452 Linux Network Servers

Linux Network Servers 452
Ver-11-2009
www.4linux.com.br
-2
Sumrio
Captulo 1 Ajustes Iniciais........................................................................................................................... 8 1.1. Objetivos......................................................................................................................... 8 1.2. Introduo terica .........................................................................................................8 1.3. Conf urando a rede ..................................................................................................... ! 1.". Conf urando a resoluo de no#es............................................................................... ! 1.$. Conf urao do %ostna#e............................................................................................1& 1.'. Conf urando o repositrio de rede.............................................................................. 1& 1.(. )e#over servios desnecess*rios ................................................................................ 11 1.8. +efnindo vari*veis e alias de siste#as.........................................................................12 1.!. ,unciona#ento do -iste#a........................................................................................... 13 1.1&. ./erccios 0ericos..................................................................................................... 1$ 1.11. 1aboratrio..................................................................................................................1$ Captulo 2 2A3.......................................................................................................................................... 1' 2.1. Objetivos....................................................................................................................... 1' 2.2. Introduo terica.........................................................................................................1' 2.3. 3dulos.........................................................................................................................1( 2.". Controles....................................................................................................................... 1( 2.$. 2r*tica diri ida............................................................................................................. 18 2.'. ./erccios 0ericos....................................................................................................... 21 2.(. 1aboratrio....................................................................................................................21 Captulo 3 )AI+......................................................................................................................................... 22 3.1. Objetivos....................................................................................................................... 22 3.2. Introduo terica.........................................................................................................22
3.2.1. 4veis de )AI+.................................................................................................................... 23
3.3. 2r*tica diri ida............................................................................................................. 2' 3.". Criando o )AI+............................................................................................................. 2' 3.$. 5erifcando o 6unciona#ento do )AI+7......................................................................... 2( 3.'. Ad#inistrando o )AI+...................................................................................................28 3.(. ./erccios 0ericos....................................................................................................... 2! 3.8. 1aboratrio ..................................................................................................................3& Captulo "
-3
153.......................................................................................................................................... 31 ".1. Objetivos....................................................................................................................... 31 ".2. Introduo terica.........................................................................................................31 ".3. Co#o 6unciona o 153................................................................................................... 32 ".". +efnindo as 2arti8es ..................................................................................................33 ".$. 2r*tica +iri ida............................................................................................................. 3" ".'. 9sando o 153............................................................................................................... 3' ".(. Ad#inistrando o 153.................................................................................................... 3( ".8. 0roubles%ootin ............................................................................................................ 38 ".!. ./erccios 0ericos....................................................................................................... "& ".1&. 1aboratrio.................................................................................................................."1 Captulo $ +:C2........................................................................................................................................"2 $.1. Objetivos....................................................................................................................... "2 $.2. Introduo terica........................................................................................................."2 $.3. 2r*tica diri ida............................................................................................................. ""
$.3.1. Conf urando u# servidor +:C2........................................................................................ "" $.3.2. 2rincipais diretri;es do ar<uivo de conf urao................................................................ "$
$.". Conf urando os clientes +:C2.................................................................................... "$ $.$. ,i/ar I2 via +:C2......................................................................................................... "' $.'. ./erccios tericos........................................................................................................ "8 $.(. 1aboratrio ..................................................................................................................."8 Captulo ' ,02........................................................................................................................................... "! '.1. Objetivos....................................................................................................................... "! '.2. Introduo terica........................................................................................................."! '.3. 2r*tica diri ida............................................................................................................. $&
'.3.1. -ervidor ,02........................................................................................................................$&
'.". Conectando=se a u# servidor ,02 co#o cliente........................................................... $2 '.$. Co#andos ,02.............................................................................................................. $" '.'. ./erccios tericos........................................................................................................ $' '.(. 1aboratrio....................................................................................................................$' Captulo ( 4,-.......................................................................................................................................... $( (.1. Objetivos....................................................................................................................... $( (.2. Introduo terica.........................................................................................................$( (.3. 2r*tica +iri ida............................................................................................................. $8
-4
(.3.1. Instalao e conf urao do 4,-....................................................................................... $8
(.". ./erccios tericos........................................................................................................ '2 (.$. 1aboratrio....................................................................................................................'2 Captulo 8 -ervidor -A3>A...................................................................................................................... '3 8.1. Objetivos....................................................................................................................... '3 8.2. Introduo terica.........................................................................................................'3 8.3. 2r*tica +iri ida............................................................................................................. '" 8.". -a#ba co#o controlador de +o#nio 2ri#*rio............................................................ '( 8.$. Cadastrando usu*rios no 2+C...................................................................................... (& 8.'. ./erccios 0ericos....................................................................................................... (1 8.(. 1aboratrio....................................................................................................................(1 Captulo ! +o#ain 4a#e -?ste#.............................................................................................................. (2 !.1. Objetivos....................................................................................................................... (2 !.2. Introduo terica.........................................................................................................(2
!.2.1. Caractersticas.....................................................................................................................(3
!.3. )esoluo...................................................................................................................... ("

!.3.1. )esoluo )ecursiva............................................................................................................($ !.3.2. )esoluo Iterativa.............................................................................................................. ((
!.". Ar<uivo @etc@%osts......................................................................................................... (( !.$. ,erra#entas de consulta...............................................................................................(8 !.'. 2r*tica diri ida............................................................................................................. (! !.(. >I4+!........................................................................................................................... 81 !.8. -ervidor cac%e.............................................................................................................. 82 !.!. )estrin indo consultas..................................................................................................8" !.1&. -ervidor de ;onas........................................................................................................8$
!.1&.1. 0ipos de ;onas e )e istros................................................................................................ 8'
!.11. Conf urao do -ervidor >ind!................................................................................. 88 !.12. ./erccios tericos...................................................................................................... !3 !.13. 1aboratrio..................................................................................................................!" Captulo 1& Apac%e......................................................................................................................................!$ 1&.1. Objetivos..................................................................................................................... !$ 1&.2. Introduo terica.......................................................................................................!$ 1&.3. 323 AorBer e 323 2re,orB .................................................................................... !'
1&.3.1. 323 2re ,orB ................................................................................................................. !'
-5
1&.3.2. 323 AorBer ....................................................................................................................!'
