Adm Root

Confidencialidade, Autenticação, Confiabilidade, Integridade, São alguns elementos de segurança de um ambiente computacional. O Elemento mais importante para se garantir a segurança de rede de computadores é o estabelecimento de uma política de segurança. Uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização. As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. Fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques. Os elementos da política de segurança devem ser considerados: A Disponibilidade: o sistema deve estar disponível de forma que q

A área de gerencia de redes foi inicialmente impulsionada pela necessidade de monitoração e controle do universo de dispositivos que compõem as redes de comunicação. Do ponto de vista do administrador, para prover estes serviços de maneira segura são necessário uma série de outros serviços que, a princípio, não interessa ao usuário e em muitos casos “atrapalha” o mesmo. Na Ilustração acima vemos um diagrama com os serviços básicos de rede que um administrador de sistemas deve ofertar. Devemos observar que os serviços podem ou não estar agrupados na mesma máquina. ;)

Olá pessoal!! Estou de volta!! =) Agora, que vimos bons assuntos de redes de administração, veremos Gerenciamento e segurança com Linux !!! Qualquer dúvida, sugestões ou reclamações, não deixe de entrarem em contato comigo, e participem também, com comentários em cada postagem!!! obrigada. ;)

Nas distribuições derivadas do Debian temos ainda um terceiro serviço, o "nfs-common", que deve ser ativado antes do módulo servidor, como root: # /etc/init.d/portmap start # /etc/init.d/nfs-common start # /etc/init.d/nfs-kernel-server start A configuração do NFS é feita em um único arquivo, o " /etc/exports " , onde vai a configuração dos diretórios compartilhados, um por linha. Originalmente, este arquivo fica vazio, ou contém apenas um comentário. Você precisa apenas abrí-lo num editor de textos e adicionar as pastas que deseja compartilhar. Por exemplo, para compartilhar a pasta "/home/arquivos" como somente leitura, para todos os micros da sua rede local, adicione a linha: /home/arquivos 192.168.1.*( ro ,no_root_squash) Para compartilhar a pasta "/home/trabalhos" com permissão de leitura e escrita, adicione a linha: /home/trabalhos 192.168.1.*( rw ,no_root_squash) Para compartilhar a pasta "/arquivos", de forma que apenas o ho

         Enquanto o Samba permite solucionar sem muita dor de cabeça o desafio de interligar máquinas Linux e Windows na mesma rede, o NFS é uma opção para compartilhar sistemas de arquivos entre máquinas Linux, de uma forma prática e estável. Na verdade, você pode perfeitamente usar o Samba para compartilhar arquivos entre máquinas Linux, mas o NFS não deixa de ser um recurso importante, que você não deve deixar de estudar. Assim como o Samba, o NFS é um servidor que precisa ser habilitado manualmente na maior parte das distribuições. No Fedora, CentOS, Mandriva e outras distribuições derivadas do Red Hat, procure pelo serviço " nfs ". Nas distribuições derivadas do Debian, procure pelo serviço " nfs-kernel-server ". O NFS utiliza um outro serviço, o portmap, para gerenciar as requisições dos clientes. Este serviço precisa estar ativo para que o NFS funcione, ou seja, para inicializar o servidor NFS, você precisa ativar os dois.  Veja a proxíma postagem!! =)

Para usar o postifx, precisamos instala-lo!! ;) Utilizaremos  a distribuição ubuntu nessa configuração! Abra o terminal e como root instale o pacote com o segundo comando: #aptitude install postifix Mais três pacotes que adicionam algumas funcionalidades importantes são: # aptitude install postfix-ldap (permite configurar o servidor para obter a lista de logins e senhas a partir de um servidor LDAP) # aptitude install postfix-mysql   # aptitude install postfix-pgsql (para usar um servidor MySQL ou Postgree para armazenar a lista de logins e senhas) Ele faz algumas perguntas e se encarrega de gerar uma configuração básica, suficiente para colocar o servidor para funcionar. Ele não faz nada de sobrenatural, apenas ajusta o "/etc/postfix/main.cf" de acordo com as opções definidas. Por enquanto, vou apenas explicar rapidamente as opções, pois as veremos com mais detalhes ao estudar a configuração manual do postfix. A primeira pergunta é sobre a função do servidor de

