Linuxbsico eredes

DesenvolvidoporJorgeleyIncioJnior,instrutorISPA700

 NDICE Instala odoLinux 3 Particionamento ............................................................................. 3 Iniciandoainstalao .................................................................... 3 IniciandoousodoLinux .............................................................. 4 Comandosbsicos .......................................................................... 4 Comandosdeadministraodeusurios .................................... 5 Comandossobrearquivosediretrios ......................................... 5 Comandossobrepermisses ......................................................... 6 Comandossobresistemasdearquivos ......................................... 7 ComandossobreinstalaonoLinux ........................................... 8 Outroscomandos ......................................................................... 10 Atributosdosarquivosediretrios ............................................. 11 Redes ............................................................................................ 11 Configurarplacaderede .............................................................. 11 ServidordearquivosSamba ..................................................... 12 CompartilhamentoUseranveldegrupo .................................. 12 ServidorWebApache ................................................................ 17 ServidordeNomesBind ........................................................... 20 ServidorProxySquid ................................................................ 24 FirewallIPTABLES .................................................................... 28 DIRETRIOS ............................................................................... 36

InstalaodoLinux Particionamento CasotenhaseumWindowsinstaladonoPC,particioneoHDpara instalaroLinuxseparadamentedoWindows.UtilizeumFDISK, PARTITIONMAGICouqualqueroutroparticionador. AoparticionardefinaosistemadearquivosdapartiodoLinux comosendoEXT3ouREISERFS,estapartiodeverternomnimo 600MBlivrescasoainstalaosejadotipoEstaodeTrabalho,sefor Servidorentootamanhovaiparapelomenos1.6GB.Omelhora fazer,clarodefinirumtamanhomaiordoqueesterecomendado. Noesqueadedefiniropontodemontagemcomosendo/paraa partioEXT3. AlmdapartioEXT3ouREISERFS,queondeoLinuxser instalado,altamenterecomendadoquesedefinaumapartiocom sistemadearquivosSWAP,estapartiodeverserdetamanhoigual aodobrodamemriadoPCnomaiorque512MB.Estapartioser utilizadapeloLinuxcomopartiodetroca,ouseja,memriavirtual. Iniciandoainstala o DepoisdedefiniraspartiesdoLinux,entrenoSetupdoPCe definaobootapartirdoCDROM,coloqueoCDROMdoLinuxedo boot. Sigaospassosdainstalaonormalmente,aochegarem particionamentoescolhaforarparticionamentomanual,aoentrar noparticionadorapenasselecioneapartioEXT3paraqueo instaladorsaibaqueestaserapartioondeserinstaladooLinux, observeseopontodemontagemestdefinido,casonoesteja,defina o. Quandochegarnatelaparaescolherotipodeinicializaoescolha oLILOparaserseusistemadeinicializao,eleserutilizadoparase escolheroSOqueserinicializadonoboot,definaalocalizaodo mesmonoregistromestredeinicializaoMBR.Sigaorestantedos passosatreiniciaroPC.
3

IniciandoousodoLinux Comandosb sicos Olinuxpossuiduasformasdeoperao,vocpodetantoutilizalo emmodotextoouemmodogrfico.Almdisso,vocpodealternar entreosterminaispressionandoCTRL+ALT+F1atF7. LogoqueoLinuxiniciadoelepedirloginesenha,tantoem modotextocomoemmodogrfico.Osuperusurioroottem permissogeralnoLinux,podefazertudo,parasabersevocest logadocomosuperusuriobastaolharnalinhadecomando,caso tenhauma#vocestlogadocomosuperusurio.Osoutrosusurios precedemdeum$nalinhadecomando. AmaioriadoscomandosdoLinuxpossuiummanual,casotenha dvidasobredeterminadocomandobastadigitarnalinhade comando: man<comando> Todososcomandospossuemargumentosquepodemserpassados aodigitalo: comando<opes/argumentos> Ex:lsl Comandosdeadministra odeusu rios

Paraadicionarumgrupodeusurios: groupadd<novogrupo> Ex:groupaddamigos Paraadicionarumusurioemumgrupo: useradd<nomeusurio>g<nomegrupo> Ex:useraddgondimgmetal Paracolocarsenhaparaousurioadicionado: passwd<usurio>

4

Ex:passwdgondim Paradeletarusurio: userdel<usurio> Ex:userdelgondim Paraapagarumgrupo: groupdel<nomegrupo> Ex:groupdelamigos

Oarquivo/etc/passwdpossuitodososusurioscomseusgrupos, editeocomoVIparavisualizar.Oarquivo/etc/grouppossuiosgrupos cadastradosnosistema.Oarquivo/etc/shadowpossuitodasassenhas detodososusurio,criptografadas,claro. Comandossobrearquivosediretrios

Acessarumdiretrio: cd/diretrio Ex:cd/etc Voltaraodiretrioanterior: cd Listarocontedodeumdiretrio: ls Ex:ls/root Criarumdiretrio: mkdir<novodiretrio> Ex:mkdirguampa Removerumdiretrio: rmdir<diretrio> rmr<diretrio> Ex:rmrguampa Criarumarquivonovo: touch<novoarquivo> Ex:touchtexto Visualizarumarquivonoterminal: cat<arquivo> Ex:cattexto Mostrarocabealhodoarquivo: head<arquivo> Ex:headtexto
5

Mostrarofinaldoarquivo: tailf<arquivo> Ex:tailftexto Criaratalhoparaumarquivo lns<arquivo><nome_atalho> Ex:lns/etc/samba/smb.confatalho_smb.conf Procurarumapalavraemumarquivo: grep<palavra><arquivo> Ex:greprootpasswd Procurarumarquivo: find<local>name<arquivo> Ex:find/etcnameso(estaformaprocuraporumarquivo especfico) Ex:find/execgreproot{}ls\; (estaformaprocuraporumarquivocontendoumapalavra especfica) Copiararquivo: cp<arquivo_a_ser_copiado><nome_cpia> Ex:cp/home/texto/mnt/floppy Mostrardiretrioatual: pwd Removerumarquivo: rm<arquivo> Ex:rmtexto Renomearumarquivooumudalodelugar: mv<nome_velho_arquivo><novo_nome_arquivo> mv/<diretrio>/<arquivo>/<novo_diretorio> Ex:mv/home/texto/mnt/floppy

Comandossobrepermisses

Mudarogrupodoarquivooudiretrio: chgrp<novogrupo><arquivooudiretrio> Ex:chgrpamigostexto Mudarapermissodoarquivooudiretrio: chmod<nnn><arquivooudiretrio> *nnnsoosnmerosreferentesspermissesdoarquivo oudiretrio.4=leitura;2=escrita;1=execuo. Ex:chmod740texto

6

Mudarodonodeumarquivooudiretrio: chown<novodono><arquivooudiretrio> Ex:chowngondimtexto