1&.". 2r*tica diri ida........................................................................................................... !(

1&.".1. Instalao do Apac%e 2......................................................................................................!(
1&.$. Ajustes do #dulo AorBer e 2re,orB.........................................................................!! 1&.'. -e urana................................................................................................................. 1&& 1&.(. -uporte a 2:2........................................................................................................... 1&1 1&.8. +o#nios virtuais...................................................................................................... 1&2 1&.!. -uporte a :002-...................................................................................................... 1&" 1&.1&. ./erccio terico..................................................................................................... 1&( 1&.11. 1aboratrio..............................................................................................................1&( Captulo 11 2ostf/..................................................................................................................................... 1&8 11.1. Objetivos................................................................................................................... 1&8 11.2. Introduo terica.....................................................................................................1&8 11.3. Caractersticas do 2ostf/..........................................................................................1&! 11.". 2r*tica diri ida......................................................................................................... 11& 11.$. -302......................................................................................................................... 112 11.'. Courier 2O23 e Courier I3A2.................................................................................. 113
11.'.1. Criando cai/as postais7.................................................................................................... 11"
11.(. Criando alias no 2ostf/.............................................................................................11' 11.8. ./erccios tericos................................................................................................... 11( 11.!. 1aboratrio................................................................................................................11( Captulo 12 Aeb 2ro/? co# -<uid.............................................................................................................118 12.1. Objetivos................................................................................................................... 118 12.2. Introduo 0erica.................................................................................................... 118 12.3. ,unciona#ento de u# Aeb 2ro/? ............................................................................11! 12.". 2ro/? 3anual#ente Conf urado..............................................................................11! 12.$. 2ro/? 0ransparente................................................................................................... 12& 12.'. Access Control 1ists.................................................................................................. 121 12.(. 0ipos co#uns de AC1Cs............................................................................................. 121
12.(.1. -inta/e das AC1-............................................................................................................ 122
12.8. AC1Cs de ori e#........................................................................................................ 122 12.!. AC1Cs de destino........................................................................................................122 12.1&. AC1Cs de %or*rio .....................................................................................................123 12.11. ,iltros...................................................................................................................... 123 12.12. 2r*tica +iri ida....................................................................................................... 12" 12.13. Conf ura8es Iniciais............................................................................................. 12$
-6
12.1". ,iltrando acessos co# -<uid.................................................................................. 12' 12.1$. >lacBlist e A%itelist................................................................................................ 128 12.1'. Autenticao 4C-A................................................................................................. 12! 12.1(. Auditoria de acesso co# -A)D............................................................................... 13& 12.18. ./erccios 0ericos................................................................................................. 131 12.1!. 1aboratrio..............................................................................................................131 Captulo 13 Open1+A2.............................................................................................................................. 132 13.1. Objetivos................................................................................................................... 132 13.2. Introduo terica.....................................................................................................132 13.3. 2r*tica diri ida......................................................................................................... 133 13.". Conf urando u# cliente 1+A2 ................................................................................ 1"1 13.$. Acessando o Open1+A2 via >roEser co# 2%p1dapAd#in....................................... 1"" 13.'. Autenticando o -<uid na base de usu*rios 1+A2..................................................... 1"$ 13.(. ./erccio terico....................................................................................................... 1"$ 13.8. 1aboratrio................................................................................................................1"' Captulo 1" ,ireEall.................................................................................................................................. 1"( 1".1. Objetivos................................................................................................................... 1"( 1".2. Introduo terica.....................................................................................................1"( 1".3. Co#preendendo as polticas >F-ICA- e o conceito das .GC.HI.-.......................1"8 1".". 2r*tica diri ida......................................................................................................... 1"! 1".$. ,ireEall co#o ateEa? de rede................................................................................ 1$3 1".'. -cript de freEall.......................................................................................................1$$ 1".(. ./erccios tericos.................................................................................................... 1$( 1".8. 1aboratrio................................................................................................................1$8 Captulo 1$ Open524................................................................................................................................ 1$! 1$.1. Objetivos................................................................................................................... 1$! 1$.2. Introduo 0erica.................................................................................................... 1$! 1$.3. 2r*tica +iri ida......................................................................................................... 1'&
1$.3.1. Conf urando o servidor.................................................................................................. 1'&
1$.". Conf urando o cliente.............................................................................................. 1'1 ).,.)J4CIA>I>1IOD)F,ICA-.................................................................................................................. 1'3 A4.GO-................................................................................................................................. 1'"
Captulo 1 Ajustes Iniciais - 7

-?ste# I#a er = "1inu/ .................................................................................................... 1'"
O <ue K ....................................................................................................................................... 1'" Instalando o pro ra#a. .............................................................................................................. 1'" 1$.".1. >acBup ao fnal de cada aula .......................................................................................... 1'$ 1$.".2. )estore antes de cada aula .............................................................................................1'$
ndice de tabelas ndice de Figuras
Captulo 1 Ajustes Iniciais - 8
Captulo 1 Ajustes Iniciais
1.1. Objetivos
Conf urar a redeL Conf urar resoluo de no#esL Conf urar %ostna#eL +esativar -ervios desnecess*riosL Conf urar repositrio de rede.
1.2. Introduo terica Antes de iniciar o trabal%o de instalao e conf urao de serviosM K necess*rio c%ecar se al u#as conf ura8es so v*lidas. 9tili;e o co#ando7 # si_cliente >ai/ar u#a i#a e# padro co# +ebian 1enn? e Dno#e instalado direto do servidorM por 6avor no tro<ue a sen%a padro 123"$' <ue utili;a#osM para <ue o pessoal do suporte possa se#pre ajudar e# caso de proble#as. 2ara saber #ais sobre o -?ste# I#a erM <ue K o siste#a de salva#ento de i#a ensM acesse7 http://wiki.systemimager.org
Captulo 1 Ajustes Iniciais - 9 1. . !on"#urando a rede 5a#os nos certifcar <ue o ar<uivo @etc@netEorB@inter6aces est* correta#ente conf urado7 # vim /etc/network/interfaces
# Interface Loopback 2 auto lo 3 iface lo inet loopback

1 4
# Interface de rede primria 6 auto eth0

5
iface eth0 inet static 8 address192.168.200.X 9 netmask255.255.255.0 10 network192.168.200.0 11 broadcast 192.168.200.255 12 gateway192.168.200.254
7
Red Hat: # vim /etc/sysconfg/network/ifcfg-et !
1.4. !on"#urando a reso$uo de no%es 1) Edite o arquivo /etc/resolv.conf: # vim
2) Adicione o endere o !" do servidor #$S da Embratel: nameserver 200.176.2.10
Captulo 1 Ajustes Iniciais - 10 1.5. !on"#urao do &ostna%e .# u# servidorM a conf urao correta do %ostna#e e do ar<uivo %osts K essencial para eli#inar proble#as e# servios de rede. Abra o ar<uivo @etc@%ostna#eM adicione o no#eM / K o nN#ero de sua #*<uina Ocaso esteja erradoP7 # vim /etc/hostname microX
1) Edite o arquivo de /etc/%osts: # vim /etc/hosts
127.0.0.1 localhost.localdomain localhost 192.168.200.X microX.microx.com.br microX
1.'. !on"#urando o re(ositrio de rede 2ara instalar pro ra#as no +ebian D49@1inu/M K necess*rio <ue o repositrio de rede correta#ente conf urado. 5a#os conf ur*=lo para buscar os so6tEares e# u# repositrio interno da "linu/. 1) Abra o arquivo res&onsvel &ela con'gura (o do re&osit)rio: # vim /etc/a"t/sources.list
2) Edite*o a&ontando &ara o re&osit)rio interno da +,inu-: deb tt"://#$%.#&'.#.#/debian lenny main contrib non-free
Captulo 1 Ajustes Iniciais - 11 .) #e&ois de con'gurado/ fa a o u&date do banco de dados do a&titude: # a"titude u"date
+) Agora/ vamos instalar e con'gurar o nosso editor de te-tos %abilitando destaque de sinta-e e lin%as numeradas: # a"titude install vim # ec o (syntax on( )) /etc/vim/vimrc # ec o (set number( )) /etc/vim/vimrc
*rocedimentos de *+s ,nstala-.o/ con ecidos tamb0m como Hardening/ s.o assuntos discutidos no treinamento de 1eguran-a 4#2 3 ,14%5!!%.
1.). *e%over servios desnecess+rios 0odo Ad#inistrador de -iste#as te#M ou deveria ter ciQncia de <ue u# servidor deve e/ecutar so#ente os so6tEares necess*riosM eli#inando assi# riscos de se urana e ajudando a #el%orar a per6or#ance. 2ara <ue isso seja 6eitoM precisa#os antes verifcar <uais servios de rede esto %abilitados e aceitando cone/8es.
1) 0eri'cando servi os de rede com netstat: # netstat -nltup
2) Encerrando os servi os encontrados: # # # # invoke-rc.d invoke-rc.d invoke-rc.d invoke-rc.d exim4 stop nfs-common stop portmap stop openbsd-inetd stop
Captulo 1 Ajustes Iniciais - 12 .) 1emovendo servi os da iniciali2a (o: # # # # update-rc.d update-rc.d update-rc.d update-rc.d -f -f -f -f exim4 remove nfs-common remove portmap remove openbsd-inetd remove
Red Hat: # c kconfg --list # c kconfg --level %642 "ortma" sto"
4 comando runlevel/ mostra 7ual 0 o n8vel de iniciali9a-.o 7ue nos encontramos.
:oc; tamb0m "ode abilitar os servi-os/ com o "rogramas sysv-rc-conf e com o rcconf/ 7ue foram utili9ados no treinamamento 42#: R aptitude install rccon6 s?sv=rc=con6 R rccon6 Rs?sv=rc=con6
1.,. -e"nindo vari+veis e a$ias de siste%as O -iste#a Operacional ve# %abilitado por padro se# alias e so#ente as variavKis essenciais ao seu 6unciona#ento. .nto ire#os conf urar nosso D49@1inu/.
1) Agora vamos colocar as variveis e alias/ &ara isso/ edite o arquivo: # vim /etc/profile
Captulo 1 Ajustes Iniciais - 13 2) 0amos inserir estas o& 3es no 'nal do arquivo: alias ls='ls color' alias lsl='ls -l' TMOUT=1200 HISTSIZE=1000 .) "ara validar as mudan as no disco/ e-ecute: # source /etc/profile
4s comandos set e env/ v.o ser cobrados na "rova do <*,/ eles s.o uteis "ara listarem as variav0is globais e locais.