Temos alguns servidores de email no unix, como:       Sendmail, Exim, Qmail e o mais recente o Postfix.  Iremos falar na proxíma postagem somente do Postfix , pois ele é uma espécie de meio termo entre a simplicidade do Qmail e a fartura de recursos do Exim . Entre os três, ele é o mais rápido e o mais simples de configurar, o que faz com que ele seja atualmente o mais popular e o que possui mais documentação disponível. O Postfix também possui um excelente histórico de segurança, sendo considerado por muitos tão seguro quanto o Qmail . Existem fortes motivos para não usar o Sendmail ou o Qmail em novas instalações, mas temos uma boa briga entre o Postfix e o Exim . Escolhi abordar o Postfix simplesmente por que, entre os dois, ele é mais popular, o que torna mais simples encontrar documentação e conseguir ajuda quando tiver dúvidas. Apesar disso, a maior parte dos conceitos podem ser usados também na configuração do Sendmail e outros servidores; afinal, a configuração de t

SCP          Secure Copy ou SCP é um meio seguro para transferir arquivos entre um host local e um remoto ou entre dois hosts remotos, usando o protocolo SSH. O termo SCP pode ao mesmo tempo referir-se ao Protocolo SCP ou ao Programa SCP . No SCP os dados são cifrados durante a transferência, para evitar que potenciais sniffers possam extrair informações dos pacotes. No entanto o protocolo em si não provê nenhuma autenticação ou segurança; ele depende no protocolo abaixo dele, o SSH, para fazê-lo. O protocolo SCP apenas implementa a transferência de arquivos.    Os parâmetros de origem e destino são semelhantes ao do comando cp mas possui um formato especial quando é especificado uma máquina remota: Um caminho padrão - Quando for especificado um arquivo local. usuario@host_remoto: /diretório/arquivo - Quando desejar copiar o arquivo de/para um servidor remoto usando sua conta de usuário.  Fique esperto quando se tratar de segurança!!! ;) Fonte: Wikipédia

http://guiadohardware   Um parâmetro é definido no formato( nome = valor ). Irei descrever alguns parâmetros utilizados nesta seção, organizado de forma didática e simplificada.  * Nomes e grupos de trabalho         netbios name = [nome do servidor] Especifica o nome NetBIOS primário do servidor samba. Caso não seja ajustado, ele usará o hostname de sua máquina como valor padrão.  workgroup = [grupo de trabalho/domínio] Diz qual o nome do grupo de trabalho/domínio que a máquina samba pertencerá. netbios aliases = [nomes alternativos ao sistema] Permite o uso de nomes alternativos ao servidor, separados por espaços. server string = [identificação] Identificação enviada do servidor samba para o ambiente de rede. name resolve order = [ordem] Define a ordem de pesquisa para a resolução de nomes no samba.   Pessoal, para saber mais sobre o samba, acessem os seguintes links abaixo:   http://focalinux http://guiadohardware http://www.vivaolinux   obg! =)         Fonte: Foca Linux  

Toda a configuração relacionada com nomes, grupo de trabalho, tipo de servidor, log, compartilhamento de arquivos e impressão do Samba é colocada no arquivo de configuração /etc/samba/smb.conf . Este arquivo é dividido em seções e parâmetros , como vimos em postagem anteriores. Uma seção no arquivo de configuração do samba ( SMB.CONF ) é definido por um nome entre "[ ]". As seções tem o objetivo de organizar os parâmetros pra que tenham efeito somente em algumas configurações de compartilhamento do servidor (exceto os da seção [global] que não especificam compartilhamentos, mas suas diretivas podem ser válidas para todas os compartilhamentos do arquivo de configuração). Alguns nomes de seções foram reservados para configurações específicas do SAMBA , eles são os seguintes:  [global] Define configurações que afetam o servidor samba como um todo, fazendo efeito em todos os compartilhamentos existentes na máquina. Por exemplo, o grupo de trabalho, nome do servidor,