Comandossobresistemasdearquivos Paramontarqualquersistemadearquivoutilizeaseguintesintaxe: mountt<tipo_sist_arquivos>/dev/<sist_arquivos>/<ponto_mont> Formatardisquete: fdformat<dispositivo> Ex:fdformat/dev/fd0 Criarsistemadearquivosdodisquete: mkfs.msdos/dev/fd0f12 MontarpartiodeHD: mountt<sistemadearquivos>/dev/hda1/mnt/hd Ex:mounttntfs/dev/hda5/mnt/hd Obs:sistemadearquivostemqueserosistemadearquivos dapartio,porexemploFATouNTFS,hda5referesequinta partio. Montarumdisquete: mounttvfat/dev/fd0/mnt/floppy MontaroCDROM: mounttiso9660/dev/cdrom/mnt/cdrom MontarPenDrive: Mount/dev/sda1/mnt/pendrive Obs.:odiretrio/mnt/pendrivenoexiste,devesercriado. Verificardispositivosmontados: mount Desmontarqualquersistemadearquivos: umount/ponto_de_montagem Ex:umount/mnt/floppy

Nodiretrio/etchumarquivochamadofstab,nestearquivo halgumasdescriesdesistemasdearquivosquepodemser montadosnainicializaodolinux,umadaslinhasdescreveoprprio pontodemontagemdolinux,nocasoo/(diretrioraiz).Casoqueira colocaralgumsistemadearquivoparasermontadonainicializaodo linuxsadicionaralinhanofstabdescrevendoosistemadearquivoa sermontado.Outravantagememcolocarumsistemadearquivosno

7

fstabquealmdeelesermontadonainicializaodolinuxelepoder sermontadocomocomandomount,pormespecificandoapenaso dispositivoouopontodemontagem.Porexemplo:paramontaro disquete,bastardigitarmount/mnt/floppy. Comandossobreinstala onoLinux

Verificarsepacoteinstalado: rpmq<pacote> Instalarpacote: rpmi<pacote> Desinstalarpacote: rpme<pacote>

Podeseutilizarjuntamentecomaopoioueasopesvh parasermostradodetalhesdainstalaooudesinstalao. Aindahumdetalheimportante,svezesteremosquebaixaro fontedeumdeterminadosoftwareeinstallomanualmente, instalandoosoftwarenaformamaisbrutadolinux.Supondoque baixamosofontedoApache2(queumsoftware,nocasoservidor Web),vejamoscomoinstallo: 1. EntrarnodiretrioondefoibaixadoofontedoApache,s praconferirserealmenteoarquivoestl,supondoquefoi baixadonodiretrioroot,ento: cd/root ls 2. Certamentehaverumarquivohttpd2.0.53.tar.gz,nocaso httpd2.0.53onomedosoftwaree.tar.gzaextensodo arquivo,quenesteexemploumarquivocompactadocomtare comgzip,entotemosquedescompactalo,primeirodevemos entrarnodiretrioondeserdescompactado,omelhoro diretrio/usr/local,ento: cd/usr/local

3. agoravamosdescompactaroarquivo: tarxzvf</root/httpd2.0.53.tar.gz Destamaneiraserdescompactadooarquivoeentoaparecer umdiretriohttpd2.0.53quefoiextradodoarquivocompactado. Agorasinstalar: 4. Entrenodiretrioquefoiextrado: cdhttpd2.0.53 5. Listeosarquivos: ls 6. Haverumarquivochamadoconfigure,queumarquivo executvel.Estearquivoresponsvelporconfigurarosoftware paraposteriorinstalao,entoexecuteo: ./configureprefix=/etc/apache2.0.53 7. depoisdeconfigurarscompilarofontedosoftware, ento: make makeinstall Pronto,tinstaladooApache2.Anicacoisachataquesvezes vocpodeencontrarumsoftwarequenosegueosmesmospassos, masnamaioriaserdestamaneira.Nesteexemplonahoradeexecutar oconfigureeuscoloqueioparmetroprefixqueindicaemqual diretrioserinstaladoosoftware,pormpodehavermaisparmetros. Namaioriadasvezesterqueserfeitoestespassos:extrairoarquivo, executaroconfigure,makeemakeinstall.

Outroscomandos

DesligaroPC: shutdownhnow init0 halt ReiniciaroPC: reboot shutdownrnow init6 Listarprocessos: psaux Matarprocesso: kill9<nmero_processo> Ex:kill9756 killall<nome_processo> Ex:killallsmbd Compactararquivo: zip<arquivo> Descompactararquivo: unzip<arquivo> Descompactararquivo.tar.gz: tarxzvf<arquivo>.tar.gz Ex:tarxzvfamsn092.tar.gz Testarplacaderede: ping<IP_do_PC> Ex:ping192.168.10.69 ChecarIP: ifconfig ConfigurarIP: ifconfigeth0<IP_host>netmask<mscara_rede>up Ex:ifconfigeth0192.168.10.69netmask255.255.255.0up VisualizardispositivosPCIs: lspci Limparatela: clear Visualizarcalendrio: cal Verdataatualehora: Date
10

Atributosdosarquivosediretrios

Redes Configurarplacaderede ParasaberosdispositivosPCIsdoseuPCutilizeocomando lspci.SesuaplacaderedeforPCIcertamenteelaaparecerna listagem. Paraconfigurarsuaplacaderedeutilizeocomandoifconfig: Ex:ifconfigeth0192.168.10.69netmask255.255.255.0up Nesteexemplo,aprimeiraplacaderede(eth0),serconfigurada comoIP192.168.10.69ecommscaraderededeclasseCe,almdisso, jligaraplacaderedecomonovoIP.Paraversedeucertobasta digitarifconfig. Onicodetalhedestecomandoqueaodaroutrobootna mquina,aconfiguraoserperdida,nestecasotemosquealteraro arquivodeconfiguraodaplacaderedeparaquenoaconteaisso. NasdistribuiesConectivaeRedHat,humarquivochamado: /etc/sysconfig/networkscripts/ifcfgeth0quecorrespondeaoarquivo

11

deconfiguraodaprimeiraplacaderede,bastausaroVIparaeditlo econfiguraralinhaIPADDRcomoIPdesejadoealinhaNETMASK comamscaraderede,htambmoparmetroONBOOTquedizse aplacaderededeveserligadanainicializao,casoqueirasigualar aYES.JnoSlackware(minhadistribuiofavorita)oarquivode configuraoo/etc/rc.d/rc.inet1.conf.

ServidordearquivosSamba CompartilhamentoUseranveldegrupo Paraestenveldeseguranautilizaremosoarquivo /etc/samba/smb.confparamontarocompartilhamento,ouseja, montaremosocompartilhamentonaunhamesmo.Nestenvelde seguranaocompartilhamentoseranveldegrupo,ouseja,seo usuriopertenceraogrupopermitido,teracessoaos compartilhamentos. Asvariveisglobaispermaneceroinalteradas,adefiniodo compartilhamentoanveldegruposerfeitadiretamenteno compartilhamento,entoediteosmb.confecoloqueum compartilhamentoseguindooseguintemodelo:

#################Servidordearquivos################### #configuradoporJorgeleyIncioJr. # ISPA700,jorgeley@go.senac.br [global] #grupodetrabalho workgroup=linux #descrioabaixodoiconedoservidor serverstring=Tux #nomedoservidornarede netbiosname=Servidor #nveldesegurana security=user