1... /unciona%ento do Siste%a 0odos os itens <ue vere#os a ora j* con%ece#osM #as so cobrados na 12I. 1) "ara identi'car a vers(o do 4ernel instalado e distribui (o: # uname -r # cat /pro/version
2) 5 4ernel 'ca carregado na mem)ria 1A6/ este 7 seu arquivo: # cd /boot # file vmlinuz-2.6.26-2-686 # du -sh vmlinuz-2.6.26-2-686
.) ,ogo que o 4ernel 7 carregado em mem)ria/ logo inicia*se os &rocessos: # # # # cd /proc ls ps aux cat cpuinfo
Captulo 1 Ajustes Iniciais - 14 +) 5s arquivos do diret)rio /etc/ s(o lidos/ onde s(o montados os dis&ositivos e a iniciali2a (o dos servi os: # cat # cat /etc/fstab /etc/mtab
8) 1e&are o que est montado no sistema: # cat /proc/mounts # cat /proc/partitions # df -h
9) 5s di&ositivos 'cam /dev/ e seu sistema de arquivos 7 o udev. # ls -l /dev
:e=a novamente estes t+"icos no 42! e no 42#.
:) 5s m)dulos carregados no sistema: # # # # ls -l /lib/modules lsmod modprobe -l cat /proc/modules
;) "ara e-ibir todas bibliotecas do sistema: # ldconfig -p # ls /lib # cat /etc/ld.so.conf
>i7ue atento/ "or7ue tudo 7ue estudamos no "rimeiro ca"8tulo/ ir.o cair no exame da <*,/ estude as a"ostilas da forma-.o. *ara informa-?es acesse: tt"://www.l"ibrasil.com.br/
Captulo 1 Ajustes Iniciais - 15 1.10. 1xerc2cios 3ericos
1P Sual a i#portTncia dos procedi#entos de ps=instalaoU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
2P Sual K o diretrio #enos i#portante 6a;er bacBup no -site#aU O,:-P VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
3P Co#o eu consi o verifcar <uais ar<uivos te# per#iss8es WespeciaisX %abilitadas de -D9I+ e -9I+U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV "P Sual a #*scara padro do siste#as para criao de ar<uivos e diretriosM <ual ar<uivo ela fca ar#a;enadaU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV $P Co#o fcaria as per#iss8es de ar<uivos e diretriosM se a u#asB do siste#a 6osse 23 e '$U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 'P Suais diretrios te# sticB bit ativadoU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
1.11. Laboratrio 1. Instale o %top para erQnciar os processosL 2. +esabilite o d# do runlevel padroM utili;ando s?sv=rc=rcon6.
Captulo 2 PAM - 16
Captulo 2 PAM
2.1. Objetivos
.ntender a conf urao do 2A3L Con%ecer seus #dulosL .ntender seus controlesL I#pedir lo in de super usu*rio via console.
2.2. Introduo terica A cada diaM #ais e #ais #ecanis#os de autenticao di6erentes sur e# no #ercado. I#a ine <ue para cada #Ktodo de autenticaoM 6osse necess*rio rescrever aplica8es co#o ,02 M apac%eM ss% e o siste#a de lo in console e r*fco do 1inu/U ,oi pensando neste tipo de es6oro <ue 6oi criado o #ecanis#o de autenticao 2A3 ou 2lu able Aut%entication 3odulesM <ue o6erece u#a ca#ada de abstrao para autenticao e# siste#as 9ni/. Assi#M se <uiser#os adicionar u# novo #odelo de autenticao via leitor de di itaisM por e/e#ploM basta apenas instalar o #dulo 2A3 <ue o6erea essas 6uncionalidades e conf urar as aplica8es para trabal%ar co# este #duloM se# a necessidade de recriar ou rei#ple#entar 6un8es no aplicativo. AlK# dissoM co# o 2A3 K possvel controlar %or*rios e ter#inais disponveis para lo insM <uais sero os usu*rios <ue pode# e6etuar u# su no siste#a operacionalM autenticar e# bases de dados di6erentesM alK# de outros #dulos <ue
Captulo 2 PAM - 17 esto disponveis no se uinte endereo7 http://www.kernel.org/pub/linux/libs/pam
2. . 4du$os O 2A3 trabal%a co# #dulos e controlesM e cada tipo de #dulo prove# u#a 6uncionalidade di6erente dentro do siste#a. 5a#os co#entar pri#eiro os #dulos7 account: 5erifca se a conta K valida no siste#aM se a passEord do usu*rio e/pirou e se o usu*rio real#ente te# direitos de acessar a<uele servio. aut%entication: 5erifca <uest8es de autenticaoM seja por sen%as ou i#press8es di itais O<uando 6ala#os de bio#etriaP. Y o #dulo aut%entication <ue o6erece a Ze/ibilidade do 2A3M j* <ueM para cada #Ktodo de autenticao criadoM e/iste u#a biblioteca <ue ser* adicionada [ este #dulo. &ass<ord: .ste #dulo K respons*vel por cuidar dos aspectos relacionados a tare6as envolvendo sen%asM co#o atuali;ao e solicitao de nova sen%a de acesso no caso da troca da #es#a. session: )espons*vel por tare6as ps autenticaoM co#o #ontar u#
co#partil%a#ento de ar<uivos re#otos <ue contK# o diretrio @%o#e do usu*rio e# <uestoM por e/e#plo.
2.4. !ontro$es AlK# dos #dulosM e/iste# ta#bK# os controlesM os <uais co#entare#os a ora7 required: C%eca a e/istQncia do #dulo solicitadoM caso esse #dulo 6al%eM so#ente depois de verifcar todos os #dulos do #es#o tipo disponveis K <ue o usu*rio ser* avisado. requisite: C%eca a e/istQncia do #dulo solicitado e avisa o usu*rio i#ediata#ente caso este #dulo 6al%e.
Captulo 2 PAM - 18 su=cient: -o#ente a verifcao do #dulo K sufciente para a autenticaoM desde <ue nen%u# #dulo #arcado co#o re<uired 6al%e. o&tional: O sucesso ou a 6al%a deste #dulo no inter6ere no processo de autenticao. @ maioria das distribui-?es trabal am com o *@A/ as Bnicas distribui-?es 7ue n.o trabal am com *@A s.o as baseadas em Slackware.
2.5. 5r+tica diri#ida 1) 0amos veri'car quais m)dulos do "A6 > est(o instalados em nosso sistema: # ls /lib/security/
2) 0amos ol%ar dentro do diret)rio do "A6 &rocurando &or arquivos de con'gura (o &ara os &rogramas instalados: # ls /etc/pam.d
.) "ara entendermos como o "A6 funciona/ vamos ativar um m)dulo sim&les que serve &ara bloquear usurios comuns. Edite o arquivo /etc/&am.d/login e visuali2e o m)dulo &am?nologin.so: # vim /etc/pam.d/login
auth requisite pam_nologin.so
+) "ara esse &lugin funcionar ele necessita que o arquivo nologin este>a criado dentro do diret)rio /etc. @rie o arquivo nologin dentro do diret)rio /etc: # touch /etc/nologin Co# isso tente lo ar co# u# usu*rio co#u# e# outro ter#inal
Captulo 2 PAM - 19 Re"are 7ue a "artir do momento 7ue o "lugin estC ativado no "rograma login e o ar7uivo necessCrio estC criado/ os usuCrios comuns n.o conseguem mais logar/ somente o usuCrio root. ,sso n.o 0 muito viCvel mas serve de exem"lo "ara entendermos como o *@A funciona. 9#a #aneira pr*tica de usar o 2A3 K 6a;er#os co# <ue o usu*rio root no ten%a acesso direto ao lo inM 6orando a lo ar co# usu*rio co#u# e depois 6a;er u# su para virar root. 8) "ara isso aconter/ editamos o arquivo e visuali2amos a regra: # vim /etc/pam.d/login
account requisite pam_time.so
9) Edite o arquivo time.conf dentro de /etc/securitA e acrescente na Bltima lin%a: # vim /etc/security/time.conf
login;*;root;!Al0000-2359
4s cam"os acima s.o: lo in = -ervio <ue ir* ser controlado \ = 0er#inal root = 9su*rio Al&&&&=23$! = +ias e %or*rios de fltra e#. .6etue lo in co# o usu*rio root e# outro ter#inal e veja <ue no ser* possvel e6etuar o lo in.