Nome de máquina (nome NetBios)   Toda a máquina em uma rede NetBEUI é identificada por um nome, este nome deve ser único na rede e permite que outras máquinas acessem os recursos disponibilizados ou que sejam enviadas mensagens para a máquina. Este nome é composto de 16 caracteres, sendo 15 que identificam a máquina e o último o tipo de serviço que ela disponibiliza. Grupo de trabalho O grupo de trabalho organiza a estrutura de máquinas da rede em forma de árvore, facilitando sua pesquisa e localização. A segurança no acesso a arquivos e diretórios na configuração de grupo de trabalho é controlada pela própria máquina, normalmente usando segurança a nível de compartilhamento. Esta segurança funciona definindo um usuário/senha para acessar cada compartilhamento que a máquina possui. Domínio Um compartilhamento é um recurso da máquina local que é disponibilizado para acesso via rede, que poderá ser mapeada por outra máquina. O compartilhamento pode ser um diretório, arquivo, impress

                Na postagem anterior, vimos o que seria um servidor samba, diferentemente da ideia que temos logo ao ler essa palavra, foi adotado não em apologia ao Carnaval, mas apenas porque é uma das poucas palavras do dicionário do Aspell que possui as letras S, M e B, de "Server Message Blocks". =)                As configurações serão divididas em postagens, para melhor aproveitamento, caso, ocorra dúvidas, opiniões ou sugestões, sintam-se a vontade para comentar!! Todas as configurações que postarei aqui, serão feitas na distribuição Ubuntu 9.10.     Vamos a nossa primeira configuração!!  Com o terminal aberto e como root, instale o pacote do samba, com o seguinte comando: #aptitude install samba             Ao carregar, devemos entrar no diretório do samba: #cd /etc/samba Agora que estamos no diretório do samba vamos configura-lo!! Primeiramente, vamos fazer uma cópia do arquivo original do samba: #cp samba.conf  samba1.conf Agora, veremos a configuração da s

         O SAMBA é um servidor e conjunto de ferramentas que permite que máquinas Linux e Windows se comuniquem entre si, compartilhando serviços (arquivos, diretório, impressão) através do protocolo SMB (Server Message Block)/CIFS (Common Internet File System), equivalentes a implementação NetBEUI no Windows. O SAMBA é uma das soluções em ambiente UNIX capaz de interligar redes heterogênea.            Segue abaixo algumas funcionalidades importantes de aplicações do samba e seu conjunto de ferramentas: Compartilhamento de arquivos entre máquinas Windows e Linux ou de máquinas Linux (sendo o servidor SAMBA) com outro SO que tenha um cliente NetBEUI (Macintosh, OS/2, LanManager, etc). Montar um servidor de compartilhamento de impressão no Linux que receberá a impressão de outras máquinas Windows da rede. Controle de acesso aos recursos compartilhados no servidor através de diversos métodos (compartilhamento, usuário, domínio, servidor). Controle de acesso leitu

       Você pode configurar várias opções relacionadas ao servidor SSH, incluindo a porta TCP a ser usada editando o arquivo " /etc/ssh/sshd_config ". A maior parte das opções dentro do arquivo podem ser omitidas, pois o servidor simplesmente utiliza valores defaults para as opções que não constarem no arquivo. - Porta : Uma das primeiras linhas é a: Port 22 Esta é a porta que será usada pelo servidor SSH. O padrão é usar a porta 22. Ao mudar a porta do servidor aqui, você deverá usar a opção "-p" ao conectar a partir dos clientes, para indicar a porta usada, como em: # ssh -p 2222 adm@192.168.0.4 Outra opção é editar o arquivo " /etc/ssh/ssh_config " (nos clientes) e alterar a porta padrão usada também por eles. Mudar a porta padrão do SSH é uma boa idéia se você está preocupado com a segurança. Muitos dos ataques "casuais", quando não existe um alvo definido, começam com um portscan genérico, onde é feita uma varredura em faixas int