12

#criptografarsenhas encryptpasswords=yes #redes/hostspermitidas hostsallow=10.192.168.0. #redes/hostsnopermitidos hostsdeny=192.168.0.110.0.0.1 #mtododeresoluodenomes nameresolveorder=winsbcasthosts #fecharconexoapsdeterminadotempoinativa timeserver=yes #atualizarcriptografia updateencrypted=yes #arquivodelog(samba.nome_maquina) logfile=/var/log/samba.%m #nveldedetalhamentodolog debuglevel=2 #tamanhomximodoarquivodelogKB maxlogsize=50 #servidordesenhas%L=servidorlocal,opropriosamba passwordserver=%L #configuraodesocketsdeconexo(deixaumpoucomaisrpido) socketoptions=SO_KEEPALIVEIPTOS_LOWDELAYTCP_NODELAY #placasderedeqoservidordeveatender interfaces=eth1eth0 keepalive=20 bindinterfacesonly=yes localmaster=yes #numerodecandidaturadoservidorprincipal oslevel=150 #mestrededominio domainmaster=yes #mestredelogon domainlogons=yes #preferivelmenteservidormestre preferredmaster=yes #scriptdelogondousuario logonscript=%U.bat #ondearmazenarperfildousurio logonpath=\\Servidor\Profiles\%U
13

#naousarconsultaDNS dnsproxy=no #arquivodeusuariosdosamba smbpasswdfile=/etc/samba/private/smbpasswd #permitirusuariotrocarsenha pampasswordchange=yes #comandoparausuariotrocarsenha passwdprogram=/usr/bin/passwd%u #mensagensdetrocadesenha passwdchat=*Nova*senha*%n\n*Redigite*nova*senha*%n\n *Senha*trocada* readraw=yes writeraw=yes oplocks=yes maxxmit=65535 deadtime=15 getwdcache=yes unixcharset=iso88591 displaycharset=cp850 passdbbackend=smbpasswd #bloqueiodearquivos,tambmpodeficarnoscompartilhamentos vetofiles=/*.mpg/*.mpeg/*.wav/*.avi/*.ram/*.mp3 [professores] #diretriocompartilhado path=/professores #descrioaoladodocompartilhamento comment=ArquivosProfessores #compartilhamentovisvelnajanela browseable=yes #permitegravao writable=yes #somenteleitura readonly=no #usuariospermitidos(grupoprofessores) validusers=@professores #usuariosqpodemgravar(grupoprofessores) writelist=@professores #somenteusuarioconvidado
14

guestonly=no #compartilhamentodisponvel available=yes #publicoaosusuarios public=yes #permissopadrodecriaodearquivos createmode=0740 #permissopadrodecriaodediretrios directorymode=0740 [alunos] path=/alunos comment=ArquivosAlunos browseable=yes writable=yes readonly=no validusers=@alunos writelist=@alunos guestonly=no available=yes public=yes createmode=0740 directorymode=0740 #compartilhamentoondeficaroosscriptsdelogons(.bat) [netlogon] comment=NetworkLogonService path=/logons guestok=yes writable=no sharemodes=no browseable=no #compartilhamentoondeficaroosperfisdosusurios [Profiles] comment=diretoriodeperfis path=/Profiles readonly=no profileacls=yes
15

Adicioneumgruponolinuxreferenteaogrupoquepoderacessar ocompartilhamento,noexemploacimaogrupoalunoseogrupo professores,depoisadicioneumusurionoLinuxpertencenteaeste grupoecoloquesenhaparaomesmo,esteusurioteracessoaos compartilhamentosentoadicioneomesmousurionosamba,para issoutilizeocomando: smbpasswda<usurio_linux> Sersolicitadaasenhaparaousurio,entodigiteamesma senhadousuriolinuxaocadastrar.Depoisdeteradicionadoo usurio,crieapastacompartilhadapelosamba,nocasodonosso exemploapasta/professorese/alunos,depoisdecriadaapasta, mudeodonodapastaparaousurioroot,mudetambmogrupoda pastaparaogrupoquevocadicionou,ogrupoquepodeacessaro compartilhamentonosamba.necessriocriartambmumapasta paracadausurio,noexemploacimaapastaprofessorespertenceao grupoprofessores,masnopertenceanenhumusuriodogrupoem questo,poisnaverdadeapastadecadausuriodogrupoficardentro dapastaprofessores,portantodentrodapastaprofessorescrieapasta decadausurioedpermissocorretaparasasmesmas,faaomesmo paraaspastasdosusuriosdogrupoalunos,ouseja,crieaspastasde cadausuriodogrupoalunosdentrododiretrio/alunosed permissocorreta(770).Porprecauodumrebootparaqueas alteraesfaamefeitomelhoreinicieoserviodosamba:smbdD enmbdDouservicesmbstart(seforConectiva). Agorasconfigurarasestaeswindows,stemum probleminha,seforestaowindows98deumamaneiraesefor windowsNTjdeoutramaneira,entovamosvercomoconfigura dasduasmaneiras.Primeirovamosvercomoconfiguraestao windows98. Nasmquinaswindows98queacessaroocompartilhamento, coloqueosIPsdasmesmasnamesmafaixaderededoservidore adicioneumgatewaycomoIPdoservidor,configureogrupode trabalhocomosendoomesmodoservidor.Noserviodeambientede redeclientepararedesMicrosoftabraoemarqueaopodeLogon nodomniodowindowsNTeemDomniodoWindowsNTcoloque

16

onomedogrupodetrabalhodoservidorsamba.Emcontrolede acessomarqueaoponveldeusurioeemobterlistadegrupo deusurioscoloqueogrupodetrabalhodefinidonoservidorLinux. Feitoissorebootamquinawindows.Configuradaasmquinas windowsfaltaaindacriaroscriptdelogonqueserutilizadopara validarosusuriosaologaremnoservidorLinux,paraissoabraoBloco deNotasdowindowsecrieoseguintearquivo: ############scriptdelogondousuriouser1############ echooff echoacertandoahoradaestaocomoservidor... nettime\\server1/set/yes echomapeandoocompartilhamento... netuseJ:\\192.168.69.1\compartilhamento\pasta_usuario Salveestearquivocomaextenso.batecopieoparaoservidor linuxparaodiretrio/logons.ReinicieosserviosdoSambaeest pronto.Agoraquandoasmquinaswindowsforeminiciadaspediro loginesenhaqueserovalidadosnoservidorSamba.Vocterque digitarousurioquevoccadastrounosamba,ousurioquetem permissoparaacessarocompartilhamento.Depoisdelogar,oscript delogonserexecutadonoservidoreaparecernaestaowindowsa suaexecuo,eautomaticamenteocompartilhamentosermapeado, sevocabriromeucomputadordowindowsvocverumaunidade queseroseucompartilhamento.Legaln? ParaaprendercomoconfigurarasestaesWindowsNT,vide anexoInofinaldestaapostila.

ServidorWebApache UmservidorWebnadamaisdoqueumsoftwarequenospermite hospedarumapgina,sejaelaqualfor,emumcomputadore disponibilizarmosestapginaumaredelocalouaInternet.Todosite naInternethospedadoemumcomputadorquenocaso denominamosdeservidorWeb.