Captulo 2 PAM - 20 Co# o 2A3M pode#os li#itar <uais usu*rios podero ter acesso a utili;ar o co#ando su. 2ara issoM crie u# rupo c%a#ado ad#ins para os usu*rios <ue podero ter acesso a 6a;er o su. :) Adicione o gru&o onde os usurios que &oderam fa2er o su: # groupadd admins
;) Agora vamos adicionar o usurio aluno ao gru&o admins: # adduser aluno admins
C) @rie uma &olDtica que n(o &ossibilite o uso de su/ e-ceto &elos usurios do gru&o admins: # vim /etc/pam.d/su
auth requiredpam_wheel.so group=admins 2ara 6a;er o testeM lo ue=se co#o o usu*rio <ue pertence ao tente virar root usando o su. rupo ad#ins e
1E) Em seguida tente com um usurio que n(o &ertence ao gru&o admins: $ su -
11) $o 'nal dos arquivos &ossibilite ss% no %orrio das ::.E Fs 1C:EE. "ara isso insira o m)dulo &am?time.so no arquivo do ss% em /etc/&am.d: # a"titude install ss
# vim /etc/pam.d/ssh account required pam_time.so
Captulo 2 PAM - 21 12) Em seguida coloque a regra no time.conf:
# vim /etc/security/time.conf
sshd;*;*;Al0730-1900
2.'. 1xerc2cios 3ericos
1P Sual K a 6uno do 2A3 e co#o ele trabal%aU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Suais aplica8es pode# ser inte radas co# o 2A3U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
3P Sual a di6erena do re<uired para o re<uisite nas diretivas do 2A3U ???????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????
2.). Laboratrio 1. 2er#ita o lo in de root apenas no tt?'L 2. Crie o usu*rio ]#anutencao] 6aa co# ele e6etua lo in ss% apenas de se unda a se/ta 6eiraM das 87&& as 187&&.
Captulo 3 RAI - 22
Captulo 3 RAID
.1. Objetivos .ntender os principais nveis de )AI+L Conf urar )AI+=1L 5erifcar o estado do )AI+L -i#ular 6al%as no )AI+.
.2. Introduo terica 5 1A!# G1edundant ArraA of !ne-&ensive #is4s) 6oi desenvolvido e# 1!88 co#o u#a soluo barata para arantir a disponibilidade da in6or#ao ar#a;enada an%o de per6or#ance e# escrita e# discosM utili;ando para isso u#a conf urao especial de discos r idosM <ue pode# o6erecer redundTncia e# caso de 6al%as e ou leituraM dependendo da conf urao do conjunto )AI+. Co#o principais vanta ensM o )AI+ o6erece7 Dan%o de dese#pen%o no acesso para leitura ou ravaoL )edundTncia e# caso de 6al%a e# u# dos discosL 9so #Nltiplo de v*rias unidades de discosL ,acilidade e# recuperao de conteNdo perdido.
Captulo 3 RAI - 23 ./iste# duas 6or#as de criar#os u# )AI+. 0ia Soft<are: ,eito por aplicativos e #dulos do siste#a operacionalM o )AI+ via so6tEare s entra e# 6unciona#ento depois <ue o êrnel K carre ado na #e#ria do co#putador. A principal vanta e# K a 6acilidade de conf urao e a Ze/ibilidadeM j* <ue pode#os trabal%ar co# v*rios discos di6erentes. A principal desvanta e# K a dependQncia da correta conf urao do siste#a operacional. 0ia Hard<are: ,eito por u#a placa controladora <ue conecta u# disco ao outro. A principal vanta e# K o dese#pen%oM j* <ue u# )AI+ via %ardEare K #ais r*pido e independe do siste#a operacional. A principal desvanta e#M K <ue a placa controladora se torna u# -2O, O-in le 2oint o6 ,ailurePM ou sejaM K necess*rio ter u#a controladora de discos i ual ou co#patvel co# a <ue vocQ possui para o caso de 6al%as neste %ardEare.
3.2.1. Nveis de RAID
Os principais nveis de )AI+ utili;ados %oje no #ercado so os nveis &M1M $M e suas deriva8esM co#o por e/e#ploM o )AI+ 1&. 5a#os entendQ=los7 1A!# E: .ste K o Nnico nvel de )AI+ <ue no i#ple#enta redundTncia. -ua fnalidade K au#entar o dese#pen%o de leitura e ravaoM u#a ve; <ue ao ravarM divide os dados e# partes i uais e ar#a;ena cada 6ra #ento e# u# disco di6erente si#ultanea#ente. 2or issoM co# dois discosM a velocidade de leitura pratica#ente dobra. Co# trQs discosM triplica. . assi# por diante. -ua desvanta e# K <ue se <ual<uer u# dos disco 6al%arM o siste#a operacional para de 6uncionarM alK# de ocasionar perda dos dados. -o necess*rios ao #enos dois discos para i#ple#entar )AI+ &M e eles pode# ser de ta#an%os di6erentes. 1A!# 1: O nvel #ais lar a#ente utili;ado. -ua principal fnalidade K redundTncia dos dados. A redundTncia K <ue so i ual e si#ultanea#ente de6eituoso seja 6eita. O arantir
arantida pela duplicao dos discos
ravados e# cada par de discosM lo oM se u#
deles 6al%arM o outro continuar* operando M atK <ue a substituio do disco an%o de dese#pen%o est* na leituraM u#a ve; <ue os
Captulo 3 RAI - 24 dados so lidos e# partes i uais e si#ultanea#ente de todos os discos.A desvanta e# desse nvel K <ue s #etade do volu#e total de ar#a;ena#ento nos discos utili;ados fcar* disponvel para o siste#a operacional. Y preciso no #ni#o dois discos para i#ple#entar )AI+ 1M se#pre e# pares. 1A!# 8: 4este nvel de )AI+ tere#os u# balano das vanta ens e desvanta ens do nveis anterioresM ou sejaM )AI+ $ provK# u# an%o de dese#pen%o e tolerTncia a 6al%as a custos #enores <ue )AI+ & ou )AI+ 1 individual#ente. O an%o de dese#pen%o est* #ais u#a ve; na leitura. Suanto #ais discos 6ore# adicionados a co#posioM #ais r*pida ser* a leituraM u#a ve; <ue a ravao K distribudas e# blocos de ta#an%o i ual por todos os discos. A #* ica do )AI+ $ est* justa#ente na diviso e distribuio destes blocos. 4u#a co#posio de trQs discos os dados sero divididos e# dois blocosM A1 e >1M sendo <ue os bits destes dois blocos sero co#parado atravKs de u# GO) O]ou e/clusivo]P. O resultado ser* ravado no terceiro volu#e co#o 21. AlK# dissoM os blocos de paridade so alternada#ente discoM au#entando a tolerTncia. ./e#plo7 ravados e# cada
A1 B1 P1 A2 P2 C2 P3 B3 C3
Sual<uer u# dos discos <ue 6al%ar pode ser rapida#ente reconstrudo atravKs de novas opera8es GO) entre os dados restantes. 0o#e#os por e/e#plo A1 _ &1&&11&& e >1 _ 1&1&&1&1. 01001100 XOR 10100101 -------11101001
A ora supon%a <ue o bloco >1 6oi perdido. 2ara recuper*=lo basta aplicar u#
Captulo 3 RAI - 25 GO) entre A1 e 21. 01001100 XOR 00010110 -------01011010
A operao GO) si nifca <ue se so i uais ]& e &] ou ]1 e 1]M ento o resultado K verdadeiro O&P. -e %ouver #ais de dois blocos para sere# co#paradosM calcule a paridade dos dois pri#eirosM e co# resultadoM co#pare co# o terceiroM e assi# sucessiva#ente. A principal desvanta e# do )AI+ $ K o custo de processa#ento da paridade. 2ortantoM )AI+ $ K #enos efciente na seus antecessores. A <uantidade #ni#a de discos no )AI+ $ K 3M podendo suportar <ual<uer nN#ero #aior <ue 3M #es#o para discos de ta#an%os di6erentes. O volu#e disponvel para ar#a;ena#ento K dado pela e<uao OS=1P\+#enorM onde S K a <uantidade de discosM e +#enor o ta#an%o do #enor disco. Os nveis de )AI+ pode# ser co#binados para se potenciali;ar al u#a das vanta ens deles. As co#bina8es #ais co#uns so os c%a#ado )AI+ 1&M )AI+ &`1 e )AI+ $&. ravao <ue
@ "rova <*, "ode cobrar con ecimentos do aluno sobre os n8veis de R@,D citados.
