Configura o preferida para o funcionamento do hardware a recomendada pelo fabricante do hardware e tamb m recomend vel se voc n o tem muita experi ncia na configura o de hardwares pois lista somente uma configura o por recurso Se a placa entrar em conflito com outras placas usando priority preferred tente a priority acceptable
282. br assim ela passa pelo teste de autoriza o depois disso ser necess rio fornecer o login e senha para acesso a p gina digitando o login e senha corretos o teste de autentica o ser completado com sucesso e o acesso ao diret rio var www autorizado 182 lt Directory var www gt Options Indexes Order mutual failure allow from dominiolocal com br deny from lammer dominiolocal com br AuthName Acesso ao diret rio do servidor Web AuthType basic AuthUserFile var cache apache senhas AuthGroupFile var cache apache grupos Require group admins lt Directory gt No exemplo acima usado o m todo de autoriza o com a op o Order mutual failure e o m todo de autentica o atrav s de grupos Primeiro verificado se o usu rio pertence ao dom nio dominiolocal com br e se ele n o est acessando da m quina lammer dominiolocal com br neste caso ele passa pelo teste de autoriza o Depois disso ele precisar fornecer o nome e senha v lidos com o login pertencente ao AuthGroupFile passando pelo processo de autentica o e obtendo acesso ao diret rio var www 12 7 3 1 Acesso diferenciado em uma mesma diretiva interessante permitir usu rios fazendo conex es de locais confi veis terem acesso direto sem precisar fornecer nome e senha e de locais inseguros acessarem somente ap s comprovarem quem realmente s o Como o caso de permitir usu rios de uma rede privada terem acesso completo aos recursos
283. bter acesso ao seu sistema OBS2 Dificulte as maneiras para se obter acesso root ao sistema via conta de usu rio comum de extrema import ncia utilizar conex es de dados criptografadas quando for necess rio acesso externo ao seu sistema OBS3 Nunca use uma mesma senha para fazer tudo banco acessar seu sistema conectar se ao seu provedor senha de root Voc estar em s rios apuros caso algu m tenha acesso a esta senha dif cil lembrar de v rias senhas mas voc pode aditar uma senha e criar modifica es a partir dela para utiliza o em outros locais por exemplo wekpdm gt Bwekpdm1 gt 3wekpdmS etc 11 3 3 Ataques por dicion rio De posse do arquivo de senhas etc passwd o cracker utiliza um arquivo que cont m diversas palavras que ser o tentadas como senha Este trabalho feito automaticamente por ferramentas dedicadas a este tipo de tarefa e pode levar dias dependendo da lista de senhas do cracker e quantidades de usu rios existentes no arquivo de senha 161 Note que o uso de criptografia md5 e senhas ocultas dificultam bastante ao arquivo de senhas e o sucesso de um ataque bem sucedido veja Shadow Passwords Se o 11 4 1 e Senhas MD5 Se o 11 4 2 11 3 4 Brute Force De posse do arquivo de senhas etc passwd o cracker utiliza uma ferramenta que tenta diversas combina es de letras sequencialmente na tentativa de descobrir uma senha Este ataque geralmente usado como ltimo recurs
284. c n o sabe o que um sistema sem c digo fonte faz na realidade enquanto esta 20 processando o programa Suporte a diversos dispositivos e perif ricos dispon veis no mercado tanto os novos como obsoletos Pode ser executado em 10 arquiteturas diferentes Intel Macintosh Alpha Arm etc Consultores t cnicos especializados no suporte ao sistema espalhados por todo o mundo Entre muitas outras caracter sticas que voc descobrir durante o uso do sistema TODOS OS TENS DESCRITOS ACIMA S O VERDADEIROS E TESTADOS PARA QUE TIVESSE PLENA CERTEZA DE SEU FUNCIONAMENTO Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux Explica es B sicas Guia Foca GNU Linux Cap tulo 2 Explica es B sicas Este cap tulo traz explica es sobre os principais componentes existentes no computador e do sistema operacional 2 1 Monitorando os logs Os arquivos de logs residem em var 1og e registram tudo o que acontecem com o kernel com os daemons e utilit rios do sistema Eles s o muito importantes tanto para monitorar o que acontece com o seu sistema como para ajudar na solu o de problemas diversos Acostume se a olhar constantemente os arquivos de log em seu sistema isto pode ser importante para encontrar poss veis falhas de seguran a tentativa de acesso ao sistema e principalmente solucionar problemas principalmente os mais complic
285. ca es de seguran a do IP Alias em sua m quina consulte seu administrador de redes OBS3 Note que somente os 4 primeiros caracteres ser o mostrados na sa da do ifconfig desta forma procure utilizar no m ximo esta quantidade de caracteres para evitar problemas durante uma futura administra o do servidor no caso de esquecimento do nome completo da interface virtual 5 2 Bridge Uma bridge uma interface de rede l gica composta por uma ou mais interfaces de rede f sica operando em n vel 2 enviando pacotes atrav s de MAC adresses veja Camadas de Rede Se o 4 10 Sua opera o transparente na rede podendo ser usada como um switch firewall esta o de monitora o etc Aqui descreverei como montar uma bridge simples e uma aplica o de firewall simples As possibilidades s o diversas e uma configura o bem feita pode detectar ataques protocolos desconhecidos at v rus complexos de rede 5 2 1 Requerimentos para a Instala o necess rio um dos seguintes requerimentos para se montar uma bridge 75 e Kernel com suporte a bridge ativado na configura o de rede e Opacote bridge utils instalado e patch bridge nf se desejar usar o netfilter com as interfaces de entrada e sa da como antes de usar a bridge ao inv s de controlar o tr fego apenas pela interface criada pela bridge Ative a op o 802 1d Ethernet Bridging na se o Networking Options recompile e instale seu novo kernel Caso
286. cada de forma que atenda as suas necessidades particulares de logging 12 10 1 AgentLog AgentLog arquivo pipe Indica o nome do arquivo que registrar o nome do navegador que est acessando a p gina conte do do cabe alho User Agent poss vel usar o pipe para direcionar os erros para um programa de formata o ou processamento ATEN O Se um programa for usado como pipe ele ser executado sob o usu rio que iniciou O apache Revise o c digo fonte do programa para ter certeza que n o cont m falhas que possam comprometer a seguran a de seu sistema Exemplo AgentLog var log apache agent log 12 10 2 ErrorLog ErrorLog arquivo pipe Especifica o arquivo que registrar as mensagens de erro do servidor Apache E poss vel usar o pipe para direcionar os erros para um programa de formata o ou processamento Exemplo ErrorLog var log apache errors log 12 10 3 CustomLog Permite especificar onde os logs ser o gravados para os arquivos de logs personalizados Esta diretiva tamb m aceita apelidos definidos pela diretiva LogFormat CustomLog arquivo pipe formato nome 190 Onde arquivo pipe Arquivo de log personalizado ou pipe formato nome Especifica o formato do arquivo de log da mesma forma que o especificado na op o LogFormat Dever ser especificado entre aspas caso tiver espa os VejalLogFormat Se o 12 10 10 para detalhes Ao inv s de especificar o formato tamb m po
287. cal de Dom nio Grupo e GRUPO TRABALHO lt 1b gt Navegador Principal de Dom nio e GRUPO TRABALHO lt 03 gt lt GRUPO gt Nome Gen rico registrado por todos os membros do grupo de trabalho e GRUPO TRABALHO lt 1c gt lt GRUPO gt Controladores de Dom nio Servidores de logon na rede e GRUPO TRABALHO lt 1e gt lt GRUPO gt Resolvedores de Nomes Internet WINS Estes c digos podem lhe ser teis para localizar problemas mais complicados que possam ocorrer durante a configura o de um servidor 18 14 3 Configurando clientes em Dom nio Para configurar qualquer um dos cliente abaixo para fazer parte de um dom nio de rede necess rio apenas que tenha em m os os seguintes dados Nome do controlador de dom nio PDC Nome do dom nio Nome de usu rio e senha que foram cadastrados no servidor Acesso administrador no SERVIDOR PDC SAMBA NT etc Cria uma conta de m quina no dom nio no caso da m quina ser um Windows NT Windows XP Windows 2k ou Linux Veja Contas de m quinas de dom nio Se o 18 7 5 para maiores detalhes Como o Windows 3 11 Windows 95 Windows 98 Windows ME n o possuem uma conta de m quina eles nunca ser o um membro real de um dom nio podendo sofrer um name spoofing e terem a identidade roubada Mesmo assim eles ter o pleno acesso aos recursos do dom nio e uma configura o mais f cil que os demais clientes Com estes dados em m os selecione na lista abaixo o nome do cliente
288. calizados A localiza o um recurso que especifica arquivos que cont m as mensagens do programas em outros idiomas Voc pode usar o comando locale para listar as vari veis de localiza o do sistema e seus respectivos valores As principais vari veis usadas para determinar qual idioma os programas localizados utilizar o s o e LANG Especifica o idioma PAIS local Podem ser especificados mais de um idioma na mesma vari vel separando os com desta forma caso o primeiro n o esteja dispon vel para o programa o segundo ser verificado e assim por diante A l ngua Inglesa identificada pelo c digo c e usada como padr o caso nenhum locale seja especificado Por exemplo export LANG pt BR export LANG pt BR pt PT C e LC MESSAGES Especifica o idioma que ser o mostradas as mensagens dos programas Seu formato o mesmo de LANG e LC AIL Configura todas as vari veis de localiza o de uma s vez Seu formato o mesmo de LANG As mensagens de localiza o est o localizadas em arquivos individuais de cada programa em usr share locale Idioma LC MESSAGES Elas s o geradas atrav s de arquivos potfiles arquivos com a extens o po ou pot e s o gerados cat logos de mensagens mo As vari veis de ambiente podem ser especificadas no arquivo etc environment desta forma as vari veis ser o carregadas toda a vez que seu sistema for iniciado Voc tamb m pode especificar as vari veis de localiza o em seu arq
289. car distantes no m ximo a 1 5 metro dos equipamentos e com terceiro pino ligado terra interessante que a tens o das tomadas esteja identificada nas mesmas em caso de mais de uma voltagem fornecida no local evitando a queima de equipamentos Segue abaixo um exemplo de tomada f mea e a recomenda o para sua montagem Note que a entrada para o pino terra voltado para cima pois o caimento dos fios da maioria dos equipamentos fabricados estar o desta forma voltados para baixo gt Terra Era feias 1 Terra Fase zara ho co r Neutro Fase P Jul J t Fase Como comentando anteriormente n o utilize como ponto de terra os sistemas de aterramento das companhias de eletricidade telefonia ar condicionado e sistema de p ra raios 3 14 Descargas est ticas a energia que se acumula durante o choque das mol culas de ar seco ou atrito com outros objetos Pode acontecer de em dias secos voc tomar um choque ao abrir seu carro ou tocar em algum objeto met lico isto uma descarga est tica Na realidade voc n o tomou um choque ao tocar em um objeto met lico esta energia descarregada violentamente Esta energia pode chegar na ordem de 5 mil volts quando acumulada assustador n o 47 por este motivo que caminh es que transportam combust vel arrastam uma corrente no ch o esta corrente funciona como um aterramento veja Aterramento Se o 3 12 eliminando descargas
290. cesso do servi o de finger a redes confi veis locais onde uns conhecem os outros Os detalhes fornecidos pelo finger podem ser suficientes para garantir sucesso deste tipo de ataque finger joao Login joao Name Joao P M Directory home joao Shell bin bash Office Sala 400 Andar 2 123 4567 Home 123 7654 Last login Fri Aug 25 21 20 AMT on tty3 o mail Grupo de cadastramento As ltimas linhas da sa da do finger s o os dados contidos nos arquivos plan e project do diret rio de usu rio O cracker com base nos dados fornecidos acima pelo finger poderia inventar uma situa o em que necessitaria de troca de senha por algum motivo Abaixo uma situa o onde o cracker sabe que n o existe identificador de chamadas na empresa e conhece as fragilidades 160 e Cracker Disca para o CPD Vitima CPD e Cracker Oi eu sou o Joao P M do grupo de cadastramento aqui do segundo andar estou tentando entrar no sistema mas por algum motivo ele n o aceita minha senha fazendo se de ignorante no assunto e Vitima Por favor Sr verifique se o Caps Lock do seu teclado est ativado letras em mai sculas min sculas fazem diferen a em nossos sistemas e Cracker Ok vou checar espera um tempo N o esta tudo Ok voc poderia agilizar isto de alguma maneira preciso lan ar algumas fichas no sistema e Vitima Posso modificar sua senha para um nome qualquer depois voc poder trocar por si pr prio e Cracker Ok por
291. chect1 somente um shell script para intera o mais amig vel com o servidor web apache 180 retornando mensagens indicando o sucesso falha no comando ao inv s de c digos de sa da Alguns exemplos para melhor assimila o lt Location teste gt AuthName Acesso a p gina do Foca Linux AuthType basic AuthUserFile home gleydson SenhaUsuario Require user gleydson lt Location gt As explica es s o id nticas a anterior mas somente permite o acesso do usu rio gleydson a URL http servidor org teste bloqueando o acesso de outros usu rios contidos no arquivo AuthUserFile lt Location teste gt AuthName Acesso a p gina do Foca Linux AuthType basic AuthUserFile home gleydson SenhaUsuario Require user gleydson usuariol usuario2 lt Location gt lt Location teste gt AuthName Acesso a p gina do Foca Linux AuthType basic AuthUserFile home gleydson SenhaUsuario Require user gleydson Require user usuariol Require user usuario2 lt Location gt As 2 especifica es acima s o equivalentes e permite o acesso aos usu rios gleydson usuariol e usuario2 a p gina http servidor org teste 12 7 2 3 Autentica o usando grupos H casos onde existem usu rios de um arquivo de senhas que devem ter acesso a um diret rio e outros n o neste caso a diretiva valid user n o pode ser especificada porque permitiria o acesso de todos os usu rios do arquivo de senha ao diret rio
292. com apache t Caso positivo reinicie o servidor usando um dos m todos descritos em O servidor web lhe pedir a FraseSenha para descriptografar a chave privada SSL esta senha foi escolhida durante o processo de cria o do certificado Esta senha garante uma seguran a adicional caso a chave privada do servidor seja copiada de alguma forma Somente quem tem conhecimento da FraseSenha poder iniciar o servidor com suporte a transfer ncia segura de dados Verifique se o virtual host est servindo as requisi es na porta 443 com apache sS O nico m todo para fazer o servidor web evitar de pedir a senha para descriptografar a chave privada colocando uma senha em branco Isto s recomendado em ambientes seguros e o diret rio que cont m a chave privada dever ter somente permiss es para o dono grupo que executa o servidor Web Qualquer outra permiss o poder por em risco a seguran a da instala o caso a chave privada seja roubada Depois disso execute o comando entre no diret rio que cont m a chave privada cd etc apache ssl key renomeie a chave privada para outro nome ren server key server key Csenha openssl rsa in server key Csenha out server key Digite a senha quando pedido A chave original com senha estar gravada no arquivo server key Csenha e poder ser restaurada se necess rio Reinicie o servidor Apache desta vez ele n o pedir a senha OBS1 Tire uma c pia de seguran a da chave
293. com os novos recursos da vers o 3 do ssh Para fazer isto siga os passos Usando autentica o RSA DSA chave p blica privada Se o 15 3 3 para gerar um par de chaves DSA o par RSA n o aceita execu o de comandos espec ficos e copiar para authorized keys2 Ap s isto entre no servidor remoto e edite a chave inserindo o comando que dever ser executado antes da linha dds por exemplo 239 command lIs la ssh dss ABCAB3NzaC5555MAAACBALS3 Com este m todo poss vel restringir a execu o de alguns comandos servi os al m de outras possibilidades como a mudan a de vari veis espec ficas para o comando no port forwarding no X11 forwarding no agent forwarding command 1s la ssh dss ABCAB3NzaClkc55355MAADBBYLp 15 3 5 Criando um gateway ssh Imagine quando voc deseja ter acesso a uma m quina de sua rede interna que esteja atr s de um gateway isto poss vel usando os recursos explicados em Execu o de comandos espec ficos usando chaves Se o 15 3 4 fazendo um redirecionamento de acesso para seu usu rio da seguinte forma command ssh t usuariof maquina interna ssh dss DAK874CKLDSAUE83daYIx Isto o acesso do usu rio ser redirecionado automaticamente quando efetuar o logon Caso tenha definido uma senha para a chave DSA o usu rio dever fornecer a senha para entrar no gateway e outra para acessar sua esta o de trabalho OBS N o estou levando em conta as considera es de segu
294. conf para enganar poss veis invasores Isto pode ser modificado no arquivo syslogd c na linha fdefine PATH LOGCONF etc syslog conf Use a imagina o para escolher um nome de arquivo e localiza o que dificulte a localiza o deste arquivo OBS3 Em uma grande rede recomend vel configurar um computador dedicado como servidor de log desativando qualquer outro servi o e configurar O iptables para aceitar somente o tr fego indo para a porta UDP 514 syslogd iptables P INPUT DROP iptables A INPUT p udp dport 514 j ACCEPT Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux A distribui o Debian GNU Linux Guia Foca GNU Linux Cap tulo 7 A distribui o Debian GNU Linux Este cap tulo traz algumas caracter sticas sobre a distribui o Debian GNU Linux programas de configura o e particularidades A maioria dos trechos aqui descritos tamb m se aplicam a distribui es baseadas na Debian como a Corel Debian GNU Linux e a LibraNet Voc deve estar se perguntando mas porque um cap tulo falando sobre a distribui o Debian se eu uso outra Bem a partir da vers o Intermedi rio do Foca Linux existem algumas partes que s o especificas de algumas distribui es Linux e que n o se aplicam a outras como a localiza o dos arquivos de configura o nomes dos programas de configura o e outros detalhes espec
295. cont m senhas e grupos em diret rios de acesso p blico onde usu rios podem ter acesso via o servidor Web Tais localiza es s o var www home usuario public html e qualquer outro diret rio de acesso p blico que defina em seu sistema recomend vel tamb m ocultar estes arquivos atrav s da diretiva lt Files gt evitando poss veis riscos de seguran a com usu rios acessando os arquivos de senha e grupo Na distribui o Debian qualquer arquivo iniciando com ht ser automaticamente ocultado pelo sistema pois j existe uma diretiva lt Files ht gt Tal diretiva pode tamb m ser especificada no arquivo de acesso htaccess Assim um arquivo htsenha e htgroup s o bons nomes se estiver desejando ocultar dados de olhos curiosos 12 7 3 Usando autoriza o e autentica o juntos Os m todos de autoriza o e autentica o podem ser usados ao mesmo tempo dentro de qualquer uma das diretivas de controle de acesso As diretivas de autoriza o s o processadas primeiro mod access e depois as diretivas de autentica o mod auth Segue um exemplo lt Directory var www gt Options Indexes Order deny allow allow from dominiolocal com br deny from all AuthName Acesso ao diret rio do servidor Web AuthType basic AuthUserFile var cache apache senhas Require valid user lt Directory gt Para ter acesso ao diret rio var www primeiro o computador deve fazer parte do dom nio dominiolocal com
296. croniza o entre processos O padr o nenhum SSLMutex file var run ssl mutex Especifica o m todo de embaralhamento de dados que ser utilizado durante o inicio de uma se o SSL startup ou durante o processo de conex o connect Podem ser especificados builtin muito r pido pois consome poucos ciclos da CPU mas n o gera tanta combina o aleat ria um programa que gera n meros aleat rios com exec ou os dispositivos aleat rios dev random e dev urandom com file Por padr o nenhuma fonte adicional de n meros aleat rios usada SSLRandomSeed startup builtin SSLRandomSeed connect builtin SSLRandomSeed startup file dev urandom 512 SSLRandomSeed connect file dev urandom 512 SSLRandomSeed connect exec pub bin NumAleat 203 Tipos MIME para download de certificados AddType application x x509 ca cert crt AddType application x pkcs7 crl scri Tempo m ximo de perman ncia dos objetos do cache acima O valor padr o 300 segundos 5 minutos SSLSessionCacheTimeout 300 Vers o do protocolo SSL que ser usada Podem ser especificadas SSLv2 SSLv3 TLSvl ou all O mais compat vel com os navegadores atuais o SSLv2 Por padr o all usado SSLProtocol all SSLProtocol all SSLv3 Registra detalhes sobre o tr fego neste arquivo Mensagens de erro tamb m s o armazenadas no arquivo de registro padr o do Apache SSLLog var log apache ssl mod log N
297. d users nobody valid users gleydson michelle read only yes allow from 192 168 1 0 24 Os exemplos acima s o similares ao de antes mas o acesso a listagem dos compartilhamentos restringida invalid users nobody pois o usu rio nobody usado para mostrar o compartilhamento tem o acesso negado Somente os usu rios gleydson michelle valid users gleydson michelle podem listar seu conte do 321 OBS Mesmo que estejam restritos os servi os IPCS e ADMINS sempre poder o ser acessados de 127 0 0 1 ou ter amos problemas com o funcionamento do SAMBA Assim n o necess rio colocar 127 0 0 1 na lista de IPs autorizados 18 12 12 Criando um compartilhamento invis vel Para n o exibir um compartilhamento da lista de compartilhamentos das m quinas utilize o par metro browseable no Por exemplo teste path tmp comment Diret rio tempor rio read only yes browseable no Neste exemplo o diret rio tmp path tmp foi compartilhado atrav s de teste teste com acesso somente leitura read only yes e ele n o ser mostrado na listagem de compartilhamentos do ambiente de rede do Windows browseable no Note que o compartilhamento continua dispon vel por m ele poder ser acessado da esta o Windows especificando a Amaquinaicompartilhamento Para acessar o compartilhamento do exemplo acima Clique em Iniciar Executar digite NNnome do servidor sambalteste Ao contr rio das
298. dDescription GZIP compressed document gz AddDescription tar archive tar AddDescription GZIP compressed tar archive tgz ReadmeName o nome do arquivo LEIAME que o servidor procurar como padr o Estes ser o inseridos no fim da listagem de diret rios Formato ReadmeName nome O servidor procurar primeiro por nome html inclu do se ele for encontrado e ent o procurar pelo nome e incluir ele como texto plano se encontrado ReadmeName README HeaderName o nome do arquivo que deve ser colocado no topo do ndice de diret rios As regras de procura de nome s o as mesmas do arquivo README eaderName HEADER I IndexIgnore um conjunto de nomes de arquivos que a listagem de diret rios deve ignorar e n o incluir na listagem permitido o uso de coringas como no interpretador de comandos IndexIgnore amp HEADER README RCS CVS v t lt IfModule gt JE E tE E HE sr H E AccessFileName O nome do arquivo que ser procurado em cada diret rio que cont m detalhes sobre as permiss es de acesso a um determinado diret rio e op es de listagem Tenha cuidado ao modificar o nome deste arquivo muitas defini es que trabalham em cima do nome htaccess nos arquivos de configura o dever o ser modificados para n o comprometer a seguran a de seu servidor Uma falta de aten o neste ponto poder deixar este arquivo vis vel em qualquer listagem de diret rios facilmente AccessFil
299. das do guia Voc foi avisado Ap s este arquivo ser processado o servidor procurar e processar o arquivo etc apache srm conf e ent o etc apache access conf a n o ser que voc tenha modificado o nome dos arquivos acima atrav s das diretivas ResourceConfig e ou AccessConfig neste arquivo Configura o e nomes de arquivos de log Se os nomes de arquivos que especificar para os arquivos de controle do servidor iniciam com uma o servidor usar aquele caminho explicitamente Se os nomes n o iniciarem com uma o valor de ServerRoot adicionado assim 1ogs foo log com ServerRoot ajustado para usr local apache ser interpretado pelo servidor como usr local apache logs foo log Originalmente por Rob McCool modificado por Gleydson Mazioli da Silva para o guia Foca GNU Linux Carga dos M dulos de Objetos Compartilhados Para voc ser capaz de usa a funcionalidade de um m dulo que foi constru do como um m dulo compartilhado ser necess rio adicionar as linhas LoadModule correspondente a sua localiza o assim as diretivas que os m dulos cont m estar o dispon veis antes de serem usadas Exemplo ServerType pode ser inetd ou standalone O modo Inetd somente suportado nas plataformas Unix O modo standalone inicia o servidor como um daemon ServerType standalone Se estiver executando a partir do inetd v at a diretiva ServerAdmin Port A porta que o servidor sta
300. de autentica o e deve ter permiss es leitura grava o para o dono Isto n o recomend vel em servidores seguros a criptografia ou m todo de autentica o podem ser desativados sem o conhecimento do administrador comprometendo a seguran a dos dados Id ntica a op o acima mas o arquivo deve residir no diret rio de spool var spool pop eter o formato usuario qpopper options Este arquivo deve ter como dono o administrador ou dono do servidor pop3 Esta alternativa mais segura que a anterior porque o usu rio n o ter acesso ou desativar op es espec ficas y facilidade Permite modificar o n vel facilidade que as mensagens s o registradas no sys1ogd veja Arquivo de configura o syslog conf Se o 6 2 1 1 248 16 1 11 Enviando boletins de mensagens Este recurso muito til para enviar alertas ou avisos para todos os usu rios em seu sistema de uma s vez A mensagem escrita no diret rio var spool popbul1 seguindo um formato especial e quando o usu rio pop3 se conecta para pegar seus e mails receber tamb m uma c pia do boletim O controle de boletins j recebido pelo usu rio feito no arquivo popbul1 Siga os passos a seguir para configurar este sistema 1 Ative o suporte a envio de boletins no servidor qpopper adicionando a op o b var spool popbul1 a linha de comando 2 Os n meros de boletins s o controlados sequencialmente pelos arquivos popbul1 portanto imp
301. de comando Se o 17 1 10 altamente recomend vel a leitura caso deseje utilizar um cliente de cvs gr fico pois os conceitos s o os mesmos 17 5 2 gevs Linux Este um cliente CVS em GTK Python para Linux que interage externamente com o cliente cvs externo todas as op es do cvs est o dispon veis atrav s de checkboxes nas telas de comando incluindo suporte a compacta o visualizador gr fico da rvore de releases hist rico diffs etc Sua instala o bastante f cil instale o programa com apt get install gcvs e execute o programa atrav s do menu do sistema ou do terminal Utilize os seguintes procedimentos para configurar e utilizar o programa 1 Defina o reposit rio CVSROOT atrav s do menu Admin Preferences Selecione o m todo de acesso entre com o login servidor e reposit rio Exemplo pserver anonymousfservidor var lib cvs O formato deve ser EXATAMENTE como o usado na vari vel CVSROOT no shell incluindo os Caso tenha erros de login verifique o valor de CVSROOT cuidadosamente antes de contactar o administrador de sistemas 2 Agora fa a o login no sistema em Admin Login Note que o status de todas as opera es do cvs s o mostradas na janela de status que fica na parte inferior da tela 268 3 Crie um diret rio que ser usado para armazenar os fontes baixados do CVS por exemplo mkdir projetos 4 Acesse o menu Create Checkout Module para baixar o projeto do CVS para s
302. de firewalls e n vel de aplica o Este tipo de firewall analisam o conte do do pacote para tomar suas decis es de filtragem Firewalls deste tipo s o mais intrusivos pois analisam o conte do de tudo que passa por ele e permitem um controle relacionado com o conte do do tr fego Alguns firewalls em n vel de aplica o combinam recursos b sicos existentes em firewalls em n vel de pacotes combinando as funcionalidade de controle de tr fego controle de acesso em uma s ferramenta Servidores proxy como 0 squid s o um exemplo deste tipo de firewall e n vel de pacotes Este tipo de firewall toma as decis es baseadas nos par metros do pacote como porta endere o de origem destino estado da conex o e outros par metros do pacote O firewall ent o pode negar o pacote DROP ou deixar o pacote passar ACCEPT O iptables um excelente firewall que se encaixa nesta categoria Firewall em n vel de pacotes o assunto explicado nesta se o do guia mas ser apresentada uma explica o breve sobre o funcionamento de an lise de strings do iptables Os dois tipos de firewalls podem ser usados em conjunto para fornecer uma camada dupla de seguran a no acesso as suas m quinas m quinas clientes 10 1 11 O que proteger Antes de iniciar a constru o do firewall bom pensar nos seguintes pontos e Quais servi os precisa proteger Servi os que devem ter acesso garantido a usu rios externos e quais ser o bloqueados a t
303. de mais de uma pol tica de seguran a e conduta interna o sistema de seguran a n o pode fazer nada a n o ser permitir acesso a um nome e senha v lidos 183 Tenha cuidado com o uso da op o Satisfy em diretivas que especificam somente o m todo de autentica o lt Directory var www gt Options Indexes AuthName Acesso ao diret rio do servidor Web AuthType basic AuthUserFile var cache apache senhas AuthGroupFile var cache apache grupos Require group admins Satisfy any lt Directory gt ATEN O PARA O DESCUIDO ACIMA Como o m todo de autoriza o N O especificado assumido deny allow como padr o que permite o acesso a TODOS os usu rios O bloco acima NUNCA executar o m todo de autentica o por este motivo A melhor coisa N O usar a op o Satisfy em casos que s requerem autentica o ou usar Satisfy all que ter o mesmo efeito de n o usa la hehehe A falta de aten o nisto pode comprometer silenciosamente a seguran a de seu sistema 12 7 4 O arquivo htaccess O arquivo htaccess deve ser colocado no diret rio da p gina que dever ter suas permiss es de acesso listagem controladas A vantagem em rela o a inclus o direta de diretivas de acesso dentro do arquivo de configura o do Apache que o controle de acesso poder ser definido pelo pr prio webmaster da p gina sem precisar ter acesso direto a configura o do Apache que requerem privil gios de root Outro pon
304. de manual do sshd 240 Protocolo SSH vers o 1 Cada servidor possui uma chave RSA espec fica 1024 bits por padr o usada para identifica lo Quando o sshd inicia ele gera uma chave RSA do servidor 768 bits por padr o valor definido por ServerKeyBits que recriada a cada hora modificado por KeyRegenerationInterval no sshd config e permanece sempre residente na RAM Quando um cliente se conecta o sshd responde com sua chave p blica da m quina e chaves do servidor O cliente ssh compara a chave RSA com seu banco de dados em ssh know hosts para verificar se n o foi modificada Estando tudo OK o cliente gera um n mero aleat rio de 256 bits o encripta usando ambas as chaves de m quina e chave do servidor e envia este n mero ao servidor Ambos os lados ent o usam este n mero aleat rio como chave de se o que usado para encriptar todas as comunica es seguintes na se o O resto da se o usa um m todo de embaralhamento de dados convencional atualmente Blowfish ou 3DES usado como padr o O cliente seleciona o algoritmo de criptografia que ser usado de um destes oferecidos pelo servidor Ap s isto o servidor e cliente entram em um di logo de autentica o O cliente tenta se autenticar usando um dos seguintes m todos de autentica o rhosts OU shosts normalmente desativada rhosts OU shosts combinado com autentica o RSA normalmente desativada Autentica o RSA por resposta de des
305. de trabalho dom nio que a m quina samba pertencer Ex workgroup focalinux netbios aliases nomes alternativos ao sistema Permite o uso de nomes alternativos ao servidor separados por espa os Ex testel teste2 server string identifica o Identifica o enviada do servidor samba para o ambiente de rede A string padr o Samba v v substitu da pela vers o do samba para maiores detalhes veja Vari veis de substitui o Se o 8 273 Ex server string Servidor Samba vers o bv name resolve order ordem Define a ordem de pesquisa para a resolu o de nomes no samba A ordem padr o Imhosts host wins bcast que a melhor para resolu o r pida e que tente gerar menos tr fego broadcast poss vel Veja Resolu o de nomes de m quinas no samba Se o 18 5 para uma explica o mais detalhada 18 2 8 2 Caracteres e p gina de c digo Uma das partes essenciais ap s colocar o SAMBA em funcionamento configurar a p gina de c digo para que os caracteres sejam gravados e exibidos corretamente no cliente A primeira coisa que precisa verificar se seu kernel possui o suporte a p gina de c digo local Caso n o tenha baixe o fonte do kernel e siga os seguintes passos na configura o e Dentro da op o File Systems Network File Systems defina como Default Remote NLS Option a iso8859 1 Esta op o permite ao smbmount montar os volumes locais usando os caracteres corretos
306. dias para excluir poss veis arquivos ou contactar o administrador para redimensionar o tamanho de quota O valor padr o 7 dias e Inode grade period Tempo m ximo de toler ncia para usu rios grupos que ultrapassaram sua 360 quota soft de n mero de arquivos gravados antes de passar a valer como hard No exemplo o usu rio tem 7 dias para excluir poss veis arquivos ou contactar o administrador para analisar seu tamanho de quota O valor padr o 7 dias OBS1 O comando quotacheck dever ser executado na parti o sempre que novas restri es limites forem editados com o edquota Isto atualiza os arquivos quota user e quota group Lembre se de desativar o sistema de quotas quotaoff ugv parti o antes de executar este comando para liberar totalmente a parti o quotacheck remonta a parti o somente para leitura quando executado Por este motivo recomend vel fazer isso em modo monousu rio OBS2 Quando o limite soft suave excedido o sistema come ar a lhe mostrar mensagens alertando a passagem do limite para lhe dar tempo de eliminar arquivos ou n o ser pego desprevenido com o bloqueio de grava o porque o limite hard r gido nunca poder ser ultrapassado OBS3 O tempo de toler ncia restante ao usu rio grupo quando a quota ultrapassada poder ser visualizada com o comando quota veja Verificando a quota dispon vel ao usu rio Se o 19 12 4 OBS4 Quando o usu rio exclui seus arq
307. diciona lo manualmente com uma linha LoadModule veja o par grafo DSO na se o Ambiente Global no arquivo httpd conf ou recompile o servidor e inclua mod mime magic como parte de sua configura o por este motivo ele est entre as condicionais lt IfModule gt Isto significa que a diretiva MIMEMagicFile somente ser processada caso o m dulo estiver ativo no servidor lt IfModule mod mime magic c gt MIMEMagicFile conf magic lt IfModule gt lt IfModule mod setenvif c gt As seguintes diretivas modificam o funcionamento da resposta normal do servidor HTTP A primeira diretiva desativa o keepalive para o Netscape 2 x e navegadores que as falsificam Existem problemas conhecidos com estas implementa es de navegadores A segunda diretiva para o MS IE 4 0b2 que tem uma implementa o defeituosa do HTTP 1 1 e n o suporta adequadamente o keepalive quando ele utiliza as respostas de redirecionamento 301 e 302 BrowserMatch Mozilla 2 nokeepalive BrowserMatch MSIE 41 0b2 nokeepalive downgrade 1 0 force response 1 0 As seguintes diretivas desativam as respostas HTTP 1 1 para navegadores que violam a especifica o HTTP 1 0 n o sendo capaz de enviar uma resposta 1 1 b sica BrowserMatch RealPlayer 41 0 force response 1 0 BrowserMatch Java 1 0 force response l 0 BrowserMatch JDK 1N 0 force response 1 0 lt IfModule gt Se o m dulo Perl est instalado isto ser ativado lt IfModul
308. did ticos portanto fica a inteira responsabilidade do usu rio sua utiliza o global nome da m quina na rede netbios name teste nome do grupo de trabalho que a m quina pertencer 339 workgroup focalinux String que ser mostrada junto com a descri o do servidor server string servidor PDC principal de testes n vel de seguran a user somente aceita usu rios autenticados ap s o envio de login senha security user Utilizamos senhas criptografadas nesta configura o encrypt passwords true smb passwd file etc samba smbpasswd Conta que ser mapeada para o usu rio guest guest account nobody Permite restringir quais interfaces o SAMBA responder bind interfaces only yes Faz o samba s responder requisi es vindo de eth0 interfaces eth0 como estamos planejando ter um grande n mero de usu rios na rede dividimos os arquivos de log do servidor por m quina log file var log samba samba m I log O tamanho de CADA arquivo de log criado dever ser 1MB 1024kKb max log size 1000 Escolhemos um n vel de OS com uma boa folga para vencer as elei es d controlador de dom nio local os level 80 Dizemos que queremos ser o Domain Master Browse o padr o auto domain master yes Damos algumas vantagens para o servidor ganhar a elei o caso aconte a desempate por crit rios preferred master yes Tamb m queremos ser o local master browser para noss
309. diret rio especificado Por exemplo assumindo que o endere o principal de nosso servidor http www guiafoca org desejamos que a URL http www guiafoca org download seja atendida por uma m quina localizada na nossa rede privada com o endere o http 192 168 1 54 Basta incluir a linha ProxyPass download http 192 168 1 54 Qualquer requisi o externa a http www guiafoca org download iniciante ser atendida por http 192 168 1 54 iniciante ProxyPassRemote diret rio da url outro servidor diret rio Esta diretiva permite modificar o cabe alho Location nas mensagens de respostas de redirecionamento enviadas pelo Apache Isto permite que o endere o retornado seja o do servidor que faz a interface externa com o cliente e n o da m quina do redirecionamento ProxyPass download http 192 168 1 54 ProxyPassReverse download http 192 168 1 54 Se a m quina 192 168 1 54 redirecionar a URL para http 192 168 1 54 download iniciante a resposta ser modificada para http www guiafoca org download iniciante antes de ser retornada ao cliente 12 12 Virtual Hosts Virtual Hosts sites virtuais um recurso que permite servir mais de um site no mesmo servidor Podem ser usadas diretivas espec ficas para o controle do site virtual como nome do administrador erros de acesso a p gina controle de acesso e outros dados teis para personalizar e gerenciar o site Existem 2 m todos de virtual hosts 197 e Virt
310. do Guia Entre as principais colabora es at a vers o atual posso citar as seguintes e Djalma Valois djalmafcipsga org br Pela recente hospedagem do Foca GNU Linux Estou muito feliz vendo o Foca GNU Linux fazendo parte de um projeto t o positivo como o CIPSGA para o crescimento e desenvolvimento do software livre nacional 382 e Bakurih bakurihfyahoo com Revis o inicial do documento e Eduardo Marcel Ma an macanfdebian org Pela antiga hospedagem na p gina do metainfo e Michelle Ribeiro michellefcipsga org br Por dispensar parte de seu atencioso tempo enviando revis es e sugest es que est o melhorando bastante a qualidade do guia Entre eles detalhes que passaram despercebidos durante muito tempo no guia e p gina principal E tamb m por cuidar do fonte do guia e Augusto Campos brainf matrix com br Descri o sobre a distribui o Suse e Paulo Henrique Baptista de Oliveira baptistaflinuxsolutions com br Pelo apoio moral oferecido durante os frequentes lan amentos do guia acompanhamento e divulga o e Diego Abadan diegofhipernet ufsc br Envio de corre es significativas novos endere os de listas de discuss o e Alexandre Costa alebytefbol com br Envio de centenas de patches ortogr ficos nas vers es Iniciante e Intermedi rio do guia que passaram desapercebidas durante v rias vers es do guia e Christoph Simon cicciofprestonet com br Pela pesquisa e a gigantesca c
311. do de Fast SCSI Usa um cabo de 50 condutores para a liga o de perif ricos Permite que sejam ligados at 7 perif ricos em uma mesma controladora veja Configurando uma SCSI ID e termina o Se o 3 16 1 o mais comum encontrado hoje em dia mas vem perdendo espa o aos poucos para a tecnologia SCSI III e SCSI III Tamb m chamado de Fast SCSI SE ou LVD Usa um cabo de 68 condutores para liga o de perif ricos veja Configurando uma SCSI ID e termina o Se o 3 16 1 Permite que sejam ligados at 16 perif ricos em uma mesma controladora Um cabo SCSI pode ter o comprimento de at 5 metros de extens o Os perif ricos SCSI s o identificados atrav s de n meros chamados de identificador SCSI ou SCSI ID Estes n meros v o de 0 a 6 para o padr o SCSI 2 e de 0 a 15 para o padr o SCSI 3 Placas SCSI como a Adaptec UV 19160 permitem a liga o de perif ricos SCSI 2 e SCSI 3 na mesma placa com a taxa de transmiss o de 160 MB s por perif rico al m de possuir um setup pr prio para configurar as op es dos dispositivos da placa e a opera o da pr pria A tecnologia SCSI algo realmente r pido para a transfer ncia de dados e cara tamb m seu uso muito recomendado em servidores cr ticos Os pr prios dispositivos SCSI como discos r gidos gravadores de CD cd rom etc s o constru dos de tal forma que tem a durabilidade maior que perif ricos comuns garantindo a m xima confian a para opera o armaze
312. do diret rio de cones lt Directory usr share apache icons gt Options Indexes MultiViews AllowOverride None Order allow deny Allow from all lt Directory gt O Debian Policy assume que usr doc doc e linkado com usr share doc pelo menos para localhost lt Directory usr doc gt Options Indexes FollowSymLinks order deny allow 219 lt lt lt 3E 3k 3E PP a dE 4 lt lt ae ae ae dh de ae lt lt S lt lt lt lt lt lt deny from all allow from 192 168 1 10 24 Directory gt Esta define a localiza o visualiz vel do monitor de status mod throttle location throttle info gt SetHandler throttle info location gt As seguintes linhas previnem os arquivos htaccess de serem mostrados nos clientes Web Pois os arquivos htaccess fregiientemente cont m detalhes de autoriza o o acesso desabilitado por raz es de seguran a Comente estas linhas se desejar que seus visitantes vejam o conte do dos arquivos htaccess Se modificar a diretiva AccessFileName acima tenha certeza de fazer as modifica es correspondentes aqui As pessoas tamb m tendem a usar nomes como htpasswd nos arquivos de senhas a diretiva abaixo os proteger tamb m Files N nhtt gt Order allow deny Deny from all Files gt Controla o acesso a diret rios UserDir
313. do visudo ele faz algumas checagens para detectar problemas de configura o Para listar os comandos dispon veis para o usu rio no sudo utilize a op o 1 ex sudo 1 352 19 5 Restringindo o comando su Restri es de acesso atrav s de grupos bloqueio de acesso acesso direto sem senha etc podem ser aplicados ao sudo via seu arquivo de configura o PAM etc pam d su Abaixo um exemplo explicativo deste arquivo A configura o abaixo requer que o usu rio seja membro do grupo adm para usar o su auth required pam wheel so group adm Membros do grupo acima n o precisam fornecer senha temos confian a neles auth sufficient pam wheel so trust Usu rio que pertencem ao grupo nosu nunca dever o ter acesso ao su auth required pam wheel so deny group nosu O root n o precisa fornecer senha ao su auth sufficient pam rootok so Ativa as restri es PAM de etc security limits conf session required pam limits so Isto ativa as restri es PAM de etc security time conf no comando su account requisite pam time so M dulos padr es de autentica o Unix auth required pam unix so account required pam unix so session required pam unix so 19 6 Restri es baseadas em usu rio IP O servi o identd permite identificar os usu rios que est o realizando conex es TCP adicionalmente esta caracter stica usada por programas para fazer restri es para usu rios em adi o ao endere o
314. dos setportprio bridge interface prioridade Ajusta a prioridade da interface especificada na bridge O valor de prioridade deve estar entre 0 e 255 8 bits Quanto menor o valor maior a prioridade Isto til para otimiza es o volume de tr fego em m quinas que possuem diversas interfaces configuradas fazendo parte da bridge brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 brctl setportprio brO eth0 50 brctl setportprio brO eth1l 80 brctl setfd br0 2 ifconfig eth0 0 0 0 0 ifconfig ethl 0 0 0 0 ifconfig br0 192 168 0 4 5 2 5 Usando o iptables para construir um firewall na m quina da bridge A constru o de um firewall em uma bridge n o tem maiores segredos basta referir se a interface l gica da bridge para construir suas regras tendo em mente como uma bridge funciona e como os pacotes atravessar o as interfaces Caso aplique o patch bridge nf ser poss vel referir se as interfaces locais de rede e tamb m a da bridge Neste caso a interface da bridge ser identificada como interface IN ou OUT PHYSIN e as interfaces f sicas como PHYSOUT Oct 22 09 19 24 router kernel IN br0 PHYSIN eth0 OUT MAC ff ff ff ff F f 00 d4 7d f f 08 00 SRC 192 168 0 4 DST 1982 168 255 255 LEN 238 TOS 0x00 PREC 0x00 TTL 128 ID 23383 PROTO UDP SPT 138 DPT 138 LEN 218 Mesmo que a bridge n o necessite de ip forward ativado para redirecionar os pacotes atrav s das interfaces isto ser necess rio para
315. dos pelo n vel de execu o correspondente Por exemplo o arquivo S10sysklogd em etc rc2 a um link simb lico para etc init d sysklogd O que aconteceria se voc removesse o arquivo etc rc2 d S10sysklogd Simplesmente o daemon sysklogd deixaria de ser executado no n vel de execu o 2 do sistema que o padr o da Debian A Debian segue o seguinte padr o para definir se um link simb lico em etc rc 0 6 d iniciar ou interromper a execu o de um servi o em etc init a que o seguinte e Se um link iniciado com a letra K kill quer dizer que o servi o ser interrompido naquele n vel de execu o O que ele faz executar o daemon em etc init da seguido de stop e Se um link iniciado com a letra s start quer dizer que o servi o ser iniciado naquele n vel de execu o equivalente a executar o daemon seguido de start 95 Primeiro os links com a letra K s o executado e depois os s A ordem que os links s o executados dependem do valor num rico que acompanha o link por exemplo os seguintes arquivos s o executados em sequ ncia S10sysklogd Si2kerneld Ss20inetd S20linuxlogo S20logoutd s20lprng sSs89cron S99xdm Note que os arquivos que iniciam com o mesmo n mero S20 s o executados alfabeticamente O n vel de execu o do sistema pode ser modificado usando se o comando init outelinit Os seguinte n veis de execu o est o dispon veis na Debian e o Interrompe a execu
316. dows com Linux etc e A implementa o o c digo escrito por cada desenvolvedor para integra o ao sistema operacional 72 seguindo as regras do padr o para garantir a comunica o entre as m quinas portanto a implementa o do protocolo TCP varia de fabricante para fabricante Existem dois tipos de padr es TCP Darpa e OSI O padr o Darpa dividido em 4 camadas e ainda o padr o atualmente utilizado O padr o OS mais recente dividido em 7 camadas mas ainda n o se tornou um padr o como o Darpa Segue abaixo os padr es e a descri o de cada uma das camadas Darpa o Aplica o www ftp dns etc Fazem interface com as aplica es do sistema e Transporte Protocolo tcp e udp Cuidam da parte de transporte dos dados do sistema e Rede IP icmp igmp arp Cuida de levar o pacote para seu destino rotas e condi es de transmiss o O Interface de Rede Ethernet FDDI Token Ring Define qual o m todo que a mensagem transmitida ser encapsulada para envio ao seu destino Apesar dos padr es Darpa e OSI o protocolo TCP IP oficialmente independente destas camadas 4 11 RFCs de refer ncia sobre protocolos de rede Como refer ncia de pesquisa segue abaixo a listagem de n meros de RFCs para protocolos de rede mais utilizados org rfc rfc791 org rfc rfc792 org rfc rfc793 org rfc rfc768 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de
317. dulo correspondente em caso de d vidas leia a documenta o sobre o m dulo Veja ajhttpd conf Se o 12 14 1 para exemplos do uso da diretiva LoadModule Por exemplo se voc quiser utilizar as diretivas de autoriza o allow deny order dever ter o m dulo mod access carregado para usar as diretivas de autoriza o authname authuserfile authtype etc dever ter o m dulo mod auth carregado Mais detalhes podem ser encontrados em OBS1 O suporte a DSO atualmente s est dispon vel para plataforma UNIX e seus derivados como o Linux Tamb m poss vel ativar certas diretivas verificando se o m dulo correspondente estiver ou n o carregado atrav s da diretiva lfModule lt IfModule mod userdir c gt UserDir disabled root UserDir public html lt IfModule gt 188 Nas linhas acima as diretivas UserDir somente ser o executadas se o m dulo mod userdir c estiver carregado atrav s da diretiva LoadModule Segue abaixo uma lista de m dulos padr es que acompanham do Apache os m dulos marcados com s o ativados por padr o Cria o de Ambiente e mod env Ajusta vari veis de ambiente para scripts CGI SSI o mod_setenvif Ajusta vari veis de ambiente de acordo com cabe alhos http e mod unique id Gera identificadores nicos para requisi es Decis o de tipo de conte do de arquivos e mod_mime Determina o de tipo encodifica o do conte do configurado mod mime magic Determina
318. e o 5 4 1 e Voc poder fazer qualquer coisa que faria em uma rede normal incluindo roteamento entre redes MASQUERADING etc e mais uma prova das capacidades de rede que poss vel usando O Linux Agora os contras da conex o via porta serial e A porta serial n o estar dispon vel para ser usada para conex o de mouses impressoras seriais dispositivos eletr nicos e inteligentes etc e O comprimento m ximo do cabo de 15 metros Acima dessa comprimento voc pode colocar sua controladora em risco al m da perda de sinal Por seguran a o tamanho m ximo recomend vel 13 metros Para configurar uma conex o via cabo serial entre duas m quinas vamos assumir que a primeira m quina ter o IP 192 168 2 1 e a segunda m quina 192 168 2 2 81 1 Conecte o cabo Lap Link serial em cada uma das portas seriais 2 Verifique se o seu kernel est compilado com o suporte a rede slip e tamb m com suporte a cslip slip compactado que melhora a taxa de transfer ncia dependendo dos dados sendo transmitidos Caso n o tenha o suporte a slip voc poder usar o ppp nas duas pontas do link fazendo algumas adapta es para usar a interface ppp como simples n o ser descrito neste guia veja o manual do slattach Interrompa qualquer programa que esteja usando a porta serial 4 Execute o comando slattach s 115200 dev ttyS1 amp A fun o do slattach associar uma interface de rede a um dispositivo n
319. e etc hosts equiv suficiente para entrar no sistema N o muito bom usar yes aqui RhostsAuthentication no Mesmo que o acima com o acr scimo que o arquivo etc ssh ssh known hosts tamb m verificado Tamb m evite usar yes aqui RhostsRSAAuthentication no Especifica se a autentica o via RSA permitida s usado na vers o 1 do protocolo ssh Por padr o yes RSAAuthentication yes 243 Permite autentica o usando senhas serve para ambas as vers es 1 e 2 do ssh O padr o yes PasswordAuthentication yes Se a PasswordAuthentication for usada permite yes ou n o no login sem senha O padr o no PermitEmptyPasswords no Ativa senhas s key ou autentica o PAM NB interativa Nenhum destes compilado por padr o junto com o sshd Leia a p gina de manual do sshd antes de ativar esta op o em um sistema que usa PAM ChallengeResponseAuthentication no Verifica se o usu rio possui emails ao entrar no sistema O padr o no Este m dulo tamb m pod star sendo habilitado usando PAM neste caso cheque a configura o em etc pam d ssh CheckMail no Especifica se o programa login usado para controlar a se es de shell interativo O padr o no UseLogin no Especifica o n mero m ximo de conex es de autentica o simult neas feitas pelo daemon sshd O valor padr o 10 Valores aleat rios podem ser especificados usando os campos inicio taxa m x
320. e o IP do servidor de senhas password server IP OBS1 Os perfis s funcionam caso o servidor de profiles contenha a op o security usere encrypt passwords yes OU security server password server endere o IP Caso tenha problemas verifique se uma destas alternativas est correta OBS2 Quando utiliza o SAMBA com o Windows 2000 SP2 necess rio adicionar a op o nt acl support no no compartilhamento profiles caso contr rio ele retornar um erro de acesso ao compartilhamento 305 18 7 9 Modifica es de permiss es de acesso pelos clientes do dom nio Um usu rio do Windows NT ou vers es baseadas neste pode modificar as permiss es dos arquivos diret rios que tem acesso atrav s da caixa de di logo de listas de acesso do NT lembrando que estas permiss es nunca substituir o as definidas pelo administrador local A op o nt acl support dever estar definida para yes na se o global do arquivo de configura o caso contr rio voc n o ter acesso para mudar as permiss es atrav s de caixas de di logo do NT 18 8 Ativando o suporte a senhas criptografadas O uso de senhas criptografadas um requisito quando voc deseja configurar o SAMBA para ser um servidor PDC ou um cliente de um dom nio Quando utiliza senhas criptografadas elas trafegam em formato seguro atrav s da rede dificultando a captura por outras pessoas Em vers es mais recentes do Windows a partir da OSR 2 e
321. e p f cell poll o oil O 5 O D O 72 O md j f N 0s N D D fo ia Oo 0 0o00ooo o dh 0 000 000 para para pura para N Ol O D fab O homes 8 2 10 Se o printers 8 2 11 Buscando problemas na configura o 8 2 12 N veis de sistema para elei o de rede 8 2 13 Vari veis de substitui o O 8 3 1 Descri o de par metros usados em compartilhamento igura o em Grupo de Trabalho 5 Resolu o de nomes de m quinas no samba 8 5 1 Arquivo etc samba lmhosts 8 5 1 1 Exemplo de 1mhosts do UNIX 18 5 1 2 Exemplo de Imhost s do Windows Rr Eq o0 ra O O Slol e P O gt e pr oo e o ol N E Z 8 5 2 1 Configurando o servidor WIN 18 5 2 2 Configurando o Cliente WINS o 18 6 Servidor de data hora O O te 8 6 1 Configura o do servi o de data hora no SAMBA J e 18 6 2 Sincronizando a data hora no Cliente o 18 7 Configura o em Dom nio O ry O o O md do pq D 5 2 fo o v O PE O ua O O x a O Eq 00 i NO gt 8 7 1 Uma breve introdu o a um Dom nio de rede 8 7 2 Local Master Browse 8 7 3 Domain Master Browser 8 7 4 Configurando um servidor PDC no SAMBA 8 7 5 Contas de m quinas de dom nio o 18 7 5 1 Criando contas de m quinas manualmente o 18 7 5 2 Criando contas de m quinas automaticamente 8 7 6 Criando uma conta de administrador de dom
322. e permitir o acesso externo ao mesmo recurso somente atrav s de senha Isto pode ser feito com o uso da diretiva Satisfy junto ao bloco de autoriza o autentica o Vamos tomar como base o exemplo anterior lt Directory var www gt Options Indexes Order mutual failure allow from dominiolocal com br deny from lammer dominiolocal com br AuthName Acesso ao diret rio do servidor Web AuthType basic AuthUserFile var cache apache senhas AuthGroupFile var cache apache grupos Require group admins Satisfy any lt Directory gt Note que o exemplo o mesmo com a adi o da diretiva Satisfy any no final do bloco do arquivo Quando a op o Satisfy n o especificada ela assumir all como padr o ou seja o usu rio dever passar no teste de autoriza o e autentica o para ter acesso A diferen a do exemplo acima em rela o ao da se o anterior se a m quina passar no teste de autoriza o ela j ter acesso garantido Caso falhe no teste de autoriza o ainda ter a chance de ter acesso a p gina passando na checagem de autentica o Isto garante acesso livre aos usu rios do dom nio dominiolocal com br J os outros usu rios incluindo acessos vindos de lammer dominiolocal com br que pode ser uma m quina com muito uso poder ter acesso ao recurso caso tenha fornecido um nome e senha v lidos para passar pelo processo de autentica o Tenha isto em mente este tipo de problema comum e depen
323. e ssh Utilit rios e ssh Cliente ssh console remoto e slogin Link simb lico para o programa ssh e sshd Servidor de shell seguro ssh e scp Programa para transfer ncia de arquivos entre cliente servidor 231 ssh keygen Gera chaves de autentica o para o ssh sftp Cliente ftp com suporte a comunica o segura sftp server Servidor ftp com suporte a comunica o segura ssh add Adiciona chaves de autentica o DSA ou RSA ao programa de autentica o ssh agent Agente de autentica o sua fun o armazenar a chave privada para autentica o via chave p blica DSA ou RSA ssh keyscan Scaneia por chaves p blicas de autentica o de hosts especificados O principal objetivo ajudar na constru o do arquivo local know hosts e ssh copy id Usado para instala o do arquivo identity pub em uma m quina remota Arquivos de configura o O etc ssh sshd config Arquivo de configura o do servidor ssh O etc ssh ssh config Arquivo de configura o do cliente ssh e ssh config Arquivo de configura o pessoal do cliente ssh 15 1 6 Requerimentos de Hardware recomendado no m nimo 6MB de mem ria RAM para a execu o do servi o ssh mais o Kernel do Linux Este limite deve ser redimensionado para servidores de acesso dedicado uma quantidade de 64MB deve ser confort vel para centenas de usu rios conectados simultaneamente o que raramente acontece Veja tamb m Restri
324. e a op o unix password sync 18 14 3 9 Linux Entre no sistema como usu rio root Instale o SAMBA caso n o esteja ainda instalado Edite o arquivo de configura o do samba etc samba smb conf ser necess rio modificar as seguintes linhas na se o global global workgroup nome dom nio security domain password server nome pdc nome bde encrypt passwords true Onde O workgroup Nome do dom nio que deseja fazer parte O security N vel de seguran a Nesta configura o utilize domain O password server Nome da m quina PDC BDC Tamb m poder ser usado assim o SAMBA tentar descobrir o servidor PDC e BDC automaticamente da mesma forma usada pelo Windows O encrypt passwords Diz se as senhas ser o encriptadas ou n o Sempre utilize senhas criptografadas para colocar uma m quina em um dom nio Reinicie o servidor SAMBA ap s estas modifica es Execute o comando smbpasswd j dom nio r PDC BDC U usuario admin Onde O dom nio Dom nio que deseja fazer o logon 334 O PDC BDC Nome da m quina PDC BDC do dom nio Em alguns casos pode ser omitido O usuario admin Usu rio com poderes administrativos para ingressara a m quina no dom nio e Se tudo der certo ap s executar este comando voc ver a mensagem Joined domain dom nio Se sua configura o n o funcionou revise com aten o todos os tens acima Verifique se a conta de m quina foi criada no servidor
325. e acesso no sistema Seu formato o seguinte username map arquivo As seguintes regras s o usadas para construir o arquivo de mapeamento de nomes e Um arquivo de m ltiplas linhas onde o sinal de separa os dois par metros principais O arquivo processado linha por linha da forma tradicional a diferen a o que o processamento do arquivo continua mesmo que uma condi o confira Para que o processamento do resto do arquivo seja interrompido quando um mapeamento confira coloque o sinal na frente do nome local e O par metro da esquerda a conta Unix local que ser usada para fazer acesso ao compartilhamento Somente uma conta Unix poder ser utilizada e O par metro da direita do sinal de pode conter um ou mais nomes de usu rios separados por espa os que ser o mapeados para a conta Unix local O par metro grupo permite que usu rios pertencentes ao grupo Unix local sejam mapeados para a conta de usu rio do lado esquerdo Outro caracter especial o e indica que qualquer usu rio ser mapeado Voc pode utilizar coment rios na mesma forma que no arquivo de configura o smb conf Alguns exemplos Mapeia o usu rio gleydson mazioli com o usu rio local gleydson gleydson gleydson mazioli Mapeia o usu rio root e adm para o usu rio nobody nobody root adm Mapeia qualquer nome de usu rio que perten a ao grupo smb users para o usu rio 324 samba samba smb users Ut
326. e as M como m dulos Note que ambas as op es IDE ATAPI CDROM e SCSI Emulation foram marcadas como embutidas Isto faz com que o driver ATAPI tenha prioridade em cima do SCSI mas vou explicar mais adiante como dizer para o kernel para carregar o suporte a SCSI para determinada unidade Isto til quando temos mais de 1 unidade de CD IDE no sistema e queremos configurar somente o gravador para SCSI pois alguns aplicativos antigos n o se comunicam direito tanto com gravadores SCSI como emulados Voc tamb m pode marcar somente a op o SCSI Emulation para que sua s unidade s seja m automaticamente emulada s como SCSI Caso tenha usado esta t cnica v at a se o Testando o funcionamento Se o 3 11 3 3 2 O pr ximo passo identificar o dispositivo de CD Rom atual Isto feito atrav s do comando dmesg Supondo que sua unidade de CD hdc primeiro disco na segunda controladora IDE e que compilou ambos o suporte a IDE ATAPI e SCSI emulation no kernel adicione o argumento ndc ide scsi no etc 1lilo conf ou no grub Lilo vmlinuz vmlinuz append hdc ide scsi Isto diz para o kernel que a unidade hdc usar emula o ide scsi Caso tenha outras unidades de CD no sistema estas ainda utiliza o ATAPI como protocolo de comunica o padr o Execute o lilo para gerar novamente o setor de inicializa o com as modifica es e reinicie o computador OBS Cuidado ao colocar um disco r gido IDE como