17

OApacheoservidorWebmaisutilizadonomundointeiro,por suaaltaperformance,confianaeprincipalmentebaixocusto.O Apachefoidesenvolvidoapartirdodaemonhttpd,queeraumservidor webantigo(onicoqueexistianapoca),estedaemonhttpd,foi desenvolvidoporumtaldeRobMcCool,quetrabalhavanumatalde NCSA(umaempresaamericana).DepoisqueRobMcCooldeixoua NCSAodaemonhttpdfoiabandonadoeentowebmastersque conheciamodaemonhttpdcomearamatrabalharparamelhorlo,e assimnasceuoApache.Concluindo,oApacheodaemonhttpd,s quemelhorado. OservidorApachepermitenosquepossamoscriarsitesemPHP ouqualqueroutratecnologiaedisponibilizarmosessaspginasnarede local,ouseja,podemoscomoApacheimplementarumservidorWeb, masparaissotemosqueconfiguraloparatal. PrimeiramenteverifiqueseoApacheestinstalado,bastadigitar: httpdv SeaparecerummontedeinformaosobreoApacheporqueta instalado,senovocdeverinstallo. Depoisdeinstalado,entrenodiretrioondeficamosarquivosde configuraodoApache:/etc/apache/conf.Nestediretriohaverum arquivocomonomehhtpd.conf,esteoarquivodeconfiguraodo Apache,entoediteoutilizandooVI. Apsterentradonohttpd.conf,procureaslinhas: DocumentRoot/paginas DirectoryIndexindex.htmlindex.php Include/etc/apache/mod_php.conf Deixeoarquivodestamaneira,serosuficienteparaquej consigamoshospedarumapginaemPHPnonossoservidorweb.A primeiralinhaDocumentRootdizparaoApachequalodiretrio quecolocaremosnossosscriptsPHPouHTML,nocasoodiretrio /paginas(certifiquesedetercriadoodiretrio).Asegundalinha DirectoryIndexespecificaqueosscriptsindex.htmleindex.php
18

serocarregadosautomaticamentepeloservidorApachesema necessidadededigitarseusnomes.AltimalinhaIncludedizparao ApacheparaincluiromdulodophpoqualfarqueoApache interpretecorretamenteosscriptsphpquecriarmos,estalinhaestar comentada,sdescomentla,noprecisaalterla.Dependendoda versodokernel,podeserqueestaltimalinhaestejadiferente,como porexemploIncludeconf/conf.d/*.module,casoestejaassims descomentartambm,afunoamesma. Nodiretriodefinidocomodiretrioraizdosscripts(nocasoo diretrio/paginas)crieumapginasimplesspratestaresalvea comoindex.html,ouindex.php,senooApachenoconseguir encontrala.Depoisdissovaomodogrfico,abraonavegadordesua prefernciaedigitelocalhostouoendereoIPdasuaplaca,seaparecer apginaquevoccriounodiretrioraizdosscriptsporquevoc acaboudeconfiguraroApacheeeletarodandolegal. Estaconfiguraofeitaaconfiguraobsicaparaoservidor Apacherodar.Vamosfazeralgumasconfiguraesmaisavanadas. Primeiraconfiguraoadicionalquefaremosparaoservidorweb hospedarmaisdeumapgina(credo!AtissooLinuxfazJesus! QueimaeleSenhor!). Entrenovamentenohttpd.confeprocureasseguinteslinhas: ServerNamewww.tux.com.br:80 NameVirtualHost192.168.10.1:80 AprimeiralinhadizparaoApachequalseronomedoservidor web,nocaso:www.tux.com.bronmero80referentaaportaTCPque oservidorWebresponde(todoservidorWebrespondenaporta80)A segundalinhadizparaoApachedeondeviroasrequisiesdos clientesparaacessaremaspginasdoservidorweb,nocasotemque seroIPdoseuservidorWeb,dasuamquina. Agoraprocureasseguinteslinhas:

19

<VirtualHost192.168.10.1:80> ServerAdminroot@tux.com.br DocumentRoot/paginas #ServerNamewww.tux.com.br ErrorLog/paginas/log/erro.log CustomLog/paginas/log/acesso.logcommon </VirtualHost> <VirtualHost192.168.10.2:80> ServerAdminroot@sub.tux.com.br DocumentRoot/paginas/sub ServerNamewww.sub.tux.com.br ErrorLog/paginas/sub/log/erro.log CustomLog/paginas/sub/log/acesso.logcommon </VirtualHost> Deixedestamaneiraaslinhas,istofarcomquenossoservidor webrespondapelodomniowww.tux.com.brepelosubdomnio www.sub.tux.com.br(sequisermudarosnomesfiqueavontade). Detalheimportante:certifiquesequecadadiretrioespecificadona configuraotenhasidocriado. Pronto,oApachetconfiguradobeleza,stemosumproblema, dizemosparaoApacheresponderpelosdomnioswww.tux.com.bre www.sub.tux.com.br,pormestesnomesnoexistem,ouseja,nosso servidorwebnoestconfiguradocomestesnomes,edestamaneira vaidarpau!Entovamosconfiguraronossoservidorwebpara responderporestesnomes,pormoApachenofazisso,teremosque utilizaroBind(eitalasquera!).

ServidordeNomesBind Umservidordenomesouservidordnssimplesmenteum computadorquerespondepelonomedeumcomputadoroumais,sua funoatenderrequisiesderesoluodenomesdecomputadores paraseusrespectivosIPs,paraconseguirresolveronomedo computadoroservidordenomesutilizasedoprotocoloDNS.Para

20

entendermelhorissosvocseperguntaroqueacontecequando vocvainobrowseredigitawww.brdteengal.comouqualqueroutro endereodeInternet.Oqueaconteceoseguinte:primeiramente sabemosquetodositehospedadoemumservidorweb,umservidor webumcomputadorquecontmumapgina,ouseja,quandoeuvou nobrowseredigitowww.brdteengal.comeuestounaverdadepedindo apginaqueestnocomputadorchamadowww.brdteengal.com. Bom,mascomoumcomputadorpodeterumnome?Pois,um computadorpodeternomesim,enocasodoservidorwebelessempre tmnome,jpensouseparaacessarumendereonaInternetvoc precisassedigitaronmeroIPdoservidorweb?Simplesmentevoc teriaqueandarcomumacadernetacomtodosnmerosIPsdetodos sitesquevoccostumaacessar.Diantedisso,ocomputador responsvelporresolveronomedeumcomputadorparaIPchamado deservidordenomes. Agoradevemosentenderosseguintestermos:domnio,sub domnioezona.Abaixoasdefinies. Domnionadamaisdoqueoespaoqueumnomeabrange, nesteespaoencontramsevriaszonas,porexemplo,odomnio.br abrangeazona.com.br,azona.edu.br. Subdomnioumdomnioabaixodeoutrodomnio(vixiMaria!), porexemploobservandoazona.com.br,odomnio.comum subdomniododomnio.br,poisestabaixododomnio.br. Zonaumapartedodomnio,porexemplo,odomnio.br abrangeaszonas.com.bre.edu.br. Paraficarmaisfcildeentendereufizumdesenho,sevocno entenderasDeusmesmo.