Captulo 3 RAI - 26 . . 5r+tica diri#ida 1) Abra o &articionador e marque as &arti 3es sda11/ sda12 e sda1. sendo do ti&o I1A!# autodetectI/ caso n(o e-istam/ crie: # cfdisk /dev/sda
2) 0eri'que se o &acote mdadm > est instalado/ e instale*o se necessrio: # d"kg -l mdadm # a"titude install mdadm
.) #e&ois de instalar o &acote mdadm/ abra um segundo terminal visuali2e o estado do 1A!# no Jernel: # watch cat /proc/mdstat
.4. !riando o *6I1) 0amos criar o 1A!# utili2ando o nDvel 1 utili2ando Idois discosI e um Is&areI: # mdadm --create /dev/md0 --level=1 --raid-devices=2 --spare-devices=1 /dev/sda11 /dev/sda12 /dev/sda13 4o se undo ter#inalM verif<ue a sincroni;ao do )AI+
2) #e&ois de criarmos o 1A!#/ /etc/mdadm/mdadm.conf/ que administra (o do 1A!#: # vim /etc/mdadm/mdadm.conf
necessrio editar o arquivo ser utili2ado durante a
Captulo 3 RAI - 27 .) 6odi'que o arquivo/ adicionando o seguinte conteBdo: DEVICE ARRAY /dev/sda11 /dev/sda12 /dev/sda13 /dev/md0 devices=/dev/sda11,/dev/sda12,/dev/sda13
+) #e&ois de criarmos o 1A!#/ a&lique o sistema de arquivos e-t. no dis&ositivo /dev/mdE: # mkfs.ext3 /dev/md0
8) @rie um &onto de montagem em /mnt/raid # mkdir /mnt/raid
9) 6ontando o 1A!#: # mount -t ext3 /dev/md0 /mnt/raid
:) @on'gure o /etc/fstab: /dev/md0 /mnt/raidext3defaults0
.5. 7eri"cando o 8unciona%ento do *6I-9
1) 0eri'cando os dis&ositivos individualmente: # mdadm -E /dev/sda11 # mdadm -E /dev/sda12 # mdadm -E /dev/sda13
Captulo 3 RAI - 28 2) "ara testar a redundKncia/ vamos criar um scri&t c%amado IraidLest.s%I que escreve em um arquivo de . em . segundos: vim /root/TestaRaid.sh
#!/bin/bash while true ; do date >> /mnt/raid/dados.txt sleep 3 done
chmod +x TestaRaid.sh /root/TestaRaid.sh
.'. 6d%inistrando o *6I5a#os aprender a adicionarM re#over e si#ular u#a 6al%a e# u# dos discos do )AI+. 1) "rovocando uma fal%a: # mdadm /dev/md0 --fail /dev/sda11
2) 0eri'cando os detal%es do 1A!# a&)s a fal%a: # mdadm --detail /dev/md0
.) 1emovendo o disco defeituoso: # mdadm /dev/md0 --remove /dev/sda11 # mdadm --detail /dev/md0
Captulo 3 RAI - 29 +) Adicionando um disco ao 1A!#: # mdadm /dev/md0 --add /dev/sda11 # mdadm --detail /dev/md0
8) "ara &arar o 1A!#: # mdadm -S /dev/md0
9) 1einiciando o 1A!#: # mdadm -As /dev/md0
@ "rova de certifca-.o contem"la o uso comum do comando mdadm bem como ar7uivos de confgura-.o.
.). 1xerc2cios 3ericos
1P Suais so as vanta ens e desvanta ens de usar o )AI+ $U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Sual a di6erena e# se 6a;er u# )AI+ via so6tEare e u# )AI+ via %ardEareU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
Captulo 3 RAI - 30 3P Suais so as vanta ens e desvanta ens de usar o )AI+ 1U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
.,. Laboratrio
1. 9tili;ando os con%eci#entos obtidos neste captuloM crie u# volu#e )AI+=1&L 2. )e6a;er todas as parti8es necess*rias co# o c6disBM para <ue possa#os testar o 153 no pr/i#o captuloL 3. 4o es<uecer de co#entar as lin%as dentro no @etc@6stab co# a conf urao do )AI+M por<ue nosso siste#a de salva#ento de i#a ens precisa das parti8es padr8es criadas.
Captulo 4 !"M - 31
Captulo 4 LVM
4.1. Objetivos Criar novas parti8es no siste#a co# 153L Aprender as di6erenas entre volu#es 6sicosM l icosL Criao de volu#es 6sicosM rupos de volu#es e volu#es l icosL Aplicar -iste#as de Ar<uivos nas parti8es criadas no 153L Au#entar o ta#an%o das parti8es <ue utili;a# 153. rupos de volu#es e volu#es
4.2. Introduo terica A si la ,06 si nifca7 ,ogical 0olume 6anager. .le K u# erenciador de
discos <ue trabal%a co# ca#adas l icasM <ue pode# ser redi#ensionadasM au#entando ou di#inuindo se# prejudicar o 6unciona#ento do siste#a. A necessidade de se usar 153 K para <ue possa#os aproveitar ao #*/i#o o ta#an%o do :+ ou de v*rios :+Cs. O 153 K bastante utili;ado e# siste#as virtuali;adosM onde %* rande necessidade de v*rias parti8es.
Captulo 4 !"M - 32 4. . !o%o 8unciona o L74 O 153 K usado para a rupar v*rios discos de 6or#a <ue o erencia#ento dos
#es#os seja vi*vel e# u# servidor de produo <ue no pode fcar desli ado. 5a#os i#a inar <ue te#os 3 :+Cs e# nossa #*<uinaM e aproveitar ao #*/i#o de seus ta#an%os. 2ara no ter <ue se preocupar co# o ta#an%o das parti8es lo o de i#ediatoM ire#os usar o 153 para <ue possa#os precisar 6a;er as 6a#osas aa a#biarrasCC. 2ara trabal%ar co# 153 as parti8es precisa# estar 6or#atadas co# o tipo 153. O ,06 trabal%a com Mru&os de 0olumes para alocar todas as parti8es <ue esto defnidas co#o 5olu#e ,sicos do 153. .sses volu#es 6sicos sero divididos e# v*rios 5olu#es l icos co#o se 6osse# u#a diviso de u# disco OpartioP para alocar o deter#inado ponto de #onta e#M e isso vai tra;er a Ze/ibilidade para redi#ensionar a deter#inada partio. Co# #ais detal%es veja#os as se uintes ca#adas <ue o 153 trabal%a7 "0 "%Asical 0olumeG0olume FDsico)7 Os 25Cs so as parti8es <ue sero usadas para co#por u# disco no 6or#ato 153M eles serve# para dar o 99I+M <ue K nN#ero de identifcao de cada disco. 0M 0olume Mrou&GMru&o de 0olume)7 Os 5DCs so u# a rupa#ento de 25CsM pode#os ter v*rios 5DCs. 9# e/e#plo K <ue pode#os pe ar a parti8es %da3 e %db" <ue esto declaradas co#o 25Cs e di;er <ue eles so o 5D&1M nisso pode#os dividir esse rupo e# v*rios pedaos co# ta#an%os especfcos para ser associados a u# diretrio. 2ode#os utili;ar todo o ta#an%o ou pode#os dei/ar u# espao sobrando para <uando precisarM au#entar os pedaos. ,0 ,ogical 0olumeG0olume ,)gico)7 Os 15s so os pedaos <ue 6ala#os a ora poucoM pode#os classifca=los co#o sendo as parti8es de u# discoM e 5D sendo o disco. .les so as partes <ue pode# ser acessadas pelos usu*rios e <ue sero associados a u# ponto de #onta e# especfco. 9# e/e#plo K 6alar <ue o 15&1 ser* #ontado no diretrio @%o#e. erQnciar os ta#an%os das parti8es se# ostara#os de
Captulo 4 !"M - 33 4.4. -e"nindo as 5arti:es
Antes de criar#os as parti8es 153M te#os <ue ter e# #ente nossa tabela de particiona#ento7 # cat /etc/fstab A ora ire#os ver nossas parti8es7 # cat /"roc/"artitions
2or causa do captulo de )AI+ ire#os ter <ue recriar as parti8es nova#enteM e dei/ar estas 2arti8es 1ivres7
Tipo
1o 1o 1o 1o 1o
Device
@dev@sda1& @dev@sda11 @dev@sda12 @dev@sda13 @dev@sda1"
Ponto de Montagem
4o #ontado 4o #ontado 4o #ontado 4o #ontado 4o #ontado
Tamanho em MB
$12 3> $12 3> $12 3> $12 3> $12 3>
Filesystem
-e# 6s -e# 6s -e# 6s -e# 6s -e# 6s
4as parti8es para reali;ao deste trabal%oM defna o tipo das parti8es co#o 8.M e utili;e o c6disB para reali;ao desta tare6a. 4o es<uea de reiniciar o co#putador. # cfdisk /dev/ da
Eo fnal do ca"8tulo/ retire as lin as do /etc/fstab 7ue iremos incluir e remova as confgura-?es criadas com o <:A e R@,D/ "ara "odermos salvar as imagens.