  Ao ser habilitado, o padrão do servidor SSH é permitir acesso usando qualquer uma das contas de usuário cadastradas no sistema, pedindo apenas a senha de acesso. Para acessar o servidor " 192.168.0.4 ", usando o login " adm ", por exemplo, o comando seria: $ ssh adm@192.168.0.4 Você pode também acessar o servidor usando o nome ou domínio, como em: $ ssh adm@admroot.blogspot.com   Caso você omita o nome do usuário, o SSH presume que você quer acessar usando o mesmo nome de usuário que está usando na máquina local. Se você está logado como " tux ", ele tentará fazer login usando uma conta " tux " no servidor remoto. Naturalmente, só funciona caso você use o mesmo login em ambas as máquinas.     Ao acessar micros dentro da rede local, você pode também chamá-los pelo nome, como em " ssh adm@servidor ". Neste caso, você precisará primeiro editar o arquivo /etc/hosts (no cliente), incluindo os números de IP das máquinas e os nomes corre

Em postagem anteriores, vimos um pouco sobre o Protocolo SSH Agora, veremos o acesso remoto com O  Servidor SSH. Antes veremos mais características do SSH>>>> Conexão de dados criptografada entre cliente/servidor. Cópia de arquivos usando conexão criptografada. Suporte a ftp criptografado (sftp). Suporte a compactação de dados entre cliente/servidor. Controle de acesso das interfaces servidas pelo servidor ssh . Suporte a controle de acesso tcp wrappers. Autenticação usando um par de chaves pública/privada RSA ou DSA. Algoritmo de criptografia livre de patentes. Suporte a PAM. Suporte a caracteres ANSI (cores e códigos de escape especiais no console).  O SSH é dividido em dois módulos. O sshd é o módulo servidor, um serviço que fica residente na máquina que será acessada, enquanto o ssh é o módulo cliente, um utilitário que você utiliza para acessá-lo.  Agora que vimos suas caracteristicas, iremos iniciar o servidor SSH. Utiliza

   Quando você acessa uma página em PHP em um site que roda sobre um servidor Apache, ele (Apache) lê o arquivo no disco e repassa a requisição para o modphp, o módulo encarregado de processar arquivos PHP. Ele, por sua vez, aciona o interpretador PHP, que processa a página e a entrega, já processada, ao Apache, que, finalmente, a entrega ao cliente. Caso seja necessário acessar um banco de dados (como no caso de um fórum), entra em ação outro módulo, como o php4-mysql, que permite que o interpretador PHP acesse o banco de dados: Pode parecer estranho que depois de toda essa volta, o Apache ainda consiga entregar a página processada em tempo hábil, mas é justamente essa divisão de tarefas que permite que o Apache seja tão rápido e seguro. O trabalho é dividido em várias partes e cada módulo é mantido separadamente por uma equipe que entende do assunto e zela pelo desempenho e confiabilidade do código. Graças a isso, é bastante raro que sejam descobertos problemas graves de segurança no

O Apache 2 traz muitas vantagens, sobretudo do ponto de vista do desempenho, mas, por outro lado, ele é incompatível com os módulos compilados para o Apache 1.3 e muitas opções de configuração são diferentes. A questão dos módulos não chega a ser um grande problema hoje em dia, pois todos os principais módulos já foram portados, mas muita gente que aprendeu a configurar o Apache 1.3 se sente mais confortável com ele e, por isso, continua usando-o até hoje, apesar das vantagens da nova versão. Muitas distribuições continuam oferecendo as duas versões, de forma a satisfazer os dois públicos. No ubuntu, por exemplo, o Apache 2 (a versão recomendada) é instalado através do " apache2 ". Ao instalar o Apache 2, o suporte a SSL é instalado automaticamente junto com o pacote principal (mas ainda é preciso ativá-lo na configuração, como veremos a seguir). Instale também o pacote apache2-utils, que contém diversos utilitários de gerenciamento que usaremos a seguir. Abra o terminal e