21

Agoraquejentendemosoqueumservidordenomes,vamos entendercomofuncionaaresoluodonomedeumsitequalquer, porquenaverdadenoumnicoservidordenomesqueresolve diretamenteonomerequisitado,aresoluodonomedeumsite envolvevriosservidoresdenomes.Osservidoresdenomes responsveispelaresoluodonomedeumsitesoorganizados hierarquicamente,demodoquequandoarequisiodaresoluodo nomecheganoservidorraiz,quesempreoprimeiroservidorde nomesaserconsultado,elevairepassandoaconsultaparaos servidoresdenomeslocalizadoshierarquicamenteabaixo,como mostraafiguraacima.Osservidoresdenomesnaverdadeso responsveisporrepassaraconsultaadianteseguindoosdomniosdo endereorequisitadoatquesechegueaoltimoservidordenomes queretornaroendereoIPdoservidorWebquecontmapgina,a simapginaserretornadaparaocliente. Paraprovarisso,svocacessarodiretrio/var/namede observaroarquivonamed.ca,estearquivocontmumalistade servidoresrazesresponsveisporreceberasrequisiesdas resoluesDNS.Seestearquivofordeletado,suaInternetvaipropau! Noaltereoarquivo.
22

Agoravamosaoqueinteressa,anteriormentetnhamos configuradooApachepararesponderpelosdomnioswww.tux.com.br ewww.sub.tux.com.br,entovamosfazerasconfiguraesnecessrias paraqueestesnomesexistam,ouseja,vamosimplementarum servidordenomes. Acesseodiretrio/etceprocureporumarquivochamado named.conf,essearquivoresponsvelpelaespecificaodaszonas, comoqueremoscriarazonatux.com.brteremosqueeditareste arquivoecolocarnossaprpriazona.Observequejhalgumaszonas especificadas,comoporexemploazonadodomnio.,ouseja,do domnioraiz.Paracriarmosnossazonacoloqueaslinhasabaixoao finaldoarquivonamed.conf: Zonetux.com.br{ typemaster; filetux.ca; }; Comistoestaremoscriandoumazonachamadatux.com.br,que nocasoazonareferenteaoprimeirodomnioqueconfiguramosno Apache.Naslinhasacima,oprincipalparmetroofiletux.ca;,este parmetrodefineoarquivoderegistroderecursodedomnio,queo arquivoresponsvelpelaresoluodonometux.com.brparao respectivoIPdoservidorWeb,ouseja,noarquivonamed.confapenas configuramosazonaqueexistirnoservidordenomes,masno propriamenteconfiguramoscomoserfeitaaresoluodonomepara IP,estaresoluoserfeitapeloarquivotux.cacomoespecificado naslinhasacima.Entoestearquivodevesercriadoeconfigurado, vamoscrilo:acesseodiretrio/var/namedecrieoarquivotux.ca, editeoecoloqueoseguinte:

23

$TTL43200 @IN SOA nomepc.tux.com.brroot.tux.com.br.( 2005032802 3600 900 1209600 43200 ) @IN NS nomepc.tux.com.br. nomepc IN A 192.168.10.1 www IN CNAME nomepc Pronto,salveoarquivoeagoravamosfazerasconfiguraesfinais. Entrenodiretrio/etcenovamenteentrenoarquivonamed.conf, procureaseguintelinha: listenon{127.0.0.1/32;}; Comenteestalinhaparaqueoservidordenomesfuncione corretamente,paracomentarscolocar//noinciodalinha.Se estalinhanoestivercomentadaoservidordenomesficaratendendo asrequisiespeloIPdolocalhostquenooIPdeondeviroas requisiesdosclientes.Agoraediteoarquivoresolv.confefaaa seguintealterao: listentux.com.br nameserver192.168.10.1 Oarquivoresolv.confresponsvelpelaconfiguraodocliente DNS,ouseja,noresolv.confvoccolocaoIPdoservidordenomes responsvelpelaresoluodonomedosendereosqueocliente acessar,estamosconfigurandocomoprprioIPdoservidordenomes paraqueconsigamosnoprprioservidordenomesacessarapginado nossoservidorweb,ouseja,nossoservidorwebserclienteDNSdele mesmo. EstprontonossoservidorDNS,paraversedeucertodumping nodomnioquecriamos:www.tux.com.br,certamenteretornaros pacotesdopingoquesignificalgicoquedeucerto.Faaoutroteste:

24

abraoMozillaedigiteoendereoevejaoqueacontece,simplesmente retornarapginaquehospedamosnoApache,issoporqueantesde configurarmososervidorDNSjtnhamosconfiguradooServidorWeb parahospedarnossapginacomodomniowww.tux.com.br, concluindo:implementamosumservidorwebeservidorDNS,o servidorwebhospedouapginaeoservidorDNSdeuumnomepara acessarestapgina. ParaconfigurarasestaesWindowsdaredeparaacessarem nossoServidorWebeDNS,bastacoloclasnamesmafaixaderededo servidorWebeDNS,configurlascomoclienteDNSdoServidorDNS, ouseja,coloqueoIPdoservidorDNSnaestaoWindowsecoloqueo IPdogatewaycomosendooIPdoServidorDNSeWeb.Depoisdeter feitoissovocacabademontarumaIntranet,quesimplesmenteuma Internetlocal,poistodasasestaesWindowsconseguiroacessara pginacontidanoServidorWebeDNS,pormissosfuncionarna redelocal,porissoonomeIntranet,quetraduzindosignificaria InternetInterna.

ServidorProxySquid Vamosadefiniodeproxy:segundoosconceitosdoprofessor Jorgeley,proxyummaravilhososoftwarequefazcompartilhamento deinternet,masnosisso,elefazserviodecachedepginase tambmtemcontroledeacesso,assimpodemosdefinirquaisusurios poderoacessarainternetequaissitesseropermitidos,almdisso, comofoiditoelefazserviodecachequesimplesmenteumamaneira queoproxyarmazenapginasacessadaspelosusuriosnoprprio servidorproxy,sendoassimdasegundavezqueumusuriotente acessarumapginajvisitadaporoutrousurio,estapginanoser novamentebuscadanainternet,elaserentregueaousurio rapidamente,poisamesmaseencontranocachedoservidorproxy. Imagineoganhonodesempenhodaredequandoimplementamosum servidorproxy,agoravoccomcertezaentendeporqueeudissequeo proxyumamaravilha!

25

AgoraquenosencantamoscomoSquid,vamosimplementlo. CertifiquequeoSquidestejainstalado,ospacotesasereminstalados sotodosqueiniciemcomapalavrasquid,entobastainstalar usandoocomando: rpmivhsquid* Talvezvocnotenhasospacotesrpm,nessecasovocterque baixarosquiddiretamentedositewww.cachesquid.org.Depoisde instalado,vamosconfigurlo.Configuraremososquiddemaneiraque elecompartilheinternetparaumaredequalquerefaabloqueiode pginasindesejveisatravsdepalavraschave. OarquivodeconfiguraodoSquido/etc/squid/squid.conf, entrenessearquivoeprocureasseguinteslinhas: cache_ramMEM8MB EstalinhaestespecificandoaquantidadedeRAMqueosquid poderusar,bomaumentar,mastomecuidadoparanoespecificar todaaRAMdamquina,poisexistemoutrosprocessosquetambm precisamdeRAM. cache_dirufs/var/spool/squid10016256 Estalinhaespecificaodiretrioqueserodiretriodecachedo Squid,ouseja,ondeeleguardaraspginasacessadaspelosusurios, quenocasoacimaodiretrio/var/spool/squid.Especificatambm amaneiraqueserguardadaaspginasnodiretrio.Onmero100 especificaotamanhomximodocache.Onmero16indicaa quantidadedediretriosquepoderosercriadospelocachedoSquide onmero256indicaaquantidadedesubdiretriosquecadaumdos16 diretriospoderoter.Fiqueavontadeparamudarestesvalores,mas sempretomecuidadocomessasalteraes. http_port3128 NessalinhaestindicadaqualportaoSquidutilizar,no necessriomudar.