Captulo 4 !"M - 34 4.5. 5r+tica -iri#ida 1) 0eri'que os &acotes necessrios ao ,06/ no #ebian: # d"kg -l lvm%
@aso n(o ten%a: # a"titude install lvm%
2) 1ed Hat: $o 1ed Hat: # r"m -7a Fgre" lvm
.) @aso n(o ten%a: # yum install lvm%
+) Mere o arquivo de con'gura (o do ,06/ utili2e o comando vgscan. # vgscan
8) #e'na as novas &arti 3es como "0 G"%isical 0olume ou 0olume FDsico). # "vcreate /dev/sda## # "vcreate /dev/sda#%
9) 0eri'que que as novas &arti 3es > est(o utili2ando ,06 com sucesso: # "vscan O pvscanM vai #ostrar o dispositivoM o ta#an%o de cada partioM e a so#a das duas parti8es.
Captulo 4 !"M - 35 :) #e'na um Mru&o de 0olumes com os volumes fDsicos criados/ nosso caso ser o vgE1: # vgcreate vg!# /dev/sda## /dev/sda#%
;) @onsultando o Mru&o de 0olumes G0M). # vgdis"lay # vgdis"lay -v vg!#
C) @riando um 0olume ,)gico G,0) denominado teste: # lvcreate -< 2#%mb -n lv!# vg!#
1E) ,istando informa 3es do 0olume ,)gico G,0): # lvdis"lay -v /dev/vg!#/lv!#
11) @onsultando o Mru&o de 0olumes G0M). 1e&are que agora temos tamb7m os detal%es do I,0 testeI: # vgdis"lay -v vg!#
12) ,istando o device do ,0 criado: # ls -l /dev/vg!#/lv!#
1.) 0eri'cando os ,0s criados: # lvs
1+)
@riando o sistema de arquivo ENL. no 0olume ,)gico:
# mkfs -t ext6 /dev/vg!#/lv!#
Captulo 4 !"M - 36 4.'. ;sando o L74 1) @riando um &onto de montagem &ara ,06 Gcaso se>a necessrio): # mkdir /lvm
2) 6ontando manualmente o sistema ,06 criado: # mount -t ext6 /dev/vg!#/lv!# /lvm
.) 0eri'cando se o dis&ositivo est montado: # df # mount
Caso esteja utili;ando )ed:at Oou u#a distribuio <ue si a o #es#o padroPMverif<ue a necessidade de criao de u# label para o device. -e 6or necess*rioM 6aa=o. )ed :at7 Co# 1abel7 # e%label /dev/vg!#/lv!# /lvm Caso a #*<uina seja iniciali;ada neste #o#entoM o 153 no seria #ontado para utili;ao. 2ara <ue o volu#e 153 seja #ontado auto#atica#enteM K necess*rio <ue seja editado o ar<uivo @etc@6stab e se adicione estas lin%as no @etc@6stab7
+) @om label G&ara 1ed Hat): <@GH<I/lvm /lvm ext6 defaults ! %
8) Sem label G&ara #ebian): /dev/vg!#/lv!# /lvm ext6 defaults ! %
Captulo 4 !"M - 37 4.). 6d%inistrando o L74 1) #esmonte o ,06: # umount /lvm
2) 1edimencione o 0olume ,)gico G,0): # lvextend -< J%2&mb /dev/vg!#/lv!#
.) 0eri'que o volume: # e%fsck -f /dev/vg!#/lv!# .ssa verifcao K #uito i#portanteM 6a; a verifcao no disco. Caso %ouver al u# erroM K necess*rio 6a;er u# ]restaurao]. +) 1eestruturando o sistema de arquivos do 0olume ,)gico G,0): # resi9e%fs /dev/vg!#/lv!#
8) 6ontando o ,0: # mount -t ext6 /dev/vg!#/lv!# /lvm
9) 0eri'cando a tabela de &arti 3es montadas: # df -
:) @o&ie alguns dados dentro do diret)rio /lvm: # c" -r /etc /lvm # c" -r /sbin /lvm ;) 0eri'que que os arquivos foram co&iados corretamente: # ls -l /lvm
Captulo 4 !"M - 38 C) 0eri'que a tabela de &arti 3es: # df -
1E) # umount /lvm
#esmonte o volume ,06:
4.,. 3roub$es&ootin# Lroubles%ooting K a 6or#a co# a <ual ire#os resolver o proble#a. 1) 0eri'que o sistemas de arquivos:
# e%fsck -f /dev/vg!#/lv!#
2) 1eestruturando o sistema de arquivos do 0olume ,)gico G,0): # resize2 s !p "dev"vg#$"lv#$ 2%&###
.) 1edu2indo o ,0. Em toda redu (o de es&a o/ % risco de &erda de dados. Se quiser/ &ara e-ecutar este &rocedimento/ e-ecute um bac4u& da rea de disco: # lvreduce -< -%2&mb /dev/vg!#/lv!#
+) 0eri'cando a tabela de &arti 3es montadas: # df -
8) 0ocO ira &erceber que o taman%o da ,0 realmente diminuiu. # lvs
Captulo 4 !"M - 39 9) 6ontando o ,0: # mount -t ext6 /dev/vg!#/lv!# /lvm
:) @o&ie alguns dados dentro do diret)rio /lvm: # c" -r /bin /lvm
5erif<ue <ue os ar<uivos 6ora# copiados correta#ente7 # ls -l /lvm
;) #esmonte o volume ,06: # umount /lvm
C) 1emovendo o ,0: # lvremove /dev/vg!#/lv!# Caso a partio esteja #ontadaM no vai ser possvel re#over.
1E) # lvs
A&)s a remo (o/ veri'que que n(o F mais o ,0E1:
11)
1emovendo o gru&o:
# vgremove vg!#
12) # vgdis"lay
5 comando vgdis&laA n(o ira mostrar mais nada:
Captulo 4 !"M - 40 1.) # lvs 0e>a todas as suas ,vs:
1+) # "vscan
0eri'que os detal%es do ,06:
4... 1xerc2cios 3ericos
1P Co#o eu 6ao para estender u#a partio criada co# 153U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Co#o eu 6ao para re#over u#a partio criada co# 153U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 3P .u posso aplicar u# novo siste#a de ar<uivos [ partio da 153M #es#o <ue ela conten%a dados j* criados nelaU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
"P Suando e por <ueM vocQ utili;aria 153 e# seu siste#aU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV $P Sual K o #*/i#o de parti8esM <ue pode#os ter e# u# +I-COM utili;ando u#a controladora I+.U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
Captulo 4 !"M - 41 'P Sual K o ar<uivo <ue #ostra todas as parti8es criadas na #*<uinaU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV (P Co#o eu consi o e/ibir a tabela de parti8es co# os co#andos7 6disB e c6disBM se# entrar no pro ra#aU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 8P Sual co#ando <ue eu consi o sincroni;arM novas parti8es criadas e# #eu discoU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
4.10. Laboratrio 1. 2e ue duas parti8es <ue no esto sendo utili;adas e crie u# )AI+1L 2. Adicione a partio co#o 25L 3. 5erif<ue se esto todas 6uncionadoL ". Crie duas novas parti8es O15P M a pri#eira 2$'#b e outra co# 1D>L $. Apli<ue o siste#as de ar<uivos sEap na pri#eira e /6s na se undaL '. Crie u# ponto de #onta e# para a se unda 15 co# o no#e de ).-0O).L (. Colo<ue as entradas no ar<uivo @etc@6stabL 8. )einicie a #*<uina e verif<ue se est* tudo be#L !. Aps todos os testesM re#ova tudo <ue 6oi 6eito co# o )AI+ e 153M inclusive suas entradas no @etc@6stab.
Captulo 5
#CP - 42
Captulo 5 DHCP
5.1. Objetivos .ntender o protocolo +:C2L .ntender os #Ktodos de atribuio de endereosL Conf urar u# servidor +:C2L Atribuir u# endereo de acordo co# 3AC A++).--.