327. e definir um arquivo de log de erros para lt VirtualHost gt as mensagens relativas ao servidor controlados por ela ser o registradas l e n o neste ErrorLog va LoglLevel Facilidade alert eme arquivo r log apache error log Controla o n mero de mensagens registradas no ErrorLog s poss veis incluem info rg debug 208 notice warn error Crit Veja as facilidades na se o do guia sobre o syslog para detalhes LogLevel warn As seguintes diretivas definem alguns formatos de nomes que ser o usadas com a diretiva CustomLog veja abaixo LogFormat sh 1 u St 3r gt s sb Referer i N g User AgentJiN ST v full LogFormat sh 1 u St sr gt s bb Referer i User Agent i P T debug LogFormat sh 1 u St sr gt s gb Referer i N g User AgentJiN combined LogFormat sh 1 u t N g rN gt s b common o LogFormat Referer i gt U referer LogFormat User agent i agent A localiza o e formato do arquivo de log de acesso definida pela diretiva LogFormat acima Se n o definir quaisquer arquivos de log de acesso dentro de um lt VirtualHost gt elas ser o registradas aqui Se for definida dentro de lt VirtualHost gt o arquivo de log de acesso ser registrado no arquivo especificado na diretiva e n o aqui CustomLog var log apache access log common Se voc desejar ter um arquivo de log separado pa
328. e esqueceu de instalar as fontes do Ghost Script est o localizadas no pacote gsfont s na distribui o Debian e Para imprimir o arquivo alphabet ps use o comando gs q dSAFER dNOPAUSE SsDEVICE epson r240x72 sPAPERSIZE legal sOutputFile dev 1p0 alphabet ps O arquivo alphabet ps deve ser impresso Caso aparecerem mensagens como Error invalidfont in findfont no lugar das letras voc se esqueceu de instalar ou configurar as fontes do Ghost Script Instale o pacote de fontes gsfonts na Debian ou verifique a documenta o sobre como configurar as fontes Cada uma das op es acima descrevem o seguinte O q dQUIET N o mostra mensagens de inicializa o do Ghost Script O dSAFER uma op o para ambientes seguros pois desativa a opera o de mudan a de nome e dele o de arquivo e permite somente a abertura dos arquivos no modo somente leitura O dNOPAUSE Desativa a pausa no final de cada p gina processada O sDEVICE dispositivo Dispositivo que receber a sa da do Ghost Script Neste local pode ser especificada a marca o modelo de sua impressora ou um formato de arquivo diferente como pcxmono bmp256 para que o arquivo ps seja convertido para o formato designado Para detalhes sobre os dispositivos dispon veis em seu Ghost Script digite gs helplless ou veja a p gina de manual Normalmente os nomes de impressoras e modelos s o concatenados por exemplo bjc600 para a impr
329. e impressoras arquivos comuns um diret rio tempor rio etc Para configurar um acesso p blico utilizamos a op o public yes OU guest ok yes que um sin nimo para o ltimo comando O UID utilizado no acesso p blico especificado pelo par metro guest account portanto ele dever ser um usu rio v lido do sistema Caso voc queira somente definir acesso guest a um compartilhamento especifique a op o guest only para o servi o desta forma mesmo que o usu rio tenha acesso ele ser mapeado para o usu rio guest Uma boa medida de seguran a usar o usu rio nobody pois a maioria das distribui es de Linux seguras adotam o como padr o como usu rio que n o dono de quaisquer arquivos diret rios no sistema n o possui login senha ou sequer um diret rio home Veja um exemplo disponibilizando o compartilhamento download para acesso p blico com acesso a grava o 318 global guest account nobody download path downloads comment Espa o p blico para abrigar downloads de Usu rios guest ok yes aqui poder ser tamb m public yes writable yes follow symlinks false O par metro guest account tamb m poder ser especificado no compartilhamento isto til quando n o quiser que o usu rio que acesse o compartilhamento n o seja o mesmo usado na diretiva global Caso seu servidor somente disponibiliza compartilhamentos para acesso p blico mais recomendado utilizar
330. e m todos de autentica o usando o m todo de chave p blica privada RSA Ambas as vers es 1 e 2 do ssh s o documentadas neste cap tulo Op es espec ficas do protocolo 1 ou 2 do ssh ser o destacadas 15 1 Introdu o O servi o de ssh permite fazer o acesso remoto ao console de sua m quina em outras palavras voc poder acessar sua m quina como se estivesse conectado localmente ao seu console substituindo o rlogin e rsh A principal diferen a com rela o ao servi o telnet padr o rlogin e rsh que toda a comunica o entre cliente servidor feita de forma encriptada usando chaves p blicas privadas RSA para criptografia garantindo uma transfer ncia segura de dados A velocidade do console remoto conectado via Internet excelente melhor que a obtida pelo telnet e servi os r dando a impress o de uma conex o em tempo real mesmo em links discados de 9 600 KB s a compacta o dos dados tamb m pode ser ativada para elevar ainda mais a velocidade entre cliente servidor ssh Al m do servi o de acesso remoto o scp possibilita a transfer ncia recep o segura de arquivos substituindo O rcp Em conex es sem criptografia rsh rlogin os dados trafegam de forma desprotegida e caso exista algum sniffer instalado em sua rota com a m quina destino todo o que fizer poder ser capturado incluindo senhas 230 15 1 1 Vers o assumido que esteja usando a vers o 2 0 do ssh As explica es contidas a
331. e mod perl c gt Alias perl var www perl lt Location perl gt Options ExecCGI SetHandler perl script PerlHandler Apache Registry lt Location gt lt IfModule gt 218 12 14 3 access conf 4 access conf Configura o de acesso Global Documentos on line em http www apache org Este arquivo define as configura es do servidor que afetam que tipos de servi os s o permitidos e em quais circunst ncias Cada diret rio que o Apache possui acesso pode ser configurado respectivamente com quais servi os e caracter sticas que podem ser permitidas e ou bloqueadas no diret rio e seus subdiret rios 3E 3k E k a Primeiro a configura o restringe uma s rie de permiss es lt Directory gt Options SymLinksIfOwnerMatch AllowOverride None Order deny allow Deny from all lt Directory gt Desse ponto em diante necess rio especificar o que ser permitido caso contr rio ser bloqueado pelo bloco acima Esta parte deve ser modificada para a localiza o do documento ra z do servidor lt Directory var www gt A op o Options pode conter os valores None All ou quaisquer combina o de Indexes Includes FollowSymLinks ExecCGI ou MultiViews Note que MultiViews deve ser explicitamente especificada Options All n o a ativa pelo menos n o ainda Options Indexes FollowSymLinks Includes MultiViews 4 Esta op o controla que op es
332. e n o um PDC voc pode pular para o passo onde o SAMBA reiniciado no final dessa lista n o necess ria a cria o do arquivo de senhas para autentica o pois os usu rios ser o validados no servidor 2 Execute o comando mksmbpasswd lt etc passwd gt etc samba smbpasswd Ele pega toda a base de usu rios do etc passwd e gera um arquivo etc samba smbpasswd contendo as contas destes usu rios Por padr o todas as contas s o DESATIVADAS por seguran a quando este novo arquivo criado O novo arquivo ter o seguinte formato 306 gleydson 1020 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX U LCT 00000000 Gleydson Mazioli da Silva geovani 1004 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX U LCT 00000000 Geovani Mazioli da Silva Os campos s o separados por e cada campo possui o seguinte significado 1 O primeiro o nome de usu rio 2 UID do usu rio no sistema UNIX que a conta ser mapeada 3 Senha Lan Manager codificada em hex 32 criado usando criptografia DES usada pelo Windows 95 98 ME 4 Senha hash criada em formato do NT codificada em hex 32 Esta senha criada pegando a senha do usu rio convertendo a para mai sculas adicionados 5 bytes de caracteres nulos e aplicando o algoritmo md4 5 Op es da conta criada no smbpasswd e u Especifica que a conta uma conta de usu rio normal veja Adicionando usu rios no e D Significa que a conta
333. e procurar por dispositivos conectados a ele procurando configura o autom tica Este barramento estava presente no PS 1 e PS 2 hoje n o mais usado PCI Peripheral Component Interconnect outro barramento r pido produzido pela Intel com a mesma velocidade que o VESA O barramento possui um chipset de controle que faz a comunica o entre os slots PCI e o processador O barramento se configura automaticamente atrav s do Plug and Play O PCI o barramento mais usado por Pentiums e est se tornando uma padr o no PC AGP Accelerated Graphics Port um novo barramento criado exclusivamente para a liga o de placas de video um slot marrom em sua maioria que fica mais separado do ponto de fixa o das placas no chassis comparado ao PCI Estas placas permitem obter um desempenho elevado de v deo se comparado as placas onboards com mem ria compartilhada e mesmo PCI externas O consumo de pot ncia em placas AGP x4 podem chegar at a 100W portanto importante dimensionar bem o sistema e ter certeza que a fonte de alimenta o pode trabalhar com folga PCMCIA Personal Computer Memory Card International Association um slot especial usado para conex es de placas externas normalmente revestivas de pl stico e chamadas de cart es PCMCIA Estes cart es podem adicionar mais mem ria ao sistema conter um fax modem placa de rede disco r gido etc Os cart es PCMCIA s o divididos em 3 tipos Tipo 1 Tem
334. e se o SAMBA na m quina cliente foi reiniciado De tamb m uma olhada emlErros conhecidos durante o logon do cliente Se o 18 14 4 OBS O SAMBA envia primeiramente um usu rio senha falso para verificar se o servidor rejeita o acesso antes de enviar o par de nome senha corretos Por este motivo seu usu rio pode ser bloqueado ap s um determinado n mero de tentativas em alguns servidores mais restritivos Para acessar os recursos compartilhados veja Linux Se o 18 14 2 9 Note que n o obrigat rio realizar as configura es acima para acessar os recursos de uma m quina em dom nio basta apenas que autentique com seu nome de usu rio senha no dom nio e que ela seja autorizada pelo PDC 18 14 4 Erros conhecidos durante o logon do cliente Esta se o cont m os erros mais comuns e a forma de corre o da maioria dos problemas que ocorrem quando um cliente SAMBA tenta entrar em dom nio 6 error creating domain user NT STATUS ACCESS DENIED conta de m quina no dom nio n o foi criada Veja Contas de m quinas de dom nio Se o 18 7 5 para mais detalhes e NT STATUS NO TRUST SAM ACCOUNT N o existe conta de m quina no Windows NT para autenticar uma m quina no dom nio Esta mensagem mostrada quando a m quina SAMBA cliente de um dom nio NT O error setting trust account password NT STATUS ACCESS DENIED senha para cria o de conta na m quina est incorreta ou a conta utilizada n o tem permiss
335. e um valor para esta op o Ex guest account sambausr Mapeia os usu rio se conectando sem senha para o usu rio sambausr desde que o acesso guest seja permitido pela op o public public Permitem aos usu rios usu rios se conectarem ao compartilhamento sem fornecer uma senha usando o usu rio guest O UID que o usu rio guest ser mapeado especificado pelo par metro guest account Veja Criando um compartilhamento para acesso sem senha Se o 18 12 7 O par metro guest ok equivalente a public Ex public no N o permite guest only Permite somente conex es guest ao recurso O UID do usu rio mapeado para guest mesmo que forne a uma senha correta O valor padr o no Ex guest only no write list Lista de usu rios separados por espa o ou v rgula que poder o ler e gravar no compartilhamento Caso o nome for iniciado por QD o nome especificado ser tratado como um grupo UNIX etc group e todos os usu rios daquele grupo ter o acesso de grava o O uso deste par metro ignora O read only yes VejalExcess o de acesso na permiss o padr o de compartilhamento Se o 18 12 10 para mais detalhes Ex write list gleydson usuarios Permite acesso grava o somente do usu rio gleydson e todos os usu rios pertencentes ao grupo Gusuarios OBS O significado de nos par metros invalid users valid users diferente das op es write listeread list read list Lista de usu rio
336. eName htaccess 214 Ty TypesConfig especifica o arquivo de configura o que cont m os tipos usados pelo servidor pesConfig etc mime types DefaultType o tipo MIME padr o que o servidor utilizar para um documento caso ele n o possa determinar seu conte do como atrav s de extens es de arquivos Se o servidor cont m em sua maioria texto ou documentos em HTML text plain um bom valor Caso a maioria do conte do seja bin rios tal como aplicativos ou fotos o tipo mais adequado ao seu caso poder ser application octet stream para evitar que navegadores tentem exibir aplicativos bin rios como se fossem texto Se desejar uma refer ncia r pida sobre tipos mime consulte o arquivo etc mime types DefaultType text plain Document types lt IfModule mod mime c gt AddEncoding permite que alguns navegadores Mosaic X 2 1 Netscape etc descompactem dados durante sua abertura N Nota Nem todos os navegadores suportam isto Esque a os nomes parecidos as seguintes diretivas Add n o tem nada a ver com personaliza es da op o FancyIndexing usada nas diretivas acima 3 4E E H AddEncoding x compress Z AddEncoding x gzip gz tgz AddLanguage permite especificar o idioma do documento Voc pode ent o usar a negocia o de conte do para dar ao navegador um arquivo no idioma solicitado Nota 1 O sufixo n o precisa ser o mesmo da palavra chave do idioma estes com o documento em Pol
337. ecificado Quando uma diretiva n o for especificada dentro de lt VirtualHost gt ser o usados os valores padr es especificados no arquivo de configura o do Apache como a diretiva ServerAdmin webmasterOsite com br que ser usado como padr o na configura o de www site2 com bn Digite apache sS para ver suas configura es de virtual hosts atual OBS1 Desative a diretiva UseCanonicalName off quando utilizar o recurso de m quinas virtuais esta diretiva faz que o nome do servidor retornado usando o valor em ServerName quando o cliente digita um endere o qualquer OBS2 Utilize sempre que poss vel endere os IP em configura es cr ticas assim os servi os n o ser o t o vulner veis a poss veis falsifica es ou erros Veja etc host conf Se o 4 6 2 2 e Prote o contra IP spoofing Se o 10 6 5 Leia tamb m a se o Seguran a no uso de IP s em Virtual Hosts Se o 12 12 83 OBS3 N o permita que outros usu rios a n o ser o root e o dono do processo Apache especificado pela diretiva User tenham acesso de grava o aos logs gerados pelo servidor pois os dados podem ser apagados ou criados links simb licos para bin rios do sistema que ser o destru dos quando o Apache gravar dados Alguns bin rios e bibliotecas s o essenciais para o funcionamento do sistema 12 12 2 Virtual hosts baseados em nome Este m todo id ntico ao baseado em IP em especial adicionamos a diretiva NameVirtualHost par
338. ede como uma esta o Windows 9x Windows for Workgroups Windows NT Servere Windows NT Workstation de uma s vez domain master valor Diz se o servidor tentar se tornar o navegador principal de dom nio Os valores que podem ser especificados s o yes no e auto O valor padr o auto Veja Domain Master Browser Se o local master valor Diz se o servidor participar ou n o das elei es para navegador local do grupo de trabalho workgroup Os valores que podem ser especificados s o yes no O valor padr o yes Para vencer a elei o o samba precisa ter o valor de os level maior que os demais Note tamb m que o Windows NT n o aceita perder as elei es e convoca uma nova elei o caso ele perca Como esta elei o feita via broadcasting isso gera um tr fego grande na rede Desta forma se tiver um computador NT na rede configure este valor para no VejajLocal Master Browser Se o 18 7 2 preferred master valor Diz se o servidor samba ter ou n o vantagens de ganhar uma elei o local Se estiver configurado para yes o servidor samba pedir uma elei o e ter vantagens para ganha la O servidor poder se tornar garantidamente o navegador principal do dom nio se esta op o for usada em conjunto com domain master 1 Os valores especificados podem ser yes no e auto O padr o auto Antes de ajustar este valor para yes verifique se existem outros servidores NetBIOS em sua rede que
339. ede s o chamados de por o da rede Os d gitos restantes s o chamados de por o dos hosts O n mero de bits que s o compartilhados por todos os endere os dentro da rede s o chamados de netmask m scara da rede e o papel da netmask determinar quais endere os pertencem ou n o a rede Por exemplo considere o seguinte 54 Endere o do Host VOZ o DOS NOS scara da Rede 25529525920 Por o da Rede 192 168 110 Por o do Host 23 Endere o da Rede 192 168 110 0 Endere o Broadcast 192 168 110 255 Qualquer endere o que finalizado em zero em sua netmask revelar o endere o da rede que pertence O endere o e rede ent o sempre o menor endere o num rico dentro da escalas de endere os da rede e sempre possui a por o host dos endere os codificada como zeros O endere o de broadcast um endere o especial que cada computador em uma rede escuta em adi o a seu pr prio endere o Este um endere o onde os datagramas enviados s o recebidos por todos os computadores da rede Certos tipos de dados como informa es de roteamento e mensagens de alerta s o transmitidos para o endere o broadcast assim todo computador na rede pode recebe las simultaneamente Existe dois padr es normalmente usados para especificar o endere o de broadcast O mais amplamente aceito para usar o endere o mais alto da rede como endere o broadcast No exemplo acima este seria 192 168 110 255 Por algumas raz es
340. edir uma descri o das modifica es para o commit Esta descri o ser usada como refer ncia sobre as atualiza es feitas em cada etapa do desenvolvimento A mensagem tamb m pode ser especificada usando a op o m mensagem principalmente quando o texto explicando as altera es pequeno 263 Para mudar o editor de texto padr o que ser usado pelo cvs altere a vari vel de ambiente EDITOR ou especifique o editor que deseja usar na linha de comando com a op o e editor cvs commit e vi main c 17 3 9 Adicionando um arquivo ao m dulo CVS do servidor Ap s criar copiar o arquivo para seu diret rio de trabalho use o comando add para fazer isto O arquivo ser enviado ao servidor bastando apenas executa O commit para salvar o arquivo cvs add main h cvs commit main h 17 3 10 Adicionando um diret rio ao m dulo CVS do servidor O m todo para adicionar um diret rio com arquivos semelhante ao de adicionar apenas arquivos ao cvs O nico ponto que deve se seguido que primeiro deve ser adicionado o diret rio com o cvs add salvar no servidor remoto cvs commit e depois adicionar os arquivos existentes dentro dele assim como descrito em Adicionando um arquivo ao m dulo CVS do servidor Se o 17 3 9 Para adicionar o diret rio teste e seus arquivos no servidor cvs remoto cvs add teste cvs commit m Adicionado teste cvs add teste cd teste cvs commit m Adicionados Os dois pri
341. edirecionamentos baseados em URLs para endere os Internos Suporte a criptografia via SSL Certificados digitais M dulos DSO Dynamic Shared Objects permitem adicionar remover funcionalidades e recursos sem necessidade de recompila o do programa 12 1 5 Ficha t cnica Pacote apache Utilit rios apache Servidor Web Principal apachect 1 Shell script que faz interface com o apache de forma mais amig vel apacheconfig Script em Perl para configura o interativa b sica do Apache htpasswd Cria Gerencia senhas criptografadas Crypto MD5 htdigest Cria Gerencia senhas criptografadas Crypto MD5 dbmmanage Cria Gerencia senhas em formato DBM Perl logresolve Faz um DNS reverso dos arquivos de log do Apache para obter o endere o de hosts 165 com base nos endere os IP s e ab Apache Benchmarcking Ferramenta de medida de desempenho do servidor Web Apache Por padr o os arquivos de configura o do Apache residem no diret rio etc apache httpd conf Arquivo de configura o principal do Apache possui diretivas que controlam a opera o do daemon servidor Um arquivo de configura o alternativo pode ser especificado atrav s da op o f da linha de comando srm conf Cont m diretivas que controlam a especifica o de documentos que o servidor oferece aos clientes O nome desse arquivo pode ser substitu do atrav s da diretiva ResourceConfig no arquivo principal de configura o access conf Cont
342. egras INPUT internet Regral s 200 200 200 200 Regra2 d 192 168 1 1 Regral s 192 168 1 15 Regra2 s 192 168 1 1 Regra3 j DROP O pacote tem o endere o de origem 200 200 200 200 ele passa pela primeira e segunda regras do chain INPUT a terceira regra direciona para o chain internet v v I Ai IA Regral s 192 168 1 15 Regral s 200 200 200 200 j DROP N b 4 Regra2 s 192 168 1 1 Regra2 d 200 200 200 202 j DROP i N Regra3 j internet No chain internet a primeira regra confere Regra4 j DROP com o endere o de origem 200 200 200 200 e N o pacote bloqueado Se uma m quina com o endere o de origem 200 200 200 201 tentar acessar a m quina ent o as regra consultadas ser o as seguintes O pacote tem o endere o de origem 200 200 200 201 ele passa pela primeira e segunda regras do chain INPUT a terceira regra direciona para o chain internet X jci 120 Regral s 192 168 1 15 Regral s 200 200 200 200 J DROP nda E e es 1 1 Regra2 s 192 168 1 1 I Regra2 s 200 200 200 202 j DROP j S s des a fo ae Regra3 j internet v gt S S sessncssces Regra4 j DROP ESSAS STE EE TS ST ES a aa N SERES Seis O pacote passa pe
343. egura e n o garante que a mensagem vem de quem realmente diz ser Um servidor de e mail no Linux configurado como as mesmas configura es endere os do provedor da v tima pode enganar com sucesso um usu rio passando se por outro 20 5 1 Instalando o PGP apt get install gnupg Ap s instalar o gnupg execute o comando gpg para criar o diret rio gnupg que armazenar as chaves p blica e privada 20 5 2 Criando um par de chaves p blica privada Para gerar um par de chaves pessoais use o comando gpg gen key Ele executar os seguintes passos 372 1 Chave criptogr fica Selecione DSA e ELGamal a n o ser que tenha necessidades espec ficas 2 Tamanho da chave 1024 bits traz uma boa combina o de prote o velocidade 3 Validade da chave 0 a chave n o expira Um n mero positivo tem o valor de dias que pode ser seguido das letras w semanas m meses ou y anos Por exemplo 7m 2y 60 Ap s a validade a chave ser considerada inv lida 4 Nome de usu rio Nome para identificar a chave 5 E mail E mail do dono da chave 6 coment rio Uma descri o sobre a chave do usu rio 7 Confirma o Tecle O para confirmar os dados ou uma das outras letras para modificar os dados de sua chave 8 Digite a FraseSenha Senha que ir identific lo a como propriet rio da chave privada E chamada de FraseSenha pois pode conter espa os e n o h limite de caracteres Para alter la post
344. el da s rie 2 4 em meados de Junho Julho de 1999 A hist ria do desenvolvimento desde o porte do ipfw do BSD para O Linux at O iptables que a quarta gera o de firewalls do kernel est dispon vel no documento Netfilter howto 10 1 3 Caracter sticas do firewall iptables Especifica o de portas endere o de origem destino Suporte a protocolos TCP UDP ICMP incluindo tipos de mensagens icmp Suporte a interfaces de origem destino de pacotes Manipula servi os de proxy na rede Tratamento de tr fego dividido em chains para melhor controle do tr fego que entra sai da m quina e tr fego redirecionado Permite um n mero ilimitado de regras por chain Muito r pido est vel e seguro Possui mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal formados Suporte a m dulos externos para expans o das funcionalidades padr es oferecidas pelo c digo de firewall Suporte completo a roteamento de pacotes tratadas em uma rea diferente de tr fegos padr es Suporte a especifica o de tipo de servi o para priorizar o tr fego de determinados tipos de pacotes Permite especificar exce es para as regras ou parte das regras Suporte a detec o de fragmentos Permite enviar alertas personalizados ao syslog sobre o tr fego aceito bloqueado Redirecionamento de portas Masquerading Suporte a SNAT modifica o do endere o de origem das m quinas para um nico IP ou faixa de IP s Suporte a DNAT modi
345. emplos N o faz muito sentido exemplos de arquivo de configura o do oidentd por estes serem muito simples e estarem bem explicados emfFicha t cnica Se o 13 1 4 No entanto acho interessante mostrar alguns exemplos de configura es do hosts allow hosts deny fazendo uso dos recursos de restri es baseadas em usu rio Dendere o Arquivo hosts allow Permite requisi es talk de qualquer lugar in ntalkd ALL in talkd ALL Permite que o usu rio john acesse os servi os de ftp de qualquer m quina da rede 191 168 1 in ftpd johnQ192 168 1 O servi o telnet est permitido somente para john conectando de 192 168 1 1 in telnetd john 192 168 1 1 Todos podem acessar os servi os samba nomes e compartilhamentos exceto o usu rio evil conectando de qualquer host com o endere o cracker com smbd nmbd ALL EXCEPT evilfcracker com Arquivo hosts deny Qualquer finger bloqueado exceto vindos do usu rio admin feitos em qualquer m quina da rede 192 168 1 in fingerd ALL EXCEPT admin 192 168 1 Qualquer outra coisa bloqueada ALL ALL Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org 226 Guia Foca GNU Linux Servidor telnet Guia Foca GNU Linux Cap tulo 14 Servidor telnet Este cap tulo ensina como instalar configurar usar e fazer restri es de acesso ao servidor telnet Tam
346. endere os nestes arquivos de acesso n o utilize a sintaxe usu rio endere o como endere o na linha de acesso do servi o oidentd por motivos bvios 13 1 10 Iniciando o servidor reiniciando recarregando a configura o O arquivo que controla o funcionamento do daemon do oidentd controlado pelo arquivo etc init d oidenta Utilize os m todos descritos em Arquivos de inicializa o Se o 7 3 e N veis de Execu o Se o 7 4 para entender como iniciar interromper os servi os e a organiza o SYSTEM 5 A execu o do oidentd atrav s de inetd autom tica quando feita uma requisi o para a porta 113 13 1 11 Op es de linha de comando Op es de linha de comando do oidenta e a endere oIP Espera por requisi es somente no nome ou endere o IP da interface especificada e A Quando o spoofing esta ativado permite os usu rios falsificaram o ident em conex es para portas privilegiadas e c p ginacodigo Especifica uma p gina de c digo alternativa O padr o US ASCII e d Ativa o modo de depura o mais detalhes ser o exibidos e e Retorna UNKNOWN ERROR erro desconhecido para qualquer tipo de erro e f porta Redireciona requisi es de m quinas usando MASQUERADE para o computador na porta especificada e F O mesmo que f mas usa a porta 113 como padr o e g gid Executa o daemon do oidentd no grupo especificado e i Permite ser executado atrav s do
347. enha do usu rio root Esta se o foi retirada do Manual de Instala o da Debian A conta root tamb m chamada de super usu rio este um login que n o possui restri es de seguran a A conta root somente deve ser usada para fazer a administra o do sistema e usada o menor tempo poss vel Qualquer senha que criar dever conter de 6 a 8 caracteres e tamb m poder conter letras mai sculas e min sculas e tamb m caracteres de pontua o Tenha um cuidado especial quando escolher sua senha root porque ela a conta mais poderosa Evite palavras de dicion rio ou o uso de qualquer outros dados pessoais que podem ser adivinhados Se qualquer um lhe pedir senha root seja extremamente cuidadoso Voc normalmente nunca deve distribuir sua conta root a n o ser que esteja administrando um computador com mais de um administrador do sistema 159 Utilize uma conta de usu rio normal ao inv s da conta root para operar seu sistema Porque n o usar a conta root Bem uma raz o para evitar usar privil gios root por causa da facilidade de se cometer danos irrepar veis como root Outra raz o que voc pode ser enganado e rodar um programa Cavalo de Tr ia que um programa que obt m poderes do super usu rio para comprometer a seguran a do seu sistema sem que voc saiba 11 3 Tipos de ataques mais comuns para se conseguir uma senha 11 3 1 Dedu o O cracker se aproveita da ingenuidade de usu rios que deixam
348. enham problemas no envio de suas requisi es WINS O dns proxy permite que o servidor WINS fa a a pesquisa no DNS para localiza o de nomes de m quinas caso n o exista no cache Ambas as op es wins support wins proxy dns proxy tem como valor padr o n o Pronto seu servidor samba agora suporta WINS F cil pr tico e r pido Se estiver configurando uma subrede com masquerade para acesso a um PDC ou um servidor WINS voc ter que mexer no gateway central para apontar uma rota para o gateway masquerade O motivo disto porque o masquerade do Linux atua somente nos cabe alhos mas o IP da esta o enviada e processada pelo PDC para retornar uma resposta Da mesma forma este IP registrado no servidor WINS para uso das esta es de trabalho Isto s vai ser resolvido quando for escrito um m dulo de conntrack para conex es SAMBA at o lan amento do kernel 2 4 22 isso ainda n o ocorreu OBS1 NUNCA configure mais de um servidor WINS em uma mesma rede OBS2 N O especifique o par metro wins server caso esteja usando o suporte a WINS 18 5 2 2 Configurando o Cliente WINS Para os clientes da rede Linux Windows OS 2 etc fazer uso das vantagens da resolu o de nomes usando o WINS necess rio configurar para que eles o utilizem para resolver os nomes de m quinas Isto feito da seguinte forma em cada um dos sistemas operacionais Linux Adicione a linha wins server ip do servidor WINS na se o
349. ens encontradas nos buffers do kernel ap s isto o daemon encerrado P Ativa o modo paran ia Isto far o klogd somente carregar detalhes sobre os m dulos quando os caracteres Oops forem detectados nas mensagens do kernel recomend vel ter sempre a ltima vers o do klogd e evitar a utiliza o desta op o em ambientes cr ticos S For a a utiliza o da interface de chamadas do sistema para comunica o com o kernel X Esconde tradu o EIP assim ele n o l o arquivo boot System map xx xx xx A especifica o de um arquivo com a op o k necess ria se desejar que sejam mostradas a tabela de s mbolos ao inv s de endere os num ricos do kernel 6 3 logger Este comando permite enviar uma mensagem nos log do sistema A mensagem enviada aos logs via daemon syslogd ou via soquete do sistema poss vel especificar a prioridade n vel um nome identificando o processo etc Seu uso muito til em shell scripts ou em outros eventos do sistema 88 logger op es mensagem Onde mensagem Mensagem que ser enviada ao daemon syslog op es i Registra o PID do processo S Envia a mensagem ambos para a sa da padr o STDOUT e syslog f arquivo Envia o conte do do arquivo especificado como mensagem ao syslog t nome Especifica o nome do processo respons vel pelo log que ser exibido antes do PID na mensagem do syslog p prioridade Especifica a prioridade da mensagem d
350. ensagem Em especial a autentica o til quando desejamos abrir nossas contas de e mail para a Internet por algum motivo e n o queremos que outros fa am relay sem nossa autoriza o Outra forma de garantir a seguran a da mensagem arquivos atrav s do correio eletr nico usando o PGP vejajUsando pgp gpg para criptografia de arquivos Se o 20 5 em conjunto com um MUA Mail User Agent cliente de e mails que suporte o envio de mensagens criptografadas assinadas usando PGP A vantagem do GPG em cima da autentica o SSL que voc tem garantidas da autenticidade da mensagem e voc pode verificar sua integridade Os dois programas mais usados em sistemas Unix s o O mutt 0 sylpheed O mutt um MUA para modo texto e o sylpheed para modo gr fico Ambos s o muito flex veis permitem uma grande variedade de configura es personaliza es possuem agenda de endere os e gerenciam diversas contas de e mails em um s programa Para encriptar assinar uma mensagem no mutt escreva responda seu e mail normalmente quando aparecer a tela onde voc tecla y para enviar a mensagem tecle p e selecione uma das op es para criptografar assinar uma mensagem Para fazer a mesma opera o no sylpheed escreva responda seu e mail normalmente e clique no menu Mensagem e marque assinar criptografar ou ambos A chave p blica dever estar dispon vel para tal opera o veja Adicionando chaves p blicas ao seu chaveiro
351. ento de arquivos impress o em rede As fun es de seguran a que foram adicionadas ao SAMBA hoje garantem um controle mais rigoroso que a pr pria implementa o usada no Windows NT incluindo o servi os de diret rios mapeamento entre IDs de usu rios Windows com Linux PDC perfis m veis e uma coisa que inclusive apresenta problemas no Windows compatibilidade total entre as diferentes implementa es de vers es do Windows Sua configura o pode receber ajustes finos pelo administrador nos soquetes TCP de transmiss o recep o cache por compartilhamento configura es f sicas que afetam a performance de rede Seu c digo vem sendo melhorado constantemente por hackers obtendo excelente performance com hardwares mais obsoletos O guia tem por objetivo abordar estes temas e permitir que voc configure seu sistema com uma performance batendo a mesma alcan ada em um servidor NT dedicado 18 1 3 Contribuindo Para contribuir com o desenvolvimento do samba veja os detalhes na p gina http us1 samba org samba devel Caso encontre um bug no programa ele poder ser relatado se inscrevendo na lista de discuss o samba technical requestOlists samba org Ap s responder a mensagem de confirma o envie um relato detalhado do problema encontrado no programa 18 1 4 Caracter sticas Segue abaixo algumas funcionalidades importantes de aplica es do samba e seu conjunto de ferramentas e Compartilhamento de arquivos entre m qu
352. ere com nenhum usu rio logado no sistema OBS4 Grupos usu rios NIS podem ser especificados precedendo o nome do usu rio ou grupo por uma o Abaixo uma configura o restrita de etc security access conf Desabilita o login de todos os usu rios EXCETO o root no terminal ttyl ALL EXCEPT root ttyl Permite o login no console de todos os usu rios especificados gleydson root console Conex es vindas da rede debian org e debian org br de usu rios pertencendo ao grupo operadores s o consideradas seguras exceto para o usu rio root operadores EXCEPT root debian org debian org br Qualquer outra tentativa de acesso n o definida acima bloqueada imediatament ALL ALL 346 19 2 4 Restringindo o acesso a root no su A restri o de acesso a usu rio root pelo PAM funciona permitindo que somente alguns usu rios que perten am a um grupo criado pelo administrador possam se tornar o superusu rio usando o comando su Esta restri o funciona at mesmo para os usu rios que possuem a senha correta de root retornando uma mensagem de login ou senha incorretos Isto extremamente til para restri es de acesso Um outro ponto positivo caso ocorra um poss vel acesso n o autorizado em seu sistema ou um daemon seja corrompido e o atacante cair em um shell ele n o poder obter root na m quina pois o UID do daemon provavelmente n o ter autoriza o
353. erido usar o pserver sob um usu rio diferente de root e esteja obtendo a mensagem setgid failed Operation not permitted significa que o servidor CVS n o consegue mudar para o grupo referente ao usado no diret rio do reposit rio Verifique se as permiss es est o adequadas e se o grupo do usu rio CVS no etc passwd o mesmo que especificou para acesso ao reposit rio 7 Para dar direito de leitura ao reposit rio crie um arquivo chamado readers e adicione os nomes de usu rios que ter o acesso ao reposit rio um por linha O nome que dever ser usado o nome do usu rio de CVS e n o do sistema usu rio gleydsonm segundo o exemplo Exemplo gleydsonm anonymous 8 Para dar direito de grava o ao reposit rio crie um arquivo chamado writers Seu formato id ntico ao arquivo readers Exemplo gleydsonm macan otavio hmh kov 259 9 Pronto o acesso a CVS usando um banco de dados pr prio est pronto basta dar o commit nos arquivos adicionar os arquivos readers writers passwd no reposit rio veja Adicionando um arquivo ao m dulo CVS do servidor Se o 17 3 9 para o servidor de CVS para te lo funcionando Note que em vers es mais novas do CVS n o poss vel transferir o arquivo passwd via rede ent o ser necess rio cria lo manualmente dentro do reposit rio do servidor OBS O arquivo passwd n o transferido pelo commit por motivos de seguran a pois ele cont m senhas que podem ser cap
354. eriormente siga as instru es em Mudando sua FraseSenha Se o 20 5 11 9 Confirme e aguarde a gera o da chave p blica privada 20 5 3 Encriptando dados Use o comando gpg e arquivo faz a encripta o de dados gpg e arquivo txt Ser pedida a identifica o de usu rio digite o nome que usou para criar a chave O arquivo criado ser encriptado usando a chave p blica do usu rio gnupg pubring gpg e ter a extens o gpg adicionada arquivo txt gpg Al m de criptografado este arquivo compactado recomend vel para grande quantidade de textos A op o a usada para criar um arquivo criptografado com sa da ASCII 7 bits gpg e a arquivo txt O arquivo gerado ter a extens o asc acrescentada arquivo txt asc e n o ser compactado A op o a muito usada para o envio de e mails Para criptografar o arquivo para ser enviado a outro usu rio voc dever ter a chave p blica do usu rio cadastrado no seu chaveiro veja Adicionando chaves p blicas ao seu chaveiro pessoal Se o 20 5 8 e especificar a op o r seguida do nome e mail ID da chave p blica gpg r kov e arquivo txt O exemplo acima utiliza a chave p blica de kov para encriptar o arquivo arquivo txt somente ele poder decriptar a mensagem usando sua chave privada OBS recomend vel especificar o nome de arquivo sempre como ltimo argumento 20 5 4 Decriptando dados com o gpg Agora vamos fazer a opera o rev
355. ers permite que todas as opera es realizadas pelo usu rio sejam feitas com poderes de usu rio root Isto necess rio porque o arquivo smbpasswd usado para ajustar as contas de m quinas normalmente tem permiss es de leitura grava o somente para root O domain admin group permite que usu rios espec ficos ou usu rios do grupo especificado sejam parte do grupo de administradores do dom nio para adicionar m quinas etc Por exemplo para tornar o usu rio gleydson com privil gios para adicionar remover m quinas no dom nio global admin users gleydson ou domain admin group admins gleydson Isto permite que o usu rio gleydson possa adicionar remover m quinas do dom nio NT veja Configurando clientes em Dom nio Se o 18 14 3 entre outras tarefas Por seguran a recomendo que coloque esta conta no invalid users de cada compartilhamento para que seja utilizada somente para fins de gerenciamento de m quinas no dom nio a menos que deseje ter acesso total aos compartilhamentos do servidor nesse caso tenha consci ncia do n vel de acesso que esta conta possui e dos problemas que pode causar caso caia em m os erradas OBS1 Tenha SEMPRE bastante cuidado com quem dar poderes de administrador de dom nio pois toda sua rede poder ficar vulner vel caso os cuidados de administra o n o estejam em boas m os OBS2 Em vers es antigas do SAMBA somente o usu rio root tem poderes para adicionar m quinas no dom
356. ersa da acima a op o d usada para decriptar os dados usando a chave privada 373 gpg d arquivo txt asc gt arquivo txt gpg d arquivo txt gpg gt arquivo txt Descriptografa os arquivos arquivo txt asce arquivo txt gpg recuperando seu conte do original A sua FraseSenha ser pedida para descriptografar os dados usando a chave privada gnupg secring gpg 20 5 5 Assinando arquivos Assinar um arquivo garantir que voc a pessoa que realmente enviou aquele arquivo Use a op o s para assinar arquivos usando sua chave privada gpg s arquivo txt A FraseSenha ser pedida para assinar os dados usando sua chave privada Ser gerado um arquivo arquivo txt gpg assinado e compactado Adicionalmente a op o clearsign poder ser usada para fazer uma assinatura em um texto plano este um recurso muito usado por programas de e mails com suporte ao gpg gpg s clearsign arquivo txt Ser criado um arquivo chamado arquivo txt asc contendo o arquivo assinado e sem compacta o 20 5 6 Checando assinaturas A checagem de assinatura consiste em verificar que quem nos enviou o arquivo realmente quem diz ser e se os dados foram de alguma forma alterados Voc dever ter a chave p blica do usu rio no seu chaveiro para fazer esta checagem veja Adicionando chaves p blicas ao seu chaveiro pessoal Se o 20 5 8 Para verificar os dados assinados acima usamos a op o verify gpg verify a
357. ervidor SSI Server Sides Includes e mod cgi Suporte a CGI Common Gateway Interface e mod actions Mapeia scripts CGI para funcionarem como handlers internos Manipuladores de conte do Interno e mod status Visualiza status do servidor em tempo de execu o e mod info Visualiza sum rio de configura o do servidor Registros de Requisi es e mod log config Registro de requisi es personaliz veis e mod log agent Registro especializado do User Agent HTTP depreciado e mod log refer Registro especializado do Referrer HTTP depreciado e mod usertrack Registro de cliques de usu rios atrav s de Cookies HTTP 189 Outros e mod imap Suporte a Mapeamento de Imagem no lado do servidor e mod proxy M dulo de Cache do Proxy HTTP HTTPS FTP e mod_so Inicializa o do Dynamic Shared Object DSO Experimental e mod mmap static Cache de p ginas frequentemente servidas via mmap Desenvolvimento e mod example Demonstra o da API do Apache somente desenvolvedores 12 10 Sistema de Log do Apache O Apache bem flex vel na especifica o do que ser registrado em seus arquivos de log possibilitando utilizar um arquivo de log nico diversos arquivos de logs registrando cada evento ocorrido no sistema conex o navegador bloqueio de acesso erros etc incluindo os campos que deseja em cada arquivo e a ordem dos campos em cada um deles Enfim qualquer coisa pode ser especifi
358. es acima da regra acima 10 4 5 Monitorando conex es feitas na tabela nat Use o comando cat proc net ip conntrack para listar todas as conex es atuais tratadas pelo m dulo nat 136 10 5 A tabela mangle A tabela mangle serve para especificar a es especiais para o tratamento do tr fego que atravessa os chains Nesta tabela existem cincos chains PREROUTING POSTROUTING INPUT OUTPUT e FORWARD veja O que s o tabelas Se o 10 1 14 para maiores detalhes Em geral cada um deste chain processado antes do chain correspondente na tabela filter e nat para definir op es especiais para o tr fego por exemplo o chain PREROUTING da tabela mangle processado antes do PREROUTING da tabela nat O chain OUTPUT da tablea mangle corresponde ao OUTPUT da tabela nat Op es como o Tipo de Servi o TOS especificado nesta tabela para classificar e aumentar consideravelmente a velocidade de tr fego considerados em tempo real Mesmo ap s o tr fego ser estabelecido os chains da tabela mangle continuam ativos para garantir que as op es especiais relacionadas com a conex o continuem fazendo efeito veja os exemplos de percorrido pelos pacotes nas tabelas e chains Se o 10 7 10 5 1 Especificando o tipo de servi o O tipo de servi o um campo existente no cabe alho de pacotes do protocolo ipv4 que tem a fun o especificar qual a prioridade daquele pacote A prioridade definida usando o algoritmo FIFO do pr
359. es de chegar a nossa desde que elas tamb m estejam usando TOS Para priorizar o processamento do tr fego interativo vindo de servidores IRC para nossa rede iptables t mangle A PREROUTING i eth0 p tcp sport 6666 6668 j TOS set tos 0x10 Modifica o tipo de servi o para m nima espera de todo o tr fego enviado por servidores de IRC vindo da interface ethO OBS Os pacotes que atravessam o alvo TOS somente tem os bits tipo do servi o modificados eles n o ser o de qualquer forma rejeitados 10 6 Outros m dulos do iptables Os m dulos do iptables s o especificados com a op o m m dulo ou match m dulo e permitem expandir a funcionalidade do firewall atrav s de novas confer ncias e recursos de filtragem adicionais como limitar a confer ncia de regras do firewall um m todo til de limitar ping floods syn floods etc 138 10 6 1 Conferindo de acordo com o estado da conex o Este m dulo permite especificar regras de acordo com o estado da conex o do pacote isto feito atrav s da interpreta o da sa da do m dulo ip conntrack O par metro state OP ES deve acompanhar este m dulo As op es permitidas s o as seguintes e NEW Confere com pacotes que criam novas conex es e ESTABLISHED Confere com conex es j estabelecidas e RELATED Confere com pacotes relacionados indiretamente a uma conex o como mensagens de erro icmp etc e INVALID Confere com pacotes q
360. es no hist rico do cvs O comando pode ser acompanhado de d para remover o m dulo anteriormente baixado com o commit cvs release modulo cvs release d modulo O release retorna os seguintes c digos quando verifica que as duas c pias local e remota n o est o sincronizadas U ou P Existe uma vers o nova do arquivo no reposit rio Para corrigir isso execute o comando update A O arquivo n o foi adicionado ainda ao reposit rio remoto Se apagar o reposit rio local este arquivo n o ser adicionado Para corrigir isto executa o comando add do cvs R O arquivo foi removido localmente mas n o foi removido do servidor remoto Use os procedimentos em Removendo um arquivo do m dulo CVS remoto Se o 17 3 11 para corrigir a situa o M O arquivo est modificado localmente e n o foi salvo ainda no servidor Use os procedimentos em Sincronizando a c pia remota com a c pia local Se o 17 3 7Je para salvar o arquivo O arquivo est em seu diret rio de trabalho mas n o tem refer ncias no reposit rio remoto e tamb m n o est na lista de arquivos ignorados do CVS 17 3 14 Visualizando diferen as entre vers es de um arquivo Com o comando diff poss vel visualizar que diferen as o arquivo que est sendo editado possui em rela o ao arquivo do reposit rio remoto Outra funcionalidade til do diff comparar 2 vers es de arquivos do mesmo reposit rio CVS Exemplos cvs diff main c Verif
361. es para ingressar uma m quina no dom nio vejafCriando uma conta de administrador de dom nio Se o 18 7 6 Caso esteja usando um cliente SAMBA verifique se o par metro encrypt passwords est ativado e A senha informada n o est correta ou o acesso ao seu servidor de logon foi negado Verifique primeiro os logs de acessos do sistema Caso o SAMBA esteja sendo executado via inetd verifique se a configura o padr o restritiva e se o acesso est sendo negado pelos arquivos do tcp wrappers hosts allow e hosts deny e n o existem servidores de logon no dom nio Verifique se o par metro domain logons yes foi usado para permitir o logon em dom nio 18 14 5 Programas de navega o gr ficos O smbclient nmblookup e smbmount s o ferramentas extremamente poderosas auxiliando bastante o administrador na tarefa de configura o de sua rede e resolver problemas Para o uso no dia a dia ou quando n o necess ria a opera o via console voc pode utilizar uma das alternativas abaixo que s o front ends a estas ferramentas e facilitam o trabalho de navega o na rede 335 18 14 5 1 linneighborhood Cliente SAMBA baseado em GTK muito leve e possibilita a navega o entre os grupos m quinas em forma de rvore Ele tamb m permite a montagem de compartilhamentos remotos Caso precise de recursos mais complexos e autentica o recomendo o TkSmb Se o 18 14 5 2 18 14 5 2 TkSmb Cliente
362. escrever os arquivos de logs usados porque tanto seus nomes como conte do podem ser personalizados no arquivo httpd conf Mesmo assim os arquivos de logs encontrados na instala o padr o do Apache s o os seguintes e access log Registra detalhes sobre o acesso as p ginas do servidor httpd e error log Registra detalhes saber erros de acesso as p ginas ou erros internos do servidor e agent log Registra o nome do navegador do cliente campo UserAgent do cabe alho http Mais refer ncias podem ser encontradas em Sistema de Log do Apache Se o 12 10 Um bom programa para gera o de estat sticas de acesso com gr ficos o Relat rio gr fico de acesso ao sistema Se o 12 10 15 166 12 1 8 Instala o apt get install apache apache doc o pacote apache doc cont m a documenta o de referencia do Apache recomend vel instala lo se estiver curioso e deseja entender melhor seu funcionamento ou consultar diretivas 12 1 9 Iniciando o servidor reiniciando recarregando a configura o O Apache pode ser executado tanto como um servidor Inetd ou como um Daemon A inicializa o de programas pelo Inetd uma boa estrat gia quando voc precisa de um controle de acesso b sico o fornecido pelo tcpd e o servi o pouco usado na m quina A seguran a de um servi o iniciado pelo inetd pode ser substitu da e melhorada por um firewall bem configurado garantindo facilidades extras como um relat rio de tr
363. esso a internet atrav s de um nico IP e deseja fazer que sua rede tenha acesso a Internet atrav s da m quina Linux Nenhuma m quina da Internet poder ter acesso direto as m quinas de sua rede interna via SNAT OBS A observa o acima n o leva em conta o controle de acesso externo configurado na m quina que estiver configurando O iptables uma configura o mau realizada pode expor sua m quina a acessos externos indesejados e comprometer sua rede interna caso algu m consiga acesso direto ao servidor necess rio especificar SNAT como alvo j SNAT quando desejar que as m quinas de sua rede interna tenha acesso a Internet atrav s do IP fixo da m quina Linux para conex es intermitentes como PPP veja Fazendo IP Masquerading Se o 10 4 3 1 O par metro to IP portas deve ser usado ap s o alvo SNAT Ele serve para especificar um endere o IP faixa de endere os e opcionalmente uma porta ou faixa de portas que ser substitu da Toda a opera o de SNAT realizada atrav s do chain POSTROUTING Modifica o endere o IP dos pacotes vindos da m quina 192 168 1 2 da rede interna que tem como destino a interface ethl para 200 200 217 40 que o nosso endere o IP da interface ligada a Internet iptables t nat A POSTROUTING s 192 168 1 2 o ethl SNAT to 200 200 217 40 Os pacotes indo para a Internet nossa conex o feita via eth1 nossa interface externa vindo do endere o 192 168 1 2 s o substitu d
364. esso usando texto plano negado e 2 Permite autentica o usando texto plano como prefer ncia at mesmo para usu rios que estejam no etc pop auth til para clientes que n o suportam autentica o usando texto plano e 3 Somente usu rios conectando da mesma m quina 127 0 0 1 podem usar autentica o em texto plano e 4 Permite autentica o usando texto plano somente se uma conex o criptogr fica foi estabelecida usando TLS ou SSL Desativa a resolu o reversa de endere os IP de clientes Registra dados de inicio da se o nome de usu rio n mero de bytes mensagens apagadas n mero de mensagens deixadas no servidor e fim da se o Estes detalhes s o registrados pelo syslogd Seu uso recomend vel para ter controle sobre o que est acontecendo em seu servidor Ativa o modo daemon til para servidores pop3 com grande n mero de acessos T num Tempo m ximo em segundos para finaliza o da se o quando o cliente n o envia nenhuma resposta ou comando Valores pequenos como 20 podem ser especificados para servidores que possuem poucos usu rios e um link r pido Para grande quantidade de usu rios ou conex o feita via links lentos como ppp slip plip etc use valores como 600 10 minutos ou mais O valor padr o 120 segundos 2 minutos L o arquivo gpopper options no diret rio do usu rio em busca de op es adicionais para o servidor Este arquivo lido ap s o processo
365. essora Canon BJC 600 epson para impressoras padr o epson stcolor para Epson Stylus color etc 104 O Hardware HOWTO cont m refer ncias sobre hardware suportados pelo GNU Linux tal como impressoras e sua leitura pode ser til O r lt ResH gt x lt ResvV gt Define a resolu o de impress o em dpi Horizontal e Vertical Os valores dependem de sua impressora O sPAPERSIZE tamanho Tamanho do papel Podem ser usados a4 legal letter etc Veja a p gina de manual do gs para ver os outros tipos suportados e suas medidas O sOutputFile dispositivo Dispositivo que receber a sa da de processamento do gs Voc pode especificar arquivo epson Nome do arquivo que receber todo o resultado do processamento O arquivo epson ter toda a impress o codificada no formato entendido por impressoras epson e poder ser impresso com o comando cat arquivo epson gt dev 1po Uma curiosidade til poss vel imprimir este arquivo em outros sistemas operacionais tal como o DOS digitando copy b arquivo eps prn lembre se que o DOS tem um limite de 8 letras no nome do arquivo e 3 na extens o Voc deve estar compreendendo a flexibilidade que o GNU Linux e suas ferramentas permitem isso s o come o e impressaosd epson Nome do arquivo que receber o resultado do processamento Cada p gina ser gravada em arquivos separados como impressaol epson impressao2 epson Os arquivos podem ser impressos usando os mesm
366. este caso associamos o dispositivo dev ttyS1 segunda porta serial a interface s10 verifique se a interface foi criada usando o comando ifconfig s10 w A op o p especifica um protocolo alternativo para o slattach o padr o o cslip Outros tipos dispon veis s o slip adaptive ppp e kiss usado em conex es de r dio AX 25 Recomendo ver a p gina de manual do slattach 5 Nesse ponto a interface est ativa mas a nossa m quina n o conhece nada sobre a rede ou como alcan ar a m quina 192 168 2 2 Como a conex o ponto a ponto precisamos adicionar uma rota direta para esta m quina com o comando route add host 192 168 2 2 s10 Este comando diz para criar uma rota com o destino 192 168 2 2 usando a interface s10 6 Configure a outra m quina seguindo os passos acima apenas invertendo os 2 endere os IPs usados Pronto agora verifique se cada uma das m quinas se comunica com a outra usando o comando ping 192 168 2 x Se ocorrer um erro verifique os seguintes tens e Se as velocidade e o protocolo especificado em ambos os lados do link est o iguais e Se j existe um processo slattach rodando em segundo plano e Se existe um firewall bloqueando os pacotes da nova interface e Seo cabo Lap Link serial est em bom estado O n mero m ximo de interfaces s1 depende da quantidade de portas seriais da sua m quina Caso utilize uma placa multi serial o n mero m ximo de conex es de rede se torna grande mas isto
367. etorna por SAIDA DE PACOTES para 192 168 1 4 porta 1030 Ap s a conex o ser estabelecida o caminho de entrada de pacotes EROUTING mangle INPUT mangle gt gt INPUT filter pois os dados n o precisam de tratamento DNAT o chain PREROUTING nat processado somente uma vez a procura de regras que conferem principalmente para fazer DNAT OBS O roteamento sempre realizado ap s o processamento do chain PREROUTING da tabela nat 10 7 7 Conex o FTP de 192 168 1 4 para ftp debian org br Porta Destino 21 Protocolo TCP SA DA DOS PACOTES Descri o Conex o ftp Endere o de Origem 192 168 1 4 Endere o de Destino 200 198 129 162 Interface de Origem etho Interface de Destino ppp0 Porta Origem 1032 at o prompt de login sem transfer ncia de dados requisi o vindas de 192 168 1 4 PR EROUTING mangle PRI EROUTING nat gt gt FORWARD mangle gt continua abaixo FORWARD filter POSTROUTING mangl POSTROUTING nat e ENTRADA D E PACO ES respostas da requi enviadas para 192 168 1 4 si o acima PR EROUTI G mangle gt FORWARD mangle gt FORWARD filter gt POSTROUTING mangle 4 A requisi o ftp passa atrav s dos chains especificados em SA DA DOS PACOT
368. ever este assunto pois existe um material desta qualidade j dispon vel 4 1 O que uma rede Rede a conex o de duas ou mais m quinas com o objetivo de compartilhar recursos entre uma m quina e outra Os recursos podem ser e Compartilhamento do conte do de seu disco r gido ou parte dele com outros usu rios Os outros usu rios poder o acessar o disco como se estivesse instalado na pr pria m quina Tamb m chamado de servidor de arquivos 53 e Compartilhamento de uma impressora com outros usu rios Os outros usu rios poder o enviar seus trabalhos para uma impressora da rede Tamb m chamado de servidor de impress o e Compartilhamento de acesso a Internet Outros usu rios poder o navegar na Internet pegar seus e mails ler noticias bate papo no IRC ICQ atrav s do servidor de acesso Internet Tamb m chamado de servidor Proxy e Servidor de Internet Intranet Outros usu rios poder o navegar nas p ginas Internet localizadas em seu computador pegar e mails usar um servidor de IRC para chat na rede servidor de ICQ etc Com os tens acima funcionando poss vel criar permiss es de acesso da rede definindo quem ter ou n o permiss o para acessar cada compartilhamento ou servi o existente na m quina www ftp irc icg etc e registrando avisando sobre eventuais tentativas de violar a seguran a do sistema firewalls pontes etc Entre outras ilimitadas possibilidades que dependem do conhecimento do
369. evidos cr ditos Para configurar uma m quina para ser o PDC Controladora Principal de Dom nio ou Primary Domain Control siga esta sequ ncia e Habilite o suporte a senhas criptografadas Caso ainda n o tenha feito isso leia a se o suporte a senhas criptografadas Se o 18 8 e Na se o global insira modifique os seguintes par metros Identifica o da m quina e dom nio netbios name gleydson workgroup focalinux n veis de acesso fun es do servidor security user domain master yes prefered master yes local master yes senhas criptografadas encrypt passwords yes smb passwd file etc samba smbpasswd db 299 Onde os par metros significam O netbios name gleydson Nome do computador Este tamb m ser o nome usado pelas outras m quinas clientes quando for configurar o PDC controlador de dom nio O workgroup focalinux Nome do dom nio que est criando Todas as m quinas que pertencerem a este dom nio ter o o n vel de acesso definido pelo PDC Note que o par metro workgroup tamb m usado ao especificar o nome do grupo de trabalho quando se usado a configura o grupo de trabalho Configura o em Grupo de Trabalho Se o 18 4 O security user Requerido para controle de acesso por dom nio j que utilizado o controle de acesso local usando usu rios e grupos locais O domain master yes Especifica se est m quina est sendo configurada p
370. fDOM dominio 192 168 0 2 serverwins O0xle FPRE HFINCLUDE NNserverpdcNImhosts A primeira entrada do arquivo a tradicional onde o nome da m quina NetBIOS associada ao IP A segunda utiliza dois par metros adicionais e 4PRE Faz a entrada ser carregada logo na inicializa o e se tornando uma entrada permanente no cache NetBIOS e DOM Especifica que a m quina um controlador de dom nio A m quina dever ter sido configurada para a fun o de dom nio pois caso contr rio isso simplesmente n o funcionar Note que ambos PRE e amp DOM devem ser especificados em mai sculas O terceiro exemplo faz uma refer ncia permanente 4PRE a m quina servidora WINS serverwins Neste exemplo usada uma caracter stica especial para especificar a ID hexadecimal da m quina na rede te O quarto utiliza um include para associar outro arquivo ao atual til quando temos um compartilhamento que distribui um arquivo Imhost s para diversas m quinas na rede De prefer ncia utilize sempre uma diretiva 4PRE para todas as m quinas especificadas na diretiva 4INCLUDE em seu arquivo de configura o Para a especifica o de ID de servi o manual necess rio manter os 15 caracteres no nome da m quina preenchendo os restantes com espa os caso seja preciso O ltimo caracter o c digo hexadecimal que identifica o servi o de rede vejajnmblookup Se o 18 14 2 9 3 para ver a lista de servi os e sua respectiva
371. faz interagir diretamente com o shell script apachect1 167 O apachect1 recebe os par metros enviados pelo usu rio e converte para sinais que ser o enviados para o bin rio apache Da mesma forma ele verifica os c digos de sa da do apache e os transforma em mensagens de erro leg veis para o usu rio comum Os seguintes comandos s o aceitos pelo apachectl httpd server start Inicia o Apache stop Finaliza o Apache enviando um sinal TERM restart Reinicia o Apache enviando um sinal HUP graceful Recarrega os arquivos de configura o do Apache enviando um sinal USR1 fulistatus Mostra o status completo do servidor Apache requer o lynx e o m dulo mod status carregado e status Mostra o status do processo do servidor Apache requer o lynx e o m dulo mod status carregado e configtest Verifica se a sintaxe dos arquivos de configura o est OK executa um apache t 12 1 10 Op es de linha de comando D nome define um nome que ser usado na diretiva lt lfDefine nome gt d diret rio especifica o diret rio ServerRoot substitui o do arquivo de configura o f arquivo especifica um arquivo ServerConfigFile alternativo C diretiva processa a diretiva antes de ler os arquivo de configura o c diretiva processa a diretiva depois de ler os arquivos de configura o v mostra a vers o do programa V mostra op es usadas na compila o do Apache h Mostra o help on
372. fica o do endere o de destino das m quinas para um nico IP ou fixa de IP s Contagem de pacotes que atravessaram uma interface regra Limita o de passagem de pacotes confer ncia de regra muito til para criar prote es contra syn flood ping flood DoS etc 110 10 1 4 Ficha t cnica Pacote iptables e iptables Sistema de controle principal para protocolos ipv4 e ip tables Sistema de controle principal para protocolos ipv6 e iptables save Salva as regras atuais em um arquivo especificado como argumento Este utilit rio pode ser dispensado por um shell script contendo as regras executado na inicializa o da m quina e iptables restore Restaura regras salvas pelo utilit rio iptables save 10 1 5 Requerimentos necess rio que o seu kernel tenha sido compilado com suporte ao iptables veja Habilitando o suporte ao iptables no kernel Se o 10 1 15 O requerimento m nimo de mem ria necess ria para a execu o do iptables o mesmo do kernel 2 4 4MB Dependendo do tr fego que ser manipulado pela s interface s do firewall ele poder ser executado com folga em uma m quina 386 SX com 4MB de RAM Como as configura es residem no kernel n o necess rio espa o extra em disco r gido para a execu o deste utilit rio 10 1 6 Arquivos de logs criados pelo iptables Todo tr fego que for registrado pelo iptables registrado por padr o no arquivo var log kern log 10 1 7 Instala o