26

EssassoasconfiguraesbsicasdoSquid,agoravamosfazeras configuraesparaquerestrinjamosoacessoaalgunssites.Para fazermosissoteremosquecriaralgumasACLs,entoprocureno squid.confaslinhasondeficamasACLseadicioneanossaprpria ACL: aclrede_permitidasrc192.168.69.0/255.255.255.0 aclsites_proibidosurl_regexisexo Agoraprocureaslinhasondecontemasregrasdeacessoemude asparaoseguinte: http_accessdenysites_proibidos http_accessallowrede_permitida http_accessdenyall Pronto,oarquivodeconfiguraodoSquidjestok,agoravamos iniciaroSquideversefunciona.Parainicialobastairaodiretriodos dispositivosinicializveisedigitar: squidz squidstart Paraverserealmentefuncionou,tenteacessarnoservidorSquid mesmoumapginaporn,ououtraquetenhaapalavrasexoque proibimospelosquid,casovocnoconsigaverapginaporqueo Squidabloqueou,ouseja,deucerto! Nasmquinasquevocquercompartilharainternetdoservidor Squidsconfiguralascomproxy=IPdoservidorSquideporta=3128 quefoiaportaespecificadanosquid.conf.Depoisdefizerissonas mquinasclientesdoservidorSquid,certamenteelasvoestar acessandoainternet,pormcomodetalhedenoconseguiremveras pginasquecontenhamapalavrasexo.

27

Vamosfazerumaconfiguraoadicionalagora,vamosfazerum controledeusurio,ouseja,paraacessarInternetnasestaes Windowsousurioterquedigitarumnomedeusurioesenha vlidos. Entrenovamentenosquid.confeprocureaseguintelinha: authenticate_program... Deixeadaseguintemaneira: authenticate_program/usr/bin/ncsa_auth/etc/squid/usuarios Destamaneiraestamosconfigurandoosquidparafazerocontrole deusuriosutilizandooprogramadeautenticaoncsa_auth (prpriodolinux)eaindaconfiguramosdizendoqueoarquivocomos usuriosserousuarioseficarnodiretrio/etc/squid.Detalhe: aindanocolocamosoncsa_authnodiretriocorretoemuitomenos criamosoarquivocomosusurios,faremosissodepois.Agoravat ondeencontramseasACLsecoloqueaseguinteACL: aclautenticaproxy_authREQUIRED Depoisvatalinhaondeencontramseasregrasdeacessoe coloqueoseguinte: http_accessallowautentica Pronto,osquid.conftaconfigurado,agorascolocarmoso ncsa_authnodiretriocorretoeadicionarmososusurios.Vato diretrio/usr/doc/squid,nestediretriovocencontraroncsa auth,copieoparaodiretrio/usr/bin.Beleza,agoravatodiretrio /etc/squidedigiteoseguintecomando: htpasswdc/etc/squid/usuariosgondim Estecomandoircriaroarquivousuariosejadicionaro usuriogondimparapoderacessarInternet.Depoissequiseradicionar maisusuriosnoprecisamaiscolocaroparmetroc,apenasdigite htpasswd/etc/squid/usuariosnomeusuario.
28

Pronto,agorasreiniciarosquid,paraissodigitepsauxpara listarosprocessosqueestorodando,comcertezaosquidestarna listaeasmatarosprocessos,digitekillallsquidqueistoresolver. Depoissiniciardenovoosquid:squidstart. NasestaestenteacessarInternet,vocverquequandoabriro browsersersolicitadousurioesenha,obrigatoriamentevocterque informarumdosusurioscadastradosnoservidorProxy. Legaln,osquidtemoutrasconfiguraesadicionais,pormessas soasprincipais,noprecisamaisqueisso.

FirewallIPTABLES Oiptablesumfirewallassimcomoipchains,adiferenaqueo ipchainsshemlinuxcomkernel2.4ouinferioreoiptablesemlinux kernelacimade2.4.Umfirewallumsoftware(oupodeserum hardwaretambm)quesimplesmentefiltrapacotesTCPIPdarede,ele deixapacotespassaremouno,tudodependedesuaconfigurao, assimvocpodedizerquetodosospacotesquevieremdohost 192.168.7.69sejamnegados,porexemplo. Nonossoexemplodecompartilhamentodeinternetviafirewall utilizaremostambmumgateway,masquedrogaessade gateway?Pois,gatewayumnegcioquesimplesmentefazligao deduasredesdiferentes,porexemplo:seumcomputadortemduas placasderede,sendoqueumaconectadarede192.168.5.0eaoutra rede192.168.6.0eestecomputadorpossibilitaqueasduasredes repassempacotesentresi,estecomputadorumgateway. Muitobem,vamosmontarocompartilhamentodeinternet. Vamospartirdoprincpioquetemosumcomputadorcomduas placasderede:eth0eeth1,lgico,sendoqueaplacaderedeeth1est conectadaaumaredequenoteminterneteaoutraplacaderedeeth0 estconectadaaumaoutraredequejteminternet,nessecasoeste computadorseronossogatewayentreasduasredes,nossoobjetivo compartilharainternetdaplacaeth0paraaoutraredeatravsdaplaca
29

eth1.VamosdarIPaestasredes:aredequenoteminternetvamosdar oIP192.168.69.0earedequeteminternetvamosdaroIP192.168.51.0. VamostambmatribuiroIP192.168.69.1paraeth1e192.168.51.1para eth0.Desenhandonossoesquemaficamaisoumenoscomodescrito abaixo:

192.168.51.1 192.168.69.2 192.168.69.3 192.168.69.4 eth0 Internet

SWITCHE redesem internet

192.168.69.1 eth1 GATEWAY

192.168.69.5

192.168.69.6

Ah!Vocnotemduasplacasderede?Seusproblemasse acabaramse!ChegouoSistemaOperacionalLinuxondevocpoder configurarsuanicaplacaderedeparaterdoisIPs!(Linuxnode Deus!QueimaeleJesus!).Paraconfigurarsuaplacaderedeparaterum segundoIPsfazeroseguinte: ifconfigeth0:0192.168.69.1netmask255.255.255.0up Pronto,vocacabadeadicionaroIP192.168.69.1suaplacade rede,digiteifconfigevocverqueelaaparecerlogoabaixodo primeiroIP(Cruizcredo!). Antesdepartirmosparaaimplementaodofirewalltemosque entenderalgumasparticularidadesdoprotocoloTCP/IP: OprotocoloTCP/IPopadrodecomunicaodaInternet,ata fcil,talvezoquevocnosabiaaindaquenaverdadeopadrode comunicaodaInternetcompostoporvriosprotocolos(tcp,udp, http,ftp,dns,smpt,etc).OnomeTCP/IPfoidadoporqueoTCPeoIP soosdoisprincipaisprotocolosdopadrodecomunicaoda Internet,pormagorasabemosquenososomenteosdoisquefazem partedopadrodecomunicaodasredes.Outrodetalheimportante oquecadaservio(ftp,http,dns,etc)temumaportadeidentificao