5.2. Introduo terica O +:C2 #Anamic Host @on'guration "rotocol K u# protocolo <ue <ue 6unciona nas ca#adas 2 e 3 do #odelo O-I e K a#pla#ente utili;ado para o6erecer enderea#ento I2 * u# %ost <ue ainda no est* conf uradoM o <ue o6erece u# Ze/ibilidade ao Ad#inistrador de -iste#as. O protocolo +:C2 opera da se uinte 6or#a7 #H@"#!S@50E1 = 9# cliente envia u# <uadro broadcast Odestinado a todas as #*<uinasP co# u# pedido +:C2L #H@"5FFE1 = O servidor +:C2 captura o <uadro e o6erece u# endereo I2 ao clienteL #H@"1EPQESL = O cliente envia u# +:C2 ).S9.-0 endereado para o servidor +:C2 aceitando o I2L #H@"A@J = .sse K o pacote <ue confr#a a atribuio de u#a conf urao de
Captulo 5
#CP - 43
rede a u# clienteM ou sejaM a<uele cliente a ora possui conf ura8es distribudas pelo servidor +:C2L #H@"$AJ = Caso o cliente no aceite a<uele endereo I2 M ele enviar* u# +:C24A^ para o servidorM e reali;ar* o +:C2+I-CO5.) nova#ente. O +:C2 o6erece trQs tipos de alocao de endereos I27 Atribui (o manual = Suando deseja#os <ue certo cliente ten%a deter#inado endereo I2M te#os <ue ]a#arrar] o endereo 3AC da #*<uina do cliente no endereo I2 desejado. O servidor de +:C2 descobre o 3AC A++).-- do cliente atravKs do +:C2+I-CO5.)M assi# identifcando <uais so as #*<uinas <ue iro receber conf ura8es personali;adasL Atribui (o automtica = Onde o cliente obtK# u# endereo de u# espao de endereos possveis c%a#ado de ran eM especifcado pelo ad#inistrador. Deral#ente no e/iste vnculo entre os v*rios 3ACCs %abilitados a esse espao de endereos. Assi# <ue o cliente se lo a pela pri#eira ve; na redeM ele recebe u# enderea#ento defnitivoL Atribui (o dinKmica = O Nnico #Ktodo <ue disp8e a reutili;ao dinT#ica dos endereos. O ad#inistrador disponibili;a u# espao de endereos possveisM e cada cliente ter* o so6tEare 0C2@I2 da sua inter6ace de rede conf urados para re<uisitar u# endereo por +:C2 assi# <ue a #*<uina iniciali;e. A alocao utili;a u# #ecanis#o de alu uel do endereoM caracteri;ado por u# te#po de vida. Aps a #*<uina se desli arM o te#po de vida natural#ente ir* e/pirarM e da pr/i#a ve; <ue o cliente se li ueM o endereo provavel#ente ser* outro. Al u#as i#ple#enta8es do so6tEare servidor de +:C2 per#ite# ainda a atuali;ao dinT#ica dos servidores de +4- para <ue cada cliente dispon%a ta#bK# de u# +4-. .ste #ecanis#o utili;a o protocolo de atuali;ao do +4- especifcado no ),C 213'.
Captulo 5 5. . 5r+tica diri#ida
#CP - 44
5.3.1. Confgurando um servidor DHCP
1) !nstalar o &acote do servidor d%c&.: # aptitude install dhcp3-server
2) 5 arquivo de con'gura (o 7 o d%c&d.conf no e-em&lo abai-o/ e 'ca dentro de /etc/d%c&.: # vim /etc/dhcp3/dhcpd.conf Onde GM K a rede <ue o pro6essor in6or#ar7 ddns-update-style none; 2 subnet 192.168.X.0 netmask 255.255.255.0 { 1 range 192.168.X.10 192.168.X.200; 2 option subnet-mask 255.255.255.0; 3 option domain-name "microx.com.br"; 4 option domain-name-servers 200.176.2.10,4.2.2.2; 5 option routers 192.168.X.254; 6 default-lease-time 600; 7 max-lease-time 7200; 8 }
1
@ "rova de certifca-.o "ode cobrar a utili9a-.o de cada o"-.o/ como (o"tion routers( ou (o"tion domain-name-servers(.
.) Qma ve2 criado o arquivo de con'gura (o/ basta iniciali2ar o servidor #H@": # invoke-rc.d dhcp3-server stop # invoke-rc.d dhcp3-server start
Captulo 5
#CP - 45
5.3.2. Principais diretri es do ar!uivo de confgura"#o
default*lease*time 9EE = -ervidores +:C2 cede# endereos sob pedido por u# te#po prK=deter#inado. O padro nesse e/e#plo K ceder o endereo I2 por '&& se undosM ou 1& #inutosL
ma-*lease*time :2EE = Caso o cliente solicite u# te#po #aiorM o te#po #*/i#o per#itido ser* de (.2&& se undos O2 %orasPL
o&tion subnet*mas4 288.288.288.E = .ssa opo defne a #*scara de subrede a ser 6ornecida aos clientesL
o&tion broadcast*address 1C2.19;.2EE.288 = .ssa opo defne o endereo de envio para re<uisi8es de broadcastL
o&tion routers 1C2.19;.2EE.28+ = O clienteM alK# do nN#ero I2M recebe ta#bK# a in6or#ao do nN#ero do %ost <ue K o ateEa? de sua redeL
o&tion domain*name*servers 2EE.1:9.2.1E/+.2.2.2 = .ssa opo lista os servidores de no#es O+4-P a sere# utili;ados para resoluo de no#esL
o&tion domain*name micro-.com.br = O no#e de do#nio do cliente.
5.4. !on"#urando os c$ientes -<!5 1) #o lado cliente/ temos duas o& 3es &ara 'ns de teste: # dhclient
Kaso n.o ten a o comando d client: # a"titude install d c"6-client
Captulo 5
#CP - 46
2) 5u editando o arquivo /etc/net<or4/interfaces/ trocando static &or d%c&/ 'cam assim: # vim /etc/network/interfaces
auto eth0 iface eth0 inet dhcp
*ara visuali9ar a "laca de rede 7ue estC utili9ando: # mii-tool O ar<uivo dos leases do d%cp se locali;a e# @var@lib@d%cp3@d%cpd.leases.
.) Este 7 o arquivo onde 'cam registrados os em&r7stimos de !"Rs. 5bserve*o: # more /var/lib/dhcp3/dhcpd.leases
5.5. /ixar I5 via -<!5 Y possvel f /ar o I2 via +:C2 para #*<uinas respectivas. 2ara issoM
precisa#os associar o 3AC A++).-- da placa co# u# I2 . 1) @onsidere que:
M'()*+,
#icro 1 #icro 2
M,- ,D./SS
&&78&7C(7+27,87+$ 8873+7>.7&&7C(7&&
*P F*0,D1
1!2.1'8.2&&.21& 1!2.1'8.2&&.21"
Captulo 5
#CP - 47
2) "ara esse cenrio ser &ossDvel/ seria necessria a res&ectiva entrada no arquivo de con'gura (o /etc/d%c&./d%c&d.conf:
3 1 2 3 4 5 6 7 8
host micro1 { hardware ethernet 00:80:C7:D2:F8:D5; fixed-address 192.168.200.210; } host micro2 { hardware ethernet 88:3D:BE:00:C7:00; fixed-address 192.168.200.214; }
.) 5 Arquivo /etc/d%c&./d%c&d.conf 'caria assim:

4 5 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
ddns-update-style none; subnet 192.168.X.0 netmask 255.255.255.0 { range dynamic-bootp 192.168.200.1 192.168.200.200; option routers192.168.X.254; option subnet-mask 255.255.255.0; option domain-name microx.com.br; option domain-name-servers200.204.0.10, 200.204.0.138; default-lease-time 21600; max-lease-time 43200; host micro1 { hardware ethernet 00:80:C7:D2:F8:D5; fixed-address 192.168.X.210; } host micro2 { hardware ethernet 88:3D:BE:00:C7:00; fixed-address 192.168.X.214; }
Captulo 5 5.'. 1xerc2cios tericos 1P 9# servidor +:C2 precisa ser necessaria#ente o ./pli<ue.
#CP - 48
ateEa? da redeU
VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
2P 2ode#os ter #ais de u# servidor de +:C2 e# u#a redeU ./pli<ue. VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
3P Suais so as trQs 6or#as de alocao enderea#ento I2U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
5.). Laboratrio 1. )etire o dae#on de iniciali;ao do +:C2 do runlevelL 2. )einicie a #*<uina e veja se o servio do +:C2 est* inativo.
Captulo 6 $%P - 49
Captulo 6 F P
'.1. Objetivos Instalar e conf urar u# servidor ,02L .ntender as di6erenas entre ,02 passivo e ativoL 9tili;ar co#andos de ,02 para doEnload e uploadL 2er#itir a utili;ao do ,02 co# usu*rio anbni#o.
'.2. Introduo terica
O ,02 ,ile 0rans6er 2rotocol K u# protocolo si#ples para trans6erQncia de ar<uivos. O cliente ,02 6a; u#a solicitao ao servidor ,02M a seo K estabelecida e ento K solicitado o usu*rio e sen%a v*lidos no caso de u# ,02 autenticadoM ouM caso este servidor per#ita nave ao anbni#aM basta entrar co#o o usu*rio ]anon?#ous] e u# endereo de e=#ail <ual<uer co#o sen%a. O ,02 pode atuar co#o servidor ativo ou passivo. 4o #odo ativoM os co#andos so enviados por u#a porta alta pelo clienteM e so recebidas pela porta 21 no servidorM en<uanto <ue os dados so trans#itidos pelo servidor ao cliente atravKs da porta 2&. O proble#a desta i#ple#entao K <ue os dados pode# ser barrados por u# ,ireEall de acordo co# as re ras estabelecidas pelo Ad#inistrador de -iste#as.