373. ficateKeyFile etc apache ssl key server key A linha abaixo for a o fechamento de conex es quando a conex o com o navegador Internet Explorer interrompida Isto viola o padr o SSL TLS mas necess rio para este tipo de navegador Alguns problemas de conex es de navegadores tamb m s o causados por n o saberem lidar com pacotes keepalive SetEnvIf User Agent MSIE nokeepalive ssl unclean shutdown lt VirtualHost gt lt IfModule gt FEE TE HE TE FE FE FE TE FE FE FE TE FE TE FE FE FE FE FE FE FE FE AE FE FE FE FE FE FE HE FE FE AE E FE FE AE E FE E FE FE FE HE FE E FE HE FE FE AE FE FE HE TE FE TE HE TE FE TE FE TE EE TE FE TE FE TE AE E E E Adicionalmente poder o ser especificadas as seguintes op es para modificar o comportamento da se o SSL veja mais detalhes na documenta o do mod ssl FEFE TE HE TE FE FE FE TE FE TE FE TE FE TE FE FE FE FE FE FE FE FE AE FE FE FE FE AE FE HE FE FE AE E FE FE AE E FE E FE E FE HE FE E FE HE FE HE FE FE FE HE TE FE TE HE TE FE TE FE TE FE TE FE TE FE TE AE E E Formato e localiza o do cache paralelo de processos da se o O cache de se o feito internamente pelo m dulo mas esta diretiva acelera o processamento de requisi es paralelas feitas por modernos clientes navegadores Por padr o nenhum cache usado none SSLSessionCache dbm var run ssl cache Localiza o do arquivo de lock que o m dulo SSL utiliza para sin
374. ficos e esta vers o a baseada na Debian Pegue na p gina do Foca Linux nttp www guiafoca org uma vers o Intermedi rio Avan ado do guia espec fico para sua distribui o 93 7 1 Como obter a Debian A instala o da distribui o pode ser obtida atrav s de Download de ftp ftp debian org debian dists stable main disks i386 para Intel x86 seus programas diversos est o dispon veis em ftp ftp debian org debian dists stable main binary i386 A distribui o tamb m pode ser obtida atrav s de 3 ou 4 CDs bin rios para a Debian 2 2 7 2 Programas de configura o e dselect Seleciona pacote para instala o desinstala o e pppconfig Configura o computador para se conectar a Internet facilmente Ap s isto use pon para se conectar a Internet pof para se desconectar e plog para monitorar a conex o e mociconf Permite selecionar os m dulos que ser o automaticamente carregados na inicializa o do sistema Se requerido pelos m dulos os par metros I O IRQ e DMA tamb m podem ser especificados e kbdconfig Permite selecionar o tipo de teclado que utiliza e shadowconfig Permite ativar ou desativar o suporte a senhas ocultas shadow password Com as senhas ocultas ativadas as senhas criptografadas dos usu rios e grupos s o armazenadas nos arquivos shadow gshadow respectivamente que somente podem ser acessadas pelo usu rio root Isto aumenta consideravelmente a se
375. figura es em dispositivos diversos no sistema Linux como placas de rede som gravador de CD entre outras 3 11 1 Configurando uma placa de rede Para configurar sua placa de rede no Linux siga os passos a seguir 1 Identifique se sua placa de rede ISA ou PCI Caso seja ISA pode ser preciso alterar a configura o de jumpers ou plug and play evitando conflitos de hardware ou o n o funcionamento da placa veja como configura la em Hardwares configur veis por jumpers dip switches jumperless e Plug and Play Se o 3 4 2 Identifique a marca modelo de sua placa O programa 1shw til para isto Caso sua placa seja PCI ou CNR execute o comando 1spci e veja a linha Ethernet Em ltimo caso abra a m quina e procure a marca na pr pria placa Quase todos os fabricantes colocam a marca da placa no pr prio circuito impresso ou no Cl principal da placa normalmente o maior 3 Depois de identificar a placa ser preciso carregar o m dulo correspondente para ser usada no Linux Em algumas instala es padr es o suporte j pode estar embutido no kernel neste caso voc poder pular este passo Para carregar um m dulo digite o comando modprobe modulo Em placas ISA geralmente preciso passar a IRQ e porta de O como argumentos para alocar os recursos corretamente O modprobe tentar auto detectar a configura o em placas ISA mas ela poder falhar por algum motivo Por exemplo para uma NE 2000 modprobe
376. foi desativada com a op o a veja embpasswd Se o 18 8 4 e w Especifica que a conta uma conta de m quina criada com a op o m veja m quinas de dom nio Se o 18 7 5 e N A conta n o possui senha veja Definindo acesso sem senha para o usu rio Se o 18 8 7 Os caracteres XXXXXXXXXXXXXXX no campo da senha indica que a conta foi rec m criada e portanto est desativada O pr ximo passo ativar a conta para ser usada pelo SAMBA ATEN O O m todo de criptografia usado neste arquivo n o totalmente seguro Recomendo manter o arquivo de senhas smbpasswd em um diret rio com a permiss o de leitura somente pelo root 3 Para ativar a conta do usu rio gleydson usamos o comando smbpasswd U gleydson Digite a senha do usu rio e repita para confirmar Assim que a senha for definida a conta do usu rio ativada Voc tamb m pode especificar a op o s para entrar com a senha pela entrada padr o muito til em scripts Apenas tenha cuidado para que esta senha n o seja divulgada em seus arquivos processos 4 Reinicie o processo do SAMBA veja Iniciando o servidor reiniciando recarregando a configura o Se o 18 1 9 5 Verifique se o suporte a senhas criptografadas est funcionando com o comando smbclient L localhost U gleydson Substitua localhost pelo IP do servidor e gleydson pelo usu rio Caso obtenha a mensagem session setup failed NT STATUS LOGON FAILURE significa que
377. fun o OBS Caso crie este arquivo em um editor de textos do Linux n o se esque a de converter o arquivo para que contenha o CR LF no final das linhas 18 5 2 WINS Este um servi o de resolu o de nomes que funciona de forma semelhante ao DNS s que voltado para o NetBIOS Quando uma m quina cliente NetBIOS entra na rede o servidor WINS pega seu nome e IP e inclui em uma tabela para futura consulta pelos clientes da rede Esta tabela consultada toda vez que um cliente NetBIOS solicita um nome de m quina componentes do grupo de trabalho ou dom nio na rede Uma outra aplica o importante de um servidor WINS permitir a resolu o de nomes em pontos de redes que requerem roteamento a simplicidade de um protocolo n o rote vel como o NetBIOS fica limitada a simplicidade das instala es de rede Um servidor WINS pode ser instalado em cada ponta da rede e eles trocarem dados entre si e atualizar suas tabelas de 295 nomes grupos de trabalhos IPs A resolu o de nomes de m quinas ser feita consultando diretamente a m quina WINS ao inv s de broadcasting que geram um tr fego alto na rede 18 5 2 1 Configurando o servidor WINS Para ativar o servidor WINS no samba inclua as seguinte linha na se o global do seu arquivo etc samba smb conf global wins support yes wins proxy no dns proxy no max wins ttl 518400 O par metro wins proxy pode ser necess rio para alguns clientes antigos que t
378. g 17 4 6 loginfo Programa que executado ap s o commit Ele pode ser usado para tratar a mensagem de log e definir onde ela ser gravada enviada etc 17 4 7 cvsignore Tudo que constar neste arquivo n o ser gravado commit no cvs Refer ncias globais podem ser usadas para especificar estes arquivos Veja a info page do cvs para detalhes sober seu formato Pode tamb m ser especificado atrav s de arquivos cvsignore 267 17 4 8 checkout list Especifica os arquivos que deseja manter sobre o controle do CVS que se encontram em CVSROOT Se adicionar um script adicional ou qualquer outro arquivo no diret rio CVSROOT ele dever constar neste arquivo 17 4 9 history usado para registrar detalhes do comando history do CVS 17 5 Clientes de CVS Esta se o traz alguns programas cliente em modo texto gr fico e visualizadores de reposit rios via web Eles facilitam o trabalho de controle de revis o por parte de iniciantes e flexibilidade para pessoas mais experientes al m de ter uma interface de navega o dispon vel para todos os interessados em fazer pesquisas no reposit rio 17 5 1 cvs Este o cliente Unix padr o bastante poderoso e que opera em modo texto As explica es neste cap tulo do guia assumem este cliente de cvs ent o as explica es sobre sua utiliza o se encontra em Criando projetos para serem usados no CVS Se o 17 3 e os par metros de linha de comando em Op es de linha
379. gar Caso n o seja especificado todos os chains definidos pelo usu rio na tabela especificada ser o exclu dos OBS Chains embutidos nas tabelas n o podem ser apagados pelo usu rio Veja os nomes destes chains em O que s o tabelas Se o 10 1 14 iptables t filter X internet iptables X 10 2 11 Zerando contador de bytes dos chains Z Este comando zera o campo pkts e bytes de uma regra do iptables Estes campos podem ser visualizados com o comando iptables L v A seguinte sintaxe usada iptables t tabela Z chain L Onde tabela Nome da tabela que cont m o chain que queremos zerar os contadores de bytes e pacotes chain Chain que deve ter os contadores zerados Caso n o seja especificado todos os chains da tabela ter o os contadores zerados Note que as op es Ze L podem ser usadas juntas assim o chain ser listado e imediatamente zerado Isto evita a passagem de pacotes durante a listagem de um chain iptables t filter Z INPUT 10 2 12 Especificando o policiamento padr o de um chain P O policiamento padr o determina o que acontecer com um pacote quando ele chegar ao final das regras contidas em um chain O policiamento padr o do iptables ACCEPT mas isto pode ser alterado com o comando iptables t tabela P chain ACCEPT DROP Onde 122 tabela Tabela que cont m o chain que desejamos modificar o policiamento padr o chain Define o chain que ter o
380. gistrado em servidores de nomes confirme a configura o da m quina voc ver isto mais adiante O nome de m quina especificado nas diretivas netbios name e netbios aliases veja Nomes e grupos de trabalho Se o 18 2 8 1 para detalhes 18 2 2 Grupo de trabalho O grupo de trabalho organiza a estrutura de m quinas da rede em forma de rvore facilitando sua pesquisa e localiza o Tomemos como exemplo uma empresa grande com os departamentos comunica o redes web rh as m quinas que pertencem ao grupo de redes ser o agrupadas no programa de navega o redes gleydson tecnico marcelo henrique michelle 276 rh mrpaoduro web web1 web2 web3 comunicacao comunicl comunic2 comunic3 A seguran a no acesso a arquivos e diret rios na configura o de grupo de trabalho controlada pela pr pria m quina normalmente usando seguran a a n vel de compartilhamento Esta seguran a funciona definindo um usu rio senha para acessar cada compartilhamento que a m quina possui O Lan Manager Windows for Workgroups Windows 95 Windows 98 XP Home Edition usam este n vel de acesso por padr o Se deseja configurar uma rede usando o n vel de grupo de trabalho veja Configura o em Grupo de Trabalho Se o 18 4 para detalhes passo a passo e exemplos pr ticos smbclient Se o 18 14 2 9 2 Programas de navega o gr ficos Se o 18 14 5 Os programas para navega o na rede NetBIOS s o mostr
381. global do arquivo etc samba smb conf global wins server 192 168 1 1 Ap s isto reinicie o servidor samba Caso esteja executando o servidor via ineta digite killall HUP nmbd Se estiver rodando atrav s de daemons etc init d samba restart N o necess rio reiniciar o computador Windows 9x Clique com o bot o direito sobre o cone Ambiente de Rede e selecione propriedades Na janela de configura o de rede clique na aba Configura o Na lista que aparece selecione o protocolo TCP IP 296 equivalente a sua placa de rede local e clique em Propriedades Na tela de Propriedades TCP IP clique em Configura es WINS e marque a op o Ativar resolu o WINS Digite o endere o do servidor WINS e clique em Adicionar OBS Se utilizar um servidor DHCP em sua rede local e o endere o do servidor WINS tamb m oferecido atrav s dele voc poder marcar a op o Usar DHCP para resolu o WINS Note que esta op o somente estar dispon vel se escolher a op o Obter um endere o IP automaticamente na tab Endere os IP Clique em OK at fechar todas as telas e reinicie quando o computador perguntar 18 6 Servidor de data hora O samba pode atuar como um servidor de data hora ajustando o hor rio de suas esta es de trabalho com o servidor da rede As esta es clientes poder o executar o comando net para sincronizar seu rel gio durante a inicializa o do Windows ou durante o logon da rede atrav s do sc
382. guma falha e sua mensagem ser vista por centenas de usu rios na Internet e algum ir te ajudar ou avisar as pessoas respons veis sobre a falha encontrada para devida corre o 1 3 1 Algumas Caracter sticas do Linux e livre e desenvolvido voluntariamente por programadores experientes hackers e contribuidores espalhados ao redor do mundo que tem como objetivo a contribui o para a melhoria e crescimento deste sistema operacional Muitos deles estavam cansados do excesso de propaganda Marketing e baixa qualidade de sistemas comerciais existentes Convivem sem nenhum tipo de conflito com outros sistemas operacionais com o DOS Windows 0S 2 no mesmo computador Multitarefa real Multiusu rio Suporte a nomes extensos de arquivos e diret rios 255 caracteres Conectividade com outros tipos de plataformas como Apple Sun Macintosh Sparc Alpha PowerPc ARM Unix Windows DOS etc Prote o entre processos executados na mem ria RAM Suporte a mais de 63 terminais virtuais consoles e Modulariza o O GNU Linux somente carrega para a mem ria o que usado durante o processamento liberando totalmente a mem ria assim que o programa dispositivo finalizado e Devido a modulariza o os drivers dos perif ricos e recursos do sistema podem ser carregados e removidos completamente da mem ria RAM a qualquer momento Os drivers m dulos ocupam pouco espa o quando carregados na mem ria RAM cerca de 6Kb para a
383. guns programas de diagn stico ou de auto detec o podem n o localizar seu dispositivo caso ele esteja usando um valor muito diferente do padr o Para resolver conflitos de hardware ser necess rio conhecer a configura o de cada dispositivo em seu sistema Os comandos cat proc interrupts cat proc dmae cat proc ioports podem ser teis para se verificar as configura es usadas Lembre se que o barramento PCI permite o compartilhamento de IRQs entre placas PCI 35 3 7 Barramento O tipo de slot varia de acordo com o barramento usado no sistema que pode ser um s do s seguinte s ISA 8 Bits Industry Standard Architecture o padr o mais antigo encontrado em computadores PC XT ISA 16 Bits Evolu o do padr o ISA 8 Bits possui um conector maior e permite a conex o de placas de 8 bits Sua taxa de transfer ncia chega a 2MB s VESA Video Electronics Standard Association uma interface feita inicialmente para placas de v deo r pidas O barramento VESA basicamente um ISA com um encaixe extra no final Sua taxa de transfer ncia pode chegar a 132MB s EISA Enhanced Industry Standard Architecture um barramento mais encontrado em servidores Tem a capacidade de bus mastering que possibilita a comunica o das placas sem a interfer ncia da CPU MCA Micro Channel Architecture Barramento 32 bits propriet rio da IBM Voc n o pode usar placas ISA nele possui a caracter stica de bus mastering mas pod
384. guran a do sistema pois os arquivos passwd group cont m dados de usu rios que devem ter permiss o de leitura de todos os usu rios do sistema tasksel Permite selecionar modificar de forma f cil a instala o de pacotes em seu sistema atrav s da fun o que sua m quina ter ou do seu perfil de usu rio e tzconfig Permite modificar selecionar o fuso hor rio usado na distribui o Al m destes a Debian 3 0 Woody conta com o sistema de configura o baseado no dpkg reconfigure que permite configurar de forma f cil e r pida aspecto de pacotes dpkg reconfigure xserver svga 7 3 Arquivos de inicializa o Os arquivos de inicializa o da distribui o Debi an e baseadas nela est o localizados no diret rio etc init d Cada daemon programa residente na mem ria ou configura o espec fica possui um arquivo de onde pode ser ativado desativado Os sistemas residentes neste diret rio n o s o ativados diretamente mas sim atrav s de links existentes nos diret rios etc rc da onde cada diret rio consiste em um n vel de execu o do sistema veja tamb m a N veis de Execu o Se o 7 4 Por padr o voc pode usar as seguintes palavras chaves com os arquivos de configura o 94 e start Inicia o daemon ou executa a configura o e stop Interrompe a execu o de um daemon ou desfaz a configura o feita anteriormente se poss vel e restart Reinicia a execu o de um daemon equi
385. ha todos os comandos um por linha Isto recomendado quando tem um firewall grande e que exige uma boa padroniza o de regras bem como sua leitura coment rios O script shell tamb m permite o uso de fun es presente no interpretador de comando portanto se voc uma pessoa que gosta de interagir com as fun es do shell e deixar as coisas mais flex veis prefira esta op o A outra forma usando as ferramentas iptables save iptables restore baseada na id ia do ipchains save ipchains restore O iptables save deve ser usado sempre que modificar regras no firewall iptables da seguinte forma iptables save gt dir iptables regras Uma das vantagens do uso do iptables save ele tamb m salvar os contadores de chains ou seja a quantidade de pacotes que conferiram com a regra Isto tamb m pode ser feito com algumas regras adicionais em seu shell script caso tenha interesse nesses contadores para estat sticas ou outros tipos de relat rios Para restaurar as regras salvas utilize o comando iptables restore lt dir iptables regras 132 10 4 A tabela nat Network Address Translation fazendo nat A tabela nat serve para controlar a tradu o dos endere os que atravessam o c digo de roteamento da m quina Linux Existem 3 chains na tabela nat PREROUTING OUTPUT e POSTROUTING veja s o tabelas Se o 10 1 14 para maiores detalhes A tradu o de endere os tem in meras utilidades uma delas o
386. habilitar o uso do firewall para controlar o tr fego que atravessa as interfaces 5 2 6 Filtrando pacotes n o IP na bridge Para fazer esta tarefa utilize a ferramenta ebtables dispon vel em nttp users pandora be bart de schuymer ebtables 78 5 3 Conectando dois computadores usando a porta paralela O Linux bastante poderoso quando se trata de m todos para se conectar duas ou mais m quinas em rede Uma brincadeira que levada a s rio que qualquer coisa que ligue uma m quina a outra possui um controlador desenvolvido por algu m para fazer uma rede Usando o plip Parallel Line Internet Protocol permite criar uma interface de rede para a porta paralela que utiliza todos os recursos de uma rede normal Esta interface ser identificada por plip onde o n mero da porta paralela rec m configurada A rede via porta paralela pode atingir at 1Mb s e mesmo esta velocidade parecer aparentemente baixa apresenta diversas vantagens por sua escalabilidade e pode lhe salvar em muitas situa es de problemas Algumas caracter sticas deste tipo de rede e Pode ser configurado em qualquer m quina pois sempre haver uma porta paralela e til para fazer instala o de Linux em m quinas sem CD ROM No momento da instala o preciso somente alternar para um console executar os passos descritos aqui e continuar com o processo de instala o normal e uma boa solu o quando as duas m quinas est o pr
387. ho de entrada de pacotes passa a ser PREROUTING mangle gt INPUT mangle gt INPUT filter 147 pois os dados n o precisam de tratamento DNAT o chain PREROUTING nat processado somente uma vez a procura de regras que conferem principalmente para fazer DNAT OBS Para qualquer opera o de entrada sa da de pacotes os dois chains da tabela mangle s o sempre os primeiros a serem acessados Isto necess rio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros 10 7 5 Ping de 192 168 1 4 para 192 168 1 1 Endere o de Origem 192 168 1 4 Endere o de Destino 192 168 1 1 Interface de Entrada etho Interface de Sa da etho Protocolo ICMP Descri o Ping de 192 168 1 4 para a m quina do firewall ENTRADA DE PACOTES recebimento da requisi o vinda de 192 168 1 4 gt gt PREROUTING mangle gt PREROUTING nat gt INPUT mangle gt INPUT filter gt gt SA DA DE PACOTES envio da resposta a 192 168 1 4 2 0 2020 f gt 2 4 OUTPUT mangle gt
388. hosts shosts tem o funcionamento parecido com o hosts equiv mas cont m somente dois campos o primeiro especificando o nome do computador FQDN e o segundo o nome do usu rio que tem permiss o de acesso sem fornecer senha Ele garantir este acesso ao usu rio e m quina remota especificada neste arquivo Se for definido somente o nome do computador o nome de usu rio dever ser o mesmo do local para que o acesso sem senha seja garantido recomend vel restringir o acesso a estes arquivos somente ao usu rio grupo quando for realmente necess rio Um exemplo de rhosts maquinal dominio com br usuariol maquina2 dominio com br usuario2 O uso destes dois mecanismos e dos servi os r s o desencorajados o ltimo por usar transfer ncia de dados n o criptografadas Veja Servidor ssh Cap tulo 15 para uma alternativa melhor Utilize estes dois mecanismos somente se deseja facilidade no gerenciamento e se sua rede seja absolutamente confi vel e a seguran a de dados n o seja prioridade pra voc 355 19 10 Restringindo o uso do shutdown Por padr o todos que tem acesso ao console do sistema podem efetuar o reinicio do computador pressionando CTRL ALT DEL Estas teclas de combina o s o definidas pela linha ca 12345 ctrlaltdel sbin shutdown r now do arquivo etc inittab A op o a access do shut down restringe isto permitindo somente o reinicio do sistema caso um dos usu rios cadastrados no arquivo etc shutdo
389. i dev hnda Model TS6324A2 FwRev 340 SerialNo A99BIIJA Config HardSect NotMEM HdSw gt 15uSec Fixed DTR gt 10Mbs RotSpdTol gt 5 RawCHS 13228 15 63 TrkSize 0 SectSize 0 ECCbytes 0 BuffType unknown BuffSize 256kB MaxMultSect 16 MultSect 16 CurCHS 13228 15 63 CurSects 12500460 LBA yes LBAsects 12500460 IORDY on off tPIO min 240 w IORDY 120 tDMA min 120 rec 120 PIO modes pio0 piol pio2 pio3 pio4 DMA modes mdma0 mdmal mdma2 udma0 udmal udma2 udma3 udma4 udmas 49 O campo MaxMultSect 16 indica o valor de 16 como m ximo suportado em uma nica opera o pela unidade Valores maiores poder o ser especificados mas n o trar o ganho de performance Para discos r gidos Western Digital recomend vel deixar este valor como 0 porque eles possuem um mecanismo embutido para leitura de setores Para experimentar valores fora dos padr es coloque seu sistema de arquivos como somente leitura para n o perder dados caso algo saia errado Note que o comando hdparm i mostra alguns detalhes interessantes sobre a configura o do disco r gido e modos de opera o suportados I O support Modificado com cfnum O n mero especificado pode ser 0 para transfer ncia de dados em 16 bits 1 para 32 bits e 3 para 32 bits com uma sequencia especial de sincronismo alguns chips requerem esta ao inv s da 1 using dma Modificado com dfnumj Habilita ou n o o uso de DMA para a transfer ncia de dados do HD ativando o contro
390. i especialmente separada para os mais paran icos como eu conhecerem combinar e aplicar as restri es de forma mais adequada a configura o da m quina 18 1 Introdu o O SAMBA um servidor e conjunto de ferramentas que permite que m quinas Linux e Windows se comuniquem entre si compartilhando servi os arquivos diret rio impress o atrav s do protocolo SMB Server Message Block CIFS Common Internet File System equivalentes a implementa o NetBEUI no Windows O SAMBA uma das solu es em ambiente UNIX capaz de interligar redes heterog nea Na l gica da rede Windows o NetBEUI o protocolo e o NETBIOS define a forma com que os dados s o transportados N o correto dizer que o NetBIOS o protocolo como muitos fazem Com o SAMBA poss vel construir dom nios completos fazer controle de acesso a n vel de usu rio compartilhamento montar um servidor WINS servidor de dom nio impress o etc Na maioria dos casos o controle de acesso e exibi o de diret rios no samba mais minucioso e personaliz vel que no pr prio Windows O guia Foca GNU Linux documentar como instalar e ter as m quinas Windows de diferentes vers es Win3 11 Win95 Win950SR 2 Win98 XP WinNT W2K acessando e comunicando se entre si em uma rede NetBEUI Estas explica es lhe poder o ser indispens veis para solucionar problemas at mesmo se voc for um t cnico especialista em redes Windows e n o tem ainda plano
391. ibindo imediatamente o aviso de comando ap s a digita o da senha 8 8 Arquivo etc environment Armazena as vari veis de ambiente que s o exportadas para todo o sistema Uma vari vel de ambiente controla o comportamento de um programa registram detalhes teis durante a se o do usu rio no sistema especificam o idioma das mensagens do sistema etc Exemplo do conte do de um arquivo etc environment LANG pt BR C ALL pt BR C MESSAGES pt BR 8 9 Diret rio etc skel Este diret rio cont m os modelos de arquivos bash profile e bashrc que ser o copiados para o diret rio pessoal dos usu rios no momento que for criada uma conta no sistema Desta forma voc n o precisar configurar estes arquivos separadamente para cada usu rio Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux Impress o Guia Foca GNU Linux Cap tulo 9 Impress o Este capitulo descreve como imprimir em seu sistema GNU Linux e as formas de impress o via spool rede gr fica etc Antes de seguir os passos descritos neste cap tulo tenha certeza que seu kernel foi compilado com o suporte a impressora paralela ativado caso contr rio at mesmo a impress o direta para a porta de impressora falhar 101 9 1 Portas de impressora Uma porta de impressora o local do sistema usado para se comunicar com a impressora Em sistemas
392. ica as diferen as entre o arquivo main cc local e remoto cvs diff u r 1 1 r 1 2 main c Mostra as diferen as em formato unificado para mostrar as diferen as entre as vers es 1 1 e 1 2 do arquivo main c 265 17 3 15 Visualizando o status de vers o de arquivos O comando status permite verificar que vers es do arquivo especificado est dispon vel localmente remotamente qual a vers o inicial do arquivo no reposit rio sticky tag Exemplos cvs status main c Verifica o status do arquivo main c cvs status v main c Mostra o status do arquivo main c adicionalmente mostra tamb m as tags existentes no arquivo vers o inicial vers o do reposit rio 17 3 16 Outros utilit rios para trabalho no reposit rio Al m dos comandos do cvs descritos aqui existem comandos no pacote cvsut ils que auxiliam desde quem est aprendendo a utilizar o CVS com o comando cvsdo para simular algumas opera es de adi o remo o de arquivos at profissionais que usam o programa no dia a dia cvsu cvsco cvschroot 17 4 Arquivos administrativos em CVSROOT Esta se o descreve a fun o de cada um dos arquivos administrativos isto pode ser til na configura o e personaliza o do CVS e de seu reposit rio Para n o alongar muito o cap tulo procurei colocar uma breve descri o da fun o de cada um deles o coment rios e exemplos existentes nos arquivos oferecem uma boa compreens o do seu conte do 17 4 1 config
393. icar as permiss es de seus arquivos manualmente Um timo comando para fazer isso sem afetar diret rios find type f user usuariol exec chmod 0660 N Este comando parece estranho mas excelente um chmod R 0660 afetaria at os diret rios imagine o caos A maioria das distribui es Linux vem com uma boa pol tica de grupos para permitir um controle eficaz de recurso Se voc quer saber quais arquivos em seu sistema pertencem a determinado grupo til para saber o que o usu rio ter acesso se adiciona lo quele grupo execute o comando find group nome do grupo 19 4 Dando poderes de root para executar determinados programas 351 A ferramenta ideal para isto o sudo Atrav s dela poss vel permitir um usu rio comum executar um comando como root e registrar quando isto foi feito poss vel selecionar os usu rios grupos que ter o acesso e quais aplicativos que poder o ser usados estas configura es s o feitas no arquivo etc sudoers Por exemplo para o usu rio john usar o comando shut down para desligar o computador sudo shutdown h now O sudo um programa muito completo tomaria muitos Kilobytes neste guia Recomendo dar uma lida na p gina de manual para entender como as vari veis do arquivo de configura o funcionam Mesmo assim aqui vai um exemplo simples deste arquivo para iniciar rapidamente o uso do sudo arquivo sudoers Edite este arquivo com o comando visudo como r
394. ico voc ter dispon vel as op es mais comuns e necess rias para compartilhar recursos na rede O modo avan ado apresenta praticamente todos os par metros aceitos pelo servidor samba restri es controle de acesso otimiza es etc 18 15 Exemplos de configura o do servidor SAMBA Os exemplos existentes nesta se o cobrem diferentes tipos de configura o do servidor tanto em modo de compartilhamento com acesso p blico ou um dom nio restrito de rede Todos os exemplos est o bem comentados e explicativos apenas pegue o que se enquadre mais em sua situa o para uso pr prio e adapta es 336 18 15 1 Grupo de Trabalho com acesso p blico Este exemplo pode ser usado de modelo para construir uma configura o baseada no controle de acesso usando o n vel de seguran a share e quando possui compartilhamentos de acesso p blico Esta configura o indicada quando necessita de compatibilidade com softwares NetBIOS antigos Arquivo de configura o do SAMBA criado por Gleydson Mazioli da Silva lt gleydsonftdebian org gt para o guia Foca GNU Linux Avan ado Cap tulo SAMBA Este script pode ser copiado e distribu do livremente de acordo com os termos da GPL Ele n o tem a inten o de atender uma determinada finalidade sendo usado apenas para fins did ticos portanto fica a inteira responsabilidade do usu rio sua utiliza o global nome da m quina na rede netbios name teste nome do grup
395. identificar um pacote do tipo unicast direcionado a voc broadcast direcionado a uma determinada rede definida pela netmask ou multicast destinado a grupos de redes e desta forma realizar a es em cima destes O tipo de pacote identificado logo ap s a op o pkt type Veja alguns exemplos 143 Bloqueia a passagem de pacotes multicast de uma rede para outra iptables A FORWARD i eth0 o eth0 m pkttype pkt type multicast j DROP Como deve ter notado poss vel fazer a associa o com diversas especifica es de m dulos bastando apenas especificar uma op o m para cada m dulo adicional Permite a passagem de pacotes broadcast de uma rede para outra com limita o de 5 s iptables A FORWARD i eth0 o eth0 m pkttype pkt type broadcast m limit limit 5 s j ACCEPT JE E E 10 6 13 Conferindo com o tamanho do pacote O tamanho do pacote pode ser usado como condi o de filtragem atrav s do m dulo length O tamanho do pacote especificado atrav s da op o length e o argumento segue a mesma sintaxe da especifica o de portas no iptables sendo separados por Veja alguns exemplos Bloqueia qualquer pacote ICMP maior que 30Kb iptables A INPUT i eth0 m length length 30000 j DROP Bloqueia qualquer pacote com o tamanho entre 20 e 2000 bytes iptables A INPUT i eth0 m length length 20 2000 DROP 10 7 Caminho percorrido pelos pacotes nas tabelas e chains M
396. idos e L programa Utiliza o programa especificado para fazer o login do usu rio usr sbin telnetlogin o padr o e n N o envia pacotes keep alive para verificar o estado da conex o Desativando esta op o poder fazer o servidor ficar rodando constantemente caso aconte a algum problema e o usu rio n o consiga se desconectar normalmente e s TOS Ajusta o tipo de servi o usado na conex o para o valor especificado veja Especificando o tipo de servi o Se o 10 5 1 para maiores detalhes sobre esta op o e os valores aceitos Estas op es dever o ser especificadas ap s o servidor in telnetd no arquivo etc inetd conf 14 2 Controle de acesso feito pelos arquivos hosts allow e hosts deny Veja O mecanismo de controle de acessos tcpd Se o 4 8 3 14 3 Recomenda es O servi o telnet utiliza texto plano para se o exceto nas vers es cliente servidor ssl Os dados transmitidos por servi os que utilizam texto plano podem ser capturados por sniffers e trazer perigo ao seu sistema veja Sniffer Se o 20 2 recomend vel somente executar o servidor telnet padr o em ambientes seguros como em uma rede interna e a vers o com suporte a ssl para fazer conex es via redes inseguras como a Internet O servi o ssh Servidor ssh Cap tulo 15 uma excelente alternativa ao telnet al m de possuir outras caracter sticas adicionais que justifiquem seu uso al m de programas cliente
397. ificuldade em operar um sistema do tipo UNIX FreeBSD HPUX SunOS etc bastando apenas aprender alguns detalhes encontrados em cada sistema O c digo fonte aberto permite que qualquer pessoa veja como o sistema funciona til para aprendizado corrija alguma problema ou fa a alguma sugest o sobre sua melhoria esse um dos motivos de seu r pido crescimento do aumento da compatibilidade de perif ricos como novas placas sendo suportadas logo ap s seu lan amento e de sua estabilidade 18 Outro ponto em que ele se destaca o suporte que oferece a placas CD Roms e outros tipos de dispositivos de ltima gera o e mais antigos a maioria deles j ultrapassados e sendo completamente suportados pelo sistema operacional Este um ponto forte para empresas que desejam manter seus micros em funcionamento e pretendem investir em avan os tecnol gicos com as m quinas que possui Hoje o Linux desenvolvido por milhares de pessoas espalhadas pelo mundo cada uma fazendo sua contribui o ou mantendo alguma parte do kernel gratuitamente Linus Torvalds ainda trabalha em seu desenvolvimento e tamb m ajuda na coordena o entre os desenvolvedores O suporte ao sistema tamb m se destaca como sendo o mais eficiente e r pido do que qualquer programa comercial dispon vel no mercado Existem centenas de consultores especializados espalhados ao redor do mundo Voc pode se inscrever em uma lista de discuss o e relatar sua d vida ou al
398. igo fonte modificado inserindo as fun es para tratamento dos m dulos de autentica o 19 2 2 Definindo um policiamento padr o restritivo O Policiamento padr o do PAM especificado em etc pam d other e define o que acontecer caso nenhum dos arquivos de controle de servi o em etc pam d confiram com o servi o em quest o Normalmente o m dulo pam unix so usado para fazer o policiamento padr o para deixar o sistema mais seguro utilize a seguinte configura o no arquivo etc pam d other auth required usr lib security pam warn so auth required usr lib security pam deny so account required usr lib security pam deny so password required usr lib security pam warn so password required usr lib security pam deny so session required usr lib security pam deny so O m dulo pam deny so respons vel por fazer o bloqueio e o pam warn envia avisos ao syslog facilidade auth n vel notice caso servi os m dulos PAM que necessitem do servi o de autentica o sejam bloqueados isto n o feito automaticamente pelo pam deny so OBS Esta configura o poder causar bloqueio em muitas coisas caso possua m dulos de autentica o mau configurados Esteja certo de utilizar o m dulo pam warn so antes do pam deny so nas diretivas restritivas para entender qual o problema atrav s da an lise dos arquivos de logs 345 Mais detalhes sobre a configura o de m dulos de autentica o poder o ser encontrados no endere
399. igura o do SAMBA sempre que houver modifica es para ter certeza nada comprometa o funcionamento que planejou para sua m quina Para usar O testparm s digitar testparm Logo ap s executa lo analise se existem erros nas se es de configura o e te pedir para pressionar lt ENTER gt para ver um dump do arquivo Load smb config files from etc samba smb conf Processing section homes Processing section printers Processing section tmp Processing section cdrom Loaded services file OK Press enter to s a dump of your service definitions A sa da acima indica que est tudo OK com todas as configura es que foram realizadas no servidor poss vel especificar um outro arquivo de configura o do SAMBA usando testparm etc samba smb2 conf Tamb m permitido simular o nome NetBIOS que far acesso a m quina usando o par metro L nome que ser substitu do na vari vel L 18 2 12 N veis de sistema para elei o de rede Para selecionar qual sistema NetBIOS ser o local master browse ou domain master browse usado um m todo bastante interessante o de elei es Quando uma nova m quina entra na rede NetBIOS ela solicita quem o Local Master Browser caso nenhuma responda ela for a uma elei o na rede atrav s de uma requisi o Broadcasting especial Vence a elei o quem tiver o maior n mero chamado de OS Level n vel de sistema operacional Caso duas m quinas e
400. iliza todos os exemplos anteriores se nenhum usu rio conferir ele ser mapeado para o usu rio nobody como o usu rio root e adm j s o mapeados para nobody est xemplo ter o mesmo efeito Igleydson gleydson mazioli samba smb users nobody 18 13 Melhorando a performance do compartilhamento servidor Esta se o trar algumas formas de otimiza o do servidor SAMBA que fazem diferen a quando os valores adequados s o utilizados A primeira a ativa o de um cache de grava o leitura de arquivos Este cache feito pela op o write cache size e funciona fazendo o cache dos arquivos que ser o lidos gravados Ele esvaziado assim que o arquivo for fechado ou quando estiver cheio O valor especificado nesta op o em bytes e o padr o 0 para n o causar impacto em sistemas com pouca mem ria ou centenas de compartilhamentos Exemplo publico path pub comment Diret rio de acesso p blico read only yes public yes write cache size 384000 Compartilha o diret rio pub path pub como compartilhamento de nome publico fpublico seu acesso ser feito como somente leitura read only yes e o tamanho do cache de leitura grava o reservado de 384Kb write cache size 384000 Deixar a op o para seguir links simb licos ativada follow symlinks garante mais performance de acesso a arquivos no compartilhamento A desativa o da op o wide links em conjunto com
401. illo ChangeLog U dillo dillo ChangeLog old U dillo dillo INSTALL U dillo dillo Makefile am U dillo dillo Makefile in U dillo dillo NEWS U dillo dillo README U dillo dillo aclocal m4 U dillo dillo config h in U dillo dillo configure U dillo dillo configure in U dillo dillo depcomp U dillo dillo dillorce U dillo dillo install sh U dillo dillo missing U dillo dillo mkinstalldirs U dillo dillo stamp h in cvs server Updating dillo dillo doc U dillo dillo doc Cache txt U dillo dillo doc Cookies txt U dillo dillo doc Dillo txt U dillo dillo doc Dw txt U dillo dillo doc DwImage txt U dillo dillo doc DwPage txt Modifica o arquivo do projeto cd dillo dillo doc vi Cache txt Update no arquivo para atualizar a c pia local com a remota cvs update Cache txt M Cache txt gleydsonfthost tmp teste Damos o commit no arquivo cvs commit Cache txt Saimos do sistema cvs logout Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux SAMBA 271 Guia Foca GNU Linux Cap tulo 18 SAMBA Este cap tulo descreve a configura o utiliza o aplica o integra o de redes windows e Linux atrav s do SAMBA Entre as explica es de cada op o s o passados detalhes importantes relacionados com seu funcionamento performance e impactos de seguran a sobre o servidor como um todo Uma se o fo
402. imo Por exemplo 5 40 15 rejeita at 40 das tentativas de autentica o que excedam o limite de 5 at atingir o limite m ximo de 15 conex es quando nenhuma nova autentica o permitida MaxStartups 10 MaxStartups 10 30 60 ostra uma mensagem antes do nome de usu rio senha Banner etc issue net Especifica se o servidor sshd far um DNS reverso para verificar se o endere o confere com a origem isto til para bloquear conex es falsificadas spoofing O padr o no ReverseMappingCheck yes Ativa o subsistema de ftp seguro Para desabilitar comente a linha abaixo Subsystem sftp usr lib sftp server Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Servidor pop3 244 Guia Foca GNU Linux Cap tulo 16 Servidor pop3 Este cap tulo descreve a instala o configura o cria o de contas e controle de acesso ao servidor pop3 Este cap tulo baseado no servidor qpopper da Qualcomm 16 1 Introdu o o servidor para recebimento de mensagens eletr nicas e mails para o cliente de e mails O servidor pop3 documentado o gpopper da Qualcomm um dos mais usados em ambiente Linux simples de configurar e distribu do livremente O que este programa faz ler os e mails de usu rios em var mail e os envia via porta 110 ao programa cliente Netscape sylpheed mutt balsa Pegasus Outlo
403. inas Windows e Linux ou de m quinas Linux sendo o servidor SAMBA com outro SO que tenha um cliente NetBEUI Macintosh 0S 2 LanManager etc e Montar um servidor de compartilhamento de impress o no Linux que receber a impress o de outras m quinas Windows da rede Controle de acesso aos recursos compartilhados no servidor atrav s de diversos m todos compartilhamento usu rio dom nio servidor Controle de acesso leitura grava o por compartilhamento Controle de acesso de leitura grava o por usu rio autenticado Possibilidade de definir contas de Convidados que podem se conectar sem fornecer senha Possibilidade de uso do banco de dados de senha do sistema et c passwd autentica o usando o arquivo de dados criptografados do samba LDAP PAM etc Controle de cache e op es de tunning por compartilhamento Permite ocultar o conte do de determinados diret rios que n o quer que sejam exibidos ao usu rio 273 de forma f cil Possui configura o bastante flex vel com rela o ao mapeamento de nomes DOS gt UNIX e vice versa p gina de c digo acentua o etc Permite o uso de aliases na rede para identificar uma m quina com outro nome e simular uma rede NetBIOS virtual O samba possibilita ajuste fino nas configura es de transmiss o e recep o dos pacotes TCP IP como forma de garantir a melhor performance poss vel de acordo com suas instala es Permite o uso do gerenciador de mensage
404. inetd e nm Ativa o suporta a IP Masquerading e n Retorna n meros UID ao inv s de nomes de usu rios o o o o N Permite ocultar a identifica o de determinados usu rios atrav s de arquivos noident o Retorna OTHER outro qualquer ao inv s do sistema operacional especificado p porta Espera por conex es na porta especificadas a padr o a 113 servi o auth q Oculta o logging normal 225 e P proxy O proxy especificado endere o IP faz redirecionamento de conex es para a m quina executando O oidentd e r Retorna respostas aleat rias de identd As op es n e r n o podem ser usadas juntas s Permite utilizar os mecanismos de spoofing falsifica o do oidenta e s O mesmo que s mas permitem todos os usu rios EXCETO os especificados em etc identd spoof falsificarem suas respostas e t segundos Espera o tempo especificado antes de ser encerrado e T segundos O oidentd permanecer aceitando conex es quando executado com a op o w pelo n mero de segundos especificado e u uid Executa o servidor oidentd com a uid especificada e v v Mostra detalhes sobre a vers o do servidor e w Modo de espera de conex es e x texto Se uma requisi o falha o texto especificado retornado e w Utiliza os mecanismos de acesso hosts allow hosts deny do tcpd e hn Mostra as op es de linha de comando do oidenta 13 1 12 Ex
405. inte formato From root localhost To gleydsonfdebian gms com br Cc root localhost Reply To root localhost Subject Quota Excedida Date Sat 22 Sep 2001 14 27 38 0400 Hi We noticed that you are in violation with the quotasystem used on this system We have found the following violations Block limits File limits Filesystem used soft hard grace used soft hard grace dev hda5S 504944 500100 600000 none 10868 0 0 We hope that you will cleanup before your grace period expires Basically this means that the system thinks you are using more disk space on the above partition s than you are allowed If you do not delete files and get below your quota before the grace period expires the system will prevent you from creating new files For additional assistance please contact us at rootflocalhost or via phone at 5555 2525 364 19 13 Suporte a senhas ocultas Veja Shadow Passwords Se o 11 4 1 19 14 Suporte a senhas md5 Veja Senhas MD5 Se o 11 4 2 19 15 Restri es no hardware do sistema As restri es descritas aqui s o teis para diminuir as chances de um ataque por acesso f sico ser realizado com sucesso no sistema que desejamos proteger Ter um sistema totalmente seguro praticamente imposs vel mas existem diversas maneiras de se dificultar as coisas 19 15 1 BIOS do sistema Algumas restri es podem ser configuradas na para diminuir as chances de se obter acesso root usando
406. io com as permiss es apropriadas configuradas em seu sistema por exemplo homes comment Diret rios de Usu rios path pub usuarios S Voc apenas ter o trabalho extra de criar os diret rios de usu rios que far o acesso ao sistema Isto n o ser nenhum problema ap s voc programar um shell script simples que verifique os nomes de contas em etc passwd e crie os diret rios com as permiss es grupos adequados isso n o ser abordado por este cap tulo do guia embora n o seja complicado Se deseja existem exemplos em configura o do servidor SAMBA Se o 18 15 sobre a se o homes no arquivo de configura o Os par metros aceitos em homes aqui s o os mesmos usados para compartilhamentos normais veja Descri o de par metros usados em compartilhamento Se o 18 3 1 Abaixo segue mais um exemplo de se o homes homes comment Diret rio home de usu rios writable ves public no invalid users root nobody adm follow symlinks no create mode 0640 directory mode 0750 A explica o de cada um dos par metros podem ser encontradas em O guia est com os par metros bem organizados em se es espec ficas apenas de uma olhada para entender com o cap tulo do SAMBA foi organizado e n o ter dificuldades de se localizar OBS1 Caso nenhum caminho de compartilhamento seja utilizado o diret rio home do usu rio ser compartilhado OBS2 N o utilize o par metro public yes na
407. iona atrav s da compara o de regras para saber se um pacote tem ou n o permiss o para passar Em firewalls mais restritivos o pacote bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que est acontecendo em seu sistema Ele tamb m pode ser usado para modificar e monitorar o tr fego da rede fazer NAT masquerading source nat destination nat redirecionamento de pacotes marca o de pacotes modificar a prioridade de pacotes que chegam saem do seu sistema contagem de bytes dividir tr fego entre m quinas criar prote es anti spoofing contra syn flood DosS etc O tr fego vindo de m quinas desconhecidas da rede pode tamb m ser bloqueado registrado atrav s do uso de simples regras As possibilidades oferecidas pelos recursos de filtragem iptables como todas as ferramentas UNIX maduras dependem de sua imagina o pois ele garante uma grande flexibilidade na manipula o das regras de acesso ao sistema precisando apenas conhecer quais interfaces o sistema possui o que deseja bloquear o que tem acesso garantido quais servi os devem estar acess veis para cada rede e iniciar a constru o de seu firewall O iptables ainda tem a vantagem de ser modulariz vel fun es podem ser adicionadas ao firewall ampliando as possibilidades oferecidas Usei por 2 anos o ipchains e afirmo que este um firewall que tem possibilidades de gerenciar tanto a seguran a em m quinas isoladas como roteament
408. iptables t filter A internet p tcp dport 21 j DROP iptables t filter A internet p tcp dport 23 J DROP iptables t filter A internet p tcp dport 25 j DROP iptables t filter A internet p tcp dport 80 j DROP o IS UMa WMA Quando um pacote com o endere o www debian org tentando acessar a porta www 80 de nossa m quina atrav s da internet via interface ppp0 o chain n mero 1 confere ent o o processamento continua no chain n mero 4 o chain n mero 4 confere ent o o processamento volta para a regra n mero 2 que diz para aceitar o pacote Agora se um pacote vem com o endere o www dominio com br tentando acessar a porta www 80 de nossa m quina atrav s da internet via interface ppp0 o chain n mero 1 confere ent o o processamento continua no chain n mero 4 que n o confere O mesmo acontece com os chains 5 6 e 7 O chain n mero 8 confere ent o o acesso bloqueado Como pode notou o alvo RETURN facilita bastante a constru o das regras do seu firewall caso existam m quinas redes que sejam exce es as suas regras Se ela n o existisse seria necess rio especificar diversas op es s d etc para poder garantir o acesso livre a determinadas m quinas 10 3 7 Salvando e Restaurando regras As regras que voc est trabalhosamente criando e testando manualmente enquanto manipula o iptables podem ser salvas de 2 formas uma delas escrevendo um shell script que ten
409. irect TOS host redirect echo request ping router advertisement router solicitation tim xceeded ttl exceeded ttl zero during transit ttl zero during reassembly parameter problem ip header bad required option missing timestamp request timestamp reply address mask request address mask reply OBS1 N o bloqueie mensagens do tipo host unreachable e source quench pois ter s rios problemas no controle de suas conex es A primeira diz que o destino est inalcan avel e a segunda que o host est sobrecarregado assim os pacotes devem ser enviados mais lentamente 10 3 3 3 Especificando pacotes syn Pacotes syn s o usados para iniciarem uma conex o o uso da op o syn serve para especificar estes tipos de pacotes Desta maneira poss vel bloquear somente os pacotes que iniciam uma conex o sem afetar os pacotes restantes Para que uma conex o ocorra necess rio que a m quina obtenha a resposta a pacotes syn enviados caso ele seja bloqueado a resposta nunca ser retornada e a conex o n o ser estabelecida iptables A INPUT p tcp syn dport 23 i ppp j DROP A regra acima bloqueia j DROP qualquer tentativa de conex o syn vindas da interface ppp ao telnet dport 23 da m quina local conex es j efetuadas o s o afetadas por esta regra A op o syn somente pode ser especificada para o protocolo tcp 126 ATEN O A situa o de passagem de pacotes duran
410. iret rios dentro de etc 1logcheck Nomes de arquivos diret rios contendo a palavra ignore s o usados para armazenar express es regulares que N O ser o enviadas pelo Logcheck permitido o uso de express es regulares per1 sed para especificar as mensagens nos arquivos de log 89 6 4 2 logrotate Usado para fazer backups dos logs atuais do sistema programado via cron ou outro daemon com a mesma fun o e criando novos arquivos de logs que ser o usados pelo sistema Opcionalmente os arquivos de logs antigos ser o compactados para diminuir a utiliza o de espa o em disco ou enviados por e mail ao administrador A rota o dos arquivos de logs proporciona maior agilidade quando precisamos encontrar algum detalhe til que seria mais dif cil de se achar em um arquivo de log de 10MB ou maior A rota o de logs feita de acordo com o tamanho do arquivo de logs especificado mas a op o f pode ser usada para for ar a rota o de logs A op o d fornece mais detalhes sobre o que O logrotate est fazendo Seu arquivo principal de configura o o etc logrotate conf Um modelo deste tipo de arquivo o seguinte Estas op es afetam globalmente o funcionamento do logrotate roda os arquivos de log semanalmente weekly mant m as ltimas 4 c pias de logs anteriores rotate 4 Erros de n o exist ncia dos logs s o enviados para o usu rio root mail root Cria novos arquivos de log vazios ap
411. istema executa algum daemon de impress o interrompa antes de usar a porta paralela Alguns tipos de servi os de impress o interferem no funcionamento do plip 4 Configure o m dulo parport pc passando o par metro irq 7 a IRQ que sua porta de impressora utiliza Esta configura o necess ria pois em algumas m quinas isso faz que o p1ip n o funcione ou aconte am somente timeouts de transmiss o 5 Execute o comando ifconfig plip0 192 168 1 1 Verifique se a interface foi ativada com o comando ifconfig plipo0 79 6 Nesse ponto a interface est ativa mas a nossa m quina n o conhece nada sobre a rede ou como alcan ar a m quina 192 168 1 2 Como a conex o ponto a ponto precisamos adicionar uma rota direta para esta m quina com o comando route add host 192 168 1 2 plipo Este comando diz para criar uma rota com o destino 192 168 1 2 usando a interface plipo 7 Configure a outra m quina seguindo os passos acima apenas invertendo os 2 endere os IPs usados Pronto agora verifique se cada uma das m quinas se comunica com a outra usando o comando ping 192 168 1 x Se ocorrer um erro de timeout na transmiss o leia atentamente os passos acima e refa a a configura o em ambas as m quinas Ainda n o funcionando verifique se existe um firewall bloqueando os pacotes da nova interface e se o cabo Lap Link est em bom estado o problema pode estar ai O n mero m ximo de interfaces plip est limitado ao n mero
412. istema que ser o destru dos quando o apache gravar dados para os logs Alguns bin rios e bibliotecas s o essenciais para o funcionamento do sistema 12 12 3 Seguran a no uso de IP s em Virtual Hosts Quando voc est colocando um nome na diretiva de configura o do seu virtual hosts est assumindo que ele resolver o endere o IP corretamente como www sitel com br gt 200 200 200 10 Se por algum motivo o servidor DNS for modificado por outra pessoa que tem acesso a isto o endere o IP resolvido para o site www site1 com br poder ser modificado para 200 200 200 20 isto redirecionar as requisi es para outra m quina ao inv s da m quina correta Este tipo de ataque chamado DNS Spoofing e o uso de endere o IP ao inv s de nomes praticamente evita que isto aconte a Esta situa o pode acontecer com a diretiva abaixo lt VirtualHost www gms com br gt ServerName www gms com br ServerAdmin gleydsonfguiafoca org DocumentRoot var www www gms com br lt VirtualHost gt 200 Outra situa o que impede o funcionamento do servidor Web quando o servidor DNS est em manuten o ou por algum outro motivo n o pode resolver o endere o IP de um nome especificado como www sitel com br O apache precisa saber qual o seu endere o IP para ser executado Veja a pr xima modifica o lt VirtualHost 192 168 1 1 gt ServerName www gms com br ServerAdmin gleydsonfguiafoca org DocumentRoot var www w
413. ite ao iniciar o programa para detalhes OBS1 Se a impressora n o imprimir ou n o for poss vel compartilhar a porta de impressora paralela com outros dispositivos tal como o plip verifique se o m dulo parport pc foi carregado e com os valores de irq e I O corretos por exemplo modprobe parport pc io 0x378 irqg 7 Muitas vezes sua porta paralela pode funcionar sem problemas durante a impress o mas se ao utilizar plip ocorrerem erros a causa pode ser essa Na distribui o Debian use o programa modconf para configurar os valores permanentemente para o m dulo parport pc OBS2 Se tiver mais de uma impressora instalada na m quina ser necess rio especificar a op o P impressora para especificar qual impressora deseja imprimir controlar 9 4 Impress o em modo gr fico A impress o em modo gr fico requer que conhe a a marca e modelo de sua impressora e os m todos usados para imprimir seus documentos Este guia abordar somente a segunda recomenda o 9 4 1 Ghost Script O m todo mais usados pelos aplicativos do GNU Linux para a impress o de gr ficos do Ghost Script O Ghost Script chamado de gs um interpretador do formato Pos Script arquivos ps e pode enviar o resultado de processamento tanto para a tela como impressora Ele est dispon vel para diversas plataformas e sistema operacionais al m do GNU Linux inclusive O DOS Windows 0S 2 etc 103 O formato ps esta se tornando uma padroniza o p
414. ite qualquer um acessar os servidor TALK n s desejamos que o sistema nos avise quando algu m desejar conversar e a terceira somente permite enviar dados do finger para computadores dentro de nossa rede privada exceto para 192 168 1 30 e O arquivo hosts deny cont m a seguinte linha ALL ALL Qualquer outra conex o ser explicitamente derrubada Vamos aos testes digitando tcpdmatch in fingerd 127 0 0 1 verificar se o endere o 127 0 0 1 tem acesso ao finger client address 127 0 0 1 server process in fingerd matched etc hosts allow line 1 access granted Ok temos acesso garantido com especificado pela linha 1 do hosts allow a primeira linha que confere usada Agora tepdmatch in fingerd 192 168 1 29 client address 192 168 1 29 server process in fingerd matched etc hosts allow line 3 access granted 70 O acesso foi permitido atrav s da linha 3 do hosts al1ow Agora tepdmatch in fingerd 192 168 1 29 client address 192 168 1 30 server process in fingerd matched etc hosts deny line 1 access denied O que aconteceu como a linha 2 do hosts al1ow permite o acesso a todos os computadores 192 168 1 exceto 192 168 1 30 ela n o bateu ent o o processamento partiu para O hosts deny que nega todos os servi os para qualquer endere o Agora um ltimo exemplo tcpdmatch in talkd www debian org client address www debian org server process in talkd matched etc hosts allow line 2 acce
415. itir a utiliza o do modem dialout O dispositivo utilizado pelo modem n o seu link deve ter permiss es leitura grava o para o usu rio root e grupo dialout Cadastrando o usu rio neste grupo autorizar a utiliza o do modem adduser usuario dialout e Permitir que diversos usu rios compartilhem um mesmo diret rio Isto til quando muitas pessoas est o desenvolvendo um mesmo projeto Siga estes passos O Crie um novo grupo no sistema groupadd gp1 a op o g permite selecionar manualmente a GID Opcionalmente voc poder usar um grupo j existente no sistema veja o arquivo etc group o Crie o diret rio que ser usado para armazenar os arquivos deste grupo de usu rios mkdir projetol o Mude o dono grupo do diret rio chown root gpl projetol o De permiss es de leitura grava o para o dono grupo do diret rio vamos tamb m incluir a permiss o SGID para que todos os arquivos criados dentro deste diret rio perten am ao mesmo grupo e n o ao grupo prim rio do usu rio assim todos os usu rios ter o acesso chmod 2770 projetol o Agora cadastre os usu rios que dever o ter acesso ao diret rio projeto1 no grupo gp1 somente estes usu rios e o root ter o acesso ao diret rio permiss es 2770 o interessante tamb m mudar a umask do usu rio de 022 para 002 ou equivalente para que os novos arquivos criados tenham permiss o de leitura grava o para o grupo gp1 Caso contr rio lembre se de modif
416. ituir a palavra add por del A palavra net quer dizer que 192 168 1 0 um endere o de rede lembra se das explica es em Endere o IP Se o 4 3P para especificar uma m quina de destino basta usar a palavra host Endere os de m quina de destino s o muito usadas em conex es de rede apenas entre dois pontos como ppp plip slip Por padr o a interface especificada como ltimo argumento Caso a interface precise especifica la em outro lugar ela dever ser precedida da op o dev Para adicionar uma rota padr o para um endere o que n o se encontre na tabela de roteamento utiliza se o gateway padr o da rede Atrav s do gateway padr o poss vel especificar um computador normalmente outro gateway que os pacotes de rede ser o enviados caso o endere o n o confira com os da tabela de roteamento Para especificar o computador 192 168 1 1 como gateway padr o usamos route add default gw 192 168 1 1 eth0 O gateway padr o pode ser visualizado atrav s do comando route n e verificando o campo gateway A op o gw acima especifica que o pr ximo argumento um endere o IP de uma rede j acess vel atrav s das tabelas de roteamento O computador gateway est conectado a duas ou mais redes ao mesmo tempo Quando seus dados precisam ser enviados para computadores fora da rede eles s o enviados atrav s do computador gateway e o gateway os encaminham ao endere o de destino Desta forma a resposta do servidor ta
417. ity pub Para alterar o tamanho da chave use a op o b tamanho Depois de gerar a chave 0 ssh keygen pedir uma frase senha recomend vel ter um tamanho maior que 10 caracteres e podem ser inclu dos espa os Se n o quiser digitar uma senha para acesso ao sistema remoto tecle lt Enter gt quando perguntado Mude as permiss es do diret rio ssh para 750 A op o f especifica o diret rio e nome das chaves A chave p blica ter a extens o pub adicionada ao nome especificado ATEN O Nunca distribua sua chave privada nem armazene a em servidores de acesso p blicos ou outros m todos que permitem outros terem acesso a ela Se precisar de uma c pia de seguran a fa a em disquetes e guarde a em um lugar seguro 2 Instale a chave p blica no servidor remoto que deseja se conectar por exemplo www Ssshserver org ssh copy id i ssh identity gleydsonfwww servidorssh org A fun o do utilit rio acima entrar no sistema remoto e adicionar a chave p blica local ssh identity pub no arquivo home gleydson ssh authorized keys do sistema remoto www sshserver org O mesmo processo poder ser feito manualmente usando os m todos tradicionais ssh scp Caso o arquivo remoto home gleydson ssh authorized keys n o existe ele ser criado Seu formato id ntico ao ssh know hosts e cont m uma chave p blica por linha 3 Agora utilize o ssh para entrar no sistema remoto usando o m todo de chave p blica p
418. ive a unidade de disco que ter o homedir do usu rio mapeado Isto somente usado por m quinas NT 2000 XP e logon script Define qual o script que ser executado na m quina cliente quando fizer o logon Ele de pub cmd ve ser gravado no diret rio especificado pela op o path do compartilhamento net logon samba net logon no exemplo Os scripts de logon podem ser tanto em formato bat ou Se for programar um script universal recomend vel o uso do formato bat por ser compat vel tanto com Win9xX e WinNT Um detalhe que deve ser lembrado durante a programa o do script de logon que ele DEVE seguir o formato DOS ou seja ter os caracteres CR LF como finalizador de linhas Para utilizar editores do UNIX para escrever este script ser necess rio executar o programa flip flip m b arquivo OU unix2dos Segue aba no arquivo para converte lo em formato compat vel com o DOS ixo um exemplo de script de logon que detecta quando o cliente Windows 95 NT ajusta a hora com o servidor e mapeia 2 unidades de disco Rech cls rem rem rem rem rem rem rem echo echo rem if rem cho o off Logon Script desenvolvido por Gleydson Mazioli da Silva como modelo para o guia Foca GNU Linux Este script pode ser utilizado para fins did ticos e distribu do livremente de acordo com os termos da GPL Aguarde enquanto sua m quina efetua o logon na rede do dom nio focalinux 0OS Windo