30

especfica,estaportasimplesmenteumamaneiradeorganizarcada servio,deidentificarcadaservioporumnmero(novtentarachar umaportaatrsdoseugabinete,peloamordeDeus!).Maisoutro detalheimportantssimoquealmdecadaserviotersuaporta especficaelestambmtemumtipoquenocasoTCPouUDP, quandooprotocolodotipoTCPeleorientadoconexoquando dotipoUDPnoorientadoconexo,sefororientadoaconexo significaqueaentregadopacote(datagrama)aoseudestino garantida(comosefosseumacartaregistrada)esecasooprotocolofor dotipoUDPsignificaqueaentregadodatagramanogaratinda (comoumacartasimples).Minhanossasinhoradabicicreta!Agora lascoutudon?Calma,nosedesespere,vaificarmaiscomplicado ainda.Abaixoumalistadosprincipaisprotocolos,suasportaseseu tipo: http:80/TCP dns:53/UDP ftp:21/UDP ssh:22/UDP telnet:23/UDP smtp:25/UDP pop3:UDP Ento,noesquea:OpadroTCP/IPcompostoporvrios protocolos,cadaprotocolotemsuaportaespecficaetipo. AgoraqueentendemosoTCP/IPesuasparticularidades,vamosao trabalhoento,inicialmentevamoscolocarasregraspadroparao iptablesfechartodasasportas,oqueocorreto,poismuitomaisfcil fechartodasasportas,isolarocomputadoredepoisirabrindoas portasaospoucos.EntrenoVIedigiteoseguinte: #fechandotudo iptablesF iptablesPFORWARDDROP iptablesPINPUTDROP iptablesPOUTPUTDROP

31

Salveoarquivocomonomefirewalledepoisdpermissode execuoeexecuteo(sdigitar./firewall). Pronto,seufirewalltrodando,oqueserqueaconteceu?Faao seguinte,pinguenoseuprprioIPevejaoqueacontece.Pois, operaonopermitida,porqu?Bom,simplesmenteporqueasregras queacabamosdecolocarnofirewallvofechartodasasportas,seu computadortsuperprotegido,protegidoatdelemesmo!Porque fizemosisso?exatamenteporcausadoquedefinimosanteriormente maisfcilfechartodasasportasedepoisirabrindoasaospoucos. Vamosentenderasregrasdigitadas: iptablesF:limpatodasasregrasdefirewallanteriores; iptablesPFORWARDDROP:adicionaumaregrapadropara bloqueartudoqueentraesai(semmalcia)daplacaderede; iptablesPINPUTDROP:adicionaumaregraparabloqueartudo queentranaplacaderede; iptablesPOUTPUTDROP:adicionaumaregraquebloqueiatudo quesaidaplacaderede; Masnoissoquequeremos,queremosprotegernosso computador,mastambmnoqueremosqueeleseisolecomoseno tivesseplacaderede,queremosqueelepinguenelemesmo,nos computadoresdasuaprpriaredeeclaro,queremosqueeleacessea internet.Ento,vamosliberarosprotocolosnecessriosparaqueisso funcione,primeiramentevamosliberarosprotocolosnecessriospara quenossoprpriocomputadorpinguenelemesmo.Osprotocolosque temosqueliberarparaqueocomputadorpinguenelemesmooICMP (InternetControlMessageProtocol),esteprotocoloutilizadotodavez quevocdumpingueemalgumcomputador,eesteprotocolotem doistipos:otipo8eotipo0.OICMPdotipo8utilizadoparaecho requesteoICMPdotipo0utilizadoparaechoreply,oechorequest enviadopelocomputadorqueestpingandoparaocomputadorque estsendopingadocomoumaperguntaseocomputadorestativoou noeoechoreplyenviadopelocomputadorqueestsendopingado

32

paraocomputadorqueenviouoechorequestcomoumarespostase estativoouno.Desenhandomaisoumenososeguinte:

Diantedisso,conclumososeguinte: DoispacotesICMPsestoenvolvidosnoping:umICMPdotipo 8eumICMPdotipo0; OPCqueestpingandonooutroPCenviaumpacoteICMPdo tipo8; OPCqueestsendopingadorecebeopacoteICMPdotipo8; OPCqueestsendopingado,emrespostaaopacoteICMPdo tipo8,enviaumpacoteICMPdotipo0paraoPCqueestpingando nele; OPCqueestpingandorecebeopacoteICMPdotipo0; Agora,vamosraciocinaroseguinte:sequeremosquenosso prprioPCpinguenelemesmo,entoeleenviarumpacoteICMPdo tipo8paraelemesmo,elemesmoreceberopacoteICMPdotipo8, elemesmoenviaropacoteICMPdotipo0eelemesmorecebero pacoteICMPdotipo0.Asregrasquetemosquecolocarnonosso firewalltmquepermitirquetudoissoacontea,entovamoss regras: iptablesAOUTPUTpicmps192.168.51.1d192.168.51.0/24icmp type8jACCEPT iptablesAINPUTpicmps192.168.51.1d192.168.51.0/24icmp type8jACCEPT

33

iptablesAOUTPUTpicmps192.168.51.1d192.168.51.0/24icmp type0jACCEPT iptablesAINPUTpicmps192.168.51.1d192.168.51.0/24icmp type0jACCEPT Beleza,salveesaiadoarquivoedumpingnoseuIPparaverse deucerto.Agorafaaoseguinteteste:tenteacessaraInternet,com certezanovaiacessar,issoporquetambmtemosqueliberara Internetviafirewall.AntesdeliberarmosaInternetvamosentender comofuncionaoprocessodeacessaraInternetnoseucomputador: NoacessoaInternettrsprotocolosestoenvolvidos:DNS, ICMPeHTTP.ODNSumpacoteUDPquerespondenaporta53,o ICMPcomojditoanteriormentedotipo8e0eoHTTPumpacote dotipoTCPquerespondenaporta80.VixiMaria!Complicoun?Ento eudesenhodenovo:

Comomostraodesenho,primeiramenteocomputadorqueest acessandoInternetenviaumpacotedotipoUDPnaporta53:DNSpara servidorDNSdositesolicitandoaresoluodonomedosite,depoisa servidorDNSenviaumpacoteUDPnaporta53:DNSparao computadorqueestacessandoaInternetcomonomeresolvido,com oendereoIPdoservidorWebquecontmapgina,depoisdissoo computadorqueestacessandoaInternetenviaumpacoteICMPdo tipo8paraoservidorWebparasaberseeleestativoeentooservidor WebrespondecompacoteICMPdotipo0dizendoqueestativo,por ltimoocomputadorqueestacessandoaInternetenviaumpacote dotipoTCPnaporta80:HTTPparaoservidorWebrequisitandoa
34

pgina,entooservidorWebrespondecomumpacoteTCPnaporta 80:HTTPcontendoapginasolicitada.Legaln?issoqueacontece quandovocestsimplesmenteacessandoumapginadaInternet,e vocnemsabia. Diantedisso,vamosliberarosprotocolosnecessriosparaquea Internetentofuncione: iptablesAOUTPUTpudps192.168.51.1d0/0dport53jACCEPT iptablesAINPUTpudps0/0d192.168.51.1sport53jACCEPT iptablesAOUTPUTpicmps192.168.51.1d0/0icmptype8jAC CEPT iptablesAINPUTpicmps0/0d192.168.51.1icmptype0jAC CEPT iptablesAOUTPUTptcps192.168.51.1d0/0dport80jACCEPT iptablesAINPUTptcps0/0d192.168.51.1sport80jACCEPT Agorassalvaresaireexecutarofirewall,depoisacessea Internetquevaiestarfuncinandolegal. VamosfazerumcompartilhamentodeInternetparaumarede interna: iptablesAFORWARDpudps192.168.69.0/24d0/0dport53j ACCEPT iptablesAFORWARDpudps0/0d192.168.69.0/24sport53j ACCEPT iptablesAFORWARDpicmps192.168.69.0/24d0/0icmp type8jACCEPT iptablesAFORWARDpicmps0/0d192.168.69.0/24icmp type0jACCEPT iptablesAFORWARDptcps192.168.69.0/24d0/0dport80j ACCEPT iptablesAFORWARDptcps0/0d192.168.69.0/24sport80j ACCEPT Pronto,comissoestaremoscompartilhandoInternetparaarede 192.168.69.0.Implementamosumfirewallquefazcompartilhamento deInternet,parafazerasestaesacessaremInternetatravsdo

35

firewallscoloclasnarede192.168.69.0econfigurlascom gatewayigualaoIPdaplacaderededeondesaiocompartilhamento: 192.168.69.1.