Algumas características do squid:  *Proxy e cache para HTTP,FTP e outros protocolos baseados em URL.  *Proxy para SSL(pág. criptografadas).  *Cache hierárquico, que traz uma melhoria significativa de performance.  *Suporte para o proxy transparente.  *Politicas de controle de acesso extremamente flexíveis.  *SNMP.  *Logs Avançados.  * DNS cache(Guarda informações sobre o mapeamento entre  endereços IP e nomes de máquinas de Internet, acelerando a procura de máquinas).  *Cache em RAM, que mantém os objetos mais utilizados na memoria RAM.  *A porta padrão do proxy squid é o 3128.Muitos dos proxy trabalham com a porta 8080.Fica a gosto do usuário. O Squid é composto de um único pacote, por isso a instalação é simples. Instale o pacote " squid " usando o apt-get, yum ou urpmi, como em: # apt-get install squid Toda a configuração do Squid é feita em um único arquivo, o " /etc/squid/squid.conf ". Caso você esteja usando uma versão antiga do Squid, como a incluída no Debi

Antes de tudo, o que seria um proxy?   Ele possui várias funções que, se trabalhadas junto com o firewall, podem trazer ótimos resultados em relação ao controle e segurança de acesso à internet.    Uma de suas funções mais importante do proxy é o cache.    Quando acessamos uma página, fazemos uma requisição ao servidor WEB que armazena o conteúdo. Após a solicitação ser processada, a nossa máquina começa a fazer download da página solicitada. O cache nada mais é do que um um depósito dos sites acessados pela rede.  Uma máquina da rede solicita acessar um site, obviamente com o proxy instalado em um servidor. Esta requisição primeiramente passará pelo proxy, que por sua vez, verificará no diretório de cache se tal página está armazenada. Estando, ele devolve a página armazenada para o cliente local, caso contrário, irá buscar esta página , fará o download, entregará a solicitação para o usuário e guardará a página em cache.  Existe um limite dado pelo administrador da Rede para que ele

Um cliente DHCP pode passar por seis estados de aquisição: * Inicialização * Seleciona * Solicita * Limite * Renova * Vincula Novamente Surge uma questão: Para encontrar seu endereço IP, uma máquina recém-inicializada numa rede com um servidor DHCP, quais os padrões que ele utilizará para chegar até ele? 1º  A maquiná cliente transmite via broadcast um pacote UDP chamado " DHCP DISCOVER " . 2º O servidor recebe a requisição e oferece um IP através de uma pacote chamado " DHCP OFFER " .  3º O novo cliente recebe a oferta do IP e solicita um LEASE do IP ofertado através do pacote " DHCP REQUEST ". 4º O servidor recebe essa confirmação e garante oficialmente o "lease" do IP ao cliente através do pacote " DHCP ACK ". 5º Se o cliente ainda estiver usando o IP e o tempo de "lease" estiver acabando, ele solicita ao servidor que o tempo do "lease" seja estendido. DHCPACK 6º O servidor envia um " ACK " gar

    Agora é a vez do DHCP!  O DHCP,( Dynamic Host Configuration Protocol ) é um protocolo de serviço TCP/IP que oferece configuração dinâmica de terminais, com concessão de endereços IP de host e outros parâmetros de configuração para clientes de rede.        Ele responde aos pacotes de broadcast das estações,enviando um pacote com um dos endereços IP disponíveis e os demais dados da rede. Os pacotes de broadcast são enviados para o último endereço da rede, como em 192.168.1.255 ou 255.255.255.255, e são recebidos por todos os micros da rede.     O servidor DHCP verifica se as estações ainda estão lá, exigindo uma renovação do "aluguel" do endereço IP (opção "lease time").  Mas, qual a vantagem?   Bom,  Isso permite que os endereços IP sejam gastos apenas com quem realmente estiver online, evitando que os endereços disponíveis se esgotem.     No Linux o serviço de DHCP pode ser configurado através dhcp3-server ,que utilizaremos na distribuição Ubuntu. Veremos a segu