419. ivo gerado pelo utilit rio htpasswd que cont m a senha correspondente ao usu rio AuthGroupFile um arquivo texto que cont m o nome do grupo dois pontos e o nome dos usu rios que podem ter acesso ao recurso separados por v rgulas No exemplo acima ele se encontra comentado mas a seguir encontrar exemplos que explicam em detalhes o funcionamento desta diretiva Require Especifica que usu rios podem ter acesso ao diret rio Podem ser usadas uma das 3 sintaxes Require user usu riol usu rio usu rio3 Somente os usu rios especificados s o considerados v lidos para ter acesso ao diret rio Require group grupol grupo grupo3 Somente os usu rios dos grupos especificados s o considerados v lidos para terem acesso ao diret rio Esta diretiva til quando deseja que somente alguns usu rios de determinado grupo tenham acesso ao recurso por exemplo usu rios do grupo admins Require valid user Qualquer usu rio v lido no banco de dados de senhas pode acessar o diret rio bem til quando as op es de acesso especificadas por Require user s o muito longas A op o Require deve ser acompanhado das diretivas AuthName AuthType e as diretivas AuthUserFile e AuthGroupFile para funcionar adequadamente OBS necess rio reiniciar o Apache depois de qualquer modifica o em seu arquivo de configura o apachectl restart ou recarregar os arquivos de configura o apachect1 graceful Note que O apa
420. ja Sistemas de arquivos criptogr fico Se o 20 4 para detalhes Sensores podem ser ligados na carca a do HD como forma de disparar um pequeno alarme embutido no gabinete do servidor se voc gosta de eletr nica poder montar um destes facilmente para chamar a aten o alimentado por fonte baterias em um circuito de emerg ncia e poder acomodar sua caixa em uma segunda carca a de fonte apenas para desviar suspeitas Um circuito interno de c meras tamb m uma boa alternativa para monitorar a movimenta o Esquemas de seguran a dependendo do porte da organiza o e dos dados que se desejam proteger dever o ser elaborados e postos em pr tica Todos os m todos imagin veis dever o ser considerados de acordo com as possibilidades do ambiente Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Introdu o ao uso de criptografia para transmiss o armazenamento de dados 366 Guia Foca GNU Linux Cap tulo 20 Introdu o ao uso de criptografia para transmiss o armazenamento de dados Este cap tulo explica como dados transmitidos em uma rede pode ser capturados isto ajudar a entender a vulnerabilidade de servi os comuns que n o utilizam criptografia para a transmiss o de dados e alternativas programas equivalentes que fazem transmiss o de dados usando m todos criptogr ficos para deixar a mensagem somente leg vel para origem e
421. l 1 Como o SAMBA faz o transporte NetBEUI via TCP IP ajustes no socket fazem diferen a nos dados que trafegam na rede Como isso dependente de rede voc precisar usar t cnicas de leitura grava o para determinar quais s o as melhores que se encaixam em seu caso A op o socket options usada para fazer tais ajustes por exemplo socket options SO SNDBUF 2048 IPTOS THROUGHPUT 1 Em especial a op o TCP NODELAY apresenta uma percept vel melhoria de performance no acesso a arquivos locais OBS N o use espa os entre o sinal de quando especificar as op es do par metro socket options 18 14 Configura o de Clientes NetBEUI Este cap tulo documenta a configura o de m quinas clientes NetBEUI requerimentos de cada configura o e documenta os passos necess rios para ter o cliente se comunicando perfeitamente com o seu servidor Ser o explicadas tanto a configura o de grupo de trabalho como de dom nio e como a configura o compat vel entre Linux e Windows estas explica es s o perfeitamente v lidas para configurar clientes que acessem servidores windows 326 18 14 1 Considera es sobre o Windows for Workgroups e LanManager Sistemas com implementa es NetBIOS mais antigos como O Windows for Workgroups Windows 3 11 eo Lan Manager DOS enviam somente a senha para acesso ao compartilhamento desta forma para o acesso ser autorizado pelo samba voc dever especificar a diretiva
422. l de controle A tela propriedades de sistema ser aberta Clique em Descri o de rede e ent o no bot o Propriedades e No campo nome do computador coloque um nome de no m ximo 15 caracteres para identificar a m quina na rede e Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di logo e Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho Ser necess rio reiniciar a m quina 18 14 2 9 Linux Os aplicativos smbclient e smbmount s o usados para navega o e montagem dos discos e impressoras compartilhadas em m quinas Linux Se voc procura programas de navega o gr ficos como o Ambiente de Rede do windows ou mais poderosos veja Programas de navega o gr ficos Como complemento tamb m explicado o programa nmblookup para resolu o de endere os NetBIOS em IP e vice versa e a forma que as fun es de m quinas s o definidas em uma rede NetBEUI 18 14 2 9 1 smbmount O smbmount uma ferramenta que permite a montagem de um disco compartilhado por uma m quina NetBEUI remota como uma parti o Veja alguns exemplos 329 smbmount servidor discoc mnt discoc Monta o compartilhamento de servidor discoc em mnt discoc usando o nome de usu rio atual Ser pedido uma senha para acessar o conte do do compartilhamento caso ele seja p blico voc pode digitar qualquer senha ou simplesmente pressionar enter smbmount servidor discoc mnt discoc N Se
423. lacionados com a rede 9 1 etc services e e 4 9 2 etc protocols 1 4 10 Camadas de Rede 11 RFCs de refer ncia sobre protocolos de rede o 1 IP Alias 2 Bridge 2 1 Requerimentos para a Instala o 2 2 Configura o da bridge EN O O O O EN O F co OJ o olojo o anien E ESES NI 2 3 Configura es mais avan adas de bridge 2 4 Configura o manual da bridge 5 2 5 Usando o iptables para construir um firewall na m quina da bridge 5 2 6 Filtrando pacotes n o IP na bridge o 5 3 Conectando dois computadores usando a porta paralela 3 1 Construindo um cabo LapLink Paralelo e o 5 4 Conectando dois computadores usando a porta serial e 5 4 1 Construindo um cabo LapLink Serial O o 6 2 Daemons de log do sistema 2 1 syslogd o 6 2 1 1 Arquivo de configura o syslog conf e 6 2 2 klogd 3 logge e 6 4 1 logcheck o o o 3 ol o ran Oro O o l o gt O roz o O O e gt oll U O o e 6 4 2 logrotate 5 Configurando um servidor de logs gt 2 e 7 istribui o Debian GNU Linux co U D D q fo 5 o D D O o a e D e D 3 D O O Es q oO oooo ooo ooooooooo Co Col Co Col colfoo N D gt pa Q Z lt O gt gt o to H z m o ooo o EN 3 D O O Di O D 3 3 O Q O Q D O Ko O O oO La 5 O Q c
424. lan amento de novas vers es do guia e o que foi modificado desta forma voc poder decidir em copia la caso a nova vers o cont m modifica es que considera importantes Vers es diferentes deste guia podem ser geradas a partir do c digo fonte SGML ou obtidas atrav s da home page principal para detalhes veja Onde encontrar a vers o mais nova do guia Se o 21 4 21 2 Sobre o Autor Gleydson Mazili da Silva Capixaba nascido em Vila Velha tem 25 anos Amante de eletr nica desde crian a foi atraido para a inform tica atrav s da curiosidade em hardware n o demorando muito para recupera los ou especificar corretamente dimensionamento e outras caracter sticas Se dedica ao sistema Linux desde 1997 Curioso por natureza e determinado a testar ferramentas a fundo avaliando pontos fortes e fracos de cada uma Logo que iniciou em Linux passou a estudar exaustivamente aspectos t cnicos de distribui es e rede em Linux BSD e largando de vez o Windows que s usava para rodar mais de uma se o DOS e ter rede na m quina Entre coisas que gosta de fazer implementar em Linux possibilidade de pesquisa e atualiza o de conhecimento constante n veis de seguran a da informa o tanto f sico e l gico firewalls redes virtuais integra o de sistemas forense computacional documenta o de processos desenvolvimento de ferramentas GPL para a comunidade depura o hacks baseados em sniffing para facilitar a vida dos
425. las regras 1 e 2 do chain internet como ele n o confere com nenhuma v das 2 regras ele retorna ao chain INPUT e Esta regra a n mero 4 analisado pela regra seguint que diz para rejeitar o pacote 10 2 7 Renomeando um chain criado pelo usu rio E Se por algum motivo precisar renomear um chain criado por voc na tabela filter natou mangle isto poder ser feito usando a op o E do iptables iptables t filter E chain antigo novo chain Note que n o poss vel renomear os chains defaults do iptables 10 2 8 Listando os nomes de todas as tabelas atuais Use o comando cat proc net ip_tables_names para fazer isto interessante dar uma olhada nos arquivos dentro do diret rio proc net pois os arquivos existentes podem lhe interessar para outras finalidades 10 2 9 Limpando as regras de um chain F Para limpar todas as regras de um chain use a seguinte sintaxe iptables t tabela F chain Onde tabela Tabela que cont m o chain que desejamos zerar chain Chain que desejamos limpar Caso um chain n o seja especificado todos os chains da tabela ser o limpos iptables t filter F INPUT iptables t filter F 121 10 2 10 Apagando um chain criado pelo usu rio X Para apagarmos um chain criado pelo usu rio usamos a seguinte sintaxe iptables t tabela X chain Onde tabela Nome da tabela que cont m o chain que desejamos excluir chain Nome do chain que desejamos apa
426. le de algumas opera es pelo chipset livrando a CPU para processamento 0 desativa DMA e 1 ativa Note que nem todos os chipsets aceitam esta opera o Esta usada em conjunto com a op o X oferece um excelente ganho de performance pelo uso correto de sua controladora A ativa o de dma tamb m pode ser feita automaticamente na recompila o do kernel ou especificando o par metro ideX dma x o n mero da controladora IDE na linha de comando de boot ou no arquivo etc lilo conf xfermode Modificado pela op o X num Permite selecionar o melhor modo de transfer ncia de dados do seu disco r gido nesta parte onde voc seleciona o modo UltraDMA para transfer ncia de dados caso seu HD CD ROM suporte Os seguintes valores s o v lidos 32 PIO Mode 33 PIO Mode 34 PIO Mode 35 PIO Mode 36 PIO Mode 64 Ultra DMA Mode 65 Ultra DMA Mode 66 Ultra DMA Mode 67 Ultra DMA Mode 68 Ultra DMA Mode 69 Ultra DMA Mode 70 Ultra DMA Mode BB wNHO SS Gr w N Ae Para descobrir os modos PIO e UltraDMA do seu HD utilize o comando hdparm I dev hd N O UTILIZE UM MODO PIO ULTRA DMA N O SUPORTADO PELA SUA CONTROLADORA CASO SUA PLACA CONTROLADORA DO HD SUPORTE UM MODO ALTO PIO ULTRADMA MAS SUA CONTROLADORA IDE N O SUPORTA VOC DEVER UTILIZAR O VALOR MAIS ADEQUADO PARA AMBAS FA A TESTES SEMPRE QUE ALTERAR O MODO DE FUNCIONAMENTO E ESTEJA ATENTO A MENSAGENS DE ERROS PARA QUE N O TENHA P
427. line do programa 1 lista m dulos compilados junto com o Apache embutidos L lista diretivas de configura es dispon veis s Mostra configura es de Virtual Hosting t executa a checagem de sintaxe nos arquivos de configura o do Apache incluindo a checagem da diretiva DocRooti e T executa a checagem de sintaxe nos arquivos de configura o do Apache menos da diretiva DocRooti 12 2 Configurando a porta padr o do Apache Use a diretiva Port para configurar a porta padr o que o Apache receber requisi es por padr o A diretiva Listen tamb m usada para ajustar o endere o portas alternativas usadas tamb m em virtual Hosts e substituir as defini es de Pori vejalEspecificando endere os portas adicionais a diretiva Listen Se o 12 5 para detalhes OBS Somente uma diretiva Port e um argumento poder o ser especificados Para mais controle sobre as portas do sistema use a diretiva Listen 168 12 3 Adicionando uma p gina no Apache Existem dois tipos de p ginas que podem ser adicionadas ao Apache a p gina ra z e sub p ginas P gina Ra z A p gina ra z especificada atrav s da diretiva DocumentRoot e ser mostrada quando se entrar no dom nio principal como http www guiafoca org Na configura o padr o do Apache DocumentRoot aponta para o diret rio var www Este diret rio ser assumido como ra z caso os diret rios n o sejam iniciados por uma home focalinux
428. lista de usu rios autorizados a usar o servi o pops e etc popper deny Cont m uma lista de usu rios N O autorizados a usar o servi o pop3 e etc pop auth Cont m dados de autentica o criados pelo programa popauth 16 1 5 Requerimentos de Hardware O servidor qpopper requer no m nimo 6MB de mem ria para rodar e espa o em disco suficiente para acomodar os e mails de usu rios 16 1 6 Arquivos de log criados pelo qpopper Mensagens sobre a execu o do qpopper s o enviadas aos seguintes arquivos em var log mail info Detalhes sobre autentica o de usu rios e mensagens mail warn Erros e avisos diversos ocorridos na se o pop3 syslog daemon log Mensagens sobre a execu o do servidor qpopper auth log Mensagens de autentica o gerados pelo PAM 16 1 7 Instala o apt get install qgpopper Por padr o o servidor qpopper instalado via inetd pop 3 stream tcp nowait 60 root usr sbin tcpd usr sbin in qpopper s Se estiver configurando um servidor pop3 com um grande n mero de conex es recomend vel aumentar o n mero de execu es do servi o pop3 por minuto no inetd conf ou rodar o servidor apopper como daemon preferido Para fazer isto remova a linha que inicia o qpopper no inetd conf e construa um script que inicie o servi o como daemon usando a op o S veja outras op es em Op es de linha de comando Se o 16 1 10 246 16 1 8 Iniciando o servidor reiniciando recarrega
429. logado no sistema como um usu rio UNIX normal exceto se estiver fazendo mapeamento para outros nomes de usu rios veja Mapeamento de nomes de usu rios Se o 18 12 16 Ex path pub Compartilha o diret rio local pub OBS Quando n o definido um path o diret rio tmp usado como padr o comment Descri o do compartilhamento que ser mostrada na janela de procura de rede ou no smbclient L maquina Ex comment Pasta de conte do p blico do sistema browseable Define se o compartilhamento ser ou n o exibido na janela de procura de rede Mesmo n o sendo exibido o compartilhamento poder ser acessado Veja Criando um compartilhamento invis vel Se o 18 12 12 para uma explica o mais detalhada 289 Ex browseable yes Lista o compartilhamento na janela de pesquisa de servidores guest account Conta que ser usada para fazer acesso sem senha convidado quando o par metro guest ok ou public forem usados em um compartilhamento Por padr o ela mapeada para o usu rio nobody importante especificar uma nome de usu rio guest convidado principalmente porque seu UID ser usado para fazer v rias opera es no SAMBA como exibir os recursos dispon veis na m quina para a rede Por motivos claros recomend vel que este usu rio n o tenha acesso login ao sistema Caso n o tenha a inten o de ocultar o SAMBA na lista de m quinas da rede fazendo apenas acesso direto aos recursos especifiqu
430. logs por exemplo para obter todas as mensagens do daemon kernel da esta o de trabalho wrk1 eliminando os campos wrk1 e kernel cat var log grep wrkl grep kernel awk print 1 2 3 6 7 8 9 10 11 12 Os par metros 1 2 do comando awk indica que campos ser o listados omitimos 4 e 5 que s o respectivamente wrk1 e kernel Um bom utilit rio para monitora o de logs est documentado em logcheck Se o 6 4 1 6 2 Daemons de log do sistema Os daemons de log do sistema registram as mensagens de sa da do kernel klogd e sistema syslogd nos arquivos em var log A classifica o de qual arquivo em var 1og receber qual tipo de mensagem controlado pelo arquivo de configura o etc syslog conf atrav s de facilidades e n veis veja syslog conf Se o 6 2 1 1 para detalhes 6 2 1 syslogd Este daemon controla o registro de logs do sistema syslogd op es op es Especifica um arquivo de configura o alternativo ao etc syslog conf h Permite redirecionar mensagens recebidas a outros servidores de logs especificados computadores Especifica um ou mais computadores separados por que dever o ser registrados somente com o nome de m quina ao inv s do FQDN nome completo incluindo dom nio m minutos Intervalo em minutos que o syslog mostrar a mensagem MARK O valor padr o padr o 20 minutos O desativa Evita que o processo caia automaticamente em
431. lt N h e 15 1 4 Caracter sticas e 15 1 5 Ficha t cnica e 15 1 6 Requerimentos de Hardware e 15 1 7 Arquivos de log criados pelo servidor ssh e 15 1 8 Instala o do servidor openSSH e 15 1 9 Iniciando o servidor reiniciando recarregando a configura o e 15 1 10 Op es de linha de comando o e 15 2 1 ssh O o 15 2 1 2 Cliente ssh para Windows 5 2 2 scp o 15 2 2 1 Cliente scp para Windows 5 2 3 sftp 3 Servidor ssh 5 3 1 ssh 5 3 2 Controle de acesso 5 3 3 Usando autentica o RSA DSA chave p blica privada 5 3 4 Execu o de comandos espec ficos usando chaves 5 3 5 Criando um gateway ssh 5 3 6 Criando um tunel prox 5 3 7 Diferen as nas vers es do protocolo 5 3 8 Exemplo de sshd_config com explica es das diretivas 6 Servidor pop3 O e 16 1 1 Vers o e 16 1 2 Contribuindo e 16 1 3 Caracter sticas e 16 1 4 Ficha t cnica e 16 1 5 Requerimentos de Hardware e 16 1 6 Arquivos de log criados pelo qpoppe e 16 1 7 Instala o o o o o o o pry e e o ji Q ra A Eq D 5 6 1 8 Iniciando o servidor reiniciando recarregando a configura o 6 1 9 Teste de acesso no pop3 6 1 10 Op es de linha de comand 6 1 11 Enviando boletins de mensagens 6 1 12 Especificando quotas para as caixas de correio 6 1 13 Restringindo acesso ao servidor pop3 Eq O ntrodu o ao CVS 7 1 1 Vers o 7 1 2 Hist ria 7 1 3 Contribuindo com o CV 7 1 4
432. ltrapassado Atualmente em 10868 O quota Limite suave soft de n mero de arquivos na parti o que o usu rio grupo possui Atualmente ilimitado O limit Limite m ximo hard de n mero de arquivos na parti o que o usu rio grupo possui Atualmente ilimitado O grace Toler ncia antes que o limite soft passe a valer como hard para o n mero de arquivos ultrapassados Como n o existe quota para n mero de arquivos n o existe toler ncia A toler ncia resetada aos valores padr es quando o valor soft volta a ficar abaixo da quota A quota de outros usu rios grupos podem ser visualizadas especificando as op es u padr o e g na linha de comando respectivamente A op o v permite visualizar quotas em sistemas de arquivos n o alocados e q mostra somente uma mensagem dizendo se o usu rio est ou n o dentro de sua quota quota u usuario quota uq usuario quota g users Por motivos de seguran a voc n o poder visualizar as quotas de outros usu rios e grupos que n o pertence exceto para o usu rio root 362 19 12 5 Verificando a quota de todos os usu rios grupos do sistema Quando precisamos verificar o uso de quotas de todos os usu rios grupos do sistema o quota se torna inc modo e pouco pr tico O comando repquota lista est dispon vel ao administrador para facilitar esta tarefa Sua listagem organizada por parti es listando dados adicionais como grace time e aceita as mesmas op es dos
433. m Package pacote Severity normal grave wishlist Version vers o do pacote E o relato do problema O bug ser encaminhado diretamente ao mantenedor do pacote que verificar o problema relatado Os campos Package Severity s o obrigat rios para definir o nome do pacote para endere ar o bug para a pessoa correta e vers o do pacote esta falha pode ter sido relatada e corrigida em uma nova vers o 7 7 Onde encontrar a Debian para Download No endere o Outros endere os podem ser obtidos na p gina oficial da Debian http www debian org clicando no link Download e mirrors A distribui o Woody 3 0 completa com 8710 pacotes ocupa em torno de 3 0 GB equivalente a 6 CDS de pacotes e mais 3 se quiser o c digo fonte Voc tamb m pode optar por fazer a instala o dos pacotes opcionais via Internet atrav s do m todo apt Para detalhes veja o guia do dselect ou envie uma mensagem para a lista de discuss o debian user portugueseQlists debian org Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux Personaliza o do Sistema Guia Foca GNU Linux Cap tulo 8 Personaliza o do Sistema Este cap tulo ensina como personalizar algumas caracter sticas de seu sistema GNU Linux 8 1 Vari veis de Ambientes um m todo simples e pr tico que permite a especifica o de op es de configura o de programas sem precisa
434. m nios URLs separados por espa os O Apache far a resolu o DNS no caso de endere os IP e far o cache para requisi es futuras NoProxy endere os Permite especificar endere os Internos que n o ser o redirecionados para o servidor proxy especificado por ProxyRemote Podem ser usados nomes de m quinas endere os IP subredes ou dom nios separados por espa os Proxy Domain endere o Especifica o endere o que ser adicionado a URL caso seja recebida uma requisi o que contenha somente um nome de m quina til em redes Internas Note que quando o suporte a proxy n o est ativado no Apache qualquer endere o de URL externa levar a p gina definida pela diretiva DocumentRoot Isto deixar de funcionar ap s configurar o servi o de proxy 195 O uso do cache interessante para acelerar as requisi es http da rede interna para a rede externa desta forma se uma requisi o foi feita anteriormente ser descarregado o arquivo do disco r gido e assim evitar uma nova conex o externa isto libera a rede para outras coisas Para configurar um cache no servi o proxy adicione as seguintes linhas no final do bloco anterior de proxy As linhas abaixo ativam o cache do apache o cache n o funcionar ao menos que CacheRoot seja especificado CacheRoot var spool apache CacheForceCompletion 70 CacheSize 5 CacheGcInterval 3 CacheDefaultExpire 5 CacheMaxExpire 300 NoCache 192 168 1 0 24 a domain com ou
435. m quina que fez o NAT Se estiver fazendo SNAT em um endere o livre em sua rede como 200 200 217 73 OBS3 Como notou acima o SNAT usado quando temos uma conex o externa com um ou mais IP s fixos O Masquerading uma forma especial de SNAT usada para funcionar em conex es que recebem endere os IP aleat rios PPP OBS4 N o se esque a de habilitar o redirecionamento de pacotes ap s fazer suas regra de NAT com o comando echo 1 gt proc sys net ipv4 ip forward caso contr rio o redirecionamento de pacotes n o funcionar 10 4 3 1 Fazendo IP Masquerading O IP Masquerading um tipo especial de SNAT usado para conectar a sua rede interna a internet quando voc recebe um IP din mico de seu provedor como em conex es ppp Todas as opera es de IP Masquerading s o realizadas no chain POSTROUTING Se voc tem um IP fixo deve lerlFazendo SNAT Se o 10 4 3 Para fazer IP Masquerading de uma m quina com o IP 192 168 1 2 para ter acesso a Internet use o comando iptables t nat A POSTROUTING s 192 168 1 2 32 o ppp0 j MASQUERADE A diferen a que o alvo MASQUERADE O comando acima faz IP Masquerading de todo o tr fego de 192 168 1 2 indo para a interface ppp0 O endere o IP dos pacotes vindos de 192 168 1 2 s o substitu dos pelo IP oferecido pelo seu provedor de acesso no momento da conex o quando a resposta retornada a opera o inversa realizada para garantir que a resposta chegue
436. m todo de acesso lhe permite especificar um programa externo que ser usado para fazer uma conex o remota com o servidor cvs Este programa definido na vari vel CVS RSHe caso n o ela seja especificada o padr o rsh Este m todo requer que o usu rio possua um login senha no banco de dados de autentica o etc passwd do servidor de destino Suas permiss es de acesso ao CVS leitura grava o ser o as mesmas definidas neste arquivo O uso do acesso criptografado via ssh poss vel definindo o programa ssh na vari vel CVS ASH Veja os exemplos a seguir em Configurando o m todo ext Se o 17 2 3 1 Para criar seu reposit rio veja Criando um reposit rio Se o 17 3 2 255 17 2 3 1 Configurando o m todo ext Defina a vari vel CVSROOT da seguinte forma para utilizar este m todo de acesso assumindo var 1ib cvs como reposit rio export CVSROOT ext contafservidor org br var lib cvs cvs login A conta uma conta de usu rio existente no servidor remoto por exemplo gleydson seguido do nome do servidor remoto separado por uma Por exemplo para acessar o servidor cvs cipsga org br usando a conta michelle export CVSROOT ext michellefcvs cipsga org br var lib cvs cvs checkout OBS A senha via m todo de acesso ext ser pedida somente uma vez quando for necess rio o primeiro acesso ao servidor remoto Veja os detalhes de utiliza o dos comandos de CVS ap s o login na se o Clientes de CVS Se
437. m ximo suportado pela m quina O padr o em sistemas padr o IBM PC de 3 p1ipo plip1 plip2 Para desativar uma rede plip utilize o comando ifconfig plip0 down remova o m dulo plip rmmod plip Ap s isto a porta paralela ser liberada para uso por outros aplicativos 5 3 1 Construindo um cabo LapLink Paralelo Se voc tem experi ncia com eletr nica poder construir seu pr prio cabo LapLink Paralelo para fazer os testes desta se o Os materiais necess rios s o e 2 Conectores DB25 macho e 2 Capas para os conectores acima e Fio para liga o dos conectores 15 liga es No meu caso utilizei 2 metros de um rolo de cabo SCSI de 50 vias para fazer as liga es que uma boa alternativa para manter o cabo bonito e os fios juntos Este o conector macho DB25 a tomada que liga no computador visto por tr s minha namorada j disse que n o sou bom em arte ASCII Bom n o custa tentar de novo A figura acima mostra a posi o dos pinos como refer ncia para a soldagem dos terminais A tabela abaixo mostra a liga o dos fios nos cabos das 2 pontas do cabo Ponta 1 Ponta 2 HOOUwaswNnNH N HH 80 12 4 13 3 14 14 15 2 16 16 17 17 25 25 5 4 Conectando dois computadores usando a porta serial Este m todo permite criar uma rede ponto a ponto usando a porta serial da m quina que funcionar de forma semelhante a mostrada em Conectando dois computadores us
438. m com new ls teste new que lista todos os arquivos que come am com teste contenham qualquer caracter na posi o do coringa e terminem com new 3 Is teste 4 5 que lista todos os arquivos que come am com teste contenham n meros de 4 e 5 naquela posi o e terminem com qualquer extens o Existem muitas outras formas de se fazer a mesma coisa isto depende do gosto de cada um O que pretendi fazer aqui foi mostrar como especificar mais de um arquivo de uma s vez O uso de curingas ser til ao copiar arquivos apagar mover renomear e nas mais diversas partes do sistema Alias esta uma caracter stica do GNU Linux permitir que a mesma coisa possa ser feita com liberdade de v rias maneiras diferentes 23 Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsonfguiafoca org Guia Foca GNU Linux Hardware Guia Foca GNU Linux Cap tulo 3 Hardware Hardware tudo que diz respeito a parte f sica do computador Nesta se o ser o abordados assuntos relacionados com a configura o de hardwares escolha de bons hardwares dispositivos for Windows etc 3 1 Placa de expans o um circuito eletr nico encaixado na placa m e que tem por objetivo adicionar novas funcionalidades ao computador Esta placa pode ser uma e placa de som para fazer o computador emitir sons m sicas ligar um joystick etc e fax modem para enviar receber fax conectar se a internet B
439. m do Linux Linpopup para a troca de mensagens com esta es Windows via NetBios Com a flexibilidade do samba poss vel at redirecionar a mensagem recebida via e mail ou pager Possui suporte completo a servidor WINS tamb m chamado de NBNS NetBios Name Service de rede A configura o bastante f cil Faz auditoria tanto dos acessos a pesquisa de nomes na rede como acesso a compartilhamentos Entre os detalhes salvos est o a data de acesso IP de origem etc Suporte completo a controlador de dom nio Windows PDC Suporte quase completo a backup do controlador de dom nio BDC At a vers o 2 2 do samba O suporte a BDC parcial Este c digo provavelmente estar est vel at a vers o 3 0 Permite montar unidades mapeadas de sistemas Windows ou outros servidores Linux como um diret rio no Linux Permite a configura o de recursos simples atrav s de programas de configura o gr ficos tanto via sistema como via web Permite executar comandos no acesso ao compartilhamento ou quando o acesso ao compartilhamento finalizado Com um pouco de conhecimento e habilidade de administra o de sistemas Linux poss vel criar ambientes de auditoria e monitora o at monitora o de acesso a compartilhamento em tempo real Entre outras possibilidades 18 1 5 Ficha t cnica Pacote samba Outros utilit rios importantes para a opera o do clientes samba smbclient Ferramenta para navega o e gerenciamen
440. maior prioridade recomendado para tr fego interativo 137 10 5 1 1 Especificando o TOS para tr fego de sa da Este o mais usado pois prioriza o tr fego que sai da m quina com destino a Internet por exemplo Sua opera o realizada atrav s do chain OUTPUT ou POSTROUTING Para priorizar todo o tr fego de IRC de nossa rede interna indo para a interface ppp0O iptables t mangle A OUTPUT o ppp0 p tcp dport 6666 6668 j TOS set tos 16 O bit TOS ajustado para Espera m nima e ser enviado antes dos pacotes com prioridade normal para fora Para priorizar a transmiss o de dados ftp saindo da rede iptables t mangle A OUTPUT o ppp0 p tcp dport 20 j TOS set tos 8 Para priorizar o tr fego de ICQ da rede iptables t mangle A OUTPUT o ppp0 p tcp dport 5190 j TOS set tos 16 Existem muitas outras otimiza es que podem ser feitas s depende dos requerimentos e an lise de cada servi o da rede pelo administrador OBS Os pacotes que atravessam o alvo TOS somente tem os bits tipo do servi o modificados eles n o ser o de qualquer forma rejeitados 10 5 1 2 Especificando o TOS para o tr fego de entrada Este prioriza o tr fego que entra da m quina Sua opera o realizada no chain INPUT ou PREROUTING N o faz muito sentido o uso deste chain dentro de uma rede pequena m dia pois o tr fego que recebermos ser priorizado pelo chain de sa da de outras m quinas da internet outras redes ant
441. mando 258 adduser disabled password disabled login usuario necess rio especificar um diret rio home do usu rio pois o servidor cvs precisa ter acesso ao arquivo nome do cvs cvsignore OBS1 Mais uma vez Leve sempre em conta a forma que os outros servi os em sua m quina est o configurados como eles fazem acesso permiss es de acesso diret rios onde gravam arquivos s o algumas delas antes de escolher como um servi o novo na m quina funcionar Isto poder modificar ou deixar vulner vel a seguran a de sua instala o OBS2 Permita que os usu rios somente tenham acesso a m quina via CVS OBS3 Certifique se sempre que o dono grupo do reposit rio seja root src ou outro grupo que tenha criado adicione somente usu rios de confian a no grupo src para criar novos projetos Exemplos gleydsonm K32dk1234k cvsuser anonymous pooruser O usu rio cvs gleydsonm quando logar no cvs ter as permiss es de acesso do usu rio cvsuser do sistema OBS 1 Certifique se que o usu rio local possui permiss es de grava o no diret rio do CVS caso contr rio ele n o poder fazer commits Lembre se que as permiss es de leitura grava o do usu rio ser o controladas atrav s de arquivos do pr prio pserver mas tamb m necess ria a permiss o de grava o do usu rio no reposit rio Isto poder ser feito atrav s de grupos de sistema e garante uma dupla camada de seguran a OBS2 Caso tenha pref
442. mas que usam o modem pois eles est o usando dev modem que est apontando para a localiza o correta Isto muito til para um bom gerenciamento do sistema Abaixo uma tabela com o nome do dispositivo no GNU Linux portas I O IRQ DMA e nome do dispositivo no DOS os nomes de dispositivos est o localizados no diret rio dev Dispos Dispos Linux DOS IRQ DMA I O ttysSO Comi 4 0x3F8 ttysS1 COM2 3 0x2F8 ttysS2 COM3 4 0x3E8 ttysS3 COM4 3 s 0x2E8 1p0 LPT1 7 3 ECP 0x378 lp1 LPT2 5 3 ECP 0x278 dev hdal C 14 0x1F0 0x3F6 dev hda D 14 0x1F0 0x3F6 dev hdbl D 15 0x170 0x376 A designa o de letras de unidade do DOS n o padr o como no GNU Linux e depende da exist ncia de outras unidades f sicas l gicas no computador 3 3 Configura o de Hardware A configura o consiste em ajustar as op es de funcionamento dos dispositivos perif ricos para comunica o com a placa m e Um sistema bem configurado consiste em cada dispositivo funcionando com suas portas I O IRQ DMA bem definidas n o existindo conflitos com outros dispositivos Isto tamb m permitir a adi o de novos dispositivos ao sistema sem problemas importante conhecer bem a configura o dos dispositivos do sistema para saber identificar e corrigir poss veis problemas de conflitos e o que deve ser modificado caso seja necess rio Os par metros usados para configurar dispositivos de hardware s o a
443. materiais para que a pessoa se torne um expert no assunto mas cont m as refer ncias para documenta es mais espec ficas sobre determinadas reas do sistema Este guia n o cobre a instala o do sistema Para detalhes sobre instala o consulte a documenta o que acompanha sua distribui o GNU Linux 1 3 O Linux O Linux um sistema operacional criado em 1991 por Linus Torvalds na universidade de Helsinki na Finl ndia um sistema Operacional de c digo aberto distribu do gratuitamente pela Internet Seu c digo fonte liberado como Free Software software livre o aviso de copyright do kernel feito por Linus descreve detalhadamente isto e mesmo ele n o pode fechar o sistema para que seja usado apenas comercialmente Isto quer dizer que voc n o precisa pagar nada para usar o Linux e n o crime fazer c pias para instalar em outros computadores n s inclusive incentivamos voc a fazer isto Ser um sistema de c digo aberto pode explicar a performance estabilidade e velocidade em que novos recursos s o adicionados ao sistema Para rodar O Linux voc precisa no m nimo de um computador 386 SX com 2 MB de mem ria para um kernel at a s rie 2 2 x ou 4MB para kernels 2 4 e superiores e 40MB dispon veis em seu disco r gido para uma instala o b sica e funcional O sistema segue o padr o POSIX que o mesmo usado por sistemas UNIX e suas variantes Assim aprendendo o Linux voc n o encontrar muita d
444. mb m enviada atrav s do gateway para seu computador o caso de uma t pica conex o com a Internet 59 A nossa configura o ficaria assim route add net 192 168 1 0 eth0 route add default gw 192 168 1 1 eth0 Para mais detalhes veja a p gina de manual do route ou o NET3 4 HOWTO 4 6 Resolvedor de nomes DNS DNS significa Domain Name System sistema de nomes de dom nio O DNS converte os nomes de m quinas para endere os IPs que todas as m quinas da Internet possuem Ele faz o mapeamento do nome para o endere o e do endere o para o nome e algumas outras coisas Um mapeamento simplesmente uma associa o entre duas coisas neste caso um nome de computador como www cipsga org br e o endere o IP desta m quina ou endere os como 200 245 157 9 O DNS foi criado com o objetivo de tornar as coisas mais f ceis para o usu rio permitindo assim a identifica o de computadores na Internet ou redes locais atrav s de nomes como se tiv ssemos apenas que decorar o nome da pessoa ao inv s de um n mero de telefone A parte respons vel por traduzir os nomes como www nome com br em um endere o IP chamada de resolvedor de nomes O resolvedor de nomes pode ser um banco de dados local controlador por um arquivo ou programa que converte automaticamente os nomes em endere os IP ou atrav s de servidores DNS que fazem a busca em um banco de dados na Internet e retornam o endere o IP do computador desejado Um
445. meiros comandos agendam o diret rio teste e fazem o commit no diret rio remoto Os dois ltimos enviam os arquivos existentes dentro deste diret rio para o servidor remoto 17 3 11 Removendo um arquivo do m dulo CVS remoto O comando para fazer isto o remove Primeiro use o rm para remover o arquivo diret rio de sua c pia local depois execute o remove seguido de commit para confirmar a remo o do arquivo cvs remove main h cvs commit main h 17 3 12 Removendo um diret rio do m dulo CVS remoto Para remover um diret rio primeiro remova todos os arquivos existentes dentro dele com o comando rm e salve para o servidor seguindo os m todos descritos em Removendo um arquivo do m dulo CVS remoto Se o 17 3 11 O CVS n o remove diretamente diret rios vazios uma maneira de contornar isto usar O update ou commit seguido da op o P para ignorar diret rios vazios Ent o a c pia remota do diret rio ser removida do servidor 264 rm f teste cvs remove teste cvs commit teste CA ua cvs checkout modulo Depois do checkout o subdiret rio teste ter sido removido 17 3 13 Dizendo que o m dulo atual n o est mais em uso O comando release faz esta fun o Ele n o requerido mas caso voc tenha feito modifica es que ainda n o foram salvas no servidor de cvs commit ele alertar de arquivos modificados e perguntar se deseja continuar Registrando tamb m o abandono das modifica
446. melhante ao comando cima com a diferen a que o par metro N n o pergunta por uma senha Isto ideal para acessar compartilhamentos an nimos smbmount servidor discoc mnt discoc o username gleydson workgroup teste Semelhante aos anteriores mas acessa o compartilhamento usando gleydson como nome de usu rio e teste como grupo de trabalho Este m todo ideal para redes que tem o n vel de acesso por usu rio ou para acessar recursos compartilhados em um dom nio 18 14 2 9 2 smbclient O smbclient uma ferramenta de navega o em servidores SAMBA Ao inv s dela montar o compartilhamento como um disco local voc poder navegar na estrutura do servidor de forma semelhante a um cliente FTP e executar comandos como 1s get put para fazer a transfer ncia de arquivos entre a m quina remota e a m quina local Tamb m atrav s dele que feita a interface com impressoras compartilhadas remotamente Veja exemplos do uso do smbclient smbclient L samba Lista todos os compartilhamentos existentes L no servidor sambal smbclient samba1 discoc Acessa o conte do do compartilhamento di scoc no servidor sambal smbclient samba1 discoc N Id ntico ao acima mas n o utiliza senha ideal para compartilhamentos com acesso an nimo smbclient samba1 discoc I 192 168 1 2 Se conecta ao compartilhamento usando o endere o IP 192 168 1 2 ao inv s da resolu o de nomes smbclient samba1 discoc U gleydson W teste Se conecta ao com
447. mesma forma como o ftp Veja a observa o emi Configurando o m todo ext Se o 17 2 3 1 257 OBS2 A desvantagem do m todo pserver padr o que a se o feita em texto plano desta forma alguns cuidados podem ser tomados para tornar o sistema um pouco mais seguro Um deles dar bin false como shell de usu rio para desativar o login no sistema ou usar o m todo de acesso descrito em em combina o com este Tenha conciencia das influ ncias disso se a m quina for usada para outras tarefas como um servidor pop3 por exemplo 17 2 5 3 Servidor pserver com autentica o pr pria Esta forma de acesso armazena os usu rios em um banco de dados pr prio n o requerendo a cria o de contas locais no arquivo etc passwd Para criar um servidor deste tipo siga os seguintes procedimentos 1 Exporte a vari vel CVSROOT apontando para o reposit rio que deseja configurar o acesso Como isto uma configura o administrativa assumo o m todo de acesso local sendo usada pelo usu rio administrador do servidor export CVSROOT var lib cvs 2 Crie um diret rio para trabalhar nos arquivos administrativos do reposit rio mkdir tmp repos Entre no diret rio criado acima e execute o comando cvs checkout 4 Quando terminar de baixar os arquivos entre no subdiret rio CVSROOT os arquivos de configura o do reposit rio se encontram l para detalhes sobre cada um destes arquivos veja Arquivos 5 Edite o arquivo config e
448. mim tudo bem e Vitima Humm modifiquei para cad1234 basta voc usa la e ter acesso ao sistema Ap s isso execute o utilit rio passwd para troca la para algo que desejar e Cracker Ok muito obrigado Tenha um bom dia Este um exemplo simples de ataque por engenharia social Dependendo do objetivo este tipo de ataque pode levar semanas e as vezes requer contatos com diversas empresas criando diversas situa es para obter detalhes necess rios para atingir o objetivo As pol ticas de seguran a de senhas minimizam riscos deste tipo Como este um caso que o requisitante um funcion rio pr ximo do departamento de inform tica o mais adequado seria o administrador se deslocar ao setor ou enviar um t cnico do setor treinado para tal situa o para saber se quem diz ser quem est realmente no local enfrentando aquela situa o O contato com o respons vel do setor conhecido do t cnico tamb m pode ser uma alternativa antes de entregar uma senha a um desconhecido Para casos externos principalmente para empresas que mant m determinados servi os em funcionamento em nosso servidor como servidores de p ginas o procedimento correto seria passar uma nova senha por e mail de prefer ncia criptografado com pgp ao inv s de telefone Isto garantir que a senha n o caia nas m os erradas OBS1 Qualquer detalhe sobre a pol tica de cria o de senhas trocas de senhas etc poder ter muito valor para um cracker o
449. mo a senha Sua aten o muito importante para evitar este tipo de ataque caso desconfie de algo errado entra no sistema e d um find type f cmin 3 para localizar os arquivos modificados nos ltimos 3 minutos e localizar poss veis bancos de dados de senhas Outra alternativa realmente digitar uma senha inv lida intencionalmente e diferente da correta e na segunda tentativa lan ar a senha v lida normalmente sistemas deste tipo bem elaborados chamam o verdadeiro sistema de login na segunda tentativa 11 4 Melhorando a seguran a das senhas armazenadas em seu sistema 162 11 4 1 Shadow Passwords Senhas Ocultas shadow passwords aumentam consideravelmente a senha do seu sistema pois as senhas ser o armazenadas em um arquivo separado etc shadow para senhas de usu rios e etc gshadow para senhas de grupos Estes dois arquivos poder o ser acessados somente pelo usu rio root O armazenamento de senhas no arquivo etc passwde etc groups n o seguro estes arquivos devem ser lidos por todos os usu rios porque muitos programas mapeiam a UID do usu rio com seu nome e vice versa O utilit rio snadowconfig usado para ativar desativar o suporte a senhas ocultas de usu rios e grupos em seu sistema Adicionalmente os utilit rios pwconv grpconv podem ser usados separadamente para ativar o suporte a senhas ocultas de usu rios grupos e pwunconv grpunconv para desativar este suporte ATEN O Caso voc inclua
450. mo utiliza los de maneira eficiente 261 OBS O uso da vari vel CVSROOT torna a utiliza o bastante pr tica assim n o precisamos especificar o reposit rio m todo de acesso etc toda vez que usar um comando do cvs 17 3 4 Encerrando uma se o de CVS Embora que n o seja necess rio ap s o uso do cvs recomend vel executar o logout do servidor para encerrar sua conex o com a m quina remota assumindo que a vari vel CVSROOT est definida cvs logout ou cvs d pserver anonymousfservidor org br var lib cvs logout OBS Para os paran icos importante encerrar uma se o de CVS pois ele possui alguns bugs e um spoofing pode tornar poss vel o uso de uma se o deixada aberta 17 3 5 Baixando arquivos O comando checkout ou co usado para fazer isto Para utiliz lo seguindo os exemplos anteriores mkdir tmp cvs cd tmp cvs cvs checkout modulo cvs d pserver anonymousfservidor org br var lib cvs Ser criado um subdiret rio chamado modulo que cont m todos os arquivos do servidor de CVS remoto necess rio apenas que tenha acesso de leitura ao servidor de CVS para executar este comando Voc pode usar a op o z num para ativar a compacta o na transfer ncia dos arquivos isso acelera bastante a transfer ncia em conex es lentas cvs z 3 checkout modulo Tamb m poss vel especificar apenas subdiret rios de um m dulo para baixa lo via CVS e a estrutura de diret rios criada
451. mpartilhamento possui acesso p blico somente leitura e utiliza o usu rio guest para disponibiliza o de seus Como deve ter percebido necess rio especificar esta ID de usu rio atrav s do par metro guest account Descri o de par metros usados em compartilhamento Se o 18 3 1 ou a navega o de recursos no sistema ou na rede dependendo da configura o do SAMBA n o funcionar OBS A fun o de navega o browsing poder n o funcionar corretamente caso a m quina n o consiga resolver nomes NetBIOS para endere os IP 18 2 7 Arquivo de configura o do samba Toda a configura o relacionada com nomes grupo de trabalho tipo de servidor log compartilhamento de arquivos e impress o do samba colocada no arquivo de configura o etc samba smb conf Este arquivo dividido em se es e par metros Uma se o no arquivo de configura o do samba smb conf definido por um nome entre As se es tem o objetivo de organizar os par metros pra que tenham efeito somente em algumas configura es de compartilhamento do servidor exceto os da se o global que n o especificam compartilhamentos mas suas diretivas podem ser v lidas para todas os compartilhamentos do arquivo de configura o Alguns nomes de se es foram reservados para configura es espec ficas do samba eles s o os seguintes global Define configura es que afetam o servidor samba como um todo fazendo efei
452. mpatem o desempate feito usando outros crit rios Se voc for a nica m quina de um workgroup automaticamente voc ser o Local Master Browser De meia em meia hora uma nova elei o feita for ando mais tr fego broadcasting na rede Durante este novo processo de elei o a lista de computadores atualizada as novas m quinas s o adicionadas e as desligadas saem da lista ap s 36 minutos Este o motivo porque as m quinas Windows continuam aparecendo no ambiente de rede por algum tempo mesmo depois que desligadas ou porque elas n o aparecem de imediato 286 O OS Level um n mero que caracter stico de cada sistema operacional ficando entre O mais baixo e 255 Os n veis de acessos dos sistemas operacionais s o os seguintes Windows for Workgroups 1 Windows 95 1 Windows 98 2 Windows 98 Second Edition 2 Windows 2000 Server standalone 16 Windows 2000 Professional 16 Windows NT 4 0 Wks 17 Windows NT 3 51 Wks 16 Windows NT 3 51 Server 32 Windows NT 4 0 Server 33 Windows 2000 Server Domain Controller 32 SAMBA 32 O valor padr o do OS Level do SAMBA 32 entretanto ele bastante flex vel para permitir sua mudan a atrav s do par metro os level veja Navega o no servidor tipo de servidor Se o 18 2 8 6 isto garante que o SAMBA sempre ven a as elei es da rede sobre qualquer outro sistema operacional No caso de um servidor que estiver configurado para ser o navegador de rede as
453. mude a vari vel SystemAuth para no Isto diz ao servidor pserver n o usar os arquivos de autentica o do sistema mas a inv s disso usar seu banco de dados pr prio w Em algumas instala es caso exista o arquivo passwd no reposit rio o pserver automaticamente o utiliza ao inv s do etc passwa 6 Crie um arquivo passwd no diret rio CVSROOT o formato deste arquivo usuario senha usuario local Onde usuario Nome da conta de usu rio que far acesso ao CVS senha Senha que ser usada pelo usu rio Ela dever ser criptografada usando o algoritmo crypt O comando mkpasswd senha pode ser usado para gerar a senha criptografada Caso este campo seja deixado em branco nenhuma senha de usu rio ser utilizada O utilit rio mxpasswd est presente no pacote whois na Debian usuario local Usu rio local que ter suas permiss es mapeadas ao usu rio do CVS Como a conta de usu rio do cvs n o existe no sistema necess rio que o sistema tenha uma maneira de saber que n vel de acesso este usu rio ter Caso n o crie este usu rio ou ele seja inv lido voc ter erros do tipo no such user no momento que fizer o cvs login Uma forma segura de se fazer isto criar uma conta de usu rio somente com acesso aos arquivos do CVS sem shell e senha Isto permitir mapear a UID GID do usu rio criado com o acesso do CVS sem comprometer a seguran a do sistema de arquivos Isto pode ser feito atrav s do seguinte co
454. nal do arquivo httpd conf para configurar um servidor proxy para realizar conex es diretas sem o uso de cache e permitir o uso de servidores proxy em sua rede Suporte a Proxy lt IfModule mod_proxy c gt ProxyRequests off ProxyRemote http debian 3128 ProxyBlock microsoft com microsoft com br NoProxy 192 168 1 0 24 ProxyDomain gms com br Ativa Desativa a manipula o de cabe alhos HTTP 1 1 Via Full adiciona a vers o do servidor Apache Block remove todos os cabe alhos de sa da Via Escolha uma das op es Off On Full Block ProxyVia On lt IfModule gt Segue a explica o de cada uma das diretivas acima ProxyRequests on off Ativa on ou Desativa off o servi o de proxy do servidor Apache Note que o m dulo l1ibproxy so deve estar carregado para que o bloco lt lfModule libproxy c gt seja processado A desativa o desta diretiva n o afeta a diretiva ProxyPass ProxyRemote origem URL Esta op o til para fazer o Apache redirecionar suas requisi es para outro servidor proxy como O squid ou o gateway da rede caso o Apache estiver sendo executado em uma m quina interna A origem pode ser uma URL completa como http www debian org uma URL parcial como ftp http ou para que o redirecionamento seja sempre usado ProxyBlock padr o Permite bloquear o acesso a endere os que contenham o padr o especificado Podem ser especificadas palavras m quinas do
455. namento de dados em longos per odos de opera o 3 16 1 Configurando uma SCSI ID e termina o Uma SCSI ID configurada independentemente por dispositivo e consiste em 3 jumpers ou dip switches que possuem os valores 1 2 e 4 Veja o exemplo abaixo de uma unidade de CD SCSI 2 52 ERM Se voc deixar os 3 jumpers da SCSI ID abertos o dispositivo usar a SCSI ID 0 Colocando o jumper na posi o 1 a unidade ter a SCSI ID 1 Se voc colocar um jumper na posi o 1 e outro na 4 a unidade ser identificada pela SCSI ID 5 quando mais de um jumper ligado os n meros ser o somados A termina o SCSI funciona de forma semelhante a de uma rede BNC o ltimo perif rico do cabo SCSI deve ter o jumper de termina o colocado para indicar que o ltimo perif rico do cabo e evitar deflex o de dados Algumas placas SCSI modernas ajustam automaticamente a termina o de perif ricos sem necessidade de ajustar manualmente Guia Foca GNU Linux Vers o 6 40 domingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Rede Guia Foca GNU Linux Cap tulo 4 Rede Este cap tulo descreve o que uma rede os principais dispositivos de rede no GNU Linux a identifica o de cada um como configurar os dispositivos escolha de endere os IP roteamento Parte deste cap tulo uns 70 pelo menos baseado no documento NET3 4 HOWTO seria perda de tempo reescr
456. nciamento de energia usando o APM O APM Advanced Power Management Gerenciamento Avan ado de Energia permite que sistemas gerenciem caracter sticas relacionadas com o uso e consumo de energia do computador Ele opera a n vel de BIOS e tenta reduzir o consumo de energia de v rias formas quando o sistema n o estiver em uso como reduzindo o clock da CPU desligar o HD desligar o monitor etc O uso de advanced power management tamb m permite que computadores com fonte de alimenta o ATX sejam desligados automaticamente quando voc executa o comando halt Caso sua m quina tenha suporte a ACPI este dever ser usado como prefer ncia ao inv s do APM por ter recursos mais sofisticados veja Configurando o gerenciamento de energia usando ACPI Se o 3 11 5 Para ativar o suporte a APM no Linux compile seu kernel com o suporte embutido a APM e tamb m a Advanced Power Management sen o sua m quina n o desligar sozinha no halt Caso deseje compilar como m dulo basta depois carregar o m dulo apm adicionando no arquivo etc modules Depois disso instale o daemon apmd para gerenciar as caracter sticas deste recurso no sistema Voc pode desativar o uso de APM de 3 formas removendo seu suporte do kernel passando o argumento apm off quando compilado estaticamente no kernel ou removendo o nome do m dulo do arquivo etc modules quando compilado como m dulo Depois disso remova o daemon apma 3 11 5 Configurando o gerenci
457. ndalone escutar Para portas lt 1023 ser necess rio o servidor funcionando como root inicialmente Port 80 HostnameLookups Registra os nomes DNS dos clientes ou apenas seus endere os IP s ex www apache org on ou 204 62 129 132 off O valor padr o off porque permitir menos tr fego na rede Ativando esta op o significa que cada acesso de um cliente resultar em NO M NIMO uma requisi o de procura ao servidor de nomes DNS 206 HostnameLookups off Caso desejar que o servidor http seja executado como um usu rio ou grupo diferente voc deve executar o httpd inicialmente como root e ele modificar sua ID para a especificada User Group O nome ou fn mero do usu rio grupo que executar o servidor httpd No SCO ODT 3 use User nouser e Group nogroup No HPUX voc pode n o ser capaz de usar mem ria compartilhada como nobody e sugerido que seja criado um usu rio www e executar o servidor httpd como este usu rio adequando as permiss es onde necess rias User www data Group www data ServerAdmin Seu endere o d mail onde os problemas com o servidor devem ser enviadas Este endere o aparecer nas mensagens de erro do servidor ServerAdmin gleydsonfguiafoca org ServerRoot O topo da rvore de diret rios onde os arquivos de configura o do servidor erros e log s o mantidos NOTA Se tiver a inten o de colocar isto em um sistema de arquivos montado
458. ndo Op es de linha de comando do servidor ssha b bits Especifica o n mero de bits da chave do servidor 768 por padr o d Modo de depura o O servidor envia detalhes sobre seu funcionamento aos logs do sistema e n o executado em segundo plano Ele tamb m responder conex es pelo mesmo processo Podem ser usadas no m ximo 3 op es d para aumentar os detalhes de depura o f arquivo configura o Indica um arquivo de configura o alternativo por padr o usado etc ssh sshd config O ssh pode ser configurado atrav s de op es de linha de comando mas requer um arquivo de configura o para ser executado Op es de linha de comando substituem as especificadas no arquivo de configura o g segundos Especifica o tempo m ximo para a digita o de senha de acesso Ap s o tempo especificado o servidor encerra a conex o O valor padr o 600 segundos e 0 desativa este recurso h arquivo chave Diz qual arquivo cont m a chave privada local O padr o etc ssh ssh host key e somente o usu rio root deve ter permiss es de leitura neste arquivo Ser necess rio especificar esta op o caso o sshd n o esteja sendo executado como usu rio root poss vel ter m ltiplos arquivos de chaves para os protocolos 1 e 2 do ssh i Indica que o servidor sshd ser executado pelo inetd Isto n o aconselh vel porque o servidor gerar a chave aleat ria de se o toda vez que for iniciado e ist
459. ndo a configura o O servi o executado por padr o via inetd e utiliza o controle de acesso tcpa veja O mecanismo de controle de acessos tcpd Se o 4 8 3 Adicionalmente voc pode definir que usu rios ter o n o acesso ao servi o pop3 nos arquivos etc popper allow e popper deny Por padr o o acesso garantido para qualquer usu rio Ap s instalar o servidor pop3 instalado resta configurar o cliente para conectar ao servidor pop3 do servidor O nome de usu rio e senha s o os usados no arquivo etc passwd 16 1 9 Teste de acesso no pop3 Um simples teste consiste em usar O telnet conectando a porta pop3 110 telnet 127 0 0 1 110 Connected to 127 0 0 1 Escape character is 2 OK Qpopper version 4 0 3 at server org starting lt 2122 11132222 server org gt A resposta acima indica que o servidor pop3 est funcionando corretamente 16 1 10 Op es de linha de comando Op es de linha de comando do servidor in qpopper endere o porta Quando est operando em modo daemon iniciado com S espera por conex es no endere o e opcionalmente na porta especificada O endere o dever ser o da interface de rede local do servidor como 192 168 1 1 caso n o seja especificado o servidor gpopper monitorar todos os endere os A porta padr o 110 caso n o seja especificada b diret rio Ativa o sistema de envio de boletins O diret rio especificado o que cont m os boletins que ser o enviados
460. ndo a l mpada acender quase em sua pot ncia total Ligue o fio do aterramento no pino central da tomada de seu computador OBS Cuidado para n o tomar um baita choque durante esta opera o em alguns casos pode ser fatal Utilize sandalhas ou sapatos de borracha materiais isolantes isto evitar tomar o choque caso aconte a e Ligue a outra extremidade do fio que vem da barra de cobre no pino central da tomada de seu computador e ligue o Consiga um mult metro anal gico ou digital e coloque para medir em escala DC 10V Coloque a ponta negativa preta no neutro da rede el trica e encoste a ponta positiva vermelha no gabinete de seu computador O aterramento estar aprovado caso o valor medido seja de no m ximo 2 5 volts Caso algo ocorra errado cheque novamente os passos acima Se desconfiar das condi es do solo use uma barra maior ou ligue 2 barras de cobre juntas 46 3 12 1 Condutores de eletricidade A tabela abaixo est classificada em ordem do material que possui melhor condu o de eletricidade el trons com circula os livres baseada no fator mm2 m da mais condutora para a menos condutora Prata 0 0164 Cobre 0 0172 Ouro 0 0230 Alum nio 0 0283 Zinco 0 0600 Platina 0 0950 Ferro 0 1200 Chumbo 0 2100 merc rio 0 9680 SONO A ERON 3 13 Tomadas As tomadas el tricas de 127V ou 220V AC 60Hz de tr s pinos pelas normas t cnicas da ABNT no ABNT 6147 devem fi
461. ne io 0x300 irg 10 Para evitar a digita o destes par metros toda vez que a m quina for iniciada recomend vel coloca lo no arquivo etc modules conf da seguinte forma options ne io 0x300 irq 10 A partir de agora voc pode carregar o m dulo de sua placa NE 2000 apenas com o comando modprobe ne O par metro io 0x300 irq 10 ser automaticamente adicionado Em sistemas Debian O local correto para colocar as op es de um m dulo em arquivos separados localizados dentro de etc modutils Crie um arquivo chamado etc modutils ne e coloque a linha 40 options ne io 0x300 irq 10 Depois disso execute o comando update modules para o sistema gerar um novo arquivo etc modules conf com todos os m dulos de etc modutils e substituir o anterior 4 Ap s carregar o m dulo de sua placa de rede resta apenas configurar seus par metros de rede para coloca la em rede Veja Atribuindo um endere o de rede a uma interface ifconfig Se o 4 4 2 3 11 2 Configurando uma placa de SOM no Linux A configura o de dispositivos de audio no Linux n o uma coisa complicada se resumindo na configura o de recursos de IRQ caso a placa seja ISA carregar o seu respectivo m dulo com seus par metros e ajustar o mixer Atualmente existem 2 padr es de som no sistema Linux OSS Open Sound System e ALSA Advanced Linux Sound Architecture O OSS o primeiro padr o existente no sistema Linux e embutido por padr o no kernel O ALSA
462. necess rio compilar todas as partes necess rias embutidas no kernel carregar os m dulos necess rios manualmente ou pelo iptables atrav s da op o modprobe m dulo 10 1 16 Ligando sua rede interna a Internet Se a sua inten o como da maioria dos usu rios conectar sua rede interna a Internet de forma r pida e simples leialFazendo IP masquerading para os apressados Se o 10 4 2 oulFazendo SNAT Se o 10 4 3 Um exemplo pr tico de configura o de Masquerading deste tipo encontrado em sua rede interna a Internet Se o 10 8 3 Ap s configurar o masquerading voc s precisar especificar o endere o IP da m quina masquerading servidor como Gateway da rede No Windows 9x NT 2000 isto feito no Painel de Controle Rede Propriedades de Tcp IP No Linux pode ser feito com route add default gw IP do Servidor 115 10 2 Manipulando chains O iptables trabalha com uma tabela de regras que analisada uma a uma at que a ltima seja processada Por padr o se uma regra tiver qualquer erro uma mensagem ser mostrada e ela descartada O pacote n o conferir e a a o final se ele vai ser aceito ou rejeitado depender das regras seguintes As op es passadas ao iptables usadas para manipular os chains s o SEMPRE em mai sculas As seguintes opera es podem ser realizadas 10 2 1 Adicionando regras A Como exemplo vamos criar uma regra que bloqueia o acesso a nosso pr pria m quina 127 0 0
463. nferir for chamado Isto elimina a necessidade de caminhos de URLs repetidas para processadores de arquivos CGI frequentemente usados Format Action media type cgi script location Format Action handler name cgi script location aDir especifica o nome do diret rio no qual o apache procurar arquivos de alhes do m dulo mod cern meta Os m dulos meta cont m cabe alhos HTTP cionais que ser o inclu dos durante o envio do documento MetaDir web Resposta de erros personalizada no estilo do Apache as podem ser 3 tipos 1 texto plano ErrorDocument 500 O servidor fez boo boo n b a aspa marca como texto ela n o ser exibida 2 redirecionamentos locais ErrorDocument 404 missing html 217 para redirecionar para a URL local missing html ErrorDocument 404 cgi bin missing handler pl N B tamb m poss vel redirecionar a um script o documento usando includes do lado do servidor server side includes 3 redirecionamentos externos ErrorDocument 402 http algum outro servidor com inscricao html N B Muitas das vari veis de ambientes associada com a requisi o atual n o estar o dispon veis para tal script O m dulo mod mime magic permite o servidor usar v rias dicas atrav s do conte do do arquivo para determinar o seu tipo A diretiva MIMEMagicFile diz ao m dulo onde as defini es de dicas est o localizadas O m dulo mod mime magic n o parte do servidor padr o Apache voc precisar a
464. ng AddIconByEncoding CMP icons compressed gif x compress x gzip AddIconByType AddIconByType AddIconByType AddIconByType TXT icons text gif text IMG icons image2 gif image SND icons sound2 gif audio VID icons movie gif video AddIcon icons binary gif bin exe AddIcon icons binhex gif hqx AddIcon icons tar gif tar AddIcon icons world2 gif wrl wrl gz vrml vrm iv AddIcon icons compressed gif Z z tgz gz zip 213 Addicon icons a gif ps ai eps AddIcon icons layout gif html shtml htm pdf AddIcon icons text gif txt AddIcon icons c gif c Addicon icons p gif pl py AddIcon icons f gif for AddIcon icons dvi gif dvi AddIcon icons uuencoded gif uu Addicon icons script gif conf sh shar csh ksh tcl AddIcon icons tex gif tex AddIcon icons bomb gif core AddIcon icons deb gif deb Debian AddIcon icons back gif AddIcon icons hand right gif README AddIcon icons folder gif DIRECTORY AddIcon icons blank gif BLANKICON DefaultIcon o cone que ser mostrado para aplicativos que n o tiverem um cone explicitamente definido DefaultIcon icons unknown gif AddDescription isto lhe permite colocar uma curta descri o ap s um arquivo nos ndices gerados pelo servidor Estes somente s o mostrados para diret rios com ndices organizados usando a op o FancyIndexing Formato AddDescription descri o extens o Ad