36

37

DIRETRIOS /bin:Armazenaosbinrios(executveis)doscomandosdoLinux /boot:Osarquivosutilizadosnainicializaoestonessediretrio /dev:Armazenatodososarquivosdedispositivos,mouse,HD, portas,etc. /etc:Aquiseencontramtodososarquivosdeconfigurao /home:Esteodiretriolocal,comosefosseapastaMeus DocumentosdoWindows. /mnt:Nestediretrioestoospontosdemontagemdedispositivos dearmazenamento /usr:Amaioriadossoftwaresficanestediretrio /var:Armazenainformaesdiversas,logs,variveisentreoutros.

38

ANEXOI

AutenticandoWindowsXPnoLINUXPDC Publicadoem28desetembrode2004 NestetutorialoCarlosGomes(carloshgomes@hotmail.com) mostradeformasimpleseobjetivacomoautenticarumWindowsXP noSambavistoqueomesmorequerumaconfiguraoamaisque famliaWindows98. AutenticandoWindowsXPnoLINUXPDC PorCarlosGomes(CH)(carloshgomes@hotmail.com).

Primeiramente,verifiqueseambasasmquinas(servidore estao)estocorretamenteconfiguradaspararede:Interface conectadas,configuradascorretamentecomseusdrivers,cabos conectadosefuncionando,etc. Apsverificado,vamosaoservidorconfiguraroSAMBA. Certifiquesequeseuarquivosmb.confcontmosseguintes parmetros: [global] encryptpasswords=Yes domainlogons=yes logondrive=H:{aquiapastahomedousurioconectado,ser mapeadonaunidadeH,dentrodoseuexplorer,somenteusadopara windowsxp,200,nt} ConfigurandoamquinaWindowsXPparaautenticarnoDomnio

39

Digamosquesuamquinasejachamadadecliente,semasaspas duplas,claro:) Crieumacontademquinanoarquivo/etc/passwd,basta executaroseguintecomando,comoroot: #useraddgdomainmacc"MaquinadeDominio"s/bin/falsed /dev/nullcliente$ Ocomandoacimacriaumacontaparaamquinacliente$etorna elapartedogrupodomainmac.necessrioespecificarocaracter$ apsonomedamquinaparacriarumacontademquinano domnio,casocontrriooprximopassoirfalhar. Crieumacontademquinanoarquivo/etc/samba/smbpasswd, bastaexecutaroseguintecomando,comoroot: #smbpasswdmacliente Istocriaumacontademquinaparaocomputadorclienteno arquivo/etc/samba/smbpasswd.Notequeacriaodeumacontade mquinamuitosemelhanteacriaodeumusurioapenasprecisa adicionaraopom.Quandoforcriarumacontacomosmbpasswd nonecessrioespecificar$nofinaldonomedamquina. Apsisso,vamosparaoWindowsXP 1)Loguesecomoadministradoroucomdireitosde administrador. Primeiramente,vamosadicionaramquinaaogrupodetrabalho, seguindoestespassos: 2)Loguecomoadministradordosistemaslocal. 3)EntrenoitemSistemadentrodopaineldecontrole.Atela propriedadesdesistemaseraberta. 4)NocampoDescriodoComputador,coloquealgoque descrevaamquina(opcional).
40

5)CliquenaTABNomedoComputadorenobotoAlterarnaparte debaixodajanela. 6)Nocamponomedocomputador,coloqueumnomedeno mximo15caracteresparaidentificaramquinanarede.Como exemplocriamosamquinaCLIENTE. 7)Cliqueemgrupodetrabalhoedigiteonomedogrupode trabalhonacaixadedilogo.Aquelequevoccriounaseo[global]do SAMBA. 8)CliqueemOKeaguardeamensagemconfirmandosuaentrada nogrupodetrabalho.Sernecessrioreiniciaramquina. Aps,sucesso,vamosagoracadastrarparaentrarnodomnio, vejamoscomo 9)Atualizeoregistroparapermitiraentradanodomnio.Vem: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\n etlogon\parameters emodifiqueosseguintesparmetros: "RequireSignOrSeal"=dword:00000000 "SignSecureChannel"=dword:00000000 10)Aps,vempaineldecontrole/ferramentas administrativas/diretivadeseguranalocal/diretivaslocais/opesde segurana.Lembresedeestarcomoadministrador: 11)Desativeosseguintesparmetros,paraumabuscamaisrpida identifiqueaslinhascomeandocom: Membrodedomnio desativandoaslinhasseguintes:

41

Membrodedomnio:criptografarouassinardigitalmenteosdados decanalseguro(sempre) Membrodedomnio:desativaralteraesdesenhadecontada mquina Membrodedomnio:requerumachavedesessodealta segurana(Windows2000ouposterior) apsfeitoistofecheatela 12)Reinicieamquina. 13)Apsreiniciaramquina,voltenateladealteraode identificaodemquinanarede. 14)Cliquecomomouseem"Domnio"edigiteonomedo domnionacaixadedilogo. 15)Natelaseguinte,serlhepedidoonomedeusurioesenha. Entrecomorootesenhadoroot.Ah,lembresedecadastrlono samba:smbpasswdaroot 16)CliqueemOKeaguardeamensagemconfirmandosuaentrada nodomnio.Sernecessrioreiniciaramquinaapsconcluireste passo. 17)Prontoagoranateladeautenticao,cliqueemopespara escolherodomniodesuarede.Escolhaumusuriojcadastradono Linuxenosamba. :) Algumasobservaes: 1Tivequeadicionarousurioaomeusambanovamente,pois noestavafuncionandosemfazerisso.Ex: smbpasswdausuario

42

Apsissofuncionouperfeitamente:) 2Crieioperfilalterandoosformatosdowindowsxpeno prximologintudoestavacomoantes:),ouseja,carregouoperfil perfeitamente. Algunstrechosaquipresentes,foramadaptadosoucopiados: GuiaFocaGNU/Linux Verso6.38quinta,19deagostode2004 http://focalinux.cipsga.org.br/ byCH.:) Autor:CarlosGomes(CH) Email:carloshgomes@hotmail.com Postadoporfujiemsetembro28,200410:57AM

43

SOBREOAUTOR

JorgeleyInciodeOliveiraJnior GraduadoemTecnologiaemProcessamentodeDadosUEG EspecializadoemCriptografiaeSeguranaemRedesUFF InstrutorISPA700 email:jorgeley@go.senac.br msn:cofton@hotmail.com

44