465. ngo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org Guia Foca GNU Linux Firewall iptables 108 Guia Foca GNU Linux Cap tulo 10 Firewall iptables Este cap tulo documenta o funcionamento do firewall iptables que acompanha a s rie do kernel 2 4 op es usadas e aponta alguns pontos fundamentais para iniciar a configura o e constru o de bons sistemas de firewall 10 1 Introdu o O Firewall um programa que como objetivo proteger a m quina contra acessos indesejados tr fego indesejado proteger servi os que estejam rodando na m quina e bloquear a passagem de coisas que voc n o deseja receber como conex es vindas da Internet para sua segura rede local evitando acesso aos dados corporativos de uma empresa ou a seus dados pessoais No kernel do Linux 2 4 foi introduzido o firewall iptables tamb m chamado de netfilter que substitui o ipchains dos kernels da s rie 2 2 Este novo firewall tem como vantagem ser muito est vel assim como O ipchains e ipfwadm confi vel permitir muita flexibilidade na programa o de regras pelo administrador do sistema mais op es dispon veis ao administrador para controle de tr fego controle independente do tr fego da rede local entre redes interfaces devido a nova organiza o das etapas de roteamento de pacotes O iptables um firewall em n vel de pacotes e funciona baseado no endere o porta de origem destino do pacote prioridade etc Ele func
466. nha do usu rio especificado ou seja somente ser necess rio fornecer o nome de usu rio para ter acesso ao sistema OBS3 Leve em considera o que o uso do recursos de senhas de grupo um risco de seguran a pois a mesma senha ser compartilhada entre diversas pessoas OBS4 O programa useradda combina as fun es do adduser e passwd para garantir que a conta seja criada com as restri es apropriadas O nico inconveniente que o useradd quebra o Debian Policy e precisa de todos todos os par metros para a cria o correta da conta como o diret rio home senha criptografada e UID num rico Seu uso indicado em shell scripts que cuidam automaticamente da tarefa de adicionar usu rios ao sistema 11 2 1 Definindo valores padr es de restri o Isto muito til quando precisa criar diversos usu rios com as mesmas restri es de contas isto tornar o gerenciamento do sistema muito mais pr tico tudo em Unix feito para ser mais pr tico s devemos saber onde mexer O arquivo etc defaults useradd cont m valores padr es que ser o usados pelo useradd e adduser para definir valores de restri es de contas Estes valores s o gerados usando a op o D em combina o com as seguintes op es do useradd 157 e b home Especificar o diret rio home de usu rio O padr o home e e data Data padr o de expira o de contas especificada no formato AnoMesDia Por exemplo 20010920 e f dias N
467. nio 8 7 7 Criando Scripts de logon 8 7 8 Configurando perfis de usu rios 8 7 9 Modifica es de permiss es de acesso pelos clientes do dom nio 8 8 1 Migrando de senhas texto plano para criptografadas 8 8 2 Adicionando usu rios no smbpassw 8 8 3 Removendo usu rios do smbpassw 8 8 4 Desabilitando uma conta no smbpassw 8 8 5 Habilitando uma conta no smbpassw 8 8 6 Alterando a senha de um usu rio 8 8 7 Definindo acesso sem senha para o usu rio 8 9 1 Configurando o acesso de clientes para uso de senhas em texto plano 8 9 1 1 Lan Manager 8 9 1 2 Windows for Workgroups 18 9 1 3 Windows 95 Windows 95A 8 9 1 4 Windows 95 18 9 1 5 Windows 98 98SE 8 9 1 6 Windows ME 8 9 1 7 Windows NT Server WorkStation 8 9 1 8 Windows 2000 18 9 1 9 Linux 10 Mapeamento de usu rios grupos em clientes 8 10 1 Mapeamento de usu rios grupos dom nio em Windows 8 10 2 Mapeamento de usu rios grupos dom nio em Linux 8 11 1 Configurando o Linux como um servidor de impress o Windows 12 Controle de acesso ao servidor SAMB 8 12 1 N vel de acesso de usu rios conectados ao SAMBA 8 12 2 Restringindo o acesso por IP red o 18 12 2 1 Testando a restri o de Acesso por IP Redes 8 12 3 Restringindo o acesso por interface de rede 8 12 4 Restringindo o acesso por usu rios 8 12 5 Evite o uso do par metro hosts equiv 8 12 6 Evite o uso de senhas em branco 8 12 7 Criando um compartilhamento para acesso sem senha 0 0 0 0 Eq 00 000
468. nio usando o par metro domain admins group devendo ser tamb m adicionado no arquivo smbpasswd para que possa fazer isto e obviamente n o dever estar listado em invalid users Mesmo assim existem outras formas explicadas no guia de se contornar o risco causado pela libera o de acesso do usu rio root 18 7 7 Criando Scripts de logon Uma dos recursos mais teis em um dom nio a possibilidade de se executar comandos nas m quinas cliente quando fazem o logon no dom nio Desta forma poss vel instalar programas executar anti v rus mapear compartilhamentos automaticamente no clientes etc A programa o de scripts de logon feita usando a linguagem em lote do DOS com possibilidades de usar vari veis de ambiente c pia de arquivos entre servidores etc O guia n o ir abordar a programa o em linguagem de lote mas isto simples de se encontrar na internet e mesmo a documenta o que acompanha o pr prio windows til Para habilitar o recurso de scripts de logon na m quina adicione os seguintes par metros no arquivo smb conf 302 glo doma logo net bal in logons yes n script logon cmd logon path pub samba netlogon read only ves write list ntadmin Segue a descri o de cada par metro com detalhes importantes para a configura o e funcionamento do recurso de logon e domain logons Deve ser definido para yes para ativar o recurso de logon scripts do SAMBA e logon dr
469. nomes de m quinas em sua m quina voc pode ajustar o conte do de VirtualHost para eles Por favor veja a documenta o em lt http www apache org docs vhosts gt para mais detalhes antes de tentar configurar seus hosts virtuais Voc pode usar a op o de linha de comando S para verificar sua configura o de hosts virtuais Se desejar usar hosts virtuais baseados em nome ser necess rio definir no m nimo um endere o IP e n mero de porta para eles NameVirtualHost 12 34 56 78 80 NameVirtualHost 12 34 56 78 Exemplo de um Host Virtual Praticamente qualquer diretiva do Apache pode entrar na condicional VirtualHost lt VirtualHost ip address of host some domain com gt ServerAdmin webmaster thost some domain com DocumentRoot www docs host some domain com ServerName host some domain com ErrorLog logs host some domain com error log CustomLog logs host some domain com access log common lt VirtualHost gt lt VirtualHost default gt lt VirtualHost gt 212 12 14 2 srm conf Neste arquivo s o definidos o espa o de nomes que os usu rios visualizar o no seu servidor http Este arquivo tamb m define configura es do servidor que afetam como as requisi es s o servidas e como os resultados dever o ser formatados Veja os tutoriais em http www apache org para mais detalhes DocumentRoot O diret rio principal onde voc servira seus documentos Por padr o todas as requisi es
470. nta o sobre modifica es no programa changelog em busca de mudan as que alterem o sentido das explica es fornecidas aqui 13 1 2 Contribuindo A Home page do projeto oidentd nttp ojnk sourceforge net Sugest es cr ticas coment rios etc podem ser enviados para odinf amp numb org 222 13 1 3 Caracter sticas Caracter sticas do oidenta Pode ser executado tanto como daemon quanto via inetd este ltimo indicado para sistemas com pouca mem ria onde o servi o pouco solicitado Pode mapear identifica es de usu rio via IP Masquerading tornando este servidor muito vers til podendo ser usado tanto em m quina individuais como em servidores proxy roteadores Pode fazer forwarding de conex es para outras m quinas da rede local quando n o executado no proxy roteador Spoofing de nomes poss vel mapear um nome de usu rio para outra identifica o por exemplo o usu rio root poder ser mapeado para outra conta de usu rio antes da identifica o ser enviada 13 1 4 Ficha t cnica Pacote oidentd Utilit rios oidentd Servidor identd Arquivos de configura o do oidenta identd spoof Controla o spoof falsifica o de nomes de usu rios O formato deste arquivo s o dois campos separados por o primeiro contendo a identifica o original do usu rio e o segundo o nome que ser enviado pelo identd O segundo campo pode ser omitido neste caso a resposta de identifica
471. nte os ltimos modelos de placas m e 486 e os Pentium j trazem a placa controladora de perif ricos embutida Hardwares embutidos na placa m e como fax modem v deo som s o em m dia 30 mais baratos que os vendidos separadamente mas quase sempre s o usados dispositivos de baixo desempenho e qualidade para reduzir o pre o da placa m e e quase sempre usados hardwares For Windows Hoje em dia por causa do pre o da placa m e comum encontrar pessoas que verificam somente o pre o e sequer procuram saber ou conhecem a qualidade das placas embutidas na placa m e Pior ainda encontrar vendedores despreparados que sequer sabem explicar o porque que uma placa de som Sound Blaster 64 mais cara que uma de modelo gen rico 37 Certa vez fiz um teste de desempenho em um jogo chamado Network Rally do DOS com minha m quina Pentium 120 MHz s com a placa controladora embutida 16 MB RAM placa de som Sound Blaster 16 placa de v deo Trident 9680 com 1MB versus um computador Pentium 200 MMX 32 MB RAM placa de v deo embutida usando 2 MB de mem ria compartilhada fax modem Rockwell embutido e som CMI 8330 tamb m embutido O resultado foi que o jogo rodava perfeito em meu pentium 120MHZ e no outro computador com o som pipocando e imagem apresentando paradas O problema que em dispositivos de baixa qualidade e baratos sua carga de processamento jogada para o processador resultando em menos pot ncia para executar os prog
472. nux provavelmente ter o suporte a todas as placas de som poss veis Siga o passo a passo abaixo para configurar sua placa de som no sistema 1 Primeiro descubra se sua placa de som ISA Caso seja verifique se os seus recursos est o alocados corretamente veja Conflitos de hardware Se o 3 6 Caso seja PCI AMR execute o comando 1spci procure pela linha Multimedia e veja o nome da placa Voc tamb m poder executar o comando 1shw para descobrir qual placa voc possui veja Listando as placas e outros para detalhes 2 Carregue o m dulo da placa de som com o comando modprobe m dulo Na Debian voc pode executar o comando modconf para navegar visualmente entre os m dulos dispon veis e carregar os m dulos necess rios 41 Algumas placas principalmente ISA requerem que seja especificado o recurso de hardware sejam passados para seu m dulo ou simplesmente voc quer especificar isto para manter o uso de hardware sobre seu controle Alguns dos par metros mais usados em placas Sound Blaster s o os seguintes modprobe sb io 0x220 irq 5 dma 1 dmal6 5 mpu io 0x330 Para evitar ter que passar estes par metros todas as vezes para o m dulo voc poder coloca los no arquivo etc modules conf da seguinte forma options sb io 0x220 irq 5 dma 1 dmal6 5 mpu 10 0x330 Assim quando der o comando modprobe sb ele ser carregado com as op es acima Na distribui o Debian voc dever criar um arquivo chamado etc mod
473. o 3 4 2 Dip Switches a mesma coisa que os hardwares configur veis por jumpers exceto que s o usados dip switches no lugar de jumpers O dip switches um conjunto de chaves numeradas que podem ser colocadas para cima ou para baixo como um disjuntor ou v rios interruptores LIGA DESLIGA colocados um ao lado do outro para se modificar a configura o do dispositivo Normalmente as chaves est o acess veis na parte met lica da placa onde os hardwares s o conectados para permitir a f cil mudan a de configura o sem retirar a placa E ainda comum encontrar isto em algumas placas de fax modem 3 4 3 Jumperless sem jumper Os hardwares jumperless n o possuem jumpers e s o configurados atrav s de um programa que acompanha a pr pria placa Neste programa escolhida a IRQ DMA I O e a configura o salva na pr pria placa ou restaurada ap s cada inicializa o por um programa carregado na mem ria Devido a configura o via software se obt m uma configura o fixa com muito mais facilidade do que via jumpers por n o haver a necessidade de se retirar a placa A maioria das placas jumperless podem funcionar tamb m como Plug and Play Existem muitas placas de rede fax modem scanner jumperless no mercado 3 4 4 Plug and Play O Plug and Play um protocolo que l os valores de opera o dispon veis para a placa e permitem que o usu rio possa especificar facilmente qual ser sua IRQ DMA I O A diferen
474. o Se o 10 6 6 antes de criar um grande n mero de regras 10 3 3 2 Especificando mensagens do protocolo ICMP O protocolo ICMP n o possui portas mas poss vel fazer um controle maior sobre o tr fego ICMP que entra sai da rede atrav s da especifica o dos tipos de mensagens ICMP Os tipos de mensagens devem ser especificados com a op o icmp type C digolICMP logo ap s a especifica o do protocolo icmp iptables A INPUT s 200 123 123 10 p icmp icmp type time exceeded i ppp j DROP A regra acima rejeitar mensagens ICMP do tipo time exceeded tempo de requisi o excedido que venham do endere o 200 123 123 10 atrav s da interface ppp Alguns tipos de mensagens ICMP s o classificados por categoria como o pr prio time exceeded caso a categoria time exceeded seja especificada todas as mensagens daquela categoria como tl zero during transit til zero during reassembly conferir o na regra especificada Os tipos de mensagens ICMP podem ser obtidos com o comando iptables p icmp h 125 echo reply pong destination unreachable network unreachabl host unreachable protocol unreachable port unreachable fragmentation needed source route failed network unknown host unknown network prohibited host prohibited TOS network unreachabl TOS host unreachabl communication prohibited host precedence violation precedence cutoff source quench redirect network redirect host redirect TOS network red
475. o ftp ftp us kernel org pub linux libs pam Linux PAM html pam htmllje http www kernel org pub linux libs pam pre doc rfc86 0 txt gz 19 2 3 Restringindo Bloqueando o login Isto controlado pelo arquivo etc security access conf O formato deste arquivo consistem em tr s campos separados por e Primeiro campo Garante ou bloqueia o acesso caso as condi es nos outros campos confiram e Segundo campo Cont m o login grupo O formato usu rioOcomputador pode ser usado para conferir com usu rios que acessam de determinadas m quinas Caso existam mais de um par metro estes devem ser separados usando espa os As palavras chave ALL todos e EXCEPT exce o e console tamb m podem ser usadas e Terceiro campo Lista de terminais tty na forma listada pelo ttyname nomes de m quinas nomes de dom nios come ando com endere os IP ou FQDN por o de rede finalizando com um As palavras chave ALL todos e LOCAL m quinas na mesma rede tamb m podem ser usadas OBS1 A configura o padr o do access conf garantir o acesso a todos os usu rios atrav s de qualquer lugar permissiva OBS2 Mesmo se existir uma regra autorizando o acesso ao usu rio as restantes ser o verificadas em busca de uma que bloqueie o acesso do usu rio Se nenhuma regra conferir o usu rio ter acesso garantido OBS3 O nome de grupo somente checado quando nenhum nome de usu rio conf
476. o Jabber como O gaim gaber ou gossip ou o LICQ mais atual com suporte a ssl compilado O problema do LICQ com ssh que as duas pontas dever o ter este suporte compilado e funcionando 20 4 Sistemas de arquivos criptogr fico Esta uma forma excelente para armazenamento seguro de seus dados pois estar o criptografados e ser o somente acessados ap s fornecer uma senha que s voc conhece O sistema usado a montagem de um arquivo comum como um sistema de arquivos via loopback voc pode escolher um nome de arquivo discreto para dificultar sua localiza o use a imagina o e poder ser armazenado at mesmo em parti es n o ext2 Siga estes passos para criar seu sistema de arquivos criptografado baseado no Loopback Encripted Filesystem Suporte no kernel Baixe o patch criptogr fico de tp tp kernel org pub linux kernel cryptolde acordo com a sua vers o do kernel e aplique os patches Este suporte n o pode ser inclu do nativamente no kernel devido a restri es de uso e importa o de criptografia impostas pelos EUA e outros pa ses com este suporte embutido o kernel n o poderia ser distribu do livremente Se o patch para seu kernel n o existir pegue a vers o anterior mais pr xima se n o existir o patch para seu kernel 2 2 19 pegue a vers o 2 2 18 do patch internacional Isto certamente funcionar Op es de compila o do kernel Na se o Crypto Support ative Crypto Ciphers e ative o supor
477. o UID respectivo de usu rio do sistema ou o usu rio guest especificado pela op o guest account no caso de um acesso p blico Quando isto ocorre um processo filho do smba executado sobre o UID e GID deste usu rio Isto significa que em nenhuma ocasi o o SAMBA dar mais permiss es que as necess rias para o usu rio com excess o de quando usado o par metro admin users veja Criando uma conta de administrador de dom nio Se o 18 7 6 18 12 2 Restringindo o acesso por IP rede Esta restri o pode ser feita pelos par metros allow hosts e deny hosts tanto em servi os individuais ou em todo o servidor Os par metros hosts allow e hosts deny s o equivalentes a estes acima O allow hosts permite o acesso a m quina especificadas como argumento S o permitidos os seguintes m todos para permitir o acesso a uma m quina rede e 192 168 1 1 IP da m quina servidor Nome da m quina 192 168 1 0 255 255 255 0 IP com m scara de rede 192 168 1 0 24 IP com m scara de rede octal 192 168 1 Por o de rede sem o host como no hosts allowe hosts deny Gnome Pesquisa por m quinas no grupo NIS permitido usar mais de um endere o IP separando os por v rgulas ou espa os A palavra chave EXCEPT pode ser usada para fazer excess o de um ou mais endere os IPs por exemplo hosts allow 192 168 1 EXCEPT 192 168 1 20 Que permite o acesso a toda as m quinas da faixa de rede 192 168 1 0 24 exceto pa
478. o ap s um ataque por dicion rio e leva muito tempo para descobrir uma senha Dependendo se uma senha conter caracteres aleat rios combina o de letras mai sculas min sculas n meros a senha ser praticamente imposs vel de ser descoberta Note que o uso de criptografia md5 e senhas ocultas aumentam bastante a prote o das senhas veja Shadow Passwords Se o 11 4 1Je Senhas MD5 Se o 11 4 2 11 3 5 Monitoramento de toques do teclado Este ataque muito comum em sistemas DOS e Windows um programa instalado sem o conhecimento do usu rio que grava todos os toques do teclado em um arquivo escondido pelo cracker Ap s certo tempo o cracker obt m acesso ao arquivo e aos dados que ele cont m Este tipo de ataque muito perigoso e pode capturar senhas n o s do sistema como n meros de cart o de cr dito digitados caso o usu rio tenha feito compras on line conta banc ria senha e tudo mais que for digitado pelo teclado 11 3 6 Login falso Esta uma forma r pida de se conseguir acesso a um sistema criada uma tela de login id ntica a original do sistema s que ao digitar nome e senha estes s o gravados em um arquivo que ser mais tarde recuperado pelo cracker para obter acesso ao sistema e uma mensagem de erro ser exibida pelo sistema Naturalmente o usu rio pensar que digitou o nome senha incorretamente e far uma nova tentativa a segunda ocorrer com sucesso fazendo este pensar que errou mes
479. o brl iface brl inet static address 192 168 1 2 network 192 168 1 0 netmask 255 255 255 0 broadcast 192 168 1 255 gateway 192 168 0 1 bridge ports eth2 eth3 eth4 No exemplo acima as interfaces eth0 e eth1 fazem parte da bridge bro e as demais eth0 eth1 e eth2 da bridge bri bridge ports eth2 eth3 bridge bridgeprio 16385 bridge portprio ethl 100 bridge fd 5 5 2 4 Configura o manual da bridge Internamente o que o i fup faz interpretar os par metros no arquivo de configura o e executar os comandos do pacote bridge utils para ativar a interface da bridge O utilit rio respons vel por este processo o brct 1 Ser documentado aqui como ativar uma bridge atrav s deste programa que servir para fazer uma bridge em qualquer sistema Linux brctl addbr br0 brctl addif br0 eth0 brctl addif br0 ethl ifconfig eth0 0 0 0 0 ifconfig ethl 0 0 0 0 ifconfig brO 192 168 0 4 O comando acima ativa uma bridge simples como o primeiro exemplo Tenha certeza que as interfaces f sicas de rede est o desativadas antes de executar este comando 77 Outros par metros que podem ser usados com o brctl1 setbridgeprio bridge prioridade Define a prioridade da bridge o valor deve estar entre O e 65536 16 bits Valores menores definem uma prioridade maior setfd bridge tempo Ajusta o delay da bridge especificada em tempo segundos setmaxage bridge tempo Ajusta o tempo m ximo de vida da bridge para tempo segun
480. o de erro documento Onde c digo de erro C digo de erro da mensagem vejalC digos HTTP Se o 12 15 como refer ncia O c digo de erro 401 deve referir se a um arquivo local documento Documento mensagem de erro ou redirecionamento que ser usado no servidor caso aquele c digo de erro seja encontrado Para definir uma mensagem de erro padr o para todo servidor web basta colocar a diretiva ErrorDocument fora das diretivas que controlam o acesso a diret rios e virtual hosts o inicio do arquivo httpd conf ideal Exemplos e ErrorDocument 404 cgi bin erros404 p1 Direciona para um script em Perl que manda um e mail ao administrador falando sobre o link quebrado e envia o usu rio a uma p gina de erro padr o e ErrorDocument 404 naocencontrada html Direciona o usu rio para o arquivo naoencontrada html1 dentro de DocumentRoot quando ocorrer o erro 404 Note que o diret rio levado em considera o o especificado pela diretiva DocumentRoot e ErrorDocument 500 Erro Interno no servidor Mostra a mensagem na tela quando 187 ocorrer o erro 500 e ErrorDocument 401 obtendoacesso html Direciona o usu rio ao arquivo explicando como obter acesso ao sistema e ErrorDocument 503 http www guiafoca org servicos html Redireciona o usu rio a URL especificada e ErrorDocument 403 Acesso negado Mostra a mensagem na tela no caso de erros 403 12 9 M dulos DSO Os m dulos DSO
481. o de trabalho que a m quina pertencer workgroup focalinux n vel de seguran a share permite que clientes antigos mantenham a compatibilidade enviando somente a senha para acesso ao recurso determinando o nome de usu rio de outras formas security share O recurso de senhas criptografadas n o funciona quando usamos o n vel share de seguran a O motivo disto porque automaticamente assumido que voc est selecionando este n vel por manter compatibilidade com sistemas antigos ou para disponibilizar compartilhamentos p blicos onde encrypt passwords false Conta que ser mapeada para o usu rio quest guest account nobody Como todos os compartilhamentos desta configura o s o de acesso p blico coloquei este par metro na se o global assim esta op o afetar todos os compartilhamentos guest ok 1 Conjunto de caracteres utilizados para acessar os compartilhamentos O padr o para o Brasil e pa ses de l ngua latina o ISO 8859 1 character set IS08859 1 amp Compartilha o diret rio tmp path tmp com o nome temporario temporario adicionada a descri o Diret rio tempor rio com acesso leitura grava o read only no e exibido na janela de navega o da rede browseable yes temporario path tmp comment Diret rio tempor rio read only no browseable yes amp Compartilha o diret rio pub path pub com o nome publico publico A de
482. o em grandes organiza es onde a passagem de tr fego entre redes deve ser minuciosamente controlada Um firewall n o funciona de forma autom tica instalando e esperar que ele fa a as coisas por voc necess rio pelo menos conhecimentos b sicos de rede tcp ip roteamento e portas para criar as regras que far o a seguran a de seu sistema A seguran a do sistema depende do controle das regras que ser o criadas por voc as falhas humanas s o garantia de mais de 95 de sucesso nas invas es Enfim o iptables um firewall que agradar tanto a pessoas que desejam uma seguran a b sica em seu sistema quando administradores de grandes redes que querem ter um controle minucioso sobre o tr fego que passam entre suas interfaces de rede controlando tudo o que pode passar de uma rede a outra controlar o uso de tr fego monitora o etc 109 10 1 1 Vers o assumido que esteja usando a vers o 1 2 3 do iptables e baseadas nas op es do kernel 2 4 16 sem o uso de m dulos experimentais As explica es contidas aqui podem funcionar para vers es posteriores mas recomend vel que leia a documenta o sobre modifica es no programa changelog em busca de mudan as que alterem o sentido das explica es fornecidas aqui 10 1 2 Um resumo da hist ria do iptables O iptables um c digo de firewall das vers es 2 4 do kernel que substituiu o ipchains presente nas s ries 2 2 do kernel Ele foi inclu do no kern
483. o excessivo de disco login tty gleydson Al1830 2400 backup OBS1 Mesmo que uma regra confira com o usu rio as outras tamb m ser o verificadas para garantir acesso grupos extras OBS2 O padr o na maioria das distribui es limitar o n mero m ximo de grupos do usu rio para 32 Caso precise aumentar este limite ser necess rio recompilar o kernel e tamb m a glibc se necess rio para aceitar um n mero maior modificando a vari vel ngroup 19 2 7 Limita o de recursos do shell Estas restri es s o especificadas no arquivo etc security limits conf Seu formato consiste em 4 campos separados por ou ou mais espa os nam e Primeiro campo Especifica o nome de usu rio um nome de grupo grupo ou um especificando que as restri es nos outros campos se aplicam a todos os grupos e todos os usu rios Segundo campo Tipo de restri o O soft Limite suave de bloqueio O hard Limite r gido de bloqueio 349 o Quando o tipo de restri o n o se aplica ao tem que deseja restringir o acesso Quando somente o limite hard r gido especificado o limite suave assume o mesmo valor e Terceiro campo tem que deseja restringir o acesso O core Limita o tamanho do arquivo core KB data Tamanho m ximo de arquivo de dados KB fsize Tamanho m ximo de arquivo KB memlock Tamanho m ximo do espa o de endere os bloqueado na mem ria KB nofile N mero m ximo de arquivos aber
484. o mesmo nome do login joao joao e Compostas por letras ou n meros em sequencia crescente ou decrescente abcdef 123456 654321 etc etc Este tipo de senha pode ser adivinhada por dedu o e s o uma das primeiras combina es que crackers usam para acertar senhas e palavras relacionadas com o gosto pessoal Por exemplo escort vectra subaru se a pessoa amante de carros e Nome da esposa filhos familiares animal de estima o time de futebol dolo da TV filmes ou qualquer coisa relacionada a familiares ou indiretamente ao usu rio e Idade data de anivers rio data de casamento n mero de identidade t tulo de eleitor placa de carro ou qualquer coisa que seja caracter stica do usu rio e Palavras existentes Um ataque de dicion rio poder descobrir facilmente sua senha e Senhas com menos de 8 letras e Senhas apenas em min sculas ou MAI SCULAS Senhas Boas e Uma boa senha nunca dever ser lida mas f cil de lembrar Por exemplo pense em uma frase importante para voc meu sistema operacional preferido o Linux e pegue a primeira letra de cada palavra msopeol PRONTO esta escolhida uma boa senha que f cil de se lembrar e dif cil de ser quebrada por ataques de dicion rio e Uma boa senha deve conter n meros e letras A senha acima poderia ser modificada para msopeol1 158 e Conter letras mai sculas e min sculas msopeoL1 e Conter 8 caracteres sempre que poss vel Isto aumenta bast
485. o n mero de processos o bastante para manipular a carga atual mas alguns poucos servidores esparsos para manipular requisi es transientes ex requisi es simult neas m ltiplas de um navegador Netscape simples Ele faz isto verificando periodicamente quantos servidores est o aguardando por uma requisi o Se l existe menos que MinSpareServers ele cria um novo processo S xiste mais que MaxSpareServers ele fecha alguns processos Os valores abaixo est o adequados para muitos sites MinSpareServers 5 MaxSpareServers 10 N mero de servidores que ser o iniciados deve conter um valor razo vel StartServers 5 Limita o n mero total de servidores rodando i e limita o n mero de clientes que podem conectar simultaneament se este limite sempre atingido os clientes podem ser o BARRADOS assim este valor N O DEVE SER MUITO PEQUENO Ele tem a inten o principal de ser um freio para manter um em execu o com uma performance aceit vel de acordo com os requerimentos de constru o e carga calculada no servidor HE SE SE SE 4 MaxClients 150 MaxRequestsPerChild O n mero de requisi es que cada processo tem permiss o de processar antes do processo filho ser finalizado O filho ser finalizado para evitar problemas ap s uso prolongado quando o Apache e talvez as bibliotecas que utiliza tomar mem ria e outros recursos Na maioria dos sistemas isto realmente n o
486. o n o est em execu o os limites de tempo s o verificados somente no login do usu rio ele poder ultrapassar este tempo sem ser desconectado do sistema 19 2 6 Permitindo acesso a grupos extras Este recurso controlado pelo arquivo etc security group conf Este arquivo composto por 5 campos separados por os 4 primeiros s o os mesmos explicados em O 50 campo cont m um ou mais grupos separados por espa os ou v rgulas que ser o adicionados aos grupos do usu rio quando as condi es dos campos anteriores conferirem OBS Se o usu rio escrever um programa que chama um interpretador de comandos e der a permiss o SGID chmod g s programa ele ter acesso quele grupo na hora que quiser Restrinja o uso de grupos somente a usu rios de confian a ou crie grupos espec ficos para evitar problemas Exemplo de configura o do arquivo etc security group conf Permite que o usu rio gleydson tenha acesso ao grupo floppy efetuando o login entre 08 00 da manha e 19 00 da noite login tty gleydson A10800 1900 floppy Todos os usu rios podem ter acesso ao grupo games e sound aos s bados e domingos login tty SaSu0000 2400 sound games Todos os usu rios podem ter acesso ao grupo games e sound todos os dias de 18 00 as 05 00 da manh fora do hor rio de expediente login tty A11800 0500 sound games Backups s o permitidos fora do hor rio de expediente para n o sobrecarregar a CPU e evitar o us
487. o n vel security share pra diminuir a carga m quina pois o usu rio guest ser o primeiro a ser checado pelas regras de acesso ao contr rio do n vel user onde o acesso guest o ltimo checado OBS Lembre se que o compartilhamento funciona de modo recursivo ou seja todos os arquivos e subdiret rios dentro do diret rio que compartilhou ser o disponibilizados portanto tenha certeza da import ncia dos dados que existem no diret rio verifique se existem links simb licos que apontam para ele etc Recomendo dar uma olhada r pida em Considera es de seguran a com o uso do par metro public yes Se o 18 12 14 18 12 8 Criando um compartilhamento com acesso somente leitura Esta prote o til quando n o desejamos que pessoas alterem o conte do de um compartilhamento Isto pode ser feito de duas formas negando o acesso de grava o para todo o compartilhamento ou permitindo leitura somente para algumas pessoas O par metro usado para fazer a restri o de acesso somente leitura o read only yes ou seu ant nimo writable no Abaixo seguem os dois exemplos comentados teste comment Acesso a leitura para todos path tmp read only yes public yes No exemplo acima o diret rio tmp path tmp foi compartilhado com o nome teste teste de forma p blica acesso sem senha public yes e todos podem apenas ler seu conte do read only yes teste comment Acesso a grava o para t
488. o os par metros aceitos em sua respectiva ordem de import ncia emerg O sistema est inutiliz vel alert A a o deve ser tomada imediatamente crit Condi es cr ticas error Condi es de erro warn Condi es de alerta notice Condi o normal mas significante 193 e info Mensagens informativas e debug Mensagens do n vel de depura o Note que os n veis s o os mesmos usados pelo syslog Quando um n vel particular especificado as mensagens de todos os n veis de maior import ncia tamb m ser o registrados Por exemplo se o n vel info for especificado as mensagens com os n veis de notice e warn tamb m ser o registradas recomendado o uso de um n vel de no m nimo crit 12 10 13 Anonymous LogEmail Se estiver como on a senha digitada ser registrada no arquivo especificado por ErrorLog Esta diretiva ativada por padr o Exemplo Anonymous LogEmail off 12 10 14 CookieLog Especifica o arquivo que ser usado para registrar os cookies OBS1 Caso o caminho do arquivo n o for especificado nas diretivas ser assumido DocumentRoot como diret rio padr o OBS2 Caso esteja usando o pipe o dono do processo ser o mesmo que iniciou o servidor WEB Apache Tenha certeza do funcionamento do programa para n o comprometer o seu sistema e cuide para que ele n o possa ser modificado indevidamente por outros usu rios Exemplo CookieLog var log apache cookies log
489. o padr o do chain Rejeita pacotes vindos de 200 200 200 1 pela interface ppp0 iptables A INPUT s 200 200 200 1 i ppp j REJECT 10 3 6 2 Especificando LOG como alvo Este alvo usado para registrar a passagem de pacotes no syslog do sistema um alvo muito interessante para ser usado para regras que bloqueiam determinados tr fegos no sistema para que o administrador tome conhecimento sobre tais tentativas para regras de fim de chain quando voc tem um grande conjunto de regras em um firewall restritivo e n o sabe onde suas regras est o sendo bloqueadas para satisfazer sua curiosidade etc Para registrar o bloqueio de pacotes vindos de 200 200 200 1 pela interface ppp0 iptables A INPUT s 200 200 200 1 i ppp j LOG Para efetuar o bloqueio iptables A INPUT s 200 200 200 1 i ppp j REJECT Note que no exemplo anterior a regra que registra o pacote j LOG deve aparecer antes da regra que REJEITA j REJECT caso contr rio a regra de LOG nunca funcionar A regra que REJEITA poderia tamb m ser trocada por uma regra que ACEITA caso queira registrar um pacote que deve ser aceito se o policiamento padr o do seu firewall for restritivo P DROP A nica coisa que muda nas regras de log o alvo da regra isto facilita a implementa o de grandes conjuntos de regras de firewall A regra acima mostrar a seguinte sa da no syslog do sistema Aug 25 10 08 01 debian kernel
490. o pode levar alguns segundos Esta op o pode se tornar vi vel com o uso do protocolo 2 ou criando chaves pequenas como 512 bytes no ssh 1 mas a seguran a criptogr fica tamb m ser diminu da Veja as diferen as entre os dois protocolos em k segundos Especifica a frequ ncia da gera o de novas chaves do daemon sshd O valor padr o 3600 segundos e 0 desativa este recurso ATEN O N O desative este recurso Esta op o traz a seguran a que uma nova chave gerada de servidor ser gerada constantemente esta chave enviada junto com a chave p blica quando o cliente conecta e fica residente na mem ria vol til assim mesmo que um cracker consiga obt la interceptando as conex es ser praticamente imposs vel tentar qualquer coisa Valores menores tendem a aumentar ainda mais a seguran a p porta Especifica a porta que o daemon sshd atender as requisi es Por padr o usada a porta 22 q Nenhuma mensagem ser enviada ao syslog do sistema u tam Especifica o tamanho do campo de nome do computador que ser armazenado no arquivo utmp A op o u0 faz somente endere os IP serem gravados D Quando usada n o faz o sshd iniciar em segundo plano V vers o cliente Assume que o cliente possui a vers o ssh especificada 1 ou 2 e n o faz os 233 testes de identifica o de protocolo e 4 For a o uso do protocolo IP tradicional IPv4 e 6 For a o uso da nova gera o do protocolo IP
491. o segmento de red local master yes Este servidor suportar logon de usu rios domain logons yes Usu rios que possuem poderes para adicionar remover m quinas no dom nio ter o seu n vel de acesso igual a root admin users gleydson Unidade que ser mapeada para o usu rio local durante o logon apenas sistemas baseados no NT logon drive m ome do script que ser executado pelas m quinas clientes logon script logon bat A o que ser tomada durante o recebimento de mensagens do Winpopup message command bin sh c usr bin linpopup f o m s rm amp s amp Conjunto de caracteres utilizados para acessar os compartilhamentos O padr o para o Brasil e pa ses de l ngua latina o ISO 8859 1 character set 1S08859 1 As restri es do PAM ter o efeito sobre os usu rios e recursos usados do SAMBA obey pam restriction yes Mapeia o diret rio home do usu rio autenticado Este compartilhamento especial descrito em mais detalhes no inicio do cap tulo sobre o SAMBA no Foca Linux homes comment Diret rio do Usu rio 340 create mask 0700 directory mask 0700 browseable No Compartilha o diret rio win path win com o nome win win A descri o associada ao compartilhamento ser Disco do Windows o nome de volume precisa ser especificado pois usamos programas que a prote o anti c pia o serial Ainda fazemos um
492. o syslog especificada como facilidade n vel Veja os tipos de prioridade n veis em Arquivo de configura o syslog conf Se o 6 2 1 1 O valor padr o prioridade n vel user notice u soquete Envia a mensagem para o soquete especificado ao inv s do syslog Mais detalhes sobre o funcionamento sobre o daemon de log do sistema syslogd pode ser encontrado emlsyslogd Se o 6 2 1 Exemplos Logger i t focalinux Teste teste teste logger i f tmp mensagem p security emerg 6 4 Programas teis para monitora o e gerenciamento de arquivos de logs 6 4 1 logcheck um programa usado para enviar um e mail periodicamente ao administrador do sistema atrav s do cron ou outro daemon com a mesma fun o alertando sobre os eventos que ocorreram desde a ltima execu o do programa As mensagens do logcheck s o tratadas por arquivos em etc logcheck e organizadas em categorias antes de ser enviada por e mail isto garante muita praticidade na interpreta o dos eventos ocorridos no sistema As categorias s o organizadas da mais importantes para a menos importante e v o desde Hacking em andamento provid ncias devem ser tomadas imediatamente para resolver a situa o at eventos anormais do sistema mensagens de inicializa o mensagens dos daemons do sistema etc O tipo de mensagem que ser inclu da ignorada nos logs enviados podem ser personalizadas pelo administrador do sistema atrav s dos arquivos d
493. obal nome da m quina na rede netbios name teste nome do grupo de trabalho que a m quina pertencer workgroup focalinux n vel de seguran a user somente aceita usu rios autenticados ap s o envio de login senha security user utilizada senhas em texto claro nesta configura o encrypt passwords false Conta que ser mapeada para o usu rio guest guest account nobody Permite restringir quais interfaces o SAMBA responder bind interfaces only yes Faz o samba s responder requisi es vindo de eth0 interfaces eth0 Supondo que nossa interfac th0 receba conex es roteadas de diversas outras redes permite somente as conex es vindas da rede 192 168 1 0 24 hosts allow 192 168 1 0 24 A m quina 192 168 1 57 possui gateway para acesso interno como medida de seguran a bloqueamos o acesso desta m quina hosts deny 192 168 1 57 32 Conjunto de caracteres utilizados para acessar os compartilhamentos O padr o para o Brasil e pa ses de l ngua latina o ISO 8859 1 character set 1S08859 1 338 As restri es do PAM ter o efeito sobre os usu rios e recursos usados do SAMBA obey pam restriction yes Mapeia o diret rio home do usu rio autenticado Este compartilhamento especial descrito em mais detalhes no inicio do cap tulo sobre o SAMBA no Foca Linux homes comment Diret rio do Usu rio create mask 0700 HE directory ma
494. odas determinadas m quinas recomend vel bloquear o acesso a todas portas menores que 1024 por executarem servi os que rodam com privil gio de usu rio root e autorizar somente o acesso as portas que realmente deseja configura o restritiva nesta faixa de portas e Que tipo de conex es eu posso deixar passar e quais bloquear Servi os com autentica o em texto plano e potencialmente inseguros como rlogin telnet ftp NFS DNS LDAP SMTP RCP X Window s o servi os que devem ser ter acesso garantido somente para m quinas redes que voc confia Estes servi os podem n o ser s usados para tentativa de acesso ao seu sistema mas tamb m como forma de atacar outras pessoas aproveitando se de problemas de configura o A configura o do firewall ajuda a prevenir isso mesmo se um servi o estiver mal configurado e tentando enviar seus pacotes para fora ser impedido Da mesma forma se uma m quina Windows de sua rede for infectada por um trojan n o haver p nico o firewall poder estar configurado para bloquear qualquer tentativa de conex o vinda da internet cracker para as m quinas de sua rede 112 Para c pia de arquivos via rede insegura como atrav s da Internet recomendado o uso de servi os que utilizam criptografia para login e transfer ncia de arquivos veja Servidor ssh Cap tulo 15 ou a configura o de uma VPN Que m quinas ter o acesso livre e quais ser o restritas Que servi os dever o ter
495. odem mover dados entre os dispositivos portas 1 0 e a mem ria N o poss vel mover dados entre as portas ou entre a mem ria 27 Existem dois controladores de DMA nos computadores AT e superiores Ao contr rio do que acontece com os dois controladores de IRQ o primeiro controlador ligado ao segundo e n o o segundo ao primeiro Os canais de DMA altos 5 ao 7 somente podem ser acessados por dispositivos de 16 bits aqueles que utilizam a segunda parte do slot AT Como resultado temos 8 canais de DMA de 0 a 7 sendo que a DMA 4 usada como liga o entre eles Os canais de DMA em uso no sistema podem ser visualizados com cat proc dma Abaixo uma listagem de uso mais comum dos canais de DMA DMA Barram Uso 0 Usada pelo circuito de refresh da mem ria DRAM Et 8 16 bits ormalmente usado por placas de som canal 8 bits porta paralela ECP adaptadoras SCSI placas de rede ou controladora de scanner 2 8 16 bits ormalmente usado pela controladora de disquetes ou controladoras de tapes 3 8 6 bits Usado pela porta paralela ECP placa de som controladoras de tapes controladoras SCSI ou controladora de scanner antiga Usada como ponte para a outra controladora de DMA 0 3 5 16 bits ormalmente usada pela placa de som canal 16 bits placas controladoras SCSI placas de rede ou controladora de scanner 6 16 bits Placa de som canal 16 bits controladora de scanner ou placa de rede 7 16 bits Placa de
496. oder ser adaptado ao seu sistema O objetivo ser ao mesmo tempo til para sua configura o e did tico 241 Modelo personalizado para o guia Foca GNU Linux baseado na configura o original do FreeBSD Autor Gleydson Mazioli da Silva Data 20 09 2001 Porta padr o usada pelo servidor sshd M ltiplas portas podem ser especificadas separadas por espa os Port 22 Especifica o endere o IP das interfaces de rede que o servidor sshd servir requisi es M ltiplos endere os podem ser especificados separados por espa os A op o Port deve vir antes desta op o ListenAddress 0 0 0 0 Protocolos aceitos pelo servidor primeiro ser verificado se o cliente compat vel com a vers o 2 e depois a vers o 1 Caso seja especificado somente a vers o 2 o cliente seja vers o 1 a conex o ser descartada Quando n o especificada o protocolo ssh 1 usado como padr o Protocol 2 1 As 4 op es abaixo controlam o acesso de usu rios grupos no sistema Por padr o o acesso a todos garantido exceto o acesso root se PermitRootLogin for no AllowUsers e AllowGroups definem uma lista de usu rios grupos que poder o ter acesso ao sistema Os coringas x e 2 podem ser especificados Note que somente NOMES s o v lidos UID e GID n o podem ser especificados As diretivas Allow s o processadas primeiro depois Deny O m todo que estas diretivas s o processadas id ntico a diretiva Order mut
497. odos com excess es path tmp read only no read list Qusers gleydson invalid users root Neste o mesmo compartilhamento teste teste foi definido como acesso leitura grava o para todos read only no mas os usu rios do grupo Qusers e o usu rio gleydson ter o sempre acesso leitura read list users gleydson Adicionalmente foi colocada uma prote o para que o superusu rio n o 319 tenha acesso a ele invalid users root Esta forma de restri o explicada melhor em Excess o de acesso na permiss o padr o de compartilhamento Se o 18 12 10 18 12 9 Criando um compartilhamento com acesso leitura grava o Esta forma de compartilhamento permite a altera o do conte do do compartilhamento dos usu rios que possuem as permiss es de acesso apropriadas Este controle pode ser feito de duas formas Acesso total de grava o para os usu rios e acesso de grava o apenas para determinados usu rios Este controle feito pela op o read only no e seu ant nimo equivalente writable yes Abaixo dois exemplos teste comment Acesso de grava o para todos path tmp writable yes public yes No exemplo acima o diret rio tmp path tmp foi compartilhado com o nome teste teste de forma p blica acesso sem senha public yes e todos podem ler gravar dentro dele writable yes teste comment Acesso a leitura para todos com excess es path tmp writable
498. ogons mas voc poder usar bin sh ou algum outro shell para efetuar conex es do comando net ou outras ferramentas NetBEUI ao servidor e Reinicie o servidor SAMBA 313 e Edite o arquivo etc nsswitch conf alterando a ordem de pesquisa de nomes de usu rios e grupos do sistema local para a seguinte passwd files winbind group files winbind shadow compat e Agora inicie o daemon winbind local com o comando etc init d winbind restart e Entre no dom nio com o comando smbpasswd j dom nio r nome do PDC U usuario vejajLinux Se o 18 14 3 9 para aprender como entrar no dom nio em caso de d vidas e Agora fa a o teste para obter a listagem dos grupos e usu rios do dom nio do PDC digitando wbinfo u wbinfo g getent passwd getent group Caso isto n o aconte a revise suas configura es e veja os logs procurando por erros quando o winbind tenta obter a lista de usu rios grupos do dom nio Agora voc deve ser capaz de criar diret rios arquivos locais usando os nomes de usu rios grupos do dom nio Lembre se de reiniciar sempre o winbind quando reiniciar o SAMBA por alguma modifica o for feita ao mesmo que saiba que n o afeta O winbind assim como entrar novamente no dom nio caso contr rio o mapeamento deixar de funcionar OBS Atualmente o winbind n o oferece suporte a restri es por data hora de logon para esta es de trabalho Isto dever ser implementado em uma futura vers o 18 11
499. oi criado por um processo com o PID especificado e sid owner ID Confere se o pacote foi criado por um processo no grupo de se o especificado OBS Lembre se que pacotes que n o possuem detalhes suficientes de cabe alho nunca conferir o iptables A OUTPUT m owner gid owner 100 p udp j DROP Rejeita um conex es indo para portas UDP de pacotes criados pelo usu rios pertencentes ao grupo 100 10 6 9 Conferindo com o conte do do pacote O m dulo string do iptables permite a inspe o de conte do de um pacote e tomar uma a o se determinado tipo de tr fego for encontrado em um pacote Esta t cnica pode ser usada tanto para seguran a como para economia de banda dentro da rede Esta op o N O torna o iptables como um firewall proxy pois o proxy tem a habilidade de inspecionar o conte do protocolo comandos do pacote e decidir se o seu conte do nocivo ou n o O firewall em n vel de pacotes fazendo inspe o de conte do chega a ser 3 a 10 vezes mais r pido do que um proxy assim seu uso deve ser analisado dependendo do tr fego que circula pelo link e da seguran a dos dados que trafegam atrav s dele Uma boa pr tica aliar esta op o a um IDS externo usando o alvo QUEUE e deixando o trabalho de espe o de conte do para ele Um exemplo de restri o direta o bloqueio do envio de qualquer informa o confidencial sigilosa para fora da rede interna n mero de contas tudo que conferir com CPF
500. ok ou qualquer outro que suporte o protocolo pop8 16 1 1 Vers o assumido que esteja usando a vers o 4 0 3 do qpopper As explica es contidas aqui podem funcionar para vers es posteriores mas recomend vel que leia a documenta o sobre modifica es no programa changelog em busca de mudan as que alterem o sentido das explica es fornecidas aqui 16 1 2 Contribuindo O site do gpopper lhttp www eudora com qpopper an ncios de novas vers es bugs e corre es s o enviados para qpopper announcelrohan qualcomm com inscreva se enviando uma mensagem com o assunto subscribe para o nome da lista acrescentando request A lista de suporte aos usu rios gpopperflists pensive org o m todo de inscri o id ntico a lista announce 16 1 3 Caracter sticas Simples de configurar Possui um timeout padr o de 30 segundos ao inv s de 10 minutos do protocolo pop3 padr o O protocolo pop3 mais simples e consome menos recursos no servidor que o IMAP Suporte a envio de boletins aos usu rios do sistema Inclui suporte a TLS SSL Suporte a senhas ocultas shadow passwords Suporta PAM Suporte a autentica o via APOP Alta performance 245 16 1 4 Ficha t cnica Pacote gpopper Utilit rios e in gpopper Servidor pop3 e popauth Manipula os bancos de dados de autoriza o quando usado o m todo de autentica o APOP Arquivos de configura o e etc popper allow Cont m a
501. olet nea de textos sobre o Linux enviada Eles est o sendo muito teis tanto para mim quanto no desenvolvimento do guia e Gustavo Noronha dockovftzaz com br Vem enviando frequentes corre es contribui es construtivas ao desenvolvimento al m de apoio ao desenvolvimento do guia Vale a pena destaca lo por sua atual dedica o junto a distribui o Debian GNU sua tradu o e a comunidade Open Source e Pedro Zorzenon Neto pznfdebian org Envio de diversas atualiza es para o n vel Avan ado principalmente sobre o firewall iptables 21 6 Marcas Registradas Todas as marcas registradas citadas neste guia s o propriedades de seus respectivos autores 21 7 Futuras vers es Estes s o os materiais que pretendo adicionar em futuras vers es do guia e Acrescentar mais detalhes sobre o sistema gr fico X Window e Entre outros tens que venho estudando para verificar se encaixam no perfil do guia Esta uma futura implementa o que venho estudando para acompanhar o crescimento do guia Sugest es s o bem vindas e podem ser enviadas para gleydsonfguiafoca org 383 21 8 Chave P blica PGP Chaves PGP s o usadas para criptografar arquivos e mails ou qualquer outra coisa que desejamos que somente uma pessoa tenha acesso O PGP segue o padr o de chave p blica privada a chave p blica distribu da a todos e a chave privada permanece na posse do criador para que ele seja o nico a ter acesso aos dados criptografados
502. om ACT Y Para ativar as configura es selecionadas basta descomentar a linha ACT Y no final do bloco de configura o CONFIGURE CTL0028 268565341 LD 0 ANSI string gt Audio lt Pela string acima esta a configura o de Audio da Sound Blaster Hora de m ltiplas escolhas escolha apenas uma Inicia fun es dependentes classificada por prioridade aceit vel IRO 5 7 ou 10 INT O IRQ 5 MODE E Foi especificada a IRQ 5 na configura o acima Primeiro canal DMA 0 1 ou 3 Somente DMA de 8 bits Dispositivo l gico n o um bus master DMA may execute in count by byte mode DMA may not execute in count by word mode DMA channel speed in compatible mode DMA O CHANNEL 1 O valor da DMA 8 bits padr o 0 o mais baixo mas este n o o valor que desejamos Ajustamos o valor para 1 Next DMA channel 5 6 or 7 16 bit DMA only Logical device is a bus master DMA may not execute in count by byte mode DMA may execute in count by word mode DMA channel speed in compatible mode DMA 1 CHANNEL 5 O canal DMA 16 bits desejado para a Sound Blaster o 5 Apenas descomentamos a linha acima Logical device decodes 16 bit IO address lines Minimum IO base address 0x0220 Maximum IO base address 0x0280 IO base alignment 32 bytes Number of IO addresses required 16 IO O SIZE 16 BASE 0x0220 Apenas descomentamos a linha Logical device decodes 16 bit IO add
503. omingo 31 de julho de 2005 Gleydson Mazioli da Silva gleydsoneguiafoca org 384 385
504. on s no qual o c digo padr o da rede pl pode desejar usar AddLanguage pl po para evitar confus o de nomes com a extens o comum de scripts scripts em linguagem Perl Nota 2 As entradas de exemplos abaixo mostram que em alguns casos as duas letras de abrevia o do Idioma n o id ntico as duas letras do Pa s para seu pa s como Danmark dk versus Danish da Nota 3 No caso de ltz n s violamos a RFC usando uma especifica o de tr s caracteres Mas existe um trabalho em progresso para corrigir isto e obter os dados de refer ncia para limpar a RFC1766 Danish da Dutch nl English en Estonian ee French fr German de Greek Modern el Italian it Portugese pt Luxembourgeois ltz Spanish es Swedish sv Catalan ca Czech cz Polish pl Brazilian Portuguese pt br Japanese ja AddLanguage da dk AddLanguage nl nl AddLanguage en en AddLanguage et ee AddLanguage fr fr AddLanguage de de AddLanguage el el AddLanguage it it AddLanguage ja ja AddCharset ISO0 2022 JP jis 215 AddLanguage pl po AddCharset IS0 8859 2 iso pl AddLanguage pt pt AddLanguage pt br pt br AddLanguage ltz lu AddLanguage ca ca AddLanguage es es AddLanguage sv se AddLanguage cz cz LanguagePriority permite definir a prioridade para a exibi o de documentos caso nenhum documento confira durante a negocia o de conte do Para fazer isto es
505. oot Especifica o de m quinas O primeiro campo Host Alias diz que a vari vel OCALSERVER ser um nome endere o de m quina Host Alias LOCALSERVER 192 168 0 1 Especifica o de usu rios O primeiro campo User Alias diz que a vari vel ETMASTERS armazenar nomes de usu rios User Alias NETMASTERS gleydson goodboy Comandos O primeiro campo Cmnd Alias diz que a vari vel C REDE cont m comandos do sistema Mais de um par metro deve ser separado por v rgulas Cmnd Alias C REDE sbin ipchains sbin iptables Padr es que se aplicam aos usu rios da vari vel NETMASTERS O par metro mail always sempre envia um e mail ao root avisando sobre o uso do sudo Defaults NETMASTERS mail always As linha que come am com o nome de usu rio ou vari vel User Alias definem o acesso aos recursos O primeiro campo o usu rio o segundo o endere o de acesso opcionalmente seguido de um sinal para especificar op es adicionais o terceiro o comando ou lista de comandos O usu rio root n o tem restri es root ALL ALL ALL Permite que os usu rios especificados na vari vel NETMASTERS acessando dos locais em LOCALSERVER utilizem os comandos em C REDE sem fornecer senha NETMASTERS LOCALSERVER NOPASSWD C REDE Edite este arquivo com o coman
506. ortante come ar com o nome do boletim com pelo menos 5 d gitos 00001 00002 00008 etc Vamos usar 00001 teste em nosso exemplo 3 A primeira linha do boletim deve conter a palavra From e um espa o e deve ser completada com um nome e data seguido de campos essenciais para o envio da mensagem From teste Sex Set 29 21 40 00 2001 To userflocalhost From Administrador do Sistema lt root ftlocalhost gt Date Fri 29 Sep 2001 21 40 00 0800 PST Subject Teste do sistema de boletins Este apenas um teste para o sistema de boletins Se tudo estiver OK voc receber esta mensagem quando pegar seus e mails no cliente pop3 ste boletim ser registrado no arquivo popbull para que n o seja novamente recebido Deve haver uma linha em branco para separar o cabe alho da mensagem OBS Quando incluir novos usu rios no sistema somente os ltimos 10 boletins ser o enviados 16 1 12 Especificando quotas para as caixas de correio Crie o diret rio de spool var mail em uma parti o separada e ative o sistema de quota do Linux nela Leia as instru es emjLimitando o uso de espa o em disco quotas Se o 19 12 16 1 13 Restringindo acesso ao servidor pop3 O controle de acesso de conex es feito via m todo t cpa usando o daemon in gpopper veja 0 mecanismo de controle de acessos tcpd Se o 4 8 3 O controle de acesso dos usu rios feito atrav s do arquivos etc popper allow e etc popper deny
507. os 172 OBS1 A op o Options n o tem efeito dentro da diretiva FILES OBS2 Tanto faz usar mai sculas quanto min sculas nas diretivas de configura o op es e par metros de configura o do Apache a capitaliza o apenas ajuda a leitura e interpreta o SymLinkslfOwnerMatch LinksSimb licosSeDonoConferir As op es especificadas para o diret rio afetam tamb m seus sub diret rios a n o ser que sejam especificadas op es separadas para o sub diret rio lt Directory var www gt Options Indexes FollowSymLinks lt Directory gt Ao acessar o diret rio var www focalinux as permiss es usadas ser o de var www ao menos que uma diretiva lt Directory gt ou lt Location gt seja especificada lt Directory var www gt Options Indexes FollowSymLinks lt Directory gt lt Directory var www focalinux gt Options Includes lt Directory gt As op es e restri es de acesso de var www focalinux ser o EXATAMENTE as especificadas no bloco da diretiva lt Directory var www focalinux gt e somente os includes ser o permitidos Para adicionar ou remover uma op o individual definidas por diretivas anteriores podem ser usado os sinais ou por exemplo lt Directory var www gt Options Indexes FollowSymLinks lt Directory gt lt Directory var www focalinux gt Options Includes Indexes lt Directory gt As op es Indexes e FollowSymLinks s o definidas para o diret rio var w
508. os alguns pontos positivos negativos de sua utiliza o para aumentar a seguran a quando usado junto com o mecanismo de controle de acesso O servidor identd escolhido para ser descrito nesta se o do guia foi o oidenta 13 1 Introdu o O ident identidade um servidor que permite identificar qual o usu rio efetuou determinada conex o e o sistema operacional usado Ele opera na porta 113 por padr o e retorna nomes de usu rios localmente v lidos e consultado por servi os conhecidos como IRC alguns servidores ftp smtp e outros Outro benef cio a utiliza o de mecanismos de restri es de acesso baseadas em usu rios endere olP o tcpd um exemplo de servi o que permite esta caracter stica A sintaxe usada para fazer tal restri o universal usu rioDendere o P onde normalmente aparece o endere o P que usado para bloquear permitir o acesso No momento da conex o o endere o IP checado pra ver se confere e o servidor Ident da m quina que est efetuando a conex o consultado para checar se o usu rio que tem acesso o mesmo especificado no controle de acesso Isso aumenta um pouco a seguran a do sistema mas existem algumas implica es e pontos fr geis do identa que ser o explicados no decorrer deste cap tulo 13 1 1 Vers o assumido que esteja usando a vers o 1 7 do oidenta As explica es contidas aqui podem funcionar para vers es posteriores mas recomend vel que leia a docume
509. os dois comandos abaixo para habilitar o masquerading para todas as m quinas da rede 192 168 1 iptables t nat A POSTROUTING s 192 168 1 0 24 j MASQUERADE echo 1 gt proc sys net ipv4 ip_forward A configura o do servidor Linux est completa agora os clientes da rede precisar o ser configurados para usar o endere o IP do servidor Linux como gateway recomend vel instalar um servidor proxy e DNS na m quina Linux para acelerar o desempenho das requisi es resolu o de nomes das m quinas em rede A utiliza o de bits TOS tamb m pode trazer um grande aumento de velocidade para os diferentes servi os da rede veja Especificando o tipo de servi o Se o 10 5 1 133 10 4 3 Fazendo SNAT SNAT source nat nat no endere o de origem consiste em modificar o endere o de origem das m quinas clientes antes dos pacotes serem enviados A m quina roteadora inteligente o bastante para lembrar dos pacotes modificados e reescrever os endere os assim que obter a resposta da m quina de destino direcionando os pacotes ao destino correto Toda opera o de SNAT feita no chain POSTROUTING permitido especificar endere os de origem destino protocolos portas de origem destino interface de entrada sa da dependendo do chain alvos etc E desnecess rio especificar fragmentos na tabela nat pois eles ser o remontados antes de entrar no c digo de roteamento O SNAT a solu o quando voc tem ac
510. os m todos acima e dev 1po0 para uma impressora em dev 1p0 e para redirecionar a sa da de processamento do gs para a sa da padr o til para usar o gs com pipes e 1pr Envia a sa da do Ghost Script para o daemon de impress o O objetivo deixar a impress o mais r pida Se voc curioso ou n o esta satisfeito com as op es mostradas acima veja a p gina de manual do gs 9 5 Magic Filter O Magic Filter um filtro de impress o inteligente Ele funciona acionado pelo spool de impress o mais especificamente o arquivo etc printcap e permite identificar e imprimir arquivos de diversos tipos diretamente atrav s do comando lpr arquivo um timo programa e ALTAMENTE RECOMENDADO se voc deseja apenas clicar no bot o imprimir e deixar os programas fazerem o resto A inten o do programa justamente automatizar os trabalhos de impress o e spool A maioria dos programas para ambiente gr fico X11 incluindo o Netscape Word Perfect Gimp e Star Office trabalham nativamente com o magicfilter 9 5 1 Instala o e configura o do Magic Filter O Magic Filter encontrado no pacote magicfilter da distribui o Debian e baseadas 105 Sua configura o pode ser feita com o programa magicfilterconfig que torna o processo de configura o r pido e f cil para quem n o conhece a sintaxe do arquivo etc printcap ou n o tem muitas exig ncias sobre a configura o detalhada da impressora A
511. os para que os diret rios especificados no arquivo etc cvs pserver conf sejam criados com as devidas permiss es Para adicionar manualmente um reposit rio var lib cvs execute os seguintes passos 1 Execute o comando cvs d var lib cvs init para criar o reposit rio e os arquivos administrativos que ficam armazenados dentro de CVSROOT 2 Mude as permiss es do diret rio para sgid com chmod 2775 var 1lib cvs Mude o dono grupo com o comando chown root src var lib cvs 4 Opcional caso utilize o m todo de acesso pserver ser necess rio adicionar a op o allow root var 1ib cvs na linha que inicia o servidor pserver Este par metro deve ser usada para cada reposit rio adicionado no servidor w A partir de agora seu reposit rio j est pronto para ser utilizado 17 3 3 Logando no servidor de CVS via pserver Quando usado o m todo de acesso pserver pserver password server Se o 17 2 4 necess rio fazer para ter acesso ao reposit rio Por exemplo para acessar o reposit rio var 1ib cvs no servidor servidor org br export CVSROOT pserver anonymousftservidor org br var lib cvs cvs login ou cvs d pserver anonymousftservidor org br var lib cvs login Ent o ser solicitada a senha para ter acesso ao sistema Note que toda a se o de cvs ocorre por comandos interativos que logo ap s conclu dos retornam para o interpretador de comandos O restante desta se o descrever estes comandos e co
512. os por 200 241 200 40 e enviados para fora Quando a resposta a requisi o retornada a m quina com iptables recebe os pacotes e faz a opera o inversa modificando o endere o 200 241 200 40 novamente para 192 168 1 2 e enviando a resposta a m quina de nossa rede interna Ap s definir suas regras de NAT execute o comando echo 1 gt proc sys net ipv4 ip forward para habilitar o suporte a redirecionamento de pacotes no kernel Tamb m poss vel especificar faixas de endere os e portas que ser o substitu das iptables t nat A POSTROUTING s 192 168 1 0 24 o eth0 j SNAT to 200 200 217 40 200 200 217 50 Modifica o endere o IP de origem de todas as m quinas da rede 192 168 1 0 24 que tem o destino a interface eth0 para 200 241 200 40 a 200 241 200 50 O endere o IP selecionado escolhido de acordo com o ltimo IP alocado iptables t nat A POSTROUTING s 192 168 1 0 24 o eth0 j SNAT to 200 200 217 40 200 200 217 50 1 1023 Id ntico ao anterior mas faz somente substitui es na faixa de portas de origem de 1 a 1028 134 iptables t nat A POSTROUTING s 192 168 1 0 24 o eth0 j SNAT to 200 200 217 40 200 200 217 50 to 200 200 217 70 200 200 217 73 Faz o mapeamento para a faixa de portas 200 200 217 40 a 200 200 217 50 e de 200 200 217 70 a 200 200 217 78 OBS1 Se por algum motivo n o for poss vel mapear uma conex o NAT ela ser derrubada OBS2 Tenha certeza que as respostas podem chegar at a
513. otes Este gr fico foi retirado do documento net filter hacking HOWTO txt e mostra a estrutura geral de passagem dos pacotes nas tabelas chains Os exemplos de passagem de pacotes acima poder o ser facilmente comparados com as etapas abaixo para compreender a estrutura do iptables E gt PREROUTING gt ROTEAM gt FORWARD gt POSTROUTING gt S Mangle e Mangle Mangle NAT DNAT Filter NAT SRC ROTEAM v IN Mangle OUT Mangle Filter A NAT DNAT Filter 10 8 Exemplos de configura es do iptables Exemplo de como bloquear todas as conex es para a m quina do firewall permitindo somente conex es da m quina Linux para fora 10 8 1 Bloqueando conex es de fora para sua m quina As regras a seguir servem para bloquear tentativas de conex es da interface de Internet ppp0 a sua rede sem bloquear o tr fego de conex es j iniciadas O tr fego de outras interfaces n o afetado com as regras a seguir iptables A INPUT i ppp0 m stat state ESTABLISHED RELATED j DROP Todas as conex es vindas de pppO de estado diferente de ESTABLISHED e RELATED NEW e INVALID ser o derrubadas Veja Conferindo de acordo com o estado da conex o Se o 10 6 1 para detalhes iptables A INPUT i ppp0 syn j DROP Este acima mais simples e possui o mesmo efeito Pacotes SYN s o usados para iniciar conex es derrubando p
514. p gina for o Internet Explorer a vari vel EXPLODER ser criada e ter o valor verdadeiro porque a express o de SetEnvlf conferiu com a express o Note o uso de deny from env VARI VEL Neste caso se o navegador for o Internet Explorer 0 acesso ser bloqueado pois o navegador conferiu assim a vari vel EXPLODER recebeu o valor verdadeiro permitido especificar as diretivas de acesso normais junto com especifica o de vari veis de ambiente basta separa los com espa os Uma descri o completa dos cabe alhos HTTP conte do e par metros aceitos por cada um s o descritos na RFC 2068 12 7 6 A diretiva lt Limit gt Esta diretiva semelhante a lt Directory gt mas trabalha com m todos HTTP como GET PUT POST etc ao inv s de diret rios A diretiva lt Limit gt pode ser usada dentro da diretiva de acesso lt Directory gt lt Location gt mas nenhuma diretiva de controle de acesso pode ser colocada dentro de lt Limit gt Os m todos HTTP v lidos s o GET POST PUT DELETE CONNECT OPTIONS TRACE PATCH PROPFIND PROPPATCH MKCOL COPY MOVE LOCK e UNLOCK Note que os m todos s o case sensitive Por exemplo lt Directory var www gt Option Indexes lt Limit POST PUT DELETE gt Order deny allow allow from 192 168 1 0 24 deny from all lt Limit gt lt Directory gt Somente permitem o uso dos m todos POST PUT DELETE de m quinas da rede interna OBS1 Se o m todo GET
515. p s instalar o magicfilter reinicie o daemon de impress o se estiver usando a Debian entre no diret rio etc init d e como usu rio root digite lpr restart Ou lprng restart Para testar o funcionamento do magicfilter digite lpr alphabet ps e lpr tiger ps OS arquivos ser o enviados para O magicfilter que identificar o arquivo como Pos Script executar o Ghost Script e retornar o resultado do processamento para o daemon de impress o O resultado ser visto na impressora Se tiver problemas verifique se a configura o feita com o magicfilterconfig est correta Caso precise re configurar O magicfilter digite magicfilterconfig force lembre se que a op o force substitui qualquer configura o personalizada que tenha adicionado ao arquivo etc printcap 9 5 2 Outros detalhes t cnicos sobre o Magic Filter Durante a configura o do magicfilter a seguinte linha adicionada ao arquivo etc printcap if etc magicfilter epson9 filter N o tenho nenhum contrato de divulga o com a epson estou usando esta marca de impressora porque a mais tradicional e facilmente encontrada A linha que come a com if no magicfilter identifica um arquivo de filtro de impress o O arquivo etc magicfilter epson9 filter criado usando o formato do magicfilter e n o dif cil entender seu conte do e fazer algumas modifica es usr sbin magicfilter Magic filter setup file for 9 pin Epson or compatible
516. para o n vel warning e destino O destino das mensagens pode ser um arquivo um pipe se iniciado por um um computador remoto se iniciado por uma determinados usu rios do sistema especificando os logins separados por v rgula ou para todos os usu rios logados via wa11 usando Todas as mensagens com o n vel especificado e superiores a esta especificadas no syslog conf ser o registradas de acordo com as op es usadas Conjuntos de facilidades e n veis podem ser agrupadas separando as por OBS1 Sempre use TABS ao inv s de espa os para separar os par metros do syslog conf OBS2 Algumas facilidades como security emitem um beep de alerta no sistema e enviam uma mensagem para o console como forma de alerta ao administrador e usu rios logados no sistema Existem ainda 4 caracteres que garantes fun es especiais e rm e Todas as mensagens da facilidade especificada ser o redirecionadas e Somente o n vel especificado ser registrado e Todos os n veis especificados e maiores NAO ser o registrados e Pode ser usado para desativar o sync imediato do arquivo ap s sua grava o Os caracteres especiais e podem ser combinados em uma mesma regra Exemplo Veja abaixo um exemplo de um arquivo etc syslog conf padr o de sistemas Debian Primeiro alguns arquivos de log padr es Registrados por facilidade auth authpriv var log auth log auth a
517. para tr fego de sa da o 10 5 1 2 Especificando o TOS para o tr fego de entrada 6 Outros m dulos do iptable 0 6 1 Conferindo de acordo com o estado da conex o 0 6 2 Limitando o n mero de vezes que a regra confere e md o qa N gt Q D Q 5 D 0 6 3 Prote o contra ping da morte 0 6 4 Prote o contra syn flood 0 6 5 Prote o contra IP spoofing 0 6 6 Especificando m ltiplas portas de origem destino 0 6 7 Especificando o endere o MAC da interface 0 6 8 Conferindo com quem criou o pacote 0 6 9 Conferindo com o conte do do pacote 0 6 10 Conferindo com o tempo de vida do pacote 0 6 11 Conferindo com n meros RPC 0 6 12 Conferindo com tipo de pacote 0 6 13 Conferindo com o tamanho do pacote O 0 7 1 Ping de 192 168 1 1 para 192 168 1 1 0 7 2 Conex o FTP de 192 168 1 1 para 192 168 1 1 0 7 3 Conex o FTP de 192 168 1 1 para 192 168 1 4 7 4 Conex o e 217 29 67 para a m quina ftp 0 7 7 Conex o FTP de 192 168 1 4 para ftp debian org 0 7 9 Gr fico geral da passagem dos pacotes 8 Exemplos de configura es do iptables 0 8 1 Blogueando conex es de fora para sua m quina 0 8 2 Monitorando tentativa de conex o de trojans em sua m quina 0 8 3 Conectando sua rede interna a Interne 0 8 4 Um exemplo de firewall simples Gerenciamento de contas e cuidados para a prote o de senhas 11 1 Introdu o 2 Cria o monitoramento e seguran a de contas 1 2 1 Definindo valores padr es de restri o 1 2 2 Senhas f
518. partilhamento como usu rio g1eydson usando o grupo de trabalho teste smbclient samba1 discoc U gleydson testel W teste Id ntico ao acima mas tamb m envia a senha teste1 para fazer a conex o diretamente Caso receba a mensagem NT Status Access Denied isto quer dizer que n o possui direitos de acesso adequados para listas ou acessar os compartilhamentos da m quina Nesse caso utilize as op es U usu rio e W grupo dom nio para fazer acesso com uma conta v lida de usu rio existente na m quina OBS Note que a ordem das op es faz diferen a no smbmount 18 14 2 9 3 nmblookup Esta uma ferramenta usada para procurar nomes de cliente usando o endere o IP procurar um IP usando o nome e listar as caracter sticas de cada cliente Veja alguns exemplos nmblookup A 127 0 0 1 Lista o nome e as op es usadas pelo servidor 127 0 0 1 nmblookup servidor Resolve o endere o IP da m quina servidor 330 A listagem exibida pela procura de IP do nmblocokup possui c digos hexadecimais e cada um deles possui um significado especial no protocolo NetBEUI Segue a explica o de cada um Identifica o da m quina e COMPUTADOR lt 00 gt O servi o NetBEUI est sendo executado na m quina e COMPUTADOR lt 03 gt Nome gen rico da m quina nome NetBIOS e COMPUTADOR lt 20 gt Servi o LanManager est sendo executado na m quina Identifica o de grupos dom nio e GRUPO TRABALHO lt 1d gt lt GRUPO gt Navegador Lo
519. pecifique os idiomas em ordem de prefer ncia de exibi o de idiomas A HE dE d d H o IfModule mod_negotiation c gt LanguagePriority pt br pt es en da nl et fr de el it ja pl ltz ca sv lt IfModule gt AddType permite modificar o mime types sem editar o arquivo ou fazer a associa o de arquivos a certos tipos de conte do Por exemplo o m dulo PHP 3 x que n o faz parte da distribui o do Apache veja http www php net tipicamente utiliza isto AddType application x httpd php3 php3 AddType application x httpd php3 source phps E para arquivos PHP 4 x use AddType application x httpd php php AddType application x httpd php source phps AddType application x tar tgz AddType image bmp bmp hdmi AddType text x hdml hdml AddHandler permite mapear certas extens es de arquivos a programas manipuladores adequados a seu conte do Estes podem ser constru dos no servidor ou adicionados com o comando Action veja abaixo Se desejar usar includes no lado do servidor ou servir diret rios com scripts CGI para fora descomente as seguintes linhas Para usar scripts CGI AddHandler cgi script cgi sh pl Para usar arquivos html gerados atrav s do servidor AddType text html shtml AddHandler server parsed shtml Descomente as seguintes linhas para ativar a caracter sticas de arquivos send asis HTTP do servidor Apache AddHandler send as is asis 216 Se desejar usar arquivo
520. pedida a senha que escolheu e seu sistema de arquivos ser montado em pub swap fs Com este sistema seus dados estar o protegidos mesmo do usu rio root 20 5 Usando pgp gpg para criptografia de arquivos O gpg GNU pop vers o livre da ferramenta pgp permite encriptar dados assim somente o destinat rio ter acesso aos dados adicionalmente poder verificar se a origem dos dados confi vel atrav s da assinatura de arquivos O sistema PGP se baseia no conceito de chave p blica e privada Sua chave p blica distribu da para as pessoas que deseja trocar dados mensagens e a chave privada fica em sua m quina ela n o pode ser distribu da As chaves p blicas e privadas s o armazenadas nos arquivos pubring gpg e secring gpg respectivamente dentro do subdiret rio gnupg Veja de chaves p blica privada Se o 20 5 2 para criar este par de chaves Os dados que recebe de outra pessoa s o criptografados usando sua chave p blica e somente voc de posse da chave privada poder desencriptar os dados Quando assina um arquivo usando o pgp ele faz isto usando sua chave privada o destinat rio de posse da chave p blica poder ent o confirmar que a origem dos dados confi vel O gpg vem largamente sendo usado para transmiss o segura de dados via internet Muitos programas de e mails como O mutt e sylpheed incluem o suporte a pgp embutido para envio de mensagens assinadas encriptadas MIME n o tem uma codifica o s
521. pessoal Se o 20 5 8 e Extraindo sua chave p blica do chaveiro Se o 20 5 7 20 3 3 Servidor pop3 A alternativa mais segura a utiliza o do protocolo IMAP com suporte a ssl Nem todos os clientes de e mail suportam este protocolo 20 3 4 Transfer ncia de arquivos Ao inv s do ftp use O scp ou O sftp para transfer ncia segura de arquivos Veja scp Se o 15 2 2 e sftp Se o 15 2 3 Uma outra alternativa a configura o de uma VPN entre redes para garantir n o s a transfer ncia de arquivos mas uma se o em cima de um tunel seguro entre duas pontas 369 20 3 5 login remoto Ao inv s do uso do rlogin telnet e rsh utilize o ssh veja ssh Se o 15 2 1 ou o telnet com suporte a ssl vejalnstala o Se o 14 1 6 20 3 6 Bate papo via IRC O programa SILC Secure Internet Live Conference realiza a criptografia de dados durante o bate papo entre diversos usu rios conectados via rede 20 3 7 Transmiss o de mensagens via ICQ O protocolo ICQ trabalha de forma plana para transmiss o de suas mensagens inclusive as senhas Clientes anteriores ainda usavam o UDP at a vers o 7 para envio de mensagens piorando um pouco mais a situa o e deixando o cliente mais vulner vel a falsifica es de pacotes Outro ponto fraco que se alguma coisa acontecer com os pacotes UDP eles ser o simplesmente descartados perdendo a mensagem Ao inv s do ICQ voc poder usar algum cliente do protocol
522. poss vel especificar um nome e senha para acesso ao recurso solicitado As senhas s o gravadas em formato criptografado usando Crypto ou MDS conforme desejado O arquivo de senhas pode ser centralizado ou especificado individualmente por usu rio diret rio ou at mesmo por arquivo acessado 12 7 2 1 Criando um arquivo de Senhas O arquivo de senhas pode ser criado e mantido atrav s do uso de 3 utilit rios htpasswd htdigest e dbmmanage 178 12 7 2 1 1 htpasswd Este usado para criar o arquivo de senhas Para criar um banco de dados com o nome senhas para o usu rio convidado usada a seguinte sintaxe htpasswd c m senhas convidado Voc ser perguntado por uma senha para o usu rio convidado e para redigita la A op o c indica que dever ser criado um arquivo a op o m indica a utiliza o de senhas criptografadas usando o algoritmo MD5 que garante maior seguran a que o m todo Crypto A senha pode ser especificada diretamente na linha de comando atrav s da op o b isto um timo recurso para utiliza o em shell scripts ou programas CGI de integra o com o navegador htpasswd b d senhas chefe abcdef No exemplo acima uma senha de alta seguran a ser introduzida no banco de dados senhas tornando imposs vel o acesso a p gina do usu rio Note que esta senha foi cadastrada usando o algoritmo de criptografia Crypto op o d O algoritmo SHA tamb m pode ser usado como alternati
523. possuem cifragem de 128 bits sendo o serpent o preferido O gerenciamento do sistema loop encriptado feito atrav s do m dulo 100p gen Quando executado pela primeira vez ser lhe pedida uma senha que ser usada para montagens futuras de seu sistema de arquivos Digite a com aten o pois ela ser lhe pedida apenas uma vez Para desativar o sistema de arquivos loop execute o comando losetup d dev loop0 OBS Se errou a senha ser necess rio desmontar apagar o arquivo criado e repetir o procedimento Crie um sistema de arquivos ext2 para armazenamento de dados mkfs t ext2 dev loop0 OUmkfs ext2 dev loop0 Monte o sistema de arquivos Crie um diret rio que ser usado para montagem do seu sistema de arquivos se preferir monta lo dentro de seu diret rio pessoal para armazenar seus arquivos crie um diret rio com as permiss es 0700 mount pub swap fs pub criptofs t ext2 o loop Agora poder gravar seus arquivos dentro deste diret rio normalmente como qualquer outro O comando df hT listar a parti o loop como uma parti o do tipo ext2 comum Desmontando Protegendo os dados Ap s usar o sistema de arquivos criptogr fico desmonte o e desative o dispositivo loopback 371 umount pub criptofs losetup d dev loop0 Remontando o sistema de arquivos criptografado Execute novamente os comandos losetup e twofish dev loop0 pub swap fs mount pub swap fs pub criptofs t ext2 o loop Ser
524. privada original antes de executar esta opera o OBS2 N o se esque a de ajustar as permiss es de acesso no diret rio etc apache ssl key caso n o utilize senha para proteger seu certificado digital 12 14 Exemplo comentado de um arquivo de configura o do Apache O exemplo abaixo foi retirado da distribui o Debian GNU Linux fiz sua tradu o modifica es e inclui alguns coment rios sobre as diretivas para deixa lo mais de acordo com o conte do abordado pelo guia e mais auto explicativo A configura o do Apache est distribu da nos arquivos httpd conf srm conf eaccess conf podem ser usados como modelo para a constru o da configura o de seu servidor 12 14 1 httpd conf httpd conf Arquivo de configura o do servidor httpd Apache 4 205 Baseado nos arquivos de configura o originais do servidor NCSA por Rob McCool Modificado para distribui o junto ao guia Foca GNU Linux Avan ado http focalinux cipsga org br lt gleydsonfguiafoca org gt Este o arquivo de configura o principal do servidor Apache Ele cont m as diretivas de configura o que d o ao servidor suas instru es Veja lt http www apache org docs gt para informa es detalhadas sobre as diretivas N O leia simplesmente as instru es deste arquivo sem entender o que significam e o que fazem se n o tiver certeza do que est fazendo consulte a documenta o on line ou leia as se es apropria
525. pt executado 19 1 4 Finalizando consoles inativos A vari vel TMOUT determina o tempo de inatividade de um shell para que ele seja terminado export TMOUT 600 Terminar o bash caso nenhum comando seja executado no per odo de 600 segundos 5 minutos Veja Uso do comando readonly para exportar vari veis Se o 19 1 1 como complemento 343 19 1 5 Desabilitando o registro de comandos digitados Todos os comandos que digitamos em uma se o do shell s o registrados no arquivo bash history as seguintes vari veis fazem seu controle e HISTFILE Nome do arquivo que armazenar o hist rico de comandos O padr o bash history Caso n o seja especificado os comandos n o ser o gravados ap s finalizar o shell e HISTSIZE Define o n mero de comandos que o arquivo de hist rico poder armazenar o padr o 500 e HISTFILESIZE Define o n mero m ximo de linhas no arquivo de hist rico Se voc possui muitos usu rios em seu sistema recomendado ajustar estas vari veis como somente leitura para que o usu rio n o desative o logging por qualquer motivo vejalUso do comando readon para exportar vari veis Se o 19 1 1 19 1 6 Desabilitando servi os de shell para usu rios Existem casos onde o usu rio precisa estar cadastrado no sistema mas n o precisa ter acesso a uma conta de login v lida como um sistema servidor de e mail ou outros servi os Neste caso a desabilita o dos servi os de shell a
526. ptografia assinatura etc dever o ser buscados na documenta o deste m dulo ou em sites especializados um assunto muito longo 12 13 1 Servidor apache com suporte a ssl Ao inv s de utilizar o m dulo mod ss1 voc poder usar o pacote apache ss1 ele nada mais que um servidor Apache com o suporte SSL j incluso e n o interfere no servidor Apache padr o porque executado somente na porta 448 Se voc tem um grande site com configura es de acesso personalizadas ele trar mais trabalho de administra o pois as configura es e diretivas de restri es de acesso dever o ser copiadas para este servidor web No entanto ele indicado para m quinas que ser o servidores SSL dedicados ou quando n o possui configura es especiais em seu servidor web principal Esta se o tem por objetivo a instala o do suporte ao m dulo SSL mod ss1 no servidor Apache padr o 12 13 2 Instalando o suporte a m dulo SSL no Apache Instale o pacote libapache mod ss1 Ap s instala lo edite o arquivo etc apache hnttpd conf adicionando a linha LoadModule ssl module usr lib apache 1 3 mod ssl so Depois gere um certificado digital ssl com o programa mod ssl makecert Ele ser armazenado por padr o nos diret rios em etc apache ss1 e seu uso explicado no resto desta se o 12 13 3 Gerando um certificado digital O certificado digital a pe a que garante a transfer ncia segura de dados Ele cont m detalhes
527. qui podem funcionar para vers es posteriores mas recomend vel que leia a documenta o sobre modifica es no programa changelog em busca de mudan as que alterem o sentido das explica es fornecidas aqui 15 1 2 Hist ria O openssH explicado neste cap tulo baseado na ltima vers o livre do implementa o de Tatu Ylonen com todos os algoritmos patenteados para bibliotecas externas removidos todos as falhas de seguran a corrigidas novas caracter sticas e muitas outras melhorias O openSSH foi criado por Aaron Campbell Bob Beck Markus Friedl Niels Provos Theo de Raadt e Dug Song 15 1 3 Contribuindo A Home page principal Falhas corre es e sugest es podem ser enviadas para a lista de discuss o openssh unix dev mindrot org aberta a postagens de usu rios n o inscritos 15 1 4 Caracter sticas Abaixo as principais caracter sticas do servi o ssh Openssh Conex o de dados criptografada entre cliente servidor C pia de arquivos usando conex o criptografada Suporte a ftp criptografado sftp Suporte a compacta o de dados entre cliente servidor Controle de acesso das interfaces servidas pelo servidor ssh Suporte a controle de acesso tcp wrappers Autentica o usando um par de chaves p blica privada RSA ou DSA Algoritmo de criptografia livre de patentes Suporte a PAM Suporte a caracteres ANSI cores e c digos de escape especiais no console 15 1 5 Ficha t cnica Pacot
528. r finalizado logo ap s ler este arquivo Abaixo exemplos de localiza o com as explica es e export LANG pt BR Usa o idioma pt BR como l ngua padr o do sistema Caso o idioma Portugues do Brasil n o esteja dispon vel C usado Ingl s e export LANG c Usa o idioma Ingl s como padr o a mesma coisa de n o especificar LANG pois o idioma Ingl s usado como padr o e export LANG pt BR pt PT es ES C Usao idioma Portugu s do Brasil como padr o caso n o esteja dispon vel usa o Portugu s de Portugal se n o estiver dispon vel usa o Espanhol e por fim o Ingl s recomend vel usar a vari vel LC ALL para especificar o idioma desta forma todos os outras vari veis LANG MESSAGES LC MONETARY LC NUMERIC LC COLLATE LC CTYPE e LC TIME ser o configuradas automaticamente 8 3 alias Permite criar um apelido a um comando ou programa Por exemplo se voc gosta de digitar como eu o comando 1s color auto para ver uma listagem longa e colorida voc pode usar o comando alias para facilitar as coisas digitando alias ls 1s color auto n o se esque a da meia aspa para identificar o comando Agora quando voc digitar 1s a listagem ser mostrada com cores Se voc digitar 1s 1a a op o la ser adicionada no final da linha de comando do alias 1s color auto la e a listagem tamb m ser mostrada em cores Se quiser utilizar isto toda
529. r o enviados somente avisos sobre a quota ultrapassada sem 359 bloquear totalmente a grava o de arquivos at que o limite hard seja atingido ou o tempo de toler ncia seja ultrapassado Quando a quota soft do usu rio grupo estourada a mensagem warning user disk quota excedeed ser exibida Quando a quota hard ultrapassada a grava o atual interrompida e a mensagem write failed user disk limit reatched mostrada ao usu rio Nenhuma nova grava o que ultrapasse a quota hard permitida Por exemplo para modificar a quota do usu rio gleydson edquota gleydson Disk quotas for user gleydson uid 1000 Filesystem blocks soft hard inodes soft hard dev hdas 504944 500100 600000 10868 15000 20000 O editor de textos usado poder ser modificado atrav s da vari vel EDITOR Abaixo a explica o destes campos e Filesystem Sistema de arquivos que ter a quota do usu rio grupo editada As restri es se aplicam individualmente de acordo com o sistema de arquivos e blocks N mero m ximo de blocos especificado em Kbytes que o usu rio possui atualmente O usu rio gleydson est usando atualmente 504944 Kbytes O soft Restri o m nima de espa o em disco usado Atualmente 500100 Kb O hard Limite m ximo aceit vel de uso em disco para o usu rio grupo sendo editado 600000 Kb atualmente O sistema de quotas nunca deixar este limite ser ultrapassado e inodes N mero m ximo de arquivos que o
530. r Edition 8 14 3 5 Windows NT WorkStation 8 14 3 6 Windows NT Server 8 14 3 7 Windows 2000 Professiona 8 14 3 8 Windows 2000 Serve 8 14 3 9 Linux 5 prq ooooooo oo e Oo Bla gt ra pra pura ooooooo oo k e 0 para pary Col OO lj A m O N Q O 5 5 D Q Q O 9 o jam lt pad gt yj D O Jo AKO O oll 2 Q O o gt 5 8 14 5 1 linneighborhood 8 14 5 2 TkSmb 14 6 Cliente de configura o gr fico 8 14 6 1 gnosamba 8 14 6 2 swat O O gt q UV O o D 3 D q Q D 5 D lt D O D D O O D Q O em o dh 72 pary O O oo q m x D 3 2 fa O a D Q fo 5 Q em o D fo o q D S lt o fo 02 gt z U gt 8 15 1 Grupo de Trabalho com acesso p blico 8 15 2 Grupo de Trabalho com acesso por usu rio 8 15 3 Dom nio e 19 Restri es de acesso recursos e servi os o e 19 1 1 Uso do comando readonly para exportar vari veis e 19 1 2 Restri es nos diret rios de usu rios e root 1 w N 5 ooooooo ooo oo DIO 2 N 92 5 E D O NI e 19 1 3 Restri es b sicas do shell bash com bash r restricted rbash e 19 1 4 Finalizando consoles inativos e 19 1 5 Desabilitando o registro de comandos digitados e 19 1 6 Desabilitando servi os de shell para usu rios 9
531. r deste guia deu mancada em algo por favor relate a falha O tipo mais complicado de gravador se tratando de configura o o IDE pois seu funcionamento baseado na emula o SCSI Para usar esta interface ele precisa ser identificado como um dispositivo SCSI usando emula o SCSI do kernel isto necess rio porque o m dulo padr o ATAPI do kernel para unidades de CD ide cd n o cont m todos os comandos necess rios para permitir que uma unidade funcione como gravadora de CD No windows a coisa tamb m funciona desta forma a unidade emulada como SCSI para fazer a grava o se voc n o sabia disso tenho certeza que esta gostando da forma como as coisas ficam claras quando se usa Linux Caso seu gravador seja IDE veja Configurando o suporte a um gravador IDE Se o 3 11 3 1 caso seja um aut ntico gravador com barramento SCSI v at Configurando o suporte a um gravador SCSI Se o 3 11 3 2 42 3 11 3 1 Configurando o suporte a um gravador IDE Para configurar seu gravador de CD IDE para ser usado no Linux siga os seguintes passos 1 Tenha certeza que compilou o suporte as seguintes caracter sticas no kernel Em ATA IDE MEM RLL support marque as op es Include IDE ATAPI CDROM support SCSI emulation support Depois em SCSI support marque as op es SCSI support M SCSI CD ROM Support M SCSI Generic Support As op es marcadas como ser o embutidas no kernel
532. r mexer com arquivos no disco ou op es Algumas vari veis do GNU Linux afetam o comportamento de todo o Sistema Operacional como o idioma utilizado e o path Vari veis de ambientes s o nomes que cont m algum valor e tem a forma Nome Valor As vari veis de ambiente s o individuais para cada usu rio do sistema ou consoles virtuais e permanecem residentes na mem ria RAM at que o usu rio saia do sistema logo off ou at que o sistema seja desligado 97 As vari veis de ambiente s o visualizadas criadas atrav s do comando set ou echo SNOME apenas visualiza e exportadas para o sistemas com o comando export NOME VALOR Nos sistemas Debian o local usado para especificar vari veis de ambiente o etc environment vejalArquivo etc environment Se o 8 8 Todas as vari veis especificadas neste arquivos ser o inicializadas e automaticamente exportadas na inicializa o do sistema Exemplo Para criar uma vari vel chamada TESTE que contenha o valor 123456 digite export TESTE 123456 Agora para ver o resultado digite echo STESTE OU set grep TESTE Note que o que antecede o nome TESTE serve para identificar que se trata de uma vari vel e n o de um arquivo comum 8 2 Modificando o Idioma usado em seu sistema O idioma usado em seu sistema pode ser modificado facilmente atrav s das vari veis de ambiente Atualmente a maioria dos programas est o sendo lo
533. r os arquivos de configura o ou reinicia lo Ap s isto a p gina home focalinux download iniciante estar acess vel via http www guiafoca org iniciante OBS Caso inclua uma no diret rio que ser acess vel via URL o endere o somente estar dispon vel caso voc entre com no final da URL Alias doc usr doc O diret rio doc somente poder ser acessado usando http www guiafoca org doc O Uso de http www guiafoca org doc retornar uma mensagem de URL n o encontrada 12 4 Configurando as interfaces que o Apache atender A diretiva BindAdoress usada para especificar endere os IP das interfaces ou endere os FQDN que o Apache responder requisi es Mais de um endere o podem ser especificados separados por espa os Caso n o seja definido o Apache assumir o valor atender requisi es vindas de qualquer interface 169 OBS1 permitido usar somente uma diretiva BindAddress A diretiva Listen dever ser usada se desejar mais controle sobre as portas do servidor web Veja Especificando enderecos portas adicionais a diretiva Listen Se o 12 5 para detalhes OBS2 As interfaces especificadas pela diretiva Listen substituir as especificadas em BindAddress Exemplo e BindAddress 192 168 1 1 Especifica que os usu rios da faixa de rede 192 168 1 ter o acesso ao servidor httpd Isto assume que a m quina possui o endere o 192 168 1 1 em sua interface de rede interna e Bind
534. r system administrator Para reativar a conta acima remova totalmente o bloqueio da conta do usu rio teste com passwd x 0 teste passwd x 99999 w 7 i 0 teste ou especifique um per odo de dias maior em adi o aqueles especificados para que ele possa trocar a senha Por exemplo caso tenha passado 3 dias desde que a conta acima expirou e deseje dar mais 2 dias para o usu rio trocar a conta passwd x 17 i O teste A conta ser reativada por mais 2 dias dando a oportunidade do usu rio trocar a senha Preste aten o neste exemplo para entender bem a situa o e prazos passwd x 90 n 60 w 15 i 0 test A senha do usu rio teste expirar ap s 90 dias x 90 ele ser avisado para trocar sua senha com 15 dias antes do prazo final w 15 e a conta ser imediatamente desativada caso o prazo m ximo para troca da senha expire i 0 O usu rio tamb m n o poder trocar sua senha durante os primeiros 60 dias desde a ltima troca de senha n 60 Em sistemas onde precisa adicionar restri es a muitos usu rios na cria o da conta recomend vel seguir os m todos descritos em Definindo valores padr es de restri o Se o 11 2 1 OBS1 Em sistemas com senhas ocultas ativadas veja Shadow Passwords Se o 11 4 1 as restri es acima ser o especificadas no arquivo etc shadow isto garante que s o usu rio root tenha acesso aos detalhes fornecidos neste arquivo OBS2 A d do passwd serve para remover a se
535. ra a 192 168 1 20 O deny hosts possui a mesma sintaxe do allow hosts mas bloqueia o acesso das m quinas especificadas como argumento Quando o allow hosts e deny hosts s o usados juntos as m quinas em allow hosts ter o prioridade processa primeiro as diretivas em allow hosts e depois em deny hosts 315 OBS O endere o de loopback 127 0 0 1 nunca bloqueado pelas diretivas de acesso Provavelmente deve ter notado porque o endere o de loopback n o pode ser bloqueado e as consequ ncias disto para o SAMBA Se voc est executando o SAMBA via inetd os arquivos hosts allow hosts deny s o verificados antes do controle e acesso allow hosts e deny hosts para controle de acesso ao smbd Caso estiver usando o SAMBA viainetd e deseja restringir o acesso usando TCP Wrappers veja 0 mecanismo de OBS Lembre se de usar O testparm para verificar a sintaxe do arquivo smb conf sempre que desconfiar de problemas veja Buscando problemas na configura o Se o 18 2 11 18 12 2 1 Testando a restri o de Acesso por IP Redes Um m todo interessante e til para testar se a nossa configura o vai bloquear o acesso a servi os usando o testparm da seguinte forma testparm etc samba smb conf IP host Voc precisar dizer para O test parm qual o arquivo de configura o que est usando e o endere o IP nome de host que far a simula o de acesso Este m todo n o falsifica o endere o IP para testes apenas usa
536. ra o agent navegador usado referer descomente as seguintes diretivas CustomLog var log apache referer log referer CustomLog var log apache agent log agent Se preferir um arquivo de log simples com os detalhes de acesso agent e referer usando o formato combined da diretiva LogFile acima use a seguinte diretiva CustomLog var log apache access log combined Incluir uma linha contendo a vers o do servidor e um nome de host virtual para as p ginas geradas pelo servidor documentos de erro listagens de diret rios FTP sa da dos m dulos mod_status e mod_info etc exceto para documentos gerados via CGI Use o valor EMail para tamb m incluir um link mailto para o ServerAdmin Escolha entre On Off ou EMail ServerSignature On PidFile O arquivo que o servidor gravar os detalhes sobre seu PID quando iniciar PidFile var run apache pid ScoreBoardFile Arquivo usado para armazenar detalhes do processo interno do servidor Nem todas as arquiteturas requerem esta diretiva mas se a sua requerer voc saber porque este arquivo ser criado quando executar o Apache ent o voc dever ter certeza que dois processos do Apache n o utilizam o mesmo arquivo ScoreBoardFile 209 ScoreBoardFile var run apache scoreboard Na configura o padr o o servidor processar este arquivo o srm conf e o access conf neste ordem Voc pode fazer o servidor ignorar estes
537. rabalho o m todo mais simples para compartilhar recursos em uma rede e tamb m indicado quando se possui uma rede pequena at 30 m quinas pois o gerenciamento n o t o complicado Acima deste n mero recomendada a utiliza o da configura o de dom nio para defini o de pol ticas de acesso mais precisas pelo administrador e para manter o controle sobre os 292 recursos da rede veja Configurando um servidor PDC no SAMBA Se o 18 7 4 A configura o do n vel de acesso por grupo de trabalho tem como caracter sticas principais essa simplicidade na configura o e o controle de acesso aos recursos sendo feito pela m quina local atrav s de senhas e controle de IP Quanto ao m todo de senhas voc pode optar tanto por usar senhas criptografadas Ativando o suporte a senhas criptografadas Se o 18 8 ou senhas em texto limpo Ativando o suporte a senhas em texto plano Se o 18 9 Veja abaixo um exemplo explicado de configura o do SAMBA para grupo de trabalho global netbios name servidor workgroup focalinux security user obey pam restrictions yes encrypt passwords no os level 30 guest account nobody server string servidor da rede local master true domain master false homes comment Diret rios de usu rios create mask 0700 directory mask 0700 browseable no tmp path tmp comment Diret rio tempor rio do sistema read only ves valid users
538. ramas veja para maiores detalhes sobre o problema A mem ria de v deo compartilhada quer dizer que parte da mem ria RAM usada para mem ria de v deo ao inv s de uma mem ria DRAM espec fica e desenvolvida exclusivamente para acelera o de v deo Isto traz mais lentid o pois a mem ria de v deo RAM tamb m ser acessada pelo barramento do computador envolvendo mais carga para o processador etc A t cnica de mem ria compartilhada exclusiva de placas de v deo embutidas Outro perif rico que traz problemas e muita carga para o processador o fax modem for Windows HSP AMR micromodem etc A maioria destes perif ricos se recusam a funcionar em computadores inferiores ao Pentium 150 n o trazem seu chip de processamento e o pior o chip UART Isto faz com que o perif rico mesmo marcando conex o a 57 600 ou mais tenha um desempenho de at duas vezes menor que um fax modem inteligente com chip de processamento pr prio e UART sem contar com os controles internos do modem como os protocolos de corre o de erros e sua extensa interface de programa o via comandos A economia neste caso ser paga em sua conta telef nica Outra vantagem de fax modens inteligentes que os modelos atuais vem com FlashBios o que significa que podem ser reprogramados facilmente para passar de 33 600 para 57 600 sem trocar a placa ou aceitarem novas tend ncias de tecnologia Para detalhes veja Hardwares espec ficos ou For Windows
539. ran a que este exemplo tem em sua rede bem como o que pode ou n o ser redirecionado A inten o foi manter a simplicidade para entender sem dificuldades como isto feito 15 3 6 Criando um tunel proxy Aplica es remotas podem ser abertas localmente com o uso desta t cnica Voc poder usar para acessar portas que estariam dispon veis somente atrav s do endere o remoto realizar conex es criptografadas ou com compacta o garantindo uma boa taxa de transfer ncia para protocolos que usem mais texto Por exemplo para redirecionar o tr fego da porta 80 do servidor remoto para a porta 2003 local ssh 1 seu login servidor L2003 servidor remoto 80 f sleep 60 O sleep 60 tem a fun o de apenas deixar o tunel aberto por 60 segundos tempo suficiente para realizarmos nossa conex o Agora entre no seu navegador local e acesse a porta 2003 http localhost 2003 A op o C tamb m pode ser especificada junto ao ssh para usar compacta o dos dados da conex o Como notou este recurso tamb m til para fazer a administra o remota de m quinas porque o que est realizando a conex o ser o IP do servidor remoto n o o seu Da mesma forma voc poder ter problemas caso n o tenha uma boa pol tica de distribui o de contas de m quinas em sua rede Veja Gerenciamento de contas e cuidados para a prote o de senhas Cap tulo 11 para detalhes 15 3 7 Diferen as nas vers es do protocolo Retirada da p gina
540. rando uma conta de m quina de dom nio Quando voc cria uma conta para a m quina ela entra e altera sua senha no pr ximo logon usando um segredo entre ela e o PDC este segredo a identifica sempre como dona daquele nome NetBIOS ou seja at o primeiro logon no NT outra m quina com o mesmo nome NetBIOS poder ser a dona do netbios naquele dom nio caso fa a o logon no dom nio A nica forma de se evitar isto logar imediatamente no dom nio NT assim que criar as contas de m quinas Existem duas formas para cria o de contas de m quinas manual e autom tica 18 7 5 1 Criando contas de m quinas manualmente Para criar uma conta de dom nio para a m quina master siga estes 2 passos 1 Crie uma conta de m quina no arquivo etc passwd useradd g domainmac c Maquina de Dominio s pin false d dev null masters 300 O comando acima cria uma conta para a m quina masters e torna ela parte do grupo domainmac necess rio especificar o caracter ap s o nome da m quina para criar uma conta de m quina no dom nio caso contr rio o pr ximo passo ir falhar Acredito que nas pr ximas vers es do SAMBA seja desnecess rio o uso do arquivo etc passwd para a cria o de contas de m quina 2 Crie uma conta de m quina no arquivo etc samba smbpasswd smbpasswd m a master Isto cria uma conta de m quina para o computador master no arquivo etc samba smbpasswd Note que a cria o de uma conta de m quina mui
541. rar o recurso de P Alias necess rio apenas que a op o IP Aliasing Support seja habilitada no kernel como m dulo ou embutida Em nosso exemplo abaixo temos uma rede com a interface etho configurada com o IP 192 168 1 1 classe C privada e queremos adicionar uma interface virtual que atenda pelo IP 172 16 0 1 classe B privada e depois seguir os seguintes passos 1 Ative a interface de rede com ifconfig ou i fup caso esteja usando a Debian 2 Crie uma interface virtual usando o comando ifconfig eth0 0 172 16 0 1 Isto criar uma nova interface chamada etho 0 que passar a responder pelo IP 172 6 0 1 permitido o uso de nomes para especificar a interface virtual como eth0 rede1 eth0 rede2 eth0 escrit rio 3 Digite ifconfig para ver as configura es de sua nova interface de rede Use o ping tamb m para v la ping 172 16 0 1 etho Encapsulamento do Link Ethernet Endere o de HW 00 80 AE B3 AA AA inet end 192 168 1 1 Bcast 192 168 1 255 Masc 255 255 255 0 UP BROADCASTRUNNING MULTICAST MTU 1500 M trica l RX packets 979 errors 0 dropped 0 overruns 0 frame 0 TX packets 1228 errors 0 dropped 0 overruns 0 carrier 0 colis es 1 txqueuelen 100 RX bytes 71516 69 8 Kb TX bytes 1146031 1 0 Mb IRQ 10 Endere o de E S 0x300 eth0 0 Encapsulamento do Link Ethernet Endere o de HW 00 80 AE B3 AA AA inet end 192 168 1 10 Bcast 192 168 1 255 Masc 255 255 255 0 UP BROADCASTRUNNING
542. re o rede especificada As restri es afetam tamb m os sub diret rios do diret rio alvo Abaixo um exemplo de restri o de acesso que bloqueia o acesso de qualquer host que faz parte do dom nio spammers com bra URL nttp servidor teste lt Location teste gt Option Indexes Order allow deny allow from all deny from spammers com br lt Location gt A op o Option foi explicada acima seguem as explica es das outras diretivas Order Especifica em que ordem as op es de acesso allow deny ser o pesquisadas Caso n o seja especificada o padr o ser deny allow Note que a ordem de pesquisa de allow e deny a inversa da especificada A diretiva Order aceita os seguintes valores o deny allow Esta a padr o significa um servidor mais restritivo a diretiva allow processada primeiro e somente depois a diretiva deny Caso nenhuma diretiva allow e deny forem especificadas ou n o conferirem PERMITE TUDO como padr o e allow deny Significa um servidor mais permissivo a op o deny processada primeiro e somente depois a op o allow Caso nenhuma diretiva allow e deny for especificadas ou n o conferirem BLOQUEIA TUDO como padr o O mutual failure Somente permite o acesso se o usu rio receber autoriza o atrav s da op o allow e N O ser bloqueado pela op o deny caso uma das checagens falhe o acesso imediatamente negado uma op o interessante quando voc quer somente pessoas de um
543. regra se aplica Exemplos de nomes de servi os s o ftpd telnetde fingerd lista de hosts uma lista de nomes de hosts separada por v rgula Voc tamb m pode usar endere os IP s aqui Adicionalmente voc pode especificar nomes de computadores ou endere o IP usando caracteres coringas para atingir grupos de hosts Exemplos incluem gw vk2ktj ampr org para conferir com um endere o de computador espec fico uts edu au para atingir qualquer endere o de computador finalizando com aquele string Use 200 200 200 para conferir com qualquer endere o IP iniciando com estes d gitos Existem alguns par metros especiais para simplificar a configura o alguns destes s o ALL atinge todos endere os LOCAL atinge qualquer computador que n o cont m um ie est no mesmo dom nio de sua m quina e PARANOID atinge qualquer computador que o nome n o confere com seu endere o falsifica o de nome Existe tamb m um ltimo par metro que tamb m til o par metro EXCEPT lhe permite fazer uma lista de exce es Isto ser coberto em um exemplo adiante comando um par metro opcional Este par metro o caminho completo de um comando que dever ser executado toda a vez que esta regra conferir Ele pode executar um comando para tentar identificar quem esta conectado pelo host remoto ou gerar uma mensagem via E Mail ou algum outro alerta para um administrador de rede que algu m est tentando se conectar Existem
544. ress lines Minimum IO base address 0x0300 Maximum IO base address 0x0330 IO base alignment 48 bytes Number of IO addresses required 2 IO 1 SIZE 2 BASE 0x0330 O valor padr o 0x0300 para a porta MIDI mas n s desejamos usar o valor 0x0330 Descomentamos a linha e alteramos o valor da I O Logical device decodes 16 bit IO address lines 32 Minimum IO base address 0x0388 Maximum IO base address 0x0388 IO base alignment 1 bytes Number of IO addresses required 4 IO 2 SIZE 4 BASE 0x0388 Apenas descomentamos a linha 0x0388 um valor padr o para OPL Fim de fun es dependentes NAME CTLO028 268565341 0 Audio pag ACT Y Descomentamos para ativar este bloco de configura o acima HERRER EEE EEE EEE EEE Logical device id CTL2011 Descomente os valores desejados abaixo selecionando a configura o requerida Note que o valor padr o equivale ao primeiro par metro dispon vel Minimum CONFIGURE inicia um bloco de configura o e finaliza com ACT Y Para ativar as configura es selecionadas basta descomentar a linha ACT Y no final do bloco de configura o CONFIGURE CTL0028 268565341 LD 1 Compatible device id PNP0600 ANSI string gt IDE lt Pela string acima sabemos qu sta a configura o da IDE embutida na SB T Hora de m ltiplas escolhas escolha apenas uma Inicia fun es dependentes Prioridade Preferida IRQ 10
545. ret rio base especificado na URL e seus sub diret rios Por exemplo lt Location security gt Order allow deny lt Location gt Bloqueia o acesso de todos os usu rios ao diret rio security da URL a explica o porque o acesso bloqueado neste caso ser explicado em Autoriza o Se o 12 7 1 171 LocationMatch Id ntico a diretiva lt Location gt mas trabalha com express es regulares Por exemplo lt LocationMatch extra special data gt Order deny allow deny from all lt LocationMatch gt Bloquear URLs que cont m a substring extra data ou special data O uso das diretivas lt Directory gt e lt Files gt apropriada quando voc deseja trabalhar com permiss es a n vel de diret rios arquivos no disco local o controle do proxy tamb m feito via lt Directory gt o uso da diretiva lt Location gt adequado para trabalhar com permiss es a n vel de URL A ordem de processamento das diretivas de acesso s o processadas a seguinte 1 A diretiva lt Directory gt com exce o de lt DirectoryMatch gt e os arquivos htaccess s o processados simultaneamente As defini es dos arquivos htaccess substituem as de lt Directory gt 2 Express es regulares de lt DirectoryMatch gt lt Directory gt 3 lt Files gt e lt FilesMatch gt s o processados simultaneamente 4 lt Location gt e lt LocationMatch gt s o processados simultaneamente Normalmente encontr
546. rios locais no Linux feita pelo programa winbind Ele utiliza o mecanismo nsswitch para obter outras fontes de dados de usu rios e os associa nas ferramentas de gerenciamento de contas existentes no sistema Siga estes passos para fazer sua instala o e configura o do Winbind em um servidor Linux 312 e Instale o programa winbind apt get install winbind e Modifique o arquivo smb conf adicionando as seguintes linhas na se o global winbind separator winbind cache time 30 winbind uid 10000 15000 winbind gid 10000 12000 winbind enum users yes winbind enum groups yes template homedir home winbind D U template shell bin false Onde winbind separator Separador usado para separar o nome dos grupos do nome de dom nio Este par metro somente tem sentido quando usado em conjunto com um PDC Windows ou quando os m dulos pam winbind so enss winbind so est o sendo utilizados winbind cache time Define a quantidade de tempo em segundos que um nome grupo permanecer no cache local para n o ser feita uma nova consulta no servidor PDC winbind uid Especifica o intervalo que ser usado para mapear os nomes de usu rios remotos como UIDs locais Voc precisar ter certeza que nenhum UID nesse intervalo usado no sistema como pelo LDAP NIS ou usu rios normais Por padr o os IDS de usu rios normais na maioria dos sistemas Linux come am por 1000 No exemplo ser o usados os UIDs de 10000
547. ript de logon caso tenha configurado o servidor samba para logon em dom nios NT 18 6 1 Configura o do servi o de data hora no SAMBA Para configurar o samba para atuar como servidor de data hora de sua rede adicione o seguinte par metro na se o global do arquivo de configura o etc samba smb conf global time server ves Para sincronizar a data hora das esta es de trabalho usando o servidor samba veja Sincronizando a data hora no Cliente Se o 18 6 2 Caso o seu servidor SAMBA tamb m seja o servidor de autentica o PDC da rede a melhor forma de se fazer isto colocar o comando net time NNservidor SAMBA set yes em um script que ser executado pela esta o OBS recomend vel instalar um cliente ntp para manter o rel gio do servidor sempre atualizado consequentemente mantendo a data hora das esta es tamb m em sincronismo 18 6 2 Sincronizando a data hora no Cliente Na esta o cliente Windows use o seguinte comando NET TIME NNSERVIDOR WORKGROUP GRUPO SET YES Um local interessante para coloca o deste comando na pasta Iniciar da esta o Windows pois todos os comandos que estejam nesta pasta s o executados quando o sistema iniciado Exemplos 297 e net time ANlinux set yes Sincroniza a hora com o servidor Winux e n o pede confirma o yes O net time ANlinux WNORKGROUP pinguim set yes Sincroniza a hora com o servidor linux
548. rir coloque o nome do computador no campo Nome do Computador Clique em Dominio e escreva o nome do dom nio que deseja entrar Para criar uma conta de m quina no dom nio clique em criar uma conta de computador no dom nio e coloque na parte de baixo o nome do usu rio sua senha O usu rio dever ter poderes 333 para adicionar m quinas no dom nio Caso a conta de m quina n o seja criada o Windows NT ser como um Windows 95 98 na rede sem a seguran a que seu nome NetBIOS n o seja usado por outros veja Contas de m quinas de dom nio Se o 18 7 5 Clique em OK at voltar Pronto seu computador agora faz parte do dom nio 18 14 3 7 Windows 2000 Professional Siga os passos descritos em Windows 2000 Server Se o 18 14 3 8 18 14 3 8 Windows 2000 Server Primeiro siga todos os passos para ingressar a m quina em um grupo de trabalho como documentado em Windows 2000 Server Se o 18 14 2 8 Ap s reiniciar a m quina volte na tela de altera o de identifica o de m quina na rede Clique com o mouse em Dom nio e digite o nome do dom nio na caixa de di logo Na tela seguinte ser lhe pedido o nome de usu rio e senha com poderes administrativos que podem inserir remover m quinas do dom nio Clique em OK e aguarde a mensagem confirmando sua entrada no dom nio Ser necess rio reiniciar a m quina ap s concluir este passo Caso n o consiga trocar a senha do Windows 2000 no servidor PDC desativ
549. rivada Entre com a senha que usou para gerar o par de chaves p blico privado ele entrar diretamente caso n o tenha digitado uma senha Para autenticar em uma vers o 2 do ssh usando chave RSA 2 ou DSA 1 Gere um par de chaves p blica privada usando o comando 238 ssh keygen t rsa f ssh id rsa ou ssh keygen t dsa f ssh id rsa Um par de chaves RSA 2 DSA ser gerado Para alterar o tamanho da chave use a op o b tamanho Depois de gerar a chave O ssh keygen pedir uma frase senha recomend vel ter um tamanho maior que 10 caracteres e podem ser inclu dos espa os Se n o quiser digitar uma senha para acesso ao sistema remoto tecle lt Enter gt quando perguntado Mude as permiss es do diret rio ssh para 750 ATEN O Nunca distribua sua chave privada nem armazene a em servidores de acesso p blicos ou outros m todos que permitem outros terem acesso a ela Se precisar de uma c pia de seguran a fa a em disquetes e guarde a em um lugar seguro 2 Instale a chave p blica no servidor remoto que deseja se conectar copiando o arquivo com scp ssh id rsa pub usuariofservidorremoto ssh authorized keys2 ou scp ssh id dsa pub usuariofservidorremoto ssh authorized keys caso tenha gerado a chave com a op o t dsa Caso o arquivo remoto home gleydson ssh authorized keys2 n o existe ele ser criado Seu formato id ntico ao ssh know hosts2 e cont m uma chave p blica
550. rnel ativando a op o TCP Synflood na compila o e depois executando echo 1 gt proc sys net ipv4 tcp synflood No entanto utilize estas op es com cautela em servidores que possuem um grande n mero de acessos para n o ter problemas que afetem seu clientes ATEN O Os exemplos acima devem s o somente exemplos para cria o de suas pr prias regras com limita es caso um pacote n o confira com a regra ele ser bloqueado pela pr xima regra Se uma regra como esta for colocada no chain INPUT sem modifica es ela n o ter o efeito desejado podendo colocar em risco a sua instala o pela falsa impress o de seguran a Portanto recomend vel sempre testar as modifica es para ter certeza que elas tem efeito 10 6 5 Prote o contra IP spoofing A especifica o de endere os de origem destino junto com a interface de rede pode ser usado como um detector de ataques spoofing A l gica que todos os endere os que NUNCA devem vir da interface X devem ser negados imediatamente As regras abaixo s o colocadas no inicio do chain INPUT para detectar tais ataques iptables A INPUT s 192 168 1 0 24 i eth0 j DROP iptables A INPUT s 192 168 1 0 24 i eth0 j DROP 140 A primeira regra diz para bloquear todos os endere os da faixa de rede 192 168 1 que N O vem da interface eth0 a segunda regra diz para bloquear todos os endere os que n o sejam 192 168 1 vindos da interface eth0 O s mbolo se
551. rquivo capturado Ele est no formato usado pelo sniffer tcpdump como padr o Procure no campo INFO a linha Request USER anonymous logo abaixo voc ver a senha digitada pelo usu rio Entendeu agora a import ncia da criptografia na transfer ncia segura de dados n o s o nome senha pode ser capturado mas toda a se es feitas pelo usu rio Scanners como O tcpdump ethereal s o flexivelmente configur veis para procurar por dados espec ficos nas conex es e salva los para posterior recupera o 20 2 1 Detectando a presen a de sniffers Uma caracter stica comum de sniffers mudar o modo de opera o das interfaces monitoradas para o Modo Prom scuo com o objetivo de analisar todo o tr fego que passa por aquele segmento de rede mesmo n o sendo destinados para aquela m quina A entrada sa da de interfaces no modo prom scuo monitorada nos logs do sistema Sep 25 16 53 37 myserver kernel devic th0 left promiscuous mode Sep 25 16 53 56 myserver kernel devic th0 entered promiscuous mode Sep 25 16 54 18 myserver kernel devic th0 left promiscuous mode Sep 25 16 54 31 myserver kernel devic th0 entered promiscuous mode O 1ogcheck monitora estas atividades e classificam esta mensagem como prioridade Viola o dependendo da configura o dos seus filtros em etc logcheck Vejallogcheck Se o 6 4 1 para detalhes sobre este programa OBS A utiliza o de switches dificulta a captura de
552. rquivo txt asc Se a sa da for Assinatura Correta significa que a origem do arquivo segura e que ele n o foi de qualquer forma modificado gpg verify arquivo txt gpg Se a sa da for Assinatura INCORRETA significa que ou o usu rio que enviou o arquivo n o confere ou o arquivo enviado foi de alguma forma modificado 20 5 7 Extraindo sua chave p blica do chaveiro Sua chave p blica deve ser distribu da a outros usu rios para que possam enviar dados criptografados ou checar a autenticidade de seus arquivos Para exportar sua chave p blica em um arquivo que ser distribu do a outras pessoas ou servidores de chaves na Internet use a op o export gpg export a usuario gt chave pub txt 374 Ao inv s do nome do usu rio poder ser usado seu e mail ID da chave etc A op o a permite que os dados sejam gerados usando bits ASCII 7 20 5 8 Adicionando chaves p blicas ao seu chaveiro pessoal Isto necess rio para o envio de dados criptografados e checagem de assinatura do usu rio use a op o import gpg import chave pub usuario txt Assumindo que o arquivo chave pub usuario txt cont m a chave p blica do usu rio criada em Extraindo sua chave p blica do chaveiro Se o 20 5 7 O gpg detecta chaves p blicas dentro de textos e faz a extra o corretamente Minha chave p blica pode ser encontrada em Chave P blica PGP Se o 21 8Joulhttp pgp ai mit edu 20 5 9 Listando chaves de se
553. rquivos hosts das m quinas da rede Em um sistema bem gerenciado os nicos endere os de computadores que aparecer o neste arquivo ser o da interface loopback e os nomes de computadores etc hosts TZT nOr localhost loopback 192 168 0 1 maquina dominio com br 62 Voc pode especificar mais que um nome de computador por linha como demonstrada pela primeira linha a que identifica a interface loopback Certifique se de que a entrada do nome de dom nio neste arquivo aponta para a interface de rede e n o para a interface loopback ou ter problema com o comportamento de alguns servi os OBS Caso encontre problemas de lentid o para resolver nomes e at para executar os aplicativos como o mc etc verifique se existem erros neste arquivo de configura o Estes sintomas se confundem com erros de mem ria ou outro erro qualquer de configura o de hardware e somem quando a interface de rede desativada a com o IP n o loopback Isto causados somente pela m configura o do arquivo etc hosts O bom funcionamento do Unix depende da boa aten o do administrador de sistemas para configurar os detalhes de seu servidor 4 6 2 4 etc networks O arquivo etc networks tem uma fun o similar ao arquivo etc hosts Ele cont m um banco de dados simples de nomes de redes contra endere os de redes Seu formato se difere por dois campos por linha e seus campos s o identificados como Nome da Rede Endere o da Rede Ab
554. rramento o seu gabinete passar a dar choques el tricos teste com uma chave de testes ela acender indicando a circula o de corrente el trica e a corrente acumulada poder queimar componentes internos sens veis placa m e HD mem rias placas expansoras A liga o do terra ao neutro da rede menos perigosa em condi es normais mas se um raio cair na rede el trica as consequ ncias poder o ser piores Mesmo a rede de ilumina o p blica tendo aterramento em cada poste isto pode n o ser o suficiente para reduzir a carga de um raio que caia nas proximidades O sistema de aterramento residencial para PC deve ser feito com uma estaca de cobre com no m nimo 2 metros de altura O cobre um timo condutor de eletricidade perdendo somente para a prata veja Condutores de eletricidade Se o 3 12 1 Cave um buraco no solo com a ajuda de uma cavadeira hehe nunca ouviu falar nisso se estiver com dificuldades para cavar por causa de solo ressecado molhe a terra para facilitar as coisas Com a estaca enterrada prenda um cabo el trico em sua extremidade O ideal para testar este sistema de aterramento seria ter um equipamento chamado terr met ro medidor de aterramento mas utilizaremos 2 alternativas mais acess veis e Ligue uma l mpada incandescente de 100W em um bocal com uma ponta ligada na extremidade positiva da rede el trica fase e a outra ponta no fio da barra de cobre O aterramento est bem feito qua
555. rs txt da m quina cliente OBS Caso especifique um computador que cont m o script de login lembre se de faze lo sempre com ao inv s de para n o ter incompatibilidade com o Windows 95 3 11 ATEN O Lembre se que copiar e colar pode n o funcionar para este script Leia novamente esta se o do guia se estiver em d vidas 18 7 8 Configurando perfis de usu rios Os profiles permitem que os clientes utilizem o mesmo perfil em qualquer m quina que ele se autentique na rede Isto feito ap s a autentica o copiando os arquivos que cont m os dados de personaliza o de usu rios user dat NTuser dat para a m quina local Este processo tamb m inclui a c pia de pap is de parede links da rea de trabalho cache do IE etc Para configurar o recurso de perfis m veis no dom nio necess rio adicionar os seguintes par metros no seu arquivo smb conf global security user encrypt passwords yes domain logons yes logon drive H logon path AN NiprofilesNTASu logon home AN NiprofilesNSu preserve case yes short preserve case yes 304 case sensitive no profiles path pub profiles read only no create mask 0600 directory mask 0700 profilesNT path pub profilesNT read only no create mask 0600 directory mask 0700 Segue a descri o dos par metros de detalhes para seu funcionamento e O par metro domain logons yes especifica que o servidor ser usado par
556. rta regra do iptables cria de todo o tr fego vindo da interface ppp0 pra o chain trojans in queremos que s o tr fego vindo da internet seja analisado pelo chain trojans in Muitas das portas especificadas na vari vel TROJAN PORTS s o antigas conhecidas de quem j brincou ou sofreram com O Back Orifice Win Crack NetBus quem nunca passou pela fase de ter uma lista com mais de 100 netmasks e conseguir encontrar centenas de m quinas por dia infectadas pelo BO No c digo acima a nica coisa que precisa fazer para adicionar mais portas inseri las na vari vel TROJAN PORTES e executar o programa O la o do for executar as 2 regras para cada porta processada economizando linhas e linhas de regras me livrando de uma LER e poupando muitos bytes neste guia Dependendo do n mero de portas alvo este c digo pode ser muito simplificado usando o recurso multiport do iptables vejalEspecificando m ltiplas portas de origem destino Se o 10 6 6 para detalhes 10 8 3 Conectando sua rede interna a Internet O seguinte exemplo permite ligar sua rede interna com a faixa de IP s 192 168 1 a internet usando uma conex o discada do tipo ppp 152 iptables t nat A POSTROUTING s 192 168 1 0 24 o ppp j MASQUERADE echo 1 gt proc sys net ipv4 ip forward 10 8 4 Um exemplo de firewall simples Esta se o possui um exemplo mais elaborado de firewall que servir para m quinas conectadas via ppp com um
557. rve para especificar exce es vejalEspecificando uma exce o Se o 10 3 5 O kernel do Linux automaticamente bloqueia a passagem de pacotes que dizem ser de 127 0 0 1 e n o est vindo da interface loopback O m todo preferido para controlar o ip spoofing atrav s do c digo de roteamento do kernel a n o ser que esteja usando algum tipo de roteamento de origem assim trico necess rio por alguns programas especiais for i in proc sys net ipv4 conf rp filter do echo 1 gt 1 done Desta forma qualquer endere o dizendo ser 192 168 1 5 vindo de ppp0 ser imediatamente rejeitado Uma checagem adicional contra IP spoofing pode ser feita no arquivo etc host conf veja Vetc host conf Se o 4 6 2 2 10 6 6 Especificando m ltiplas portas de origem destino O m dulo multiport permite que seja especificado m ltiplas portas para um alvo Podem ser especificadas at 15 portas em um nico par metro e basta que uma porta confira para que a regra entre em a o pois a compara o feita usando condi es or O par metro multiport deve ser acompanhado de um dos argumentos abaixo e source port portal porta2 Faz a regra conferir se a porta de origem estiver presente entre as portas especificadas e destination port portal porta2 Faz a regra conferir se a porta de destino estiver presente entre as portas especificadas e port portal porta2 Faz a regra conferir caso a porta de origem
558. rver Script da Debian respons vel por fazer uma inicializa o mais inteligente do servidor de CVS via pserver leitura e processamento de reposit rios etc Normalmente ele chamado a partir do arquivo etc inetd conf 17 1 6 Requerimentos de Hardware Para executar o Cvs requerido pelo menos 3 vezes mais mem ria que o tamanho do maior arquivo usado pelo projeto para realiza o de diffs entre as atualiza es e uma boa quantidade de espa o em disco Na realidade os requerimentos sobre o CVS dependem muito da aplica o que ser desenvolvida recomend vel que a m quina tenha mem ria suficiente para evitar o uso de swap que degrada bastante a performance do sistema 252 17 1 7 Arquivos de log criados pelo CVS Problemas na inicializa o do cvs s o registrados no arquivo var 1log daemon log Os logs de modifica es feitas nos arquivos de um projeto no CVS s o armazenadas no formato arquivo extens o v adicionado o v ao final do arquivo para indicar que um arquivo de controle de modifica es do CVS 17 1 8 Instala o O cvs pode ser baixado de http www cvshome ora Para pacotes Debian basta apenas executar o comando apt get install cvs e seguir as telas de configura o para ter o pacote Cvs instalado e opcionalmente com o servidor sendo executado Voc poder a qualquer momento reconfigurar o CVs executando dpkg reconfigure cvs Uma boa documenta o de refer ncia encontrad
559. rvidor cache mais flex vel r pido din mico configur vel com possibilidade de uso de restri es baseadas em URL tempo de acesso autentica o instale o squid e configure O apache para fazer forward de conex es para ele Redirecionamento de conex es no Apache Se o 12 11 2 12 11 1 Controlando o acesso ao servidor proxy Incluir o bloco abaixo no arquivo access conf para definir o acesso dos servi os de proxy nas redes desejadas se a sua configura o for aberta como padr o isto pode ser opcional 196 Acesso aos servi os proxy do apache lt Directory proxy gt Order deny allow Deny from all Allow from seudominio com br lt Directory gt Para explica es sobre o processo de bloqueio acima veja Autoriza o Se o 12 7 1 12 11 2 Redirecionamento de conex es no Apache Este recurso do Apache interessante para criar clusters de servidores em sua rede interna O que ele faz pegar uma requisi o a um determinado endere o e redireciona lo a outra m quina e as respostas s o repassadas ao servidor web para o cliente a mesma m quina esta atendendo a requisi o para voc o processamento das requisi es esta sendo distribu do internamente na rede As seguintes diretivas s o usadas para realizar o redirecionamento de conex es ProxyPass e ProxyPassReverse ProxyPass diret rio da url outro servidor diret rio A ProxyPass permite que a URL seja redirecionada para o servidor local e
560. s invalid users junior marcio badusers N o permite que os usu rios especificados e os usu rios do grupo badusers tenham acesso ao compartilhamento invalid users amp semacesso Bloqueia o acesso de todos os usu rios NIS que perten am ao grupo semacesso invalid users bruno henrique users Bloqueia o acesso dos usu rios bruno henrique e de todos os usu rios que perten am ao grupo users pesquisa de grupo feita primeiro no etc group e em seguida no NIS invalid users Osemacesso Bloqueia o acesso dos usu rios que pertencem ao grupo semacesso A pesquisa feita primeiro no NIS e depois no etc group equivalente ao uso de amp O valid users possui a mesma sintaxe de funcionamento do invalid users mas permite somente o acesso para os usu rios grupos listados Caso a op o valid users n o seja especificada ou a lista esteja vazia o acesso permitido Se um mesmo nome de usu rio estiver na lista valid users invalid users O padr o ser mais restritivo negando o acesso valid users gleydson michelle geo A seguran a deste m todo de acesso depende muito da forma de autentica o dos nomes antes de passar o controle para o SAMBA pois uma autentica o fraca p e em risco a seguran a da sua m quina 317 18 12 5 Evite o uso do par metro hosts equiv Este par metro permite que m quinas tenham acesso sem senha a um servidor Isto pode se tornar um ENORME buraco na seguran a
561. s o remontados antes de entrarem no c digo de filtragem OBS3 A op o f tamb m pode ser usada para evitar o flood por fragmentos bomba de fragmentos que dependendo da intensidade podem at travar a m quina 10 3 5 Especificando uma exce o Muitos par metros como o endere o de origem destino protocolo porta mensagens ICMP fragmentos etc podem ser precedidos pelo sinal que significa exce o Por exemplo iptables t filter A INPUT s 200 200 200 10 j DROP Diz para rejeitar todos os pacotes EXCETO os que vem do endere o 200 200 200 10 iptables A INPUT p tcp syn s 200 200 200 10 i eth0 j DROP Diz para bloquear todos os pacotes EXCETO os que iniciam conex es syn EXCETO para pacotes vindos pela interface ethO i eth0 127 iptables A INPUT s 200 200 200 10 p tcp J DROP Bloqueia todos os pacotes vindos de 200 200 200 10 EXCETO os do protocolo tcp 10 3 6 Especificando um alvo O alvo j o destino que um pacote ter quando conferir com as condi es de uma regra um alvo pode dizer para bloquear a passagem do pacote j DROP aceitar a passagem do pacote ACCEPT registrar o pacote no sistema de log j LOG rejeitar o pacote REJECT redirecionar um pacote j REDIRECT retornar ao chain anterior sem completar o processamento no chain atual RETURN passar para processamento de programas externos j QUEUE fazer source nat j SNAT destination nat j DN
562. s o tomadas atrav s deste diret rio exceto links simb licos e aliases que podem ser usados para apontar para outras localiza es no sistema de arquivos DocumentRoot var www UserDir O nome do diret rio que ser adicionado ao diret rio home do usu rio caso uma requisi o usu rio for recebida lt IfModule mod userdir c gt Linha abaixo por recomenda o de seguran a do manual do Apache UserDir disabled root UserDir public html lt IfModule gt DirectoryIndex Nome do arquivo ou arquivos que ser o usados como ndice do diret rio Especifique mais de um arquivos separados por espa os ao inv s de um s um nome como index para aumentar a performance do servidor lt IfModule mod_dir c gt DirectoryIndex index html index htm index shtml index cgi lt IfModule gt Diretivas que controlam a exibi o de listagem de diret rios geradas pelo servidor lt IfModule mod_autoindex c gt FancyIndexing se voc deseja o padr o fancy index ou padr o para a indexa o de arquivos no diret rio Usando FancyIndexing o servidor apache gerar uma listagem de arquivos que poder ser ordenada usar tipos de cones e encoding etc Veja as pr ximas op es IndexOptions FancyIndexing As diretivas AddIcon dizem ao servidor que cone mostrar para um determinado arquivo ou extens o de arquivos Estes somente s o mostrados para os diret rios classificados atrav s da op o FancyIndexi
563. s somente a primeira ser apagada OBS N o poss vel apagar os chains defaults do iptables INPUT OUTPUT 10 2 4 Inserindo uma regra Precisamos que o tr fego vindo de 192 168 1 15 n o seja rejeitado pelo nosso firewall N o podemos adicionar uma nova regra A pois esta seria inclu da no final do chain e o tr fego seria rejeitado pela primeira regra nunca atingindo a segunda A solu o inserir a nova regra antes da regra que bloqueia todo o tr fego ao endere o 127 0 0 1 na posi o 1 iptables t filter I INPUT 1 s 192 168 1 15 d 127 0 0 1 j ACCEPT Ap s este comando temos a regra inserida na primeira posi o do chain repare no n mero 1 ap s INPUT e a antiga regra n mero 1 passa a ser a n mero 2 Desta forma a regra acima ser consultada se a m quina de origem for 192 168 1 15 ent o o tr fego estar garantido caso contr rio o tr fego com o destino 127 0 0 1 ser bloqueado na regra seguinte 10 2 5 Substituindo uma regra R Ap s criar nossa regra percebemos que a nossa inten o era somente bloquear os pings com o destino 127 0 0 1 pacotes ICMP e n o havia necessidade de bloquear todo o tr fego da m quina Existem duas alternativas apagar a regra e inserir uma nova no lugar ou modificar diretamente a regra j criada sem afetar outras regras existentes e mantendo a sua ordem no chain isso muito importante Use o seguinte comando iptables R INPUT 2 d 127 0 0 1 p icmp
564. s de implementar um servidor SAMBA em sua rede 18 1 1 Vers o documentada A vers o do servidor samba documentada neste cap tulo do guia a 2 2 18 1 2 Hist ria Andrew Tridgell Desenvolveu o samba porque precisava montar um volume Unix em sua m quina DOS Inicialmente ele utilizava o NFS mas um aplicativo precisava de suporte NetBIOS Andrew ent o utilizou um m todo muito avan ado usado por administradores para detectar problemas escreveu um sniffer de pacotes que atendesse aos requerimentos para ter uma nica fun o analisar e auxilia lo a interpretar todo o tr fego NetBIOS da rede 272 Ele escreveu o primeiro c digo que fez o servidor Unix aparecer como um servidor de arquivos Windows para sua m quina DOS que foi publicado mais ou menos em meados de 1992 quando tamb m come ou a receber patches Satisfeito com o funcionamento de seu trabalho deixou seu trabalho de lado por quase 2 anos Um dia ele resolveu testar a m quina Windows de sua esposa com sua m quina Linux e ficou maravilhado com o funcionamento do programa que criou e veio a descobrir que o protocolo era documentado e resolveu levar este trabalho a fundo melhorando e implementando novas fun es O SAMBA atualmente um servidor fundamental para a migra o de pequenos grupos de trabalho grandes dom nios com clientes mixtos Nenhum servidor de rede NetBEUI conhecido proporciona tanta flexibilidade de acesso a clientes como o SAMBA para compartilham
565. s de mapas de imagens processadas no servidor use fAddHandler imap file map Para ativar tipo de mapas voc poder usar fAddHandler type map var lt IfModule gt amp Fim dos tipos de documentos Pre AddDe AddDe ea Alias Alias Alias Alias Alias Scr Act Met det adi est fer ncias padr es de exibi o de caracteres veja http www apache org info css security faultCharset on faultCharsetName iso 8859 1 Redirect permite dizer aos clientes que documentos n o existem mais no seu servidor nova localiza o do documento Format Redirect nomeurl url nomeurl o caminho especificado na url e url a nova localiza o do documento Aliases Inclua aqui quantos apelidos voc desejar sem limite o formato Alias nomeurl nomereal nomeurl o caminho especificado na url e nomereal a localiza o do documento no sistema de arquivos local Note que se voc incluir uma no fim de nomeurl ent o o servidor requisitar que tamb m esteja presente na URL icons usr share apache icons doc usr doc focalinux var www focalinux debian br var www debian br htdocs debian pub mirror debian iptAlias Esta diretiva controla que diret rios cont m scripts do servidor Format ScriptAlias fakename realname ScriptAlias cgi bin usr 1lib cgi bin ion permite definir os tipos de m dia que executar o um script quando um arquivo que co
566. s leve em considera o que se um cracker tomar conta do processo que tem acesso ao seu diret rio home restrito ele certamente tamb m ter acesso 19 1 3 Restri es b sicas do shell bash com bash r restricted rbash Quando o bash iniciado com o par metro r restricted ou como rbash o shell restringe o uso dos seguintes recursos em sua se o e Usar o comando cd para mudar de diret rio e Definindo modificar ou apagar a vari veis SHELL PATH ENV BASH ENV e Nomes de comandos que cont m e Especificar um nome de arquivo contendo uma como argumento para o comando builtin embutido no interpretador de comandos Especificar uma como argumento a op o p no comando hash embutido no interpretador de comandos Importar a defini o de fun es do ambiente do shell atual Analisar o valor da vari vel SHELLOPTS do ambiente do shell atual Redirecionando a sa da padr o usando os operadores de redirecionamento gt gt lt gt gt amp amp gt gt gt Usando o comando embutido exec para substituir o shell por outro comando Usar as op es fou d com o comando enable embutido no interpretador de comandos Especificar a op o p ao comando interno command Desativar o modo restrito com set r Ou set o restricted Estas restri es s o ativadas ap s a leitura dos arquivos de inicializa o do interpretador de comandos O shell restrito desliga as restri es quando um shell scri
567. s por esta configura o do firewall ipt_filter ipt_nat ipt_conntrack ipt_mangle ipt_TOS ipt _ MASQUERADE ipt LOG 3E 3E 3 RR a Ar Se voc tem um kernel modularizado que n o utiliza o kmod ser necess rio carregar estes m dulos via modprobe insmod ou iptables modprobe modulo Defini o de Policiamento Tabela filter iptables t filter P INPUT DROP iptables t filter P OUTPUT ACCEPT iptables t filter P FORWARD DROP Tabela nat iptables t nat P PREROUTING ACCEPT iptables t nat P OUTPUT ACCEPT iptables t nat P POSTROUTING DROP Tabela mangle iptables t mangle P PREROUTING ACCEPT iptables t mangle P OUTPUT ACCEPT Prote o contra IP Spoofing for i in proc sys net ipv4 conf rp_filter do echo 1 gt i done Ativamos o redirecionamento de pacotes requerido para NAT echo 1 gt proc sys net ipv4 ip_forward 153 O iptables define automaticamente o n mero m ximo de conex es simult neas com base na mem ria do sistema Para 32MB 2048 64MB 4096 128MB 8192 sendo que s o usados 350 bytes de mem ria residente para controlar cada conex o Quando este limite excedido a seguinte mensagem mostrada ip conntrack maximum limit of XXX entries exceed Como temos uma rede simples vamos abaixar este limite Por outro lado isto criar uma certa limita o de tr fego para evitar a sobrecarga do servidor
568. s rodar os antigos create Descomente isso se desejar seus arquivos de logs compactados O par metro delaycompress usado para que o primeiro log rodado seja mantido descompactado compress delaycompress Executam os scripts em prerotate e postrotate a cada vez que os logs forem rodados nosharedscripts Definimos um diret rio que poder conter defini es individuais para diversos servi os no sistema eles podem ir neste arquivo mas diversas configura es individuais podem deixar a interpreta o deste arquivo confusa include etc logrotate d Define op es espec ficas para a rota o mensal de var log wtmp o novo arquivo de log somente ser rodados caso tenha mais de 5MB size 5M ser criado com a permiss o 0664 e pertencer ao usu rio root grupo utmp create 0664 root utmp e ser mantida somente uma c pia do log anterior rotate 1 var log wtmp monthly create 0664 root utmp size 5M rotate 1 90 ii ii Define op es espec ficas para a rota o mensal de var log btmp se o arquivo n o existir n o ser necess rio gerar alertas missinkok que ser o enviados ao administrador O novo arquivo criado dever ter a permiss o 0664 com o dono root e grupo utmp create 0664 root utmp e ser mantida somente uma c pia do log anterior var log btmp missingok monthly create 0664 root utmp rotate 1 Define op es espec ficas para a ro
569. s separados por espa o ou v rgula que poder o apenas ler o compartilhamento O caracter pode ser especificado para fazer refer ncia a grupos como no write list O uso deste par metro ignora o read only no VejalExcess o de acesso na permiss o padr o de compartilhamento Se o 18 12 10Jpara mais detalhes Ex read list nobody system operador usuarios Permite acesso de leitura somente do usu rio nobody system operador e todos os usu rios pertencentes ao grupo Qusuarios user Especifica um ou mais nomes de usu rios ou grupos caso o nome seja seguido de para checagem de senha Quando o cliente somente fornece uma senha especialmente na rede Lan Manager Windows for Workgroups e primeira vers o do windows 95 ela ser validada no banco de dados de senhas usando o usu rio especificado nesta op o 290 Ex user john Qusuariosrede only user Especifica se somente ser o permitidas conex es vindas de usu rios da diretiva user O padr o no Caso deseje restringir o acesso a determinados usu rios o certo faze lo usando valid users invalid users VejalRestringindo o acesso por usu rios Se o 18 12 4 O uso de only user apropriado quando necess rio um controle espec fico de acesso sobre a diretiva user Ex only user no locking Permite ao SAMBA fazer um lock real de arquivo ou apenas simular Caso seja especificado como 0 o arquivo n o bloqueado para acesso exclusivo no
570. scri o Diret rio de acesso p blico associada ao compartilhamento com acesso somente leitura read only yes e exibido na janela de navega o da rede browseable yes publico path pub comment Diret rio de acesso p blico read only yes 337 browseable yes Compartilha todas as impressoras encontradas no etc printcap do sistema Uma descri o melhor do tipo especial de compartilhamento printers explicado no inicio do guia Foca Linux printers comment All Printers path tmp create mask 0700 printable Yes browseable No 18 15 2 Grupo de Trabalho com acesso por usu rio O exemplo abaixo descreve uma configura o a n vel de seguran a por usu rio onde existem compartilhamentos que requerem login e usu rios espec ficos e restri es de IPs e interface onde o servido facilme r opera Esta configura o utiliza senhas em texto claro para acesso dos usu rios mas pode ser nte modificada para suportar senhas criptografadas Arquivo de configura o do SAMBA criado por Gleydson Mazioli da Silva gt gleydsonfdebian org gt para o guia Foca GNU Linux Avan ado Cap tulo SAMBA Este script pode ser copiado e distribu do livremente de acordo com os termos da GPL Ele n o tem a inten o de atender uma determinada finalidade sendo usado apenas para fins did ticos portanto fica a inteira responsabilidade do usu rio sua utiliza o gl
571. senhas iniciais escolhidas pelo administrador n o possam deduzir a nova senha criada comum vermos senhas como novo 1234 123456 abcdef a1b3c3 o nome do usu rio como senhas iniciais pois f cil de lembrar Senhas deste tipo s o as primeiras a ser tentadas por crackers e programas espec ficos para este fim Mas se o o usu rio esquecer de trocar sua senha provis ria O programa chage e passwd possui recursos que permitem definir limites m nimos e m ximo do tempo para troca de senha de acesso n mero m ximo de dias ap s expirar o tempo de troca da senha em que a conta ser permanentemente desabilitada at que o administrador a reative e o per odo m nimo entre troca de senhas Alguns exemplos passwd x 10 w 3 teste A senha do usu rio teste expirar ap s 10 dias x 10 e ele ser avisado com 3 dias de anteced ncia w 3 para trocar sua senha Ap s o per odo m ximo o usu rio ser obrigado a trocar a senha Quando o usu rio efetuar o login receber a seguinte mensagem Warning your password will expire in 3 days 156 passwd x 10 w 3 i 2 teste A senha do usu rio teste expirar ap s 10 dias x 10 e ele ser avisado com 3 dias de anteced ncia w 3 para trocar sua senha ap s a expira o da senha o usu rio tem 2 dias antes da conta ser desativada i 2 Se o per odo expirar e o usu rio tentar um novo login ser mostrada a mensagem Your account has expired Please contact you
572. ser falso se o status de retorno s for 401 e U O caminho da URL requisitada e v O nome can nico definido por ServerName que serviu a requisi o e sv O nome do servidor de acordo com a configura o de UseCanonicalName Exemplos LogFormat Zn 1 Su St N grN gt s Sb N g Refererjil User Agent i T v full LogFormat Zn 1 Su st N grN gt s Sb N g Refererjil User Agent i SP ST debug LogFormat h 1 Zu St 3r gt s sb Referer i User Agent i combined 9 LogFormat 2h 1 u t N rN 2 gt s Sb common o LogFormat Referer i gt U referer LogFormat User agent i agent y JO 12 10 11 TransferLog TransferLog arquivo pipe Indica o arquivo que armazenar as transfer ncias entre o servidor http e o cliente Ela cria o arquivo de log com o formato definido pela op o LogFormat mais recente sem a especifica o do nome associado a diretiva ou o formato padr o CLF do log do Apache Se omitido o arquivo n o ser gerado Exemplo TransferLog var log apache transfer ncias log OBS Se esta n o uma op o muito utilizada na administra o de seus sistemas recomend vel o uso da diretiva CustomLog veja CustomLog Se o 12 10 3 para evitar confus es futuras 12 10 12 LogLevel Define o n vel de alerta das mensagens que ser o gravadas no arquivo especificado pela diretiva ErrorLog Quando n o especificado assume o n vel error como padr o Abaix
573. servidor mas uma resposta positiva de lock retornada ao cliente Se definido como 1 um lock real feito O padr o yes Ex Locking yes available Faz o SAMBA ignorar o compartilhamento como se tivesse retirado do servidor O valor padr o no follow symlinks Permite o uso de links simb licos no compartilhamento veja tamb m a op o wide links A desativa o desta op o diminui um pouco a performance de acesso aos arquivos Como restrita a compartilhamento o impacto de seguran a depende dos dados sendo compartilhados O valor padr o desta op o YES Ex follow symlinks yes wide links Permite apontar para links simb licos para fora do compartilhamento exportada pelo SAMBA O valor padr o esta op o YES Ex wide links yes OBS A desativa o desta op o causa um aumento na performance do servidor SAMBA evitando a chamada de fun es do sistema para resolver os links Entretanto diminui a seguran a do seu servidor pois facilita a ocorr ncia de ataques usando links simb licos Lembre se mais uma vez que a seguran a do seu sistema come a pela pol tica e uma instala o bem configurada isso j implica desde a escolha de sua distribui o at o conhecimento de permiss es e planejamento na implanta o do servidor de arquivos dont descend N o mostra o conte do de diret rios especificados Ex dont descend root proc win windows win Arquivos de Programas
574. seu servidor web ATEN O Caso receba erros 403 acesso negado sem bloquear a URL nas diretivas de acesso uma dos seguintes problemas pode ser a causa e O servidor Web n o tem permiss es para acessar abrir o diret rio da p gina Certifique se que o dono e grupo do processo Apache especificado pela diretiva User e Group possuem permiss es de acesso quele diret rio e Quando quer fazer uma listagem de arquivos do diret rio e n o especifica a op o Option Indexes como op o de listagem e Quando n o est usando Option Indexes para impedir a listagem de conte do do diret rio e o n o foi encontrado um arquivo de ndice v lido dentre os existentes na diretiva Directory Index no diret rio atual Abaixo alguns exemplos de permiss es de acesso lt Directory var www gt Options SymLinksIfOwnerMatch Indexes MultiViews Order allow deny allow from all lt Directory gt 176 Permite o acesso a de qualquer usu rio de qualquer lugar allow from all permite tamb m a visualiza o da listagem formatada de arquivos caso nenhum arquivo especificado na diretiva DirectoryIndex seja encontrado Indexes permite negocia o de conte do MultiViews e seguir links caso o dono do arquivo confira com o nome do link SymLinkslfOwnerMatch lt Directory var www gt Options SymLinksIfOwnerMatch Indexes MultiViews lt Directory gt Tem o mesmo significado da diretiva acima por m todos diferentes quando nenhuma op
575. sh vers o 1 a op o 2 permite usar o protocolo vers o 2 Vari veis de ambiente personalizadas para o ssh poder o ser definidas no arquivo ssh environment Comandos que ser o executados somente na conex o ssh em ssh rc e etc ssh sshrc caso contr rio ser executado O xauth por padr o OBS Para utilizar autentica o Rhosts Rhosts RSA arquivos rhosts shosts 0 programa ssh dever ter permiss es SUID root e conectar usando portas baixas menores que 1024 Exemplos Conecta se ao servidor remoto usando o login do usu rio atual ssh ftp sshserver org Conecta se ao servidor remoto usando o login john via ssh vers o 2 ssh 2 ftp sshserver org l john Conecta se ao servidor remoto usando compacta o e o login john ssh ftp sshserver org C 1 john Semelhante ao exemplo acima usando o formato loginfip ssh johnfftp sshserver org C 234 Conecta se ao servidor remoto usando compacta o o login john ativa o redirecionamento do agente de autentica o A redirecionamento de conex es X11 X Veja a pr xima se o para entender como o suporte a redirecionamento de conex es do X funciona ssh ftp sshserver org C A X 1 john 15 2 1 1 Redirecionamento de conex es do X O redirecionamento de conex es do X Window poder ser habilitado em ssh config ou etc ssh ssh config ou usando as op es A X na linha de comando do ssh as op es a e x desativam
576. sim que for iniciado ele solicitar uma elei o de rede As regras s o as mesmas vence o que tiver o maior n mero Este n mero pode ser configurado facilmente no SAMBA para que ele sempre ven a as elei es de rede tomando conta da lista de m quinas Isto especialmente interessante por causa da estabilidade do servidor Linux quando migramos de servidor NT ou para fornecer mais servi os de navega o como servidor WINS OBS Nunca deixe um servidor NT configurado para ser o Local Browser ou Domain Master Browser competir com o SAMBA Mesmo que o SAMBA ganhe o NT um p ssimo perdedor e convoca uma nova elei o para tentar novamente se eleger gerando um extremo tr fego broadcasting em redes grandes 18 2 13 Vari veis de substitui o Esta se o foi baseada nos dados da p gina de manual do samba com adi es que n o estavam presentes na vers o original e exemplos Existem vari veis especiais que podem ser usadas no arquivo de configura o do samba e s o substitu das por par metros especiais no momento da conex o do usu rio Um exemplo de utiliza o de vari veis de substitui o seria mudar a localiza o do diret rio home do usu rio homes comment Diret rio home do usu rio path home usuarios u Cada uma das vari veis s o descritas em detalhes abaixo S O nome do servi o atual se existir Seu uso interessante principalmente no uso de diret rios homes 287 Y P YU 9
577. sk 0700 browseable No Compartilha o diret rio win path win com o nome win win A descri o associada ao compartilhamento ser Disco do Windows o nome de volume precisa ser especificado pois usamos programas que a prote o anti c pia o serial Ainda fazemos uma prote o onde qualquer usu rio existente no grupo adm automaticamente rejeitado e o usu rio baduser somente possui permiss o de leitura read list baduser win path win comment Disco do Windows volume 3CF434C invalid users adm browseable ves read list baduser Compartilha o diret rio pub path pub com o nome publico publico A descri o Diret rio de acesso p blico associada ao compartilhamento com acesso somente leitura read only yes e exibido na janela de navega o da rede browseable yes O par metro public yes permite qu st compartilhamento seja acessado usando o usu rio nobody sem o fornecimento de senha publico path pub comment Diret rio de acesso p blico read only yes browseable ves public yes 18 15 3 Dom nio Arquivo de configura o do SAMBA criado por Gleydson Mazioli da Silva lt gleydsonfdebian org gt para o guia Foca GNU Linux Avan ado Cap tulo SAMBA Este script pode ser copiado e distribu do livremente de acordo com os termos da GPL Ele n o tem a inten o de atender uma determinada finalidade sendo usado apenas para fins
578. smente ter o o acesso negado 19 2 5 Restri es de servi os PAM baseados em dia hora Estas restri es s o controladas pelo arquivo etc security time conf a sintaxe deste arquivo quatro campos separados por e Primeiro campo Nome do servi o PAM que ser controlado um dos servi os contidos em etc pam d e Segundo campo Lista de nomes de terminais que a regra que aplicar O sinal amp tem a fun o and tem a fun o ore especifica uma exce o e Terceiro campo Nome de usu rios afetados pela regra O sinal amp tem a fun o and tem a fun o ore especifica uma exce o 347 OBS O poder ser usado somente no primeiro segundo ou terceiro campo em uma mesma regra e Quarto campo DiaSemana faixa de horas que a restri o se aplicar O dia da semana especificado em duas letras O Mo Segunda feira Tu Ter a feira We Quarta feira Th Quinta feira Fr Sexta feira Sa S bado Su Domingo wk Todos os dias da semana wa Somente s bado e domingo fim de semana A1 Todos os dias ooooooooo O sinal especifica uma exce o A faixa de horas especificada ap s o dia no formato HHMM HHMM Por exemplo MoTuWe0000 2400 Segundas ter as e quartas MoFrSu0800 1900 Segundas sextas e domingo das 08 00 da manha as 19 00 da noite FrFr0500 0600 N o ser realizada na sexta especifica es repetidas s o anuladas de 05 00 as 06 00 Wk
579. so digest module usr lib apache 1 3 mod digest so cern meta module usr lib apache 1 1 3 mod cern meta so LoadModule expires module usr lib apache 1 3 mod expires so LoadModule headers module usr lib apache 1 3 mod headers so LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule LoadModule ExtendedSt Extendeds manipulado ExtendedStat usertrack module usr lib apache 1 1 3 mod usertrack so LoadModule unique id module usr lib apache 1 3 mod unique LoadModule setenvif module usr lib apache 1 3 mod setenvi id so f so sys auth module usr lib apache 1 3 mod auth sys so put module usr lib apache 1 3 mod put so throttle module usr lib apache 1 3 mod throttle so allowdev module usr lib apache 1 3 mod allowdev so auth mysql module usr lib apache 1 3 mod auth mysql so pgsql auth module usr lib apache 1 3 mod auth pgsqgl so eaccess module usr lib apache 1 3 mod eaccess so roaming module usr lib apache 1 3 mod roaming so atus tatus On ou apenas detalhes b sicos r handler server status for usado us on ErrorLog A localiza o do arquivo de log de erros Se n o est iver SO Controla de o Apache gerar detalhes completos de status ExtendedStatus Off O padr o Off quando specificando a diretiva ErrorLog dentro de lt VirtualHost gt as mensagens de erros relativas aos hosts virtuais ser o registradas neste arquivo S
580. sobre a empresa que far seu uso e quem o emitiu Para gerar ou modificar um certificado digital execute o comando mod ssl makecert e siga as instru es O m todo de criptografia usado pelo certificado digital baseado no conceito de chave p blica privada a descri o sobre o funcionamento deste sistema de criptografia feito em Usando pop gpg para criptografia de arquivos Se o 20 5 OBS N o utilize acentos nos dados de seu certificado 12 13 4 Exemplo de configura o do m dulo mod ssl Abaixo uma configura o r pida para quem deseja ter um servidor com suporte a SSL funcionando em menor tempo poss vel ela feita para operar em todas as instala es e n o leva em considera o o projeto de seguran a de sua configura o atual do Apache Note que todas as diretivas relacionadas com o m dulo mod ss1 come am com o nome SSL 202 Somente processa as diretivas relacionadas a SSL caso o m dulo mod ssl estiver carregado pela diretiva LoadModule lt IfModule mod ssl c gt necess rio especificar as portas que o servidor Web aguardar conex es normais e ssl Listen 80 Listen 443 Ativa o tratamento de conex es com o destino na porta 443 pela diretiva VirtualHost abaixo lt VirtualHost _default_ 443 gt Ativa ou desativa o m dulo SSL para este host virtual SSLEngine on Certificado do servidor SSLCertificateFile etc apache ssl crt server crt Chave privada de certificado do servidor SSLCerti
581. som canal 16 bits controladora de scanner ou placa de rede Somente dispositivos ISA e derivados dele como o EISA e VESA usam os canais de DMA padr o Os atuais dispositivos de alta taxa de transfer ncia normalmente PCI possuem seu pr prio controlador de DMA embutido muito mais r pido do que a DMA padr o Este controlador de DMA chamado de Bus Mastering e muito usado nos discos r gidos atuais e pode atingir taxas de 33 3MB s no modo 2 e 66MB s no modo 4 requer um cabo IDE com aterramento para evitar interfer ncias de ru dos externos 3 3 2 1 Conflitos de DMA Um canal de DMA n o pode ser compartilhado entre dispositivos Ainda poss vel configurar dois dispositivos para usarem um mesmo canal de DMA desde que ele n o seja usado ao mesmo tempo Isto acontece com Scanners paralelos que compartilham a mesma porta paralela com a impressora Se voc for uma pessoa que explora os recursos de multitarefa de seu Linux e seu desempenho evite estes tipos de dispositivos prefira aqueles que utilizam seus pr prios recursos Quando ocorre um conflito de DMA os dados podem ser misturados e ocorrerem coisas estranhas at o travamento total do sistema Este tipo de conflito dif cil de se diagnosticar a n o ser que o t cnico seja experiente o bastante e tenha desconfiado do que o problema se trata 3 3 3 I O Porta de Entrada Sa da Cada dispositivo possui um endere o de porta O endere o uma localiza o da mem
582. specificada em um chain INPUT Abaixo uma r pida refer ncia TABELA CHAIN INTERFACE ENTRADA i SA DA 0 INPUT SIM N O filter OUTPUT N O SIM FORWARD SIM SIM PREROUTING SIM N O nat OUTPUT N O SIM POSTROUTING N O SIM PREROUTING SIM N O mangle OUTPUT N O SIM O caminho do pacote na interface ser determinado pelo tipo da interface e pela posi o dos chains nas etapas de seu roteamento O chain OUTPUT da tabela filter somente poder conter a interface de sa da veja a tabela acima O chain FORWARD da tabela filter o nico que aceita a especifica o de ambas as interfaces este um timo chain para controlar o tr fego que passa entre interfaces do firewall Por exemplo para bloquear o acesso do tr fego de qualquer m quina com o endere o 200 123 123 10 vinda da interface ppp0 uma placa de fax modem iptables A INPUT s 200 123 123 10 i ppp0 j DROP A mesma regra pode ser especificada como iptables A INPUT s 200 123 123 10 i ppp j DROP O sinal de funciona como um coringa assim a regra ter efeito em qualquer interface de ppp0 a ppp9 As interfaces ativas no momento podem ser listadas com o comando ifconfig mas permitido especificar uma regra que faz refer ncia a uma interface que ainda n o existe isto interessante para conex es intermitentes como o PPP Para bloquear qualquer tr fego local para a Internet 124 iptables A
583. ss granted Ok na linha 2 qualquer computador pode te chamar para conversar via talk na rede mas para o endere o DNS conferir com um IP especificado o GNU Linux faz a resolu o DNS convertendo o endere o para IP e verificando se ele possui acesso No lugar do endere o tamb m pode ser usado a forma daemont computador OU clientefcomputador para verificar respectivamente o acesso de daemons e cliente de determinados computadores aos servi os da rede Como pode ver o TCPD ajuda a aumentar a seguran a do seu sistema mas n o confie nele al m do uso em um sistema simples necess rio o uso de um firewall verdadeiro para controlar minuciosamente a seguran a do seu sistema e dos pacotes que atravessam os protocolos roteamento e as interfaces de rede Se este for o caso aprenda a trabalhar a fundo com firewalls e implemente a seguran a da sua rede da forma que melhor planejar 4 8 4 Firewall Dentre todos os m todos de seguran a o Firewall o mais seguro A fun o do Firewall bloquear determinados tipos de tr fego de um endere o ou para uma porta local ou permitir o acesso de determinados usu rios mas bloquear outros bloquear a falsifica o de endere os redirecionar tr fego da rede ping da morte etc A implementa o de um bom firewall depender da experi ncia conhecimentos de rede protocolos roteamento interfaces endere amento masquerade etc da rede local e sistema em geral do Administrador de redes
584. ss vel usar um apelido definido pela op o LogFormat LogFormat Se o 12 10 10 neste caso os par metros definidos pelo LogFormat para nome ser o atribu dos a diretiva CustomLog Exemplos o CustomLog var log apache common log gh 1 u st N grN gt s Sb CustomLog var log apache common log common 12 10 4 RefererLog RefererLog arquivo pipe Indica que arquivo pipe registrar os campos Referer do cabe alho HTTP Esta diretiva mantida por compatibilidade com o servidor web NCSA 1 4 A configura o padr o do Apache usa uma diretiva alternativa para a especifica o do referer que a seguinte LogFormat Referer i gt U referer CustomLog var log apache referer log referer Exemplo RefererLog var log apache referer log 12 10 5 RewriteLog RewriteLog arquivo pipe Indica o arquivo pipe que registrar qualquer regrava o de URL feita pelo Apache OBS N o recomend vel direcionar o nome de arquivo para dev nul1 como forma de desativar este log porque o m dulo de regrava o n o cria a sa da para um arquivo de log ele cria a sa da de log internamente Isto somente deixar o servidor lento Para desativar este registro simplesmente remova comente a diretiva RewriteLog ou use a op o RewriteLogLevel 0 Exemplo RewriteLog usr local var apache logs rewrite log 12 10 6 RewriteLogLevel RewriteLogLevel num Especifica os detalhes que ser o inclu dos no registro da op
585. ssh Cap tulo 15 Servidor de identifica o usando o oidentad Servidor ident Cap tulo 13 e Montagem de um servidor pop3 para que suas esta es de rede possam acessar o email na m quina servidor Linux usando programas como Out look Communicator Mutt sylpheed e outros que utilizem o protocolo pop3 Servidor pop3 Cap tulo 16 e Restri es de acesso a instala o do computador acesso a grupos do sistema restri es de login usando PAM Restri es de acesso recursos e servi os Cap tulo 19 e Restri es de espa o usado em disco por usu rios grupos usando o sistema de quotas Limitando ol uso de espa o em disco quotas Se o 19 12 e Uso de grupos dos sistema para restri es de acesso Restri es de acesso a programas diret rios arquivos usando grupos Se o 19 3 e Restri es de acesso via hardware BIOS disquete placa com boot via rede LILO disco r gido Dando poderes de root para executar determinados programas Se o 19 4 e Manipula es de vari veis no bash TMOUT PS1 PS2 PS3 PS4 HISTORY etc e Montagem de shell b sico restrito Restri es b sicas do shell bash com bash r restricted rbash Se o 19 1 3 e Uso do sudo para dar privil gio de execu o de programas como root a determinados usu rios Dando poderes de root para executar determinados programas Se o 19 4 Para melhor organiza o dividi o guia em 3 vers es Iniciante Intermedi rio e Avan
586. sso a n vel de compartilhamento a n o ser que tenha configurado um servidor que mantenha um controle de n vel de usu rio na rede para as m quinas fora do dom nio Clique em OK at reiniciar o computador A m quina cliente agora faz parte do grupo de trabalho Tente acessar um outro computador da rede e navegar atrav s do ambiente de rede Caso a lista de m quinas demore em aparecer tente acessar diretamente pelo nome do computador usando o seguinte formato computador 18 14 2 2 Windows XP Home Edition Siga as instru es de Windows XP Professional Edition Se o 18 14 2 3 18 14 2 3 Windows XP Professional Edition Logue como administrador do sistemas local Entre no item Sistema dentro do painel de controle A tela propriedades de sistema ser aberta No campo Descri o do Computador coloque algo que descreva a m quina opcional Clique na TAB Nome do Computador e no bot o Alterar na parte de baixo da janela No campo nome do computador coloque um nome de no m ximo 15 caracteres para identificar a m quina na rede Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di logo Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho Ser necess rio reiniciar a m quina 18 14 2 4 Windows XP Server Edition Siga as instru es de Windows XP Professional Edition Se o 18 14 2 3 18 14 2 5 Windows NT WorkStation VejaWindows NT Server Se o 18 14 3 6 18 1
587. stante para n o precisar ser fragmentado MF Op o More Fragments mais fragmentos est o para ser recebidos FRAG 100 Tamanho do fragmento especificado em pacotes de 8 bits No exemplo acima o pacote tem o tamanho de 800 bytes 100 8 PROTO UDP Nome do protocolo Pode ser TCP UDP ou ICMP SPT 1031 Porta de origem da requisi o DPT 53 Porta de destino da requisi o LEN 41 Tamanho do pacote O log acima mostra uma consulta DNS porta destino 53 para nossa m quina INPUT de 200 200 200 1 para 200 210 10 10 O problema que em um grande n mero de regras ser dif cil saber qual regra conferiu pois ter amos que analisar o endere o porta origem destino e o destino do pacote se ele foi ACEITO ou BLOQUEADO pois voc pode ter regras para ambas as situa es Por este motivo existem algumas op es teis que podemos usar com o alvo LOG log prefix descri o Permite especificar uma descri o para a regra do firewall de at 29 caracteres Caso tiver espa os devem ser usadas aspas log level n vel Especifica o n vel da mensagem no syslog log tcp options Registra campos do cabe alho TCP nos logs do sistema log ip options Registra campos do cabe alho IP nos logs do sistema 130 log tcp sequence Registra os n meros de sequencia TCP Evite ao m ximo o uso desta op o pois a sequencia de n meros TCP pode ser a chave para um sequestro de se o ou IP spoofing em seu sistema caso algum
588. star dispon vel Muitos dos servi os comuns tem designados um n mero de servi o Estes est o descritos no RFC 1340 e protocolo Este sub campo pode ser ajustado para tcp ou udp importante notar que o item 18 tcp muito diferente do item 18 udp e que n o existe raz o t cnica porque o mesmo servi o precisa existir em ambos Normalmente o senso comum prevalece e que somente se um servi o esta dispon vel em ambos os protocolos tcp e udp voc precisar especificar ambos apelidos Outros nomes podem ser usados para se referir a entrada deste servi o coment rio Qualquer texto aparecendo em uma linha ap s um caracter ignorado e tratado como coment rio 4 9 2 etc protocols O arquivo etc protocols um banco de dados que mapeia n meros de identifica o de protocolos novamente em nomes de protocolos Isto usado por programadores para permiti los especificar protocolos por nomes em seus programas e tamb m por alguns programas tal como tcpdump permitindo os mostrar nomes ao inv s de n meros em sua sa da A sintaxe geral deste arquivo nomeprotocolo n mero apelidos 4 10 Camadas de Rede S o organiza es do protocolo TCP IP que visam organizar e simplificar seu padr o e implementa o pelos desenvolvedores e Um padr o TCP o conjunto de regras que devem ser seguidas para garantir a homogeneidade da comunica o entre diversos sistemas de diversos fabricantes por exemplo Mac com Windows Win
589. strar a chave e sua assinatura fingerprint SE O nome no papel for exatamente igual ao nome na chave user ID UID da chave E A assinatura no papel for exatamente igual assinatura na chave fingerprint ENT O V para o passo 4 3 4 2 As informa es n o bateram por isso voc n o deve assinar a chave Se quiser envie um mail avisando que n o poder assinar a chave N o aceite tentativas de retifica o por 379 refazendo e mail ou telefone Um outro encontro face fac todos os passos 2 1 e 2 2 o nico jeito de retificar o problema 4 3 As informa es bateram o que garante que o nome est correto Agora preciso ter certeza do endere o d Para isso envie uma e mail CIFRADA pela chave que voc est testando para o endere o d mail constante na chave e mail coloque uma palavra secreta qualquer e pe a para o destinat rio te responder dizendo qual a palavra secreta que voc escreveu Use uma palavra diferente para cada chave que estiver testando e anote no papel daquela chave qual palavra voc usou 4 4 Se voc receber a resposta contendo a palavra secreta correta voc pode assinar a chave Caso contr rio n o assine a chave o endere o d mail pode ser falso Comandos do gpg GNUpg correspondentes a cada passo 2 2 gpg fingerprint lt seu nome ou 0OxSuaKEYID gt retorna as informa es que devem estar no papel a ser
590. sua configura o principalmente em virtual hosts recomend vel deixa la desativada ou com o valor DNS O valor DNS obt m o nome do servidor atrav s de uma requisi o DNS reversa do endere o IP muito til para virtual hosts baseados em IP UseCanonicalName off CacheNegotiatedDocs Por padr o o Apache envia Pragma no cache com cada documento que foi negociado na base do conte do Isto permite dizer a servidores proxy para n o fazerem cache do documento Descomentando a seguinte linha desativa esta caracter stica e os proxyes ser o capazes de fazer cache dos documentos CacheNegotiatedDocs Timeout O n mero de segundos antes de receber nviar um time out imeout 300 KeepAlive Se vai permitir ou n o conex es persistentes mais que uma requisi o por conex o Mude para Off para desativar KeepAlive On 210 MaxKeepAliveRequests O n mero m ximo de requisi es que ser o permitidas durante uma conex o persistente Mude para 0 para permitir uma quantidade ilimitada N s recomendamos deixar este n mero alto para obter a m xima performance E 4 SE MaxKeepAliveRequests 100 KeepAliveTimeout N mero de segundos que aguardar a pr xima requisi o KeepAliveTimeout 15 Regulagem do tamanho de pool do servidor Ao inv s de fazer voc adivinhar quantos processos servidores precisar o Apache adapta dinamicamente de acordo com a carga qu le v isto ele tenta manter
591. ta o mensal de var log lastlog o novo arquivo ser criado com a permiss o 0664 com o dono root e grupo utmp e ser mantida somente uma c pia do arquivo de log anterior rotate 1 var log lastlog missingok monthly create 0664 root utmp rotate 1 Define op es espec ficas para a rota o di ria de var log messages o arquivo ser rodado se atingir o tamanho de 1Mb ent o o novo arquivo ser criado com as mesmas permiss es do arquivo anterior O comando killall 1 syslogd ser executado ap s a rota o para que o daemon syslogd funcione corretamente mas somente uma vez durante a rota o de v rios arquivos de logs sharedscripts Ser o mantidas as 10 ltimas c pias do arquivo var log messages compactadas o par metro compress foi especificado na se o global deste arquivo de configura o var log messages E E E E daily size 1M sharedscripts postrotate sbin killall 1 syslogd endscript rotate 10 Define op es espec ficas para a rota o mensal dos arquivos em var log mirror a falta desses arquivos n o precisa ser notificada ao administrador missingok mesmo assim o par metro nomail evitar isto de qualquer forma Os logs rodados n o ser o compactados nocompress e ser o mantidas as ltimas 7 c pias dos logs var log mirror mont ly nomail missingok nocompress rotate 7 91 logs espec ficos do sistema podem ser configurados aqui
592. ta user quota group em pub este sistema de arquivos tem suporte a ambos os tipos de quota touch pub quota user pub quota group Por motivos de seguran a as permiss es dos arquivos de controle de quota quota user e quota group devem ser leitura grava o ao usu rio root e sem permiss es para grupo outros usu rios chmod 0600 quota user quota group OBS Se deseja utilizar o quota vers o 1 certifique se que n o existem os arquivos chamados aquota user aquota group no diret rio ra z de sua parti o Se eles estiverem dispon veis os utilit rios de quota utilizar o esta vers o como padr o atualmente o kernel 2 4 possui somente suporte a quota vers o 1 A vers o 2 do quota checa corrompimento dos arquivos de dados de quota e trabalha mais r pido em parti es grandes S o necess rios patches da s rie ac Alan Cox para usar a vers o 2 do quota Entre em modo monousu rio init 1 desmonte os sistemas de arquivos que utilizar o a quota e monte os novamente isto serve para ativar as op es de quota Alternativamente execute umount a para desmontar todos os sistemas de arquivos e mount a para remontar todos Se voc ativou as quotas para o sistema de arquivos como em nosso exemplo ser necess rio reiniciar o sistema O pr ximo passo scanear o disco para criar os dados para as parti es com suporte a quota ativadas no etc fstab quotacheck augv O par metro a diz para chec
593. ta teoria voc poder apagar os dados de forma destrutiva usando o programa shred que regrava o arquivo repetidamente com dados aleat rios Sua sintaxe a seguinte shred n 70 v u arquivo Isto faz com que ele regrava o conte do do arquivo 70 vezes com dados aleat rios O u trunca e remove o arquivo ap s conclu do Note que o uso de dados aleat rios serve para destruir as possibilidades de uma recupera o simples este o motivo de se recomendar sempre o uso de dev urandom ao inv s de dev zero para destrui o de arquivos OBS1 Saiba exatamente o que est fazendo pois estes procedimentos servem para dificultar ao m ximo a recupera o de dados OBS2 Devido as tecnologias de sistemas que utilizam journaling XFS EXT3 JFS e ReiserFS e sistemas RAID o shred n o funcionar O shred tamb m n o funcionar com sistemas de arquivos via rede NFS SMB etc Se procura alguma forma de proteger seus dados mesmo que apagados utilize um m todo de criptografia como o DM CRYPTO crypto loop gpg etc OBS3 Caso esteja usando um sistema de arquivos criptografado estes procedimentos s o quase desnecess rios dependendo do n vel de seguran a e algor tmos que voc utiliza 2 2 Curingas Curingas ou refer ncia global um recurso usado para especificar um ou mais arquivos ou diret rios do sistema de uma s vez Este um recurso permite que voc fa a a filtragem do que ser listado copiado apagado e
594. tador que confira com o inicio ou fim ter o acesso permitido Por exemplo spammers com br debian org e um endere o IP completo como 192 168 1 1 um endere o IP parcial como 192 168 1 e um par rede m scara como 10 1 0 0 255 255 0 00U10 1 0 0 16 uma faixa de acesso a m quinas de uma mesma rede pode ser definida facilmente atrav s deste m todo OBS1 necess rio reiniciar o Apache depois de qualquer modifica o em seu arquivo de configura o executando apachect 1 restart OU recarregar os arquivos de configura o apachectl graceful OBS2 Mais de um host pode ser especificado separando com um espa o allow from 192 168 debian org br Permitir o acesso de qualquer m quina que o endere o IP confira com 192 168 e qualquer computador do dom nio debian org br OBS3 Regras baseadas em nomes simples de hosts como www n o conferir o Dever ser usado o FQDN ou IP www dominio com br OBS4 Caso Order n o seja especificado deny allow ser usado como padr o ou seja permitir tudo como padr o deny from Especifica os endere os que N O ter o acesso ao recurso especificado As explica es referentes a esta diretiva de acesso s o id ntica as de allow from recomend vel o uso de endere os IP ao inv s de endere os DNS e um mecanismo anti spoofing no firewall ou c digo de roteamento pois ficar mais dif cil um ataque baseado em DNS spoofing aumentando consideravelmente a seguran a de
595. tais na Austr lia note que isto n o uma regra geral as organiza es de dom nio atuais dependem da autoridade na escolha de nomes de cada dom nio Quando o endere o n o especifica o dom nio principal como o endere o www unicamp br isto quer dizer que uma organiza o acad mica O pr ximo n vel da divis o representa o nome da organiza o Subdom nios futuros variam em natureza frequentemente o pr ximo n vel do sub dom nio baseado na estrutura departamental da organiza o mas ela pode ser baseada em qualquer crit rio considerado razo vel e significantes pelos administradores de rede para a organiza o A por o mais a esquerda do nome sempre o nome nico da m quina chamado hostname a por o do nome a direita do hostname chamado nome de dom nio e o nome completo chamado nome do dom nio completamente qualificado Fully Qualified Domain Name Usando o computador www debian org br como exemplo br Pa s onde o computador se encontra org Dom nio principal debian Nome de Dom nio www Nome do computador A localiza o do computador www debian org br atrav s de servidores DNS na Internet obedece exatamente a sequ ncia de procura acima Os administradores do dom nio debian org br podem cadastrar quantos sub dom nios e computadores quiserem como www non us debian org br OU cvs debian org br 4 6 2 Arquivos de configura o usados na resolu o de nomes Abaixo a descri
596. talhes 323 As vantagens da utiliza o da autentica o usando texto plano e A senha utilizada ser a mesma do etc passwd servindo para ftp login etc e O servidor PDC pode ser usado para logon desde que os clientes estejam usando senhas em texto plano e Elas n o s o armazenadas no disco da esta o cliente e Voc n o ser perguntado por uma senha durante cada reconex o de recurso Antes de optar por utilizar um sistema de senhas em texto plano leve em considera o estes pontos Se voc j utiliza telnet ou ftp provavelmente a utiliza o de autentica o usando texto plano no SAMBA n o trar problemas mais graves para voc OBS Caso seu NT ou vers o derivada n o navegue no ambiente de rede s aceitando conex es especificando diretamente o Nservidoricompartilhamento modifique sua configura o do SAMBA para autenticar usando senhas criptografadas veja Ativando o suporte a senhas criptografadas Se o 18 8 para detalhes de como fazer isto 18 12 16 Mapeamento de nomes de usu rios Este recurso faz a mapeamento tradu o de nomes de usu rios usados no momento do acesso para contas de acesso locais bastante til quando o nome de usu rio enviado pela m quina n o confere com NENHUMA conta local do sistema um exemplo quando o login do usu rio no Windows diferente de seu Login no Linux Outro vantagem de seu uso permitir que uma categoria de usu rios utilizem um mesmo n vel d
597. tando para exibir todas as op es dispon veis 375 20 5 12 Assinando uma chave digital A assinatura de chaves um meio de criar la os de confian a entre usu rios PGP Assinar uma chave de algu m algo s rio voc deve ter no o do que isto significa e das consequ ncias que isto pode trazer antes de sair assinando chaves de qualquer um O pr prio teste para desenvolvedor da distribui o Debi an requer como primeiro passo a identifica o do candidato caso sua chave pgp seja assinada por algum desenvolvedor desta distribui o imediatamente o teste de identifica o completado A partir disso voc deve ter uma no o b sica do que isto significa Para assinar uma chave siga os seguintes passos 1 Importe a chave p blica do usu rio veja Adicionando chaves p blicas ao seu chaveiro pessoal Se o 20 5 8 2 Execute o comando gpg edit key usuario onde usuario o nome do usu rio e mail lDchave da chave p blica importada 3 Digite 1ist e selecione a chave p blica pub do usu rio com o comando uid numero chave Para assinar todas as chaves p blicas do usu rio n o selecione qualquer chave com o comando uid 4 Para assinar a chave p blica do usu rio digite sign ser perguntado se deseja realmente assinar a chave do usu rio e ent o pedida a FraseSenha de sua chave privada 5 Digite list repare que existe um campo chamado trust n q no lado direito O primeiro par metro do trust
598. tc S o usados 4 tipos de curingas no GNU Linux e Faz refer ncia a um nome completo restante de um arquivo diret rio e 2 Faz refer ncia a uma letra naquela posi o e padr o Faz refer ncia a uma faixa de caracteres de um arquivo diret rio Padr o pode ser O a z 0 9 Faz refer ncia a caracteres de a at z seguido de um caracter de 0 at 9 O a z 1 0 Faz a refer ncia aos caracteres a e z seguido de um caracter 1 ou 0 naquela posi o O a z 1 0 Faz refer ncia a intervalo de caracteres de a at z ou 1 ou 0 naquela posi o A procura de caracteres Case Sensitive assim se voc deseja que sejam localizados todos os caracteres alfab ticos voc deve usar a zA Z 22 Caso a express o seja precedida por um faz refer ncia a qualquer caracter exceto o da express o Por exemplo abc faz refer ncia a qualquer caracter exceto a be c e padr es Expande e gera strings para pesquisa de padr es de um arquivo diret rio O X ab 01 Faz refer ncia a sequencia de caracteres Xab ou X01 O X a z 10 Faz referencia a sequencia de caracteres Xa z e X10 O que diferencia este m todo de expans o dos demais que a exist ncia do arquivo diret rio opcional para gera o do resultado Isto til para a cria o de diret rios Lembrando que os 4 tipos de curingas 9 0 0 podem ser usados juntos Para entender melhor vamos a pr tica Vamos dizer que tenha 5 arquivo no diret rio
599. te aos ciphers Twofish blowfish cast128 e serpent estes s o distribu dos livremente e sem restri es Todos possuem cifragem de 128 bits exceto o blowfish que 64 bits Tamb m recomendado ativar os m dulos em Digest algorithms 370 Na se o Block Devices ative o suporte a loopback necess rio para montar arquivos como dispositivos de bloco e Use relative block numbers as basis for transfer functions isto permite que um backup do sistema de arquivos criptografado seja restaurado corretamente em outros blocos ao inv s dos originais Ative tamb m o suporte para General encription support e o suporte aos cyphers cast128 etwofish N o ative as op es de criptografia para a se o Networking a n o ser que saiba o que est fazendo Recompile e instale seu kernel Crie um arquivo usando os n meros aleat rios de dev urandom dd if dev urandom of pub swap f fs bs 1M count 15 Ser criado um arquivo chamado swap fs um arquivo de troca tem caracter sticas que ajudam a esconder um sistema de arquivos criptografado que o tamanho e n o poder ser montado pelo usu rio comum evitando desconfian as O processo de cria o deste arquivo lento em m dia de 1MB a cada 10 segundos em um Pentium MMX Monte o arquivo como um sistema de arquivos loop losetup e twofish dev loop0 pub swap fs O algoritmo de criptografia selecionado pela op o e Algoritmos recomendados s o o serpent e twofish ambos
600. te deve ser levada em conta durante a inicializa o do firewall bloqueando a passagem de pacotes durante o processo de configura o criando regras que bloqueiam a passagem de pacotes exceto para a interface loopback at que a configura o do firewall esteja completa pode ser uma solu o eficiente Outra alternativa segura configurar as regras de firewall antes das interfaces de rede se tornarem ativas usando a op o pre up comando firewall no arquivo de configura o etc network interfaces em sistemas Debian 10 3 4 Especificando fragmentos A op o f ou fragment permite especificar regras que confiram com fragmentos Fragmentos s o simplesmente um pacote maior dividido em peda os para poder ser transmitido via rede TCP IP para remontagem do pacote pela m quina de destino Somente o primeiro fragmento possui detalhes de cabe alho para ser processado os segundos e seguintes somente possuem alguns cabe alhos necess rios para dar continuidade ao processo de remontagem do pacote no destino Uma regra como iptables A INPUT s 200 200 200 1 f DROP derrubar os fragmentos de 200 200 200 1 derrubar o segundo pacote e pacotes seguintes enviados por 200 200 200 1 at n s OBS1 Note que se o cabe alho do pacote n o tiver detalhes suficientes para checagem de regras no iptables a regra simplesmente n o ira conferir OBS2 N o preciso especificar a op o f para conex es NAT pois os pacotes
601. te pelo invasor isso comum Configurando o servidor de logs Adicione a op o r ao iniciar o daemon syslogd para aceitar logs enviados das m quinas clientes Na distribui o Debi an modifique o arquivo etc init d sysklogd colocando a op o r na vari vel SYSLOGD e reinicie o servi o usando sysklogd restart Adicionalmente poder o ser usadas as op es m quina um L min sculo n o uma letra I para registrar o nome FQDN da m quina e h para redirecionar conex es a outros servidores de logs vejalsyslogd Se o 6 2 1 Configurando m quinas cliente Modifique o arquivo etc syslogd conf vejalArquivo de configura o syslog conf Se o 6 2 1 1 colocando o nome do computador seguido de OD para redirecionar as mensagens dos logs auth authpriv Gservlog auth authpriv none Gservlog cron Gservlog daemon Gservlog kern var log kern log kern Gservlog IPRS servlog mail var log mail log user var log user log user Gservlog uucp var log uucp log 92 E reinicie o daemon syslogd da m quina cliente para re ler o arquivo de configura o killall HUP syslogdoOu etc init d sysklogd restart OBS1 Mantenha o rel gio do servidor de logs sempre atualizado use o chrony ou outro daemon de sincronismo NTP para automatizar esta tarefa OBS2 interessante compilar um daemon syslogd personalizado modificando o nome e localiza o do arquivo etc syslog
602. tem prefer ncia para se tornar o master principal pois poder ocorrer um tr fego alto de broadcasting causado pelas elei es solicitadas pelas outras m quinas 18 2 8 7 Outros par metros de configura o include Inclui um outro arquivo de configura o na por o atual do arquivo de configura o Voc pode utilizar vari veis de substitui o exceto u P e s veja Vari veis de substitui o Se o 18 2 13 18 2 9 Se o homes Esta se o tem a fun o especial de disponibilizar o diret rio home do usu rio Quando o usu rio envia seu nome de login como compartilhamento feita uma busca no arquivo smb conf procurando por um nome de compartilhamento que confira Caso nenhum seja encontrado feita uma busca por um nome de usu rio correspondente no arquivo etc passwd se um nome conferir e a senha enviada tamb m o diret rio de usu rio disponibilizado como um compartilhamento com o mesmo nome do usu rio local O 284 diret rio home do usu rio poder ser modificado com o uso de mapeamento de nomes veja Mapeamento de nomes de usu rios Se o 18 12 16 Quando o caminho do compartilhamento n o for especificado o SAMBA utilizar o diret rio home do usu rio no etc passwd Para maior seguran a da instala o principalmente porque o diret rio home do usu rio n o um requerimento para a autentica o de usu rio recomendo usar a vari vel de substitui o s apontando para um diret r
603. tempor rio normalmente localizado em var spool 1pd que ser colocado em fila para a impress o um trabalho ser impresso ap s o outro em sequ ncia O arquivo tempor rio gerado pelo programa de spool apagado logo ap s concluir a impress o Antes de se imprimir qualquer coisa usando os daemons de impress o preciso configurar os par metros de sua impressora no arquivo etc printcap Um arquivo etc printcap para uma impressora local padr o se parece com o seguinte 102 lp Impressora compat vel com Linux 1p dev 1p0 sd var spool lpd 1p af var log lp acct 1f var log lp errs plt66 pw 80 pc 150 mx 0 sh poss vel tamb m compartilhar a impressora para a impress o em sistemas remotos isto ser visto em uma se o separada neste guia Usando os exemplos anteriores da se o Imprimindo diretamente para uma porta de impressora vamos acelerar as coisas cat trabalho txt 1pr Direciona a sa da do comando cat para o programa de spool lpr cat lt trabalho txt lpr Faz a mesma coisa que o acima cat n trabalho txt 1pr Numera as linhas durante a impress o head n 30 trabalho txt 1pr Imprime as 30 linhas iniciais do arquivo A fila de impress o pode ser controlada com os comandos e 1pg Mostra os trabalhos de impress o atuais e 1prm Remove um trabalho de impress o Ou usado o programa de administra o 1pc para gerenciar a fila de impress o veja a p gina de manual do 1pc ou dig
604. tifica a prioridade que ser atendida pelo processador Nos antigos sistemas XT as prioridades eram identificadas em sequ ncia de acordo com as interrup es existentes IRQ 0 Hh 12345678 PRI123456789 Com o surgimento do barramento AT 16 bits as interrup es passaram a ser identificadas da seguinte forma IRQ 0 12 49 100 Li 12 13 14 15 03 040 05 560 TJ 08 PRI L 2003 4 5 6 7 8 9 LOr 11 12 13 14 15 16 Note que a prioridade segue em sequ ncia atrav s da ponte da IRQ 2 para IRQ 9 Os dispositivos com prioridade mais baixa s o atendidos primeiro mas uma diferen a de desempenho praticamente impercept vel de ser notada nos sistemas atuais 3 3 2 DMA Acesso Direto a Mem ria A DMA usada para permitir a transfer ncia de dados entre dispositivos I O e a mem ria sem precisar do processador faze lo Ele livra esta carga do processador e resulta em uma r pida transfer ncia de dados O PC padr o tem dois controladores de DMA O primeiro controla os canais 0 1 2 3 eo segundo os canais 4 5 6 7 assim temos 8 canais No entanto o canal 4 perdido porque usado pelo controlador de acesso direto a mem ria Os canais 0 3 s o chamados de canais baixos porque podem somente mover um byte 8 bits por transfer ncia enquanto canais altos movem 2 bytes 76 bits por transfer ncia Os dados movidos usando a DMA n o s o movidos atrav s do controlador de DMA Isto oferece uma limita o porque a DMA somente p
605. to de arquivos diret rios e impressoras compartilhados por servidores windows OU samba smbfs Pacote que possui ferramentas para o mapeamento de arquivos e diret rios compartilhados por servidores Windows OU samba em um diret rio local winbind Daemon que resolve nomes de usu rios e grupo atrav s de um servidor NT SAMBA e mapeia os UIDs GIDs deste servidor como usu rios locais 18 1 6 Requerimentos de Hardware Processador 386 ou superior 15 MB de espa o em disco n o levando em conta os logs gerados e espa o para arquivos de usu rios aplicativos etc 8 MB de mem ria RAM 274 18 1 7 Arquivos de log criados O daemon nmbd salva seus logs em var log daemon log dependendo da diretiva de configura o syslog do arquivo smb conf e em var 10g samba 1log nmbd Os detalhes de acesso a compartilhamento s o gravados no arquivo var 10g samba log smbd que pode ser modificado de acordo com a diretiva og file no smb conf Log de acessos servi os Se o 18 2 8 5 18 1 8 Instala o Digite apt get install samba smbclient smbfs para instalar o conjunto de aplicativos samba O pacote samba o servidor samba e os pacotes smbclient e smbfs fazem parte dos aplicativos cliente Caso deseje apenas mapear compartilhamentos remotos na m quina Linux instale somente os 2 ltimos pacotes 18 1 9 Iniciando o servidor reiniciando recarregando a configura o O servidor samba pode ser executado tanto via inetd como daemon
606. to de portas 044 O OUTPUT Consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados Este chain somente consultado para conex es que se originam de IPs de interfaces locais O POSTROUTING Consultado quando os pacotes precisam ser modificados ap s o tratamento de roteamento o chain ideal para realiza o de SNAT e IP Masquerading Se o 10 4 3 e mangle Utilizada para altera es especiais de pacotes como modificar o tipo de servi o TOS ou outros detalhes que ser o explicados no decorrer do cap tulo Possui 2 chains padr es O INPUT Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain INPUT da tabela filter O FORWARD Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain FORWARD da tabela filter O PREROUTING Consultado quando os pacotes precisam ser modificados antes de ser enviados para o chain PREROUTING da tabela nat O POSTROUTING Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain POSTROUTING da tabela nat O OUTPUT Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain OUTPUT da tabela nat VejalA tabela mangle Se o 10 5 para mais detalhes sobre a tabela mangle 10 1 15 Habilitando o suporte ao iptables no kernel Para usar toda a funcionalidade do firewall iptables permitindo fazer o controle do que
607. to em todos os compartilhamentos existentes na m quina Por exemplo o grupo de trabalho nome do servidor p gina de c digo restri es de acesso por nome etc VejajSe o global Se o 18 2 8 homes Especifica op es de acesso a diret rios homes de usu rios O diret rio home disponibilizado somente para seu dono ap s se autenticar no sistema Veja Se o homes Se o 18 2 9 278 printers Define op es gerais para controle das impressoras do sistema Este compartilhamento mapeia os nomes de todas as impressoras encontradas no etc printcap Configura es especiais podem ser feitas separadamente VejajSe o printers Se o 18 2 10 profile Define um perfil quando o servidor samba usado como PDC de dom nio Veja Configurando perfis de usu rios Se o 18 7 8 Qualquer outro nome de se o no arquivo smb conf que n o sejam as acima s o tratadas como um compartilhamento ou impressora Um par metro definido no formato nome valor Para um exemplo pr tico veja um exemplo de arquivo smb conf emlExemplos de configura o do servidor SAMBA Se o 18 15 Na configura o de booleanos a seguinte sintaxe pode ser usada e 0oul 6 ves 0ouUno true OU false Assim as seguintes configura es s o equivalentes master browse 0 master browse no master browse false Todos significam N O ser o navegador principal de dom nio A escolha fica a gosto do administrador Durante
608. to fundamental que n o h necessidade de reiniciar o servidor Web pois este arquivo lido no momento de cada acesso ao diret rio que controla O nome do arquivo OverRide pode ser definido atrav s da diretiva AccessFileName no arquivo de configura o do Apache htaccess usado como padr o O controle de que op es estar o dispon veis no htaccess s o definidas na diretiva AllowOverride que pode conter o seguintes par metros e None O servidor n o buscar o arquivo htaccess nos diret rios e A11 O servidor utilizar todas as op es abaixo no arquivo htaccess e AuthConfig Permite o uso de diretivas de autentica o AuthDBMGroupFile AuthDBMUserFile AuthGroupFile AuthName AuthType AuthUserFile Require etc e FileInfo Permite o uso de diretivas controlando o tipo de documento AddEncoding AddLanguage AddType DefaultType ErrorDocument LanguagePriority etc e Indexes Permite o uso de diretivas controlando a indexa o de diret rio AddDescription Addlcon AddiconByEncoding AddiconBy Type Defaultlcon DirectoryIndex FancyIndexing HeaderNampe Indexlgnore IndexOptions ReadmeName etc e Limit Permite o uso de diretivas controlando o acesso ao computador allow deny e order e Options Permite o uso de diretivas controlando caracter sticas espec ficas do diret rio Options e XBitHack 184 OBS N o tem sentido usar a op o AllowOverride dentro da diretiva lt Location gt ela
609. to semelhante a cria o de um usu rio apenas precisa adicionar a op o m Quando for criar uma conta com o smbpasswd N o necess rio especificar no final do nome da m quina O mais importante Entre IMEDIATAMENTE no dom nio ap s criar a conta de m quina usando a conta de administrador de dom nio criada no SAMBA veja dom nio Se o 18 7 6 como a m quina ainda n o se autenticou pela primeira vez qualquer m quina que tenha o mesmo nome e entre no dom nio poder alocar o nome rec m criado A nica forma de resolver este problema apagando a conta de m quina e criando a novamente no dom nio Siga os passos de acordo com o sistema operacional em Dom nio Se o 18 14 3 para colocar seus clientes em dom nio OBS1 Como seguran a recomendo desativar a conta de m quina no etc passwd usando o comando passwd 1 conta Esta conta NUNCA dever ser usada para login isto deixa nossa configura o um pouco mais restrita OBS2 A localiza o do arquivo de senhas criptografadas do SAMBA pode ser modificado atrav s da op o smb passwd file na se o global do arquivo smb conf OBS3 Os que tem experi ncia com NT e Windows 2000 devem ter notado que este m todo semelhante ao do Server Manager das ferramentas de gerenciamentos de servidores existentes no Windows 18 7 5 2 Criando contas de m quinas automaticamente Atrav s deste m todo as m quinas clientes ter o sua conta criada automaticamente assim
610. tomaticamente O utilit rio quotacheck dever ser executado sempre que o sistema de quotas for desativado por n o haver atualiza o autom tica dos dados de uso de disco ou quando ocorrerem falhas de disco Na distribui o Debian O quotacheck disparado sempre que necess rio ap s as situa es de checagem de disco As quotas de todas as parti es tamb m s o ativadas automaticamente pelo script etc init d quotae etc init d quotarpc Em sistemas que utilizam NFS e possuem sistemas de arquivos exportados em etc exports O daemon rpc rquotad dever ser carregado Sua fun o fornecer os detalhes de quota dos sistemas de arquivos locais exportados para as m quinas clientes 19 12 2 Editando quotas de usu rios grupos O programa edquota usado pelo root para editar as quotas de usu rios grupos Por padr o todos os usu rios grupos do sistema n o possuem quotas Sua sintaxe a seguinte edquota op es usu rio grupo As op es podem ser u Edita a quota do usu rio especificado esta a padr o 9 Edita a quota de grupo especificado Permite editar a quota de sistemas de arquivos remotos atrav s do daemon rpc rquotad p usu rio grupo Usa os valores especificados para o usu rio grupo para definir a nova quota sem necessidade de entrar no modo de edi o Permite modificar o valor de toler ncia dos limites que ultrapassam soft at que sejam bloqueados Durante o tempo de toler ncia se
611. tos rss Tamanho m ximo residente KB stack Tamanho m ximo da pilha KB cpu Tempo m ximo de uso da CPU MIN nproc N mero m ximo de processos as Limite de espa o de endere os maxlogins N mero m ximo de logins priority Prioridade de execu o de processos de usu rios oooooo ooo oO e Quarto campo Especifica o valor do campo anterior Os limites aplicados ao usu rio podem ser visualizados atrav s do comando ulimit S a para listar limites suaves soft e ulimit H a para listar limites r gidos hard Caso o par metro S ou H sejam omitidos os limites listados ser o os suaves soft Um exemplo de etc security limits conf retirado da distribui o Debian GNU Linux ei soft core 0 Ei hard rss 10000 student hard nproc 20 Gfaculty soft nproc 20 Gfaculty hard nproc 50 ftp hard nproc 0 student 5 maxlogins 4 gleydson maxlogins 2 OBS Estas permiss es passam a ter efeito no momento que o usu rio se conecta ao sistema e n o quando elas s o modificadas no arquivo etc security limits conf 19 3 Restri es de acesso a programas diret rios arquivos usando grupos Usu rios podem ter o acesso liberado a diret rios arquivos execu o de programas de acordo com o grupo que pertencem Este um recurso valioso na administra o de sistemas Unix que se bem usado aumenta as restri es de acesso e seguran a no acesso utiliza o de programas em um ambiente de trabalho Usu rios de sistem
612. trodom nio com br outro dominio net Cada diretiva acima possui o seguinte significado CacheRoot Diret rio base onde ser o criados os outros diret rios de cache O cache s ser ativado se esta diretiva for definida CacheForceCompletion num Se uma transfer ncia for cancelada e passar de num O Apache continuar a transfer ncia e armazenar o arquivo no cache O valor padr o 90 CacheSize num Define o tamanho m ximo do diret rio de cache do Apache em KB N o especifique um valor que tome mais de 70 do espa o em disco O valor padr o 5 CacheGclnterval num Define o tempo que o cache ser checado em busca de arquivos maiores que o total do cache Arquivos que ultrapassem o tamanho do cache s o automaticamente eliminados CacheDefaultExpire num Define o tempo que os documentos ficar o no cache se foram transferidos atrav s de protocolos que n o suportam horas de expira o O valor padr o 1 hora CacheMaxExpire num Define o tempo que os documentos permanecer o armazenados no cache em horas Esta op o ignora a hora de expira o do documento caso fornecida O valor padr o 24 horas NoCache endere os Permite especificar lista de palavras m quinas dom nios IP s que n o ser o armazenados no cache do Apache Caso seja usado NoCache o cache ser desativado completamente Note que o cache tamb m pode ser desativado comentando a diretiva CacheRoot Se voc desejar um se
613. ts que ser o servidos pela mesma m quina o uso da expans o 0 e diretivas VirtualDocumentRoot VirtualScriptAlias s o recomendados NameVirtualHost 200 200 200 10 80 lt VirtualHost 200 200 200 10 gt VirtualDocumentRoot var www 0 VirtualScriptAlias var www 0 cgi bin TransferLog log apache sitel access log ErrorLog log apache sitel error log lt VirtualHost gt Agora crie os diret rios em var www correspondentes aos nomes de dom nios que ser o servidos por sua m quina mkdir var www www sitel com br mkdir var www www site2 com br Note que sua m quina dever estar com o DNS configurado para responder por estes dom nios ATEN O importante que os endere os especificados nas diretivas ServerName www sitel com br resolvam o endere o IP da diretiva VirtualHost 200 200 200 10 Isto deve ser feito via DNS ou nos arquivos etc hosts OBS1 Utilize sempre que poss vel endere os IP em configura es cr ticas assim os servi os n o ser o t o vulner veis a poss veis falsifica es ou erros Veja etc host conf Se o 4 6 2 2 e Prote o contra IP spoofing Se o 10 6 5 Leia tamb m a se o Seguran a no uso de IP s em Virtual Hosts Se o 12 12 3 OBS2 N o permita que outros usu rios a n o ser o root e o dono do processo Apache especificado pela diretiva User tenha acesso de grava o aos logs gerados pelo servidor Pois os dados podem ser apagados ou criados links para bin rios do s
614. tual n o est o mais presentes shell scripts porque muitos dos conflitos de resolu o de algor tmos vem deles Em Abril de 1989 Brian Berliner fez o design e programou o CVS Mais tarde Jeff Polk ajudou Brian com o design do m dulo CVS 17 1 3 Contribuindo com o CVS Atrav s da lista de discuss o info cvs Para se inscrever envie uma mensagem com o subject subscribe para info cvs request gnu org Outra alternativa atrav s do grupo de noticias newsgroup da Usenet comp software config mgm 17 1 4 Caracter sticas Abaixo uma lista de caracter sticas que tornam o CVS til no gerenciamento de trabalhos em grupo e Gerenciamento de projeto em equipe e Log de todas as altera es realizadas e Lock de arquivos permitindo que somente uma determinada pessoa modifique o arquivo durante o desenvolvimento do projeto e Hist rico de todas as mudan as feitas isto permite voltar a uma vers o anterior em caso de problemas e ver o que houve de errado com o c digo e Os projetos podem ser hospedados em reposit rios e Podem ser criados diversas equipes de trabalho para cada reposit rios e definidos quem ter ou n o acesso ao reposit rio individualmente O desenvolvedor g1eydson por exemplo podem ter acesso ao projeto x beta e n o ter acesso a projeto secret y e Permiss es de acesso individuais de leitura grava o e poss vel criar um usu rio com acesso an nimo sem dar uma conta no sistema 251 e Pode
615. turadas e usada por pessoas maliciosas Ser necess rio transferi lo manualmente para o reposit rio do servidor remoto voc ter que ser o usu rio root ou ter permiss es adequadas O recomend vel utilizar o scp scp Se o 15 2 2 para realizar transfer ncias seguras O m todo de acesso do CVS aos arquivos readers e writers restritiva portanto se um nome de usu rio existir no arquivo readers e writers o que valer ser o menor n vel de acesso Vendo os exemplos acima os usu rios gleydsonm e anonymous ter o somente acesso a leitura do reposit rio e macan otavio hmh kov acesso de leitura e grava o 17 2 6 gssapi Quando o CVS compilado com o suporte a Kerberos 5 ele tenta estabelecer automaticamente uma conex o segura usando este m todo Este m todo funciona somente se o CVS estiver compilado com o suporte a Kerberos op o with gssapi 17 3 Criando projetos para serem usados no CVS Esta se o descreve todos os passos necess rios para coloca o de um projeto para ser desenvolvido atrav s do CVS os comandos do cvs considera es a respeito dos comandos e sua utiliza o atrav s de exemplos did ticos 17 3 1 Reposit rio Um reposit rio CVS o local que armazena m dulos e tamb m os arquivos administrativos que cont m permiss es etc s o armazenados em um subdiret rio chamado CVSROOT O acesso a um reposit rio feito atrav s de par metros especificados na vari vel
616. u chaveiro Use o comando gpg list keys para listar as chaves p blica do seu chaveiro O comando gpg list secret keys lista suas chaves privadas 20 5 10 Apagando chaves de seu chaveiro Quando uma chave p blica modificada ou por qualquer outro motivo deseja retira la do seu chaveiro p blico utilize a op o delete key gpg delete key usuario Pode ser especificado o nome de usu rio e mail IDchave ou qualquer outro detalhe que confira com a chave p blica do usu rio Ser pedida a confirma o para excluir a chave p blica OBS A chave privada pode ser exclu da com a op o delete secret key Utilize a com o m ximo de aten o para excluir chaves secretas que n o utiliza caso use mais de uma a exclus o acidental de sua chave secreta significa como perder a chave de um cofre de banco voc n o poder descriptografar os arquivos enviados a voc e n o poder enviar arquivos assinados Mesmo assim se isto acontecer acidentalmente voc poder recuperar o ltimo backup da chave privada em gnupg secring gpg 20 5 11 Mudando sua FraseSenha Execute o comando gpg edit key usu rio quando o programa entrar em modo de comandos digite passwd Ser lhe pedida a Frase Senha atual e a nova Frase Senha Digite save para sair e salvar as altera es ou quit para sair e abandonar o que foi feito O gpg edit key permite gerenciar diversos aspectos de suas chaves interessante explora lo digi
617. ua m quina local Ele ir te pedir o nome de diret rio para onde o c digo fonte do servidor CVS ser baixado Digite projetos ou outro diret rio que foi criado no passo anterior OBS N o utilize o nome cvs para o diret rio local pois o gcvs oculta automaticamente pois os arquivos administrativos de controle ficam neste local 5 Altere o diret rio padr o do gcvs para o diret rio onde baixou o projeto projetos clicando no bot o set no topo da coluna esquerda do gevs 6 Para enviar um arquivo modificado de volta ao servidor selecione os arquivos clique em Modify Commit Selection entre com a mensagem descrevendo as altera es e clique em OK Note que os arquivos modificados ser o identificados por um cone vermelho e seu status ser Mod File arquivo modificado 7 Se desejar adicionar um novo projeto no CVS entre em Create Import Module entre no diret rio que deseja adicionar como um projeto no servidor de CVS Ap s isto ser feita uma checagem e mostrada uma tela de poss veis problemas que podem ocorrer durante a importa o do novo projeto Na pr xima tela digite o nome do m dulo e caminho no servidor remoto no primeiro campo no segundo campo a mensagem de log para adicionar o projeto ao servidor Em Vendor tag especifique o nome do projeto e sua vers o logo abaixo Clique em OK e aguarde a transfer ncia dos arquivos para o servidor Para maiores detalhes sobre a cria o de novos projetos
618. ual Hosts baseados em IP Requer um endere o IP diferente para cada site Este poder ser um IP real da interface de rede ou um apelido veja IP Alias Se o 5 1 o que interessa que deve haver um endere o IP diferente para cada site O n mero de sites servidos estar limitado a quantidade de endere os IP dispon veis em sua classe de rede Veja Virtual hosts baseados em IP Se o 12 12 1 para detalhes de como construir um virtual host deste tipo O apache foi um dos primeiros servidores web a incluir suporte a virtual hosts baseados em IP e Virtual Hosts baseados em nome Este utiliza nomes para identificar os sites servidos e requerem somente um endere o IP Desta maneira poss vel servir um n mero ilimitado de sites virtuais O navegador do cliente deve suportar os cabe alhos necess rios para garantir o funcionamento deste recurso praticamente todos os navegadores atuais possuem este suporte VejalVirtual hosts baseados em nome Se o 12 12 2 para detalhes de como construir um virtual host deste tipo As explica es desta se o s o baseadas na documenta o do Apache 12 12 1 Virtual hosts baseados em IP Existem duas maneiras de rodar este tipo de host virtual Atrav s de daemons httpd separados ou em um nico daemon httpda usando a diretiva lt VirtualHost gt As vantagens do uso de daemons separados para servir requisi es a prote o sob UID e GID diferente dos outros servidores assim o
619. ual failure do controle de acesso do Apache O usu rio dever TER acesso via Allowlsers e AllowGroups e N O ser bloqueado por DenyUsers e DenyGroups para ter acesso ao sistema Se uma das diretivas n o for especificada assumido como padr o Estas permiss es s o checadas ap s a autentica o do usu rio porque dados a ele pelo etc passwd e PAM s o obtidos ap s o processo de autentica o AllowUsers gleydson teste DenyUsers root adm AllowGroups users DenyGroups root adm bin Permite ves ou n o no o login do usu rio root PermitRootLogin no Chaves privadas do servidor as chaves p blicas possuem um pub adicionado no final do arquivo HostKey etc ssh ssh host key HostKey etc ssh ssh host rsa key HostKey etc ssh ssh host dsa key Tamanho da chave 768 bits o padr o ServerKeyBits 768 Tempo m ximo para login no sistema antes da conex o ser fechada LoginGraceTime 600 Tempo para gera o de nova chave do servidor segundos O padr o 242 3600 segundos 1 hora KeyRegenerationInterval 3600 Ignora os arquivos rhosts e shosts IgnoreRhosts yes Ignora ves ou n o no os arquivos ssh known hosts quando for usado para a op o RhostsRSAAuthentication Se voc n o confia neste mecanismo ajuste esta op o para yes IgnoreUserkKnownHosts no Checa por permiss es de dono dos arquivos e diret rio de usu rio antes de fazer o login muito recomend vel para
620. ue n o puderam ser identificados por algum motivo Como respostas de conex es desconhecidas Caso seja necess rio especificar mais de uma op es estas devem ser separadas por v rgulas iptables A INPUT m stat state NEW i ppp0 j DROP Bloqueia qualquer tentativa de nova conex o vindo da interface pppo0 iptables A INPUT m stat state NEW INVALID i ppp0 j LOG Permite registrar novas conex es e pacotes inv lidos vindos da interface pppo0 10 6 2 Limitando o n mero de vezes que a regra confere A op o m limit permite especificar o n mero de vezes que uma regra conferir quando todas as outras condi es forem satisfeitas O n mero padr o de confer ncia de 3 por hora a n o ser que seja modificado atrav s dos argumentos aceitos pelo limit e limit num tempo Permite especificar a taxa de confer ncias do limit O par metro num especifica um n mero e tempo pode ser O s Segundo o m Minuto o h Hora o d Dia Assim uma regra como iptables A INPUT m limit limit 5 m j ACCEPT permitir que a regra acima confira apenas 5 vezes por minuto limit 2 s Este limite pode ser facilmente adaptado para uma regra de log que confere constantemente n o causar uma avalanche em seus logs O valor padr o 3 h e IJimit burst num Especifica o n mero inicial m ximo de pacotes que ir o conferir este n mero aumentado por 1 a cada vez que o par metro imit acima n o for atingido
621. ug info N notice warn dev tty8 O pipe dev xconsole usado pelo utilit rio xconsole Para usa lo voc deve executar o xconsole com a op o file S xconsole file dev xconsole NOTA ajuste as regras abaixo ou ficar maluco se tiver um um site muito movimentado daemon mail N news crit news err news notice N debug info N notice warn dev xconsole 87 A linha baixo envia mensagens importantes para o console em que estamos trabalhando logados principalmente para quem gosta de ter controle total sobre o que est acontecendo com seu sistema err kern debug auth notice mail crit dev console 6 2 2 klogd Este daemon controla o registro de mensagens do kernel Ele monitora as mensagens do kernel e as envia para o daemon de monitoramento syslogd por padr o klogd op es op es d Ativa o modo de depura o do daemon f arquivo Envia as mensagens do kernel para o arquivo especificado ao inv s de enviar ao daemon do syslog Envia um sinal para o daemon recarregar os s mbolos de m dulos do kernel Envia um sinal para o daemon recarregar os s mbolos est ticos e de m dulos do kernel n Evita a opera o em segundo plano til se iniciado pelo init k arquivo Especifica o arquivo que cont m os s mbolos do kernel Exemplos deste arquivo est o localizados em boot System map xx xx xx 0 Faz com que o daemon leia e registre todas as mensag
622. uivos de inicializa o bash profile bashrc OU profile assim toda a vez que entrar no sistema as vari veis de localiza o personalizadas ser o carregadas Siga as instru es a seguir de acordo com a vers o de sua distribui o Debian Debian 3 0 Acrescente a linha pt BR ISO0O 8859 1 no arquivo etc locale gen rode o utilit rio locale gen para gerar os locales e acrescente as vari veis de localiza o no arquivo etc locales def seguindo a forma export LANG pt BR export LC ALL pt BR export LC MESSAGES pt BR 98 Note que o arquivo etc environment tamb m pode ser usado para tal tarefa mas o locales def foi criado especialmente para lidar com vari veis de localiza o na Debian 3 0 Debian 2 2 Coloque estas vari veis no arquivo etc environment veja um exemplo deste arquivo em Arquivo etc environment Se o 8 8 assim toda a vez que seu sistema for iniciado as vari veis de localiza o ser o carregadas e exportadas para o sistema estando dispon veis para todos os usu rios Para as mensagens e programas do X Window usarem em seu idioma local preciso colocar as vari veis no arquivo xserverrc do diret rio home de cada usu rio e dar a permiss o de execu o neste arquivo chmod 755 xserverrc Lembre se de incluir o caminho completo do arquivo execut vel do seu gerenciador de janelas na ltima linha deste arquivo sem o amp no final caso contr rio o Xserver se
623. uivos e volta a ficar abaixo dos limites soft da quota o tempo de toler ncia resetado aos valores padr es especificados por edquota t OBS5 As quotas de espa o em disco podem ser definidas automaticamente para os novos usu rios adicionados ao sistema colocando o espa o em disco na vari vel QUOTAUSER numero do arquivo etc adduser conf Isto ser equivalente a digitar o comando edquota q QUOTA novo usu rio 19 12 3 Modificando a quota de todos os usu rios de uma vez Editar manualmente a quota de cada usu rio uma tarefa trabalhosa quando se est instalando quotas e possui muitos usu rios existe uma maneira mais f cil de fazer isso usando o pr prio edquota e um usu rio com a quota j definida Por exemplo instalamos quota em nosso sistema e queremos que todos os 300 usu rios tenham a quota de usu rio de 10MB e de grupo de 15MB 1 Criamos um usu rio com esta quota usando o edquota como descrito em Editando quotas de usu rios grupos Se o 19 12 2 Como exemplo usaremos o usu rio teste user Use o comando quota teste user para verificar se as quotas para este usu rio est correta 2 Criamos um script que modifique a quota padr o de todos os usu rios do sistema de uma s vez amp bin sh cd home for USUARIO in do edquota u S USUARIO p teste user done Pronto verifique a quota de todos os usu rios com o comando repquota a 361 19 12 4 Verificando a quota dispon vel ao usu rio
624. uma conex o usando o n vel user retirado da documenta o do SAMBA o tentada a valida o usando o nome senha passados pelo cliente Se tudo estiver OK a conex o permitida o Caso j tenha se autenticado anteriormente para acessar o recurso e forneceu a senha correta o acesso permitido o O nome NetBIOS da m quina do cliente e qualquer nome de usu rio que foi usado novamente tentado junto com a senha para tentar permitir o acesso ao recurso compartilhado o Caso o cliente tenha validado o nome senha com o servidor e o cliente enviou novamente o token de valida o este nome de usu rio usado O tentada a checagem com o par metro user no compartilhamento veja o verificado se o servi o p blico ent o a conex o feita usando o usu rio guest account e ignorando a senha veja Se o 18 12 7 282 e domain Neste n vel o acesso s ser permitido quando a m quina for adicionada ao dom nio com o smbpasswd Linux Se o 18 14 3 9 Neste n vel de acesso a conta de usu rio ser validada em um servidor PDC controlador de dom nio e o acesso aos recursos das m quinas que fazem parte do dom nio ser feito a partir do PDC Veja Linux Se o 18 14 3 9 para detalhes o server m quina samba tentara autenticar o usu rio em outro servidor NT ou samba No caso da autentica o falhar ser usado o n vel de acesso user na base de usu rios local ser necess rio o arquivo de senhas
625. uma conta no smbpasswd Se o 18 8 5 para reativar a conta 18 8 5 Habilitando uma conta no smbpasswd Uma conta desativada com o uso do comando smbpasswd d pode ser novamente ativada usando smbpasswd e usuario 18 8 6 Alterando a senha de um usu rio O utilit rio smbpasswd pode ser usado tanto para alterar a senha de usu rios locais do SAMBA ou de uma conta em um servidor remoto seja SAMBA NT W2K Para alterar a senha de um usu rio local digite smbpasswd U usuario Lhe ser pedida a antiga senha a nova senha e a confirma o Caso seja o usu rio root somente a nova senha e a confirma o Isto mecanismo de prote o para usu rios que esquecem a senha Para alterar a senha de um usu rio remoto utilize smbpasswd r servidor U usuario Note que apenas foi adicionada a op o r servidor comparado com a op o anterior A diferen a que a senha antiga do usu rio sempre ser solicitada para troca pois o root das 2 m quinas pode n o ser o mesmo 18 8 7 Definindo acesso sem senha para o usu rio Para fazer um usu rio acessar sem senha use o comando smbpasswd n usuario Isto completamente desencorajado e necessita que a op o null passwords da se o global no arquivo smb conf esteja ajustada para yes que NAO o padr o 18 9 Ativando o suporte a senhas em texto plano Esta forma de autentica o enviada por implementa es NetBIOS antigas como a encontrada no Lan Manager Windo
626. umentar bastante a performance do sistema pois enquanto o disco principal ligado em sua controladora estiver fazendo uma opera o de leitura o outro poder estar fazendo sua opera o de swap simultaneamente O mesmo n o acontece quando dois discos r gidos IDE est o ligados no mesmo cabo isto n o acontece no SCSI 3 15 3 Fazendo ajustes finos de performance do disco O hdparm um programa que permite modificar caracter sticas diversas da unidade de disco r gido e de CD como modo de transfer ncia de dados leitura adiante dma cache leitura simult nea de setores hiberna o etc Por padr o as transfer ncias de dados entre a controladora do HD a plaquinha que fica embaixo dele e a controladora de perif ricos feita em 16 bits Para exibir a configura o atual do disco r gido dev hnda por exemplo digite o seguinte comando hdparm dev hda dev hdb multcount 0 off I O support 0 16 bit unmaskirq 0 off using_dma 1 off keepsettings 0 off nowerr 0 off readonly 0 off readahead 8 on Imediatamente podemos modificar os seguintes campos para melhorar sensivelmente o desempenho do disco r gido multcount Pode ser modificada com m num e especifica o n mero m ximo de setores que ser o acessados de uma s vez na opera o de leitura da unidade O valor m ximo recomendado igual a capacidade m xima suportada pelo seu disco r gido que pode ser obtida com o comando hdparm
627. umentar um pouco a seguran a do sistema mesmo conseguindo acesso a conta senha estar impedido de entrar no sistema pelo menos ter um pouco mais dificuldade para conseguir isso Um programa que muito usado para desabilitar o shell exibindo uma mensagem ao usu rio que fez a tentativa o falselogin Ele deve ser colocado como o shell padr o no arquivo etc passwd e exibir a mensagem contida no arquivo etc falselogin conf quando o login para aquele usu rio for tentado Esta opera o pode ser facilitada usando a vari vel DSHELL usr bin falselogin no arquivo etc adduser conf Uma forma alternativa de desativar o servi o de login de TODOS os usu rios exceto o root e os j logados no sistema criar um arquivo chamado etc nologin e colocando uma mensagem dentro dele que ser exibida quando tentarem efetuar o login no sistema OBS Tome cuidado ao usar esta alternativa este m todo deve ser usado somente em caso de EMERGENCIA as distribui es Linux usam este m todo para bloquear o login de outros usu rios durante o processo de inicializa o removendo assim que o processo terminado Esteja consciente disso Em alguns casos o uso do PAM pra desabilitar os servi os de login pode ser mais adequado veja Restringindo Bloqueando o login Se o 19 2 3 19 2 Limita o de recursos usando PAM Plugglable Autentication Modules M dulos de autentica o plug veis s o um conjunto de bibliotecas usadas par
628. us de vers o de arquivos 7 3 16 Outros utilit rios para trabalho no reposit rio i l o Eq md ra Eq O k N 4 Arquivos administrativos em CVSROOT N 7 4 1 config 7 4 2 modules 7 4 3 cvswrappers 7 4 4 commitinfo 7 4 5 verifymsg 7 4 6 loginfo 7 4 7 cvsignore 7 4 8 checkout list 7 4 9 history k o 17 5 Clientes de CVS 7 5 1 CV 7 5 2 gevs Linux 7 5 3 WinCVS Windows gt e 17 5 4 MacCVS Macintosh PPC e 17 5 5 viewcvs o 17 6 Exemplo de uma se o CVS 8 SAMB fo o h 5 O Q c A O 8 1 1 Vers o documentada 8 1 2 Hist ria 8 1 3 Contribuindo 8 1 4 Caracter sticas 8 1 5 Ficha t cnica 8 1 6 Requerimentos de Hardware 8 1 7 Arquivos de log criados 8 1 8 Instala o 8 1 9 Iniciando o servidor reiniciando recarregando a configura o 8 1 10 Op es de linha de comando 8 2 1 Nome de m quina nome NetBios 8 2 2 Grupo de trabalho 8 2 3 Domini 8 2 4 Compartilhamento 8 2 5 Mapeamento 8 2 6 Navega o na Rede e controle de dom nio 8 2 7 Arquivo de configura o do samba o global 8 2 8 1 Nomes e grupos de trabalho 8 2 8 2 Caracteres e p gina de c digo 8 2 8 3 Restri es de acesso mapeamento de usu rios 8 2 8 4 N veis de autentica o 8 2 8 5 Log de acessos servi os 8 2 8 6 Navega o no servidor tipo de servidor 18 2 8 7 Outros par metros de configura o pra 00000 0 0 0 60 O eo es ee
629. usam stream e todos os protocolos baseados em udp usam dgram Somente alguns tipos de daemons especiais de servidores usam os outros valores protocolo O protocolo considerado v lido para esta item Isto deve bater com um item apropriado no arquivo etc services e tipicamente ser tcp ou udp Servidores baseados no Sun RPC Remote Procedure Call utilizam rpc tcp ou rpc udp op es Existem somente duas configura es para este campo A configura o deste campo diz ao inetd se o programa servidor de rede libera o soquete ap s ele ser iniciado e ent o se inetd pode iniciar outra c pia na pr xima requisi o de conex o ou se o inetd deve aguardar e assumir que qualquer servidor j em execu o pegar a nova requisi o de conex o Este um pequeno truque de trabalho mas como uma regra todos os servidores tcp devem ter este par metro ajustado para nowaite a maior parte dos servidores udp deve t lo ajustado para wait Foi alertado que existem algumas excess es a isto assim deixo isto como exemplo se n o estiver seguro O n mero especificado ap s o opcional e define a quantidade m xima de vezes que o servi o poder ser executado durante 1 minuto Se o servi o for executado mais vezes do que este valor ele ser automaticamente desativado pelo inetd e uma mensagem ser mostrada no log do sistema avisando sobre o fato Para reativar o servi o interrompido reinicie o inetd com killall HUP inetd O valor padr
630. user usuario para que a senha confira com o usu rio local do sistema A senha enviada tamb m em formato texto plano Este problema n o ocorre no Windows 95 e superiores que enviam o nome de usu rio que efetuou o logon junto com a respectiva senha s Se a seguran a do seu samba depende de senhas criptografadas ser necess rio utilizar a diretiva include outro arquivo de configura o m para definir configura es espec ficas de acesso para estas m quinas Outro detalhe que deve ser lembrado que o Windows for Workgroups envia sempre a senha em MAIUSCULAS ent o preciso configurar o SAMBA para tentar combina es de mai sculas min sculas usando o par metro mangle case e default case na se o global do smb conf 18 14 2 Configurando clientes em Grupo de Trabalho Para configurar o cliente para fazer parte de um grupo de trabalho necess rio apenas que tenha em m os O nome do grupo de trabalho workgroup que os clientes far o parte e o nome de uma outra m quina que faz parte do mesmo grupo para testes iniciais Com estes dados em m os selecione na lista abaixo o nome do cliente que deseja configurar para incluir no grupo de trabalho e Windows 9X Se o 18 14 2 1 e Windows XP Home Edition Se o 18 14 2 Windows XP Server Edition Se o 18 14 2 Windows NT WorkStation Se o 18 14 2 5 Windows NT Server Se o 18 14 2 e Windows 2000 Professional Se o 18 14 2 e Windows 2000 Server
631. usu rio tenha acesso a estes logs Caso utilize tcp ip em servidores p blicos o uso desta op o ajudar a entender bem os ataques DoS causados por syn flood e porque ativar os SynCookies veja Prote o contra syn flood Se o 10 6 4 OBS1 Lembre se que estas op es s o referentes ao alvo LOG e devem ser usadas ap s este caso contr rio voc ter um pouco de trabalho para analisar e consertar erros em suas regras do firewall OBS2 Caso esteja usando o firewall em um servidor p blico recomendo associar um limite a regra de log pois um ataque poderia causar um DoS enchendo sua parti o Leia mais sobre isso emjLimitando o n mero de vezes que a regra confere Se o 10 6 2 Complementando o exemplo anterior Para registrar o bloqueio de pacotes vindos de 200 200 200 1 pela interface ppp0 iptables A INPUT s 200 200 200 1 i ppp j LOG log prefix FIREWALL Derrubado Para efetuar o bloqueio iptables A INPUT s 200 200 200 1 i ppp j REJECT Retornar a seguinte mensagem no syslog Aug 25 10 08 01 debian kernel FIREWALL Derrubado IN ppp0 OUT MAC 10 20 30 40 50 60 70 80 90 00 00 00 08 00 SRC 200 200 200 1 DST 200 210 10 10 LEN 61 TOS 0x00 PREC 0x00 TTL 64 ID 0 DF PROTO UDP SPT 1031 DPT 53 LEN 41 Agora voc sabe o que aconteceu com o pacote Rejeitado A padroniza o de mensagens de firewall tamb m importante para a cria o de scripts de an lise que poder o fazer a an lise dos logs do
632. usuariofthost remoto Compacta o pode ser especificada atrav s da op o C Um arquivo contendo os comandos usados na se o sftp poder se especificado atrav s da op o b arquivo para automatizar tarefas OBS1 Para desativar o servidor s ftp remova a linha Subsystem sftp usr lib sftp server que inicializa o sub sistema ftp do arquivo etc ssh sshd confige reinicie o servidor sshd OBS2 O suporte ao programa sftp somente est dispon vel ao protocolo ssh vers o 2 e superiores OBS3 Algumas op es comuns do cliente ftp padr o como mget ainda n o est o dispon veis ao sftp Veja a p gina de manual para detalhe sobre as op es dispon veis 15 3 Servidor ssh 15 3 1 sshd Este o daemon de controle da conex o encriptada via protocolo ssh transfer ncia de arquivos e shell interativo As op es de linha de comando est o dispon veis em Op es de linha de comando Se o 15 1 10 Seu arquivo de configura o principal etc ssh sshd config um exemplo e descri o das op es deste arquivo encontrada em Exemplo de sshd config com explica es das diretivas Se o 15 3 8 OBS1 recomend vel que o arquivo etc ssh sshd_config seja lido somente pelo dono grupo por conter detalhes de acesso de usu rios grupos e intervalo entre a gera o de chave de se o OBS2 Se estiver ocorrendo falhas no acesso ao servidor ssh verifique as permiss es nos arquivos etc hosts allowe etc hosts deny
633. uta o cvs em modo simula o n o modificando qualquer arquivo do reposit rio t Mostra mensagens mostrando o processo de execu o de comandos do CVS bastante til para aprendizado do cvs usado junto com a op o n r Torna os novos arquivos criados somente para leitura a mesma coisa que especificar a vari vel CVSREAD W Torna os novos arquivos criados leitura grava o que o padr o X Utiliza criptografia para a transfer ncia dos arquivos quando utilizado em conjunto com o Kerberos Voc pode obter detalhes sobre op es sobre um comando em especial do CVS commit checkout etc digitando cvs comando help Veja Criando projetos para serem usados no CVS Se o 17 3 para exemplos sobre cada uma delas 17 2 Servidor de CVS configurando m todos de acesso ao reposit rio O CVS uma aplica o cliente servidor possuindo diversas maneiras de fazer o acesso seu reposit rio vejalReposit rio Se o 17 3 1 reposit rios Estes m todos s o os seguintes local local Se o 17 2 1 ext fext Se o 17 2 3 pserver fpserver password server Se o 17 2 4 fork fork Se o 17 2 2 GSSAPI gssapi Se o 17 2 6 Eles s o explicados em detalhes nas sub se es a seguir 17 2 1 local Acessa o diret rio do reposit rio diretamente no disco local A vantagem deste m todo que n o requerido nem nome nem senha para acesso voc precisa apenas ter permiss es para
634. uthpriv none var log syslog cron var log cron log daemon var log daemon log kern var log kern log pr var log lpr log mail var log mail log user var log user log uucp var log uucp log 86 Registro de logs do sistema de mensagens Divididos para facilitar a cria o de scripts para manipular estes arquivos mail info var log mail info mail warn var log mail warn mail err var log mail err Registro para o sistema de news INN news crit var log news news crit news err var log news news err news notice var log news news notice Alguns arquivos de registro pega tudo S o usadas para especificar mais de uma prioridade por exemplo auth authpriv none e para especificar mais de uma facilidade n vel que ser gravada naquele arquivo Isto permite deixar as regras consideravelmente menores mais leg veis debug N auth authpriv none N news none mail none var log debug info notice warn N auth authpriv none N cron daemon none N mail news none var log messages Emerg ncias s o enviadas para qualquer um que estiver logado no sistema Isto feito atrav s da especifica o do como destino das mensagens e s o enviadas atrav s do comando wall emerg Eu gosto de ter mensagens mostradas no console mas somente em consoles que n o utilizo daemon mail N news crit news err news notice N deb
635. utilit rios quotaon e quot aoff Primeiro s o listados as restri es de usu rios e depois de grupos para a parti o toler ncia As op es aceitas por este utilit rio tem o mesmo significado das op es do quotaon e quotaoff repquota aug Report for user quotas on device dev hda3 Block grace time 7days Inode grace time 7days Block limits File limits User used soft hard grace used soft hard grace root 29160 O O none 9970 0 0 none daemon ci 64 O O 22 0 0 man gt 944 0 O 65 0 0 mail 4960 0 O 823 0 0 news 4 O O 1 0 0 gleydson 31032 O O 6956 0 0 testuser 16 O O 4 0 0 anotheruser 16 O O 4 0 0 nobody 2344 0 0 2 0 0 Report for user quotas on device dev hda5 Block grace time 2days Inode grace time 7days Block limits File limits User used soft hard grace used soft hard grace root 16052 0 0 none 6443 0 0 none gleydson 4944 500100 600000 none 10868 0 0 Report for group quotas on device dev hda5 Block grace time 7days Inode grace time 7days Block limits File limits Group used soft hard grace used soft hard grace root SS 20308 0 0 none 636 0 0 none src 11404 0 0 660 0 0 users ss 1756 0 0 6561 0 0 gleydson 3452 0 0 9307 0 0 Um sinal de no segundo campo indica quota ultrapassada ou no espa o em disco em n mero de arquivos e em ambos Como vimos acima o este comando tamb m lista o n mero de arquivos e bytes pertencentes a cada usu
636. utils sb contendo a linha acima depois execute O update modules para juntar todos os arquivos do etc modutils e criar o etc modules conf 3 Ap s carregar o m dulo correto de sua placa de som seu sistema de som dever estar funcionando Se voc utiliza uma distribui o Linux os dispositivos de som como dev audio dev dsp dev mixer estar o criados e ent o poder passar para o pr ximo passo Caso n o existam entre no diret rio dev e execute o comando MAKEDEV audio 4 O pr ximo passo consiste em instalar um programa para controle de volume tonalidade e outros recursos de sua placa de som O recomendado o aumi x por ser simples pequeno e funcional e permitindo restaurar os valores dos n veis de volumes na inicializa o isso evita que tenha que ajustar o volume toda vez que iniciar o sistema Caso O aumix apare a na tela sua placa de som j est funcionando Caso acesse o sistema como usu rio n o se esque a de adicionar seu usu rio ao grupo audio para ter permiss o de usar os dispositivos de som adduser usuario audio 3 11 3 Configurando um gravador de CD no Linux Configurar um gravador de CD no Linux n o tem mist rios apenas preciso que sejam seguidos passos para que a coisa funcione direito pois sempre funciona Se algo n o funcionou ou porque os passos n o foram seguidos corretamente algum problema no hardware alguma falha no kernel espec fica que afeta seu gravador ou o auto
637. utros aspectos especiais dos pacotes que atravessam os filtros 10 7 4 Conex o FTP de 200 217 29 67 para a m quina ftp debian org br Endere o de Origem 200 217 29 67 Endere o de Destino 200 198 129 162 Interface de Origem pppoO Interface de Destino ppp0 Porta Origem 1407 Porta Destino 21 Protocolo TCP Descri o Conex o ftp at o prompt de login sem transfer ncia de arquivos SA DA DOS PACOTES envio da requisi o para 200 198 129 162 OUTPUT mangle gt OUTPUT nat gt OUTPUT filter gt POSTROUTING mangle gt POSTROUTING nat A requisi o ftp passa atrav s dos chains especificados em SA DA DOS PACOTES com o destino 200 198 129 162 porta 21 ap s a resolu o DNS de www debian org br e retorna por ENTRADA DE PACOTES para 200 217 29 67 porta 1407 Ap s a conex o ser estabelecida o caminho de sa da de pacotes OUTPUT mangle gt OUTPUT filter gt POSTROUTING mangle pois os dados n o precisam de tratamento SNAT os chains OUTPUT nate POSTROUTING nat s o processado somente uma vez a procura de regras que conferem principalmente para fazer SNAT E ap s a conex o estabelecida o camin
638. va atrav s da op o s Para modificar a senha do usu rio convidado basta usar a mesma sintaxe sem a op o c que usada para criar um novo arquivo htpasswd m senhas convidado ou htpasswd b m senhas convidado nova_senha Opcionalmente voc pode especificar a op o d para atualizar tamb m o formato da senha para Crypto Podem existir senhas de criptografias mistas SHA Crypto MD5 no mesmo arquivo sem nenhum problema A mudan a do formato de senhas til quando se deseja aumentar o n vel de seguran a oferecido por um melhor sistema ou para manter a compatibilidade com alguns scripts programas que compartilhem o arquivo de senhas 12 7 2 1 2 htdigest e dbommanage Estes s o id nticos ao htpasswd a diferen a que o htdigest permite criar manter um arquivo de senhas usando a autentica o Digest enquanto o dbmmanage permite manter o banco de dados de senhas em um arquivo DB DBM GDBMe NDBM formatos conhecidos pelo Perl 12 7 2 2 Autentica o atrav s de usu rios Atrav s deste m todo poss vel especificar que usu rios ter o acesso ao recurso definido usando senhas de acesso individuais criptografadas usando um dos utilit rios da se o anterior Para restringir o acesso ao endere o http servidor org teste 179 lt Location teste gt AuthName Acesso a p gina do Foca Linux AuthType basic AuthUserFile home gleydson SenhaUsuario AuthGroupFile home users SenhaGrupo Require v
639. valente ao uso de stop e start mas se aplicam somente a alguns daemons e configura es que permitem a interrup o de execu o e reinicio Por exemplo para reconfigurar as interfaces de rede do computador podemos utilizar os seguintes comandos cd etc init d networking restart 7 4 N veis de Execu o Os N veis de execu o run levels s o diferentes modos de funcionamento do GNU Linux com programas daemons e recursos espec ficos Em geral os sistemas GNU Linux possuem sete n veis de execu o numerados de 0 a 6 O daemon init o primeiro programa executado no GNU Linux veja atrav s do ps ax grep init e respons vel pela carga de todos daemons de inicializa o e configura o do sistema O n vel de execu o padr o em uma distribui o GNU Linux definido atrav s do arquivo de configura o do etc inittab atrav s da linha id 2 initdefault 7 4 1 Entendendo o funcionamento dos n veis de execu o do sistema runlevels Os n vel de execu o atual do sistema pode ser visualizado atrav s do comando runlevel e modificado atrav s dos programas init ou telinit Quando executado O runlevel l o arquivo var run utmp e adicionalmente lista o n vel de execu o anterior ou a letra N em seu lugar caso ainda n o tenha ocorrido a mudan a do n vel de execu o do sistema Na Debian os diret rios etc rc0 da etc rc6 d cont m os links simb licos para arquivos em etc init d que s o aciona
640. ve ser usada em aplicativos que n o requisitam o estado do lock de arquivo ao servidor Caso voc possua aplicativos que fazem o lock corretamente de arquivos voc poder usar o share modes no isto significa que futuras aberturas de arquivo podem ser feitas em em modo leitura grava o Caso utiliza um aplicativo muito bem programado que implementa de forma eficiente de lock voc poder desativar esta op o O uso de oplocks yes em compartilhamentos aumenta a performance de acesso a arquivos em at 30 pois utiliza um c digo de cache no cliente Tenha certeza do que est fazendo antes de sair usando oplocks em tudo que lugar A desativa o de kernel oplocks necess ria para que isto funcione A op o read raw e write raw devem ter seus valores experimentados para ver se faz diferen a na performance da sua rede pois diretamente dependente do tipo de cliente que sua rede possui Alguns clientes podem ficar mais lentos em modo de leitura raw O tipo de sistema de arquivos adotado na m quina e suas op es de montagem tem um impacto direto na performance do servidor principalmente com rela o a atualiza o de status dos arquivos no sistema de arquivos hora de acesso data etc O cache de leitura adiante de abertura de arquivos em modo somente leitura aumenta a performance com o uso do oplocks n vel 2 Para isto ajuste a op o level2 oplocks para yes A recomenda o deste tipo de oplock o mesmo do n ve
641. wn allow estejam logados no console Caso nenhum usu rio autorizado esteja logado a mensagem shutdown no authorized users logged in exibida no console local O arquivo etc shutdown allow deve conter um usu rio por linha e 32 no m ximo A mesma linha do etc inittal pode ser modificada para a seguinte ca 12345 ctrlaltdel sbin shutdown a t5 r now OBS Se a op o a seja especificada e o arquivo etc shutdown allow n o existe a op o a ignorada 19 11 Restringindo o acesso ao sistema de arquivos proc O patch restricted proc fs um dos melhores para realizar esta tarefa Restringindo o acesso ao sistema de arquivos proc evita que o usu rio normal tenha acesso aos detalhes sobre processos de outros com ps aux ou acesso a detalhes de processos de outros usu rios existentes nos subdiret rios num ricos equivalentes a PID em proc Abaixo algumas caracter sticas do patch restricted proc fs e pequeno r pido e faz poucas modifica es no fonte do kernel e Seu m todo de funcionamento baseado nas restri es de dono grupo nativas de ambiente Unix e Restringe a visualiza o de processos s dos usu rios Adicionalmente ser especificada uma GID para o diret rio proc qualquer usu rio que perten a ao grupo especificado poder visualizar todos os processos e entrar em qualquer diret rio do kernel sem restri es como se n o tivesse o patch e Muito est vel e confi vel Este patch deve ser
642. ws NT goto NT 2000 echo echo echo echo cho SO 0S Usu rio SUSERNAMES Grupo de Trabalho SLANGROUP S Servidor S DOMINIOS echo rem net Recuperando compartilhamentos mapeia o compartilhamento publico definido no servidor us NNgleydsonipublico echo rem Sincronizando data hora sincroniza a data hora com o servidor 303 net time NNgleydson set yes goto fim rem rem NT 2000 cho Sen echo SO O0S echo Usu rio SZUSERNAMES echo Windows windirs echo Logon de dom nio LOGONSERVER S cho po Res Aro ea ANDO us AP A BEN A A VENDA echo Recuperando compartilhamentos net us gleydson publico persistent yes echo Sincronizando data hora net time gleydson set yes rem rem goto fim rem fim Note no exemplo acima que n o podem haver linhas em branco voc dever utilizar a palavra rem coment rio em arquivos em lote em seu lugar Note que existem diferen as entre o comando net do Windows 9x ME e do NT as vari veis tamb m possuem um significado diferente entre estes 2 sistemas isto explica a necessidade de se incluir um bloco separado detectando a exist ncia de qual sistema est sendo efetuado o logon A lista completa de vari veis dispon veis para cada sistema operacional pode ser obtida colocando se set gt c lvars txt que gravar uma lista de vari veis dispon veis durante o logon no arquivo c lva
643. ws for Workgroups Windows 95 OSR1 As vers es mais novas destas implementa es enviam a senha em formato criptografado sendo necess rio tamb m usar o formato criptografado no SAMBA para que possa se autenticar veja Ativando o suporte a senhas criptografadas Se o 18 8 309 Em Senhas criptografadas ou em texto puro Se o 18 12 15 feita uma compara o entre o uso de autentica o usando senhas em texto plano e senhas criptografadas Em geral o administrador prefere a utiliza o da autentica o usando texto plano quando deseja usar o etc passwd para autentica o e est usando grupos de trabalho necess rio usar senhas criptografadas para autentica o Para configurar o SAMBA para utilizar senhas em texto modifique o par metro encrypt passwords para no global encrypt passwords no Reinicie o SAMBA Iniciando o servidor reiniciando recarregando a configura o Se o 18 1 9 de agora ele usar O etc passwd para autentica o e a partir OBS Tenha certeza de n o estar participando de um dom nio ou que sua m quina seja o PDC antes de fazer esta modifica o 18 9 1 Configurando o acesso de clientes para uso de senhas em texto plano Esta se o descreve como configurar clientes para acessar o servidor SAMBA usando autentica o em texto plano Atualmente o guia cobre os seguintes clientes T an Manager Se o 18 9 1 1 indows for Workgroups Se o 18 9 1 2 Windows
644. ww ent o as permiss es do diret rio var www focalinux ser o FollowSymLinks do diret rio web docs e Includes adicionada e o par metro Indexes n o ter efeito neste diret rio permitido fazer um aninhamento das diretivas lt Directory gt e lt Files gt lt Directory var www gt Order allow deny allow from all lt Files LEIAME DONO txt gt Order deny allow deny from all lt Files gt lt Directory gt 173 Neste caso somente os arquivos LEIAME DONO txt existentes no diret rio var www e seus sub diret rios ser o bloqueados Se a diretiva lt Files gt for usada fora de uma estrutura lt Directory gt ela ter efeito em todos os arquivos disponibilizados pelo servidor Este excelente m todo para proteger os arquivos de acesso senhas e grupos conforme ser explicado mais adiante Qualquer outro tipo de aninhamento de diretivas resultar em um erro de configura o ao se tentar carregar recarregar o Apache Um exemplo de diretiva incorreta lt Directory var www gt Options Indexes FollowSymLinks lt Directory var www focalinux gt Options Includes Indexes lt Directory gt lt Directory gt O correto lt Directory var www gt Options Indexes FollowSymLinks lt Directory gt lt Directory var www focalinux gt Options Includes Indexes lt Directory gt Espero que tenha observado o erro no exemplo acima OBS1 Voc pode verificar se
645. ww gms com br lt VirtualHost gt Na configura o acima usamos o IP do servidor para especificar o virtual host O apache tentar fazer o DNS reverso para determinar qual nome servido por aquele endere o IP www site1l com br Se ele falhar somente a se o lt VirtualHost gt correspondente ser desativada Isto j uma melhoria sobre a primeira configura o O nome do servidor na diretiva ServerName garante que o servidor responda com o nome correto Para evitar ataques baseados em DNS siga os seguintes procedimentos de seguran a 1 Preferencialmente utilize o arquivo etc hosts para a resolu o de nomes em m quinas locais principalmente quando existe somente um administrador um m todo que evita diversas consultas ao servidor DNS que pode deixar o acesso lento e este arquivo gerenciado pelo usu rio root isto evita o acesso de qualquer usu rio para a falsifica o de endere os Este arquivo tamb m til caso a pesquisa DNS falhe quando a ordem de pesquisa for do servidor DNS para o arquivo hosts no arquivo etc host conf pois de qualquer forma o nome ser resolvido e o servidor Apache ser executado 2 Evite dar poderes a outros administradores manipularem seu pr prio dom nio DNS n o h nada que possa impedi lo de modificar o endere o X para ser servido pelo IP Y desviando o tr fego para seu pr prio servidor web Se isto n o for poss vel siga as dicas abaixo para diminuir poss veis
646. xternas encaixadas nos slots de expans o da placa m e No inicio da era do PC XT todos as placas eram embutidas na placa m e na poca eram somente a placa de v deo e controladora Com o surgimento do padr o AT diversas empresas de inform tica desenvolveram dispositivos concorrentes e assim o usu rio tinha a liberdade de escolha de qual dispositivo colocar em sua placa m e ou o mais barato ou o de melhor qualidade e desempenho isto permitiu a adi o de perif ricos de qualidade sem romper com seu or amento pessoal comprando uma placa de som depois uma de fax modem placa de v deo melhor etc Atualmente parece que voltamos ao ponto de partida e tudo vem embutido na placa m e on board e o usu rio n o tem como escolher qual dispositivo usar em seu computador muito dif cil praticamente imposs vel encontrar uma placa m e que satisfa a completamente as necessidades do usu rio ou recomenda es de um bom t cnico de inform tica a n o ser que seja um t cnico experiente e encontre alguma alternativa Certamente o nico dispositivo que funciona melhor se embutido na placa m e a placa controladora de perif ricos Esta placa usada para se conectar unidades de disquete discos r gidos CD ROM portas seriais paralelas joystick ao computador Os HDs conectados em uma controladora embutida conseguem ter um desempenho muito maior do que em placas conectadas externamente sem causar nenhum tipo de problema Felizme
647. zada no assunto e seu foco a seguran a na troca de chaves e o que isto significa Ap s consulta ao autor do texto o texto foi reproduzido na ntegra mantendo os padr es de formata o da mensagem Trocando assinaturas de chaves digitais Direitos de republica o cedidos ao dom nio p blico contanto que o texto seja reproduzido em sua ntegra sem modifica es de quaisquer esp cie e incluindo o t tulo e nome do autor 1 Assinaturas digitais 2 Chaves digitais e a teia de confian a 3 Trocando assinaturas de chaves digitais com um grupo de pessoas 1 Assinaturas digitais Uma assinatura digital um n mero de tamanho razo vel costuma ter de 128 a 160 bits que representa um bloco bem maior de informa o como um e mail Pense numa assinatura como se ela fosse uma vers o super comprimida de um texto Se voc muda alguma coisa por menor que seja no texto que uma assinatura assina essa assinatura se torna inv lida ela n o mais representa aquele texto Existe uma rela o direta entre uma assinatura e informa o que ela assina Se uma das duas for modificada elas passam a n o mais combinar uma com a a outra Um programa de computador pode detectar isso e avisar que a assinatura inv lida Os algoritmos mais usados para criar e verificar assinaturas digitais s o o SHA 1 RIPEM160 e MD5 O MD5 n o considerado t o bom quanto os outros dois Assinaturas digitais tamb m funcionam com
Download Pdf Manuals
Related Search