Captulo 6 $%P - 50 c* no #odo passivoM os co#andos ta#bK# so enviados para o servidor atravKs de u#a porta alta pelo clienteM e so recebidas na porta 21 do servidor. 4este #o#entoM o cliente avisa ao servidor <ue ele deve utili;ar o #odo passivo atravKs do co#ando ]2A-5]M e ento os dados sero enviados utili;ando portas altas tanto pelo cliente <uando pelo servidor. 4este casoM no te#os #ais proble#as co# o freEall no lado do clienteM porK#M te#os <ue %abilitar a utili;ao de portas altas no servidorM o <ue pode erar #uitos proble#as. ,eli;#enteM na conf urao do servidor ,02 pode#os especifcar o ran e de portas <ue o servidor deve utili;arM #ini#i;ando assi# o proble#a no lado do servidor. 1obre seguran-a/ um dos "rinci"ais "roblemas do >L* 0 7ue a maioria dos servidores n.o im"lementa cri"tografa/ ent.o/ caso voc; dese=a um ambiente seguro com >L* / 0 necessCrio a im"lementa-.o de cri"tografa/ como 4"en11< ou L<1.
'. . 5r+tica diri#ida
$.3.1. %ervidor &'P
1) 0eri'que se vocO &ossui o servidor &roft&d instalado em seu sistema: # dpkg -l proftpd
2) 0amos instal*lo com o a&titude: # aptitude install proftpd
Red Hat: @ "lataforma Red Hat utili9a o vsft"d "or "adr.o.
Captulo 6 $%P - 51 .) "ara con'gurar o seu servidor FL"/ edite o arquivo de con'gura (o e altere as diretivas listadas a seguir: # vim /etc/proftpd/proftpd.conf
+) "ara trabal%ar em modo standalone: ServerType standalone
8) #e'na o valor &adr(o de Q6ASJ &ara grava (o: Umask 022 022
9) #e'na o nBmero m-imo de logins simultKneos: MaxInstances 20
:) Habilite at7 8 cone-3es de usurios anonAmous: MaxClients 5
Cada usu*rio do ,02 pode ter u#a #ensa e# de lo in di6erente. Crie o ar<uivo Eelco#e.#s na %o#e do usu*rio.
;) 0ocO &ode usar o arquivo de boas vindas &ara logins anSnimos /%ome/ft&/<elcome.msg como base: # cp /home/ftp/welcome.msg /home/aluno .dite o ar<uivo copiado7 # vim /home/aluno/welcome.msg Inicie o servio do 2ro6tpd7 # invoke-rc.d proftpd stop # invoke-rc.d proftpd start
Captulo 6 $%P - 52 C) 0eri'que em qual &orta o servidor FL" est escutando: # netstat -nltup
'.4. !onectando=se a u% servidor /35 co%o c$iente 9# servidor ,02 pode ser usando de duas 6or#as7 Lradicional = 4este 6or#atoM o servidor aceita cone/8es de u# usu*rio e sen%a v*lidos para liberar u# s%ell para ele. AnonAmous = O -ervidor ,02 co# anon?#ous K #uito utili;ado na Internet pelo #otivo de no ser necess*rio ter u# usu*rio no servidor. +esta 6or#aM o usu*rio pode abrir u# broEser e c%a#ar o endereo 6tp7@@servidor para ter acesso ao diretrio disponibili;ado pelo servio. Deral#enteM esse diretrio K o %o#e do usu*rio ,02 <ue no +ebian K @%o#e@6tp.
1) @onecte*se ao servidor FL" do colega ao lado/ fornecendo o nome de usurio aluno e a sen%a &adr(o: # ftp 192.168.200.X
2) 0eri'que se a cone-(o foi bem sucedida e encerre a sess(o. ftp> quit
.) Agora conecte*se como um usurio anonAmous/ fornecendo um e* mail qualquer como sen%a. # ftp 192.168.200.x Connected to localhost. 220 ProFTPD 1.3.0 Server (Debian) [::ffff:127.0.0.1]Name (localhost:aluno): anonymous 331 Password required for anonymous. Password:
Captulo 6 $%P - 53 +) A cone-(o foi recusada &orque o &adr(o do "roft&d 7 n(o aceitar cone-3es anSnimas. 0amos %abilitar a navega (o anSnima. :) # vim /etc/proftpd.conf 0ire u# co#ent*rio por lin%aM da lin%a 132 atK o fnal do ar<uivo7 # <Anonymous ~ftp> 136 #User ftp 137 #Group nogroup 138 ## We want clients to be able to login with "anonymous" as well as "ftp" 139 #UserAlias anonymous ftp 140 ## Cosmetic changes, all files belongs to ftp user 141 #DirFakeUser on ftp 142 #DirFakeGroup on ftp 143 144 145 146 147 ... At # #RequireValidShell off # ## Limit the maximum number of anonymous logins #MaxClients10 o final do arquivo retirar um # comentrio por linha.
8) 1einicie o servi o &ara que as altera 3es ten%am efeito: # invoke-rc.d proftpd restart
9) Lente novamente a cone-(o como usurio anSnimo. Agora dever funcionar. 0e>a o quadro abai-o: # ftp 192.168.200.X
Name (localhost:aluno): anonymous Password: Continue lo ado co#o usu*rio anbni#o. Ire#os 6a;er al uns testes a se uir.
Captulo 6 $%P - 54 '.5. !o%andos /35
Os servidores de ,02 #uito rara#ente #uda#M #as novos pro ra#as clientes ,02 aparece# co# bastante re ularidade. .stes clientes varia# no nN#ero de co#andos <ue i#ple#enta#. A #aioria dos clientes ,02 co#erciais i#ple#enta# apenas u# pe<ueno sub rupo de co#andos ,02. 3es#o <ue o ,02 seja u# protocolo orientado [ lin%a de co#andosM a nova erao dos clientes ,02 esconde esta orientao nu# a#biente r*fco #uitas ve;es bastante desenvolvido. As inter6aces clientes do ,02 do >-+ 94IG e do D49@1inu/ possue# #uitos co#andosM al uns deles arcaicos e se# utilidade %oje e# diaM co#o por e/e#plo o tene/ e o carria e control. c* outros so bastante utili;ados7 cdM dirM lsM etM # etM put e #put. 4s comandos listados abaixo "odem ser cobrados na "rova de certifca-.o. Abai/o esto listados al uns dos #ais utili;ados co#andos ,027 %el& = 1ista os co#andos disponveis. 9# sinbni#o K U %el& @6# = 3ostra u#a ajuda para o co#ando C3+ ls cd lcd Tls = 1ista os a<uivos no servidor. 9# sinbni#o K dir = 0roca de diretrio no servidor = 0roca de diretrio da #*<uina local = 1ista os ar<uivos da #*<uina local
T@6# = ./ecuta na #*<uina local o co#ando C3+ get = ,a; doEnload de u# ar<uivo do servidor para a #*<uina local.
mget = ,a; doEnload de #ais de u# ar<uivo. &ut = ,a; upload de u# ar<uivo da #*<uina local para o servidor.
m&ut = ,a; upload de #ais de u# ar<uivo.
Captulo 6 $%P - 55 .nto co#o usu*rio anbni#oM va#os 6a;er al uns testes7 1) ,iste o conteBdo do servidor: ftp> ls
2) ,iste o conteBdo do seu diret)rio local: ftp> !ls
.) Fa a o do<nload de algum arquivo: ftp> get ARQUIVO
+) 0eri'que se o arquivo foi co&iado: ftp> !ls
8) Lente agora fa2er o u&load de um arquivo: ftp> put ARQUIVO 2or padroM usu*rios anbni#os no deve# ter per#isso para 6a;er upload de ar<uivos.
9) Encerre a sess(o e logue*se em seguida como um usurio vlido no servidor FL" da mquina de algum colega: ftp> quit 221 Goodbye. # ftp 192.168.200.X 0ente a ora 6a;er o upload do ar<uivo. +ever* 6uncionar desta ve;. :) Fa a o do<nload de vrios arquivos: ftp> mget * 4ote <ue K e/i ida a confr#ao para cada ar<uivo copiadoM o <ue pode ser incb#odo.
Captulo 6 $%P - 56 ;) #esligue o modo interativo/ e tente novamente: ftp> prompt Interactive mode off. ftp> mget *
C) Fa a o u&load de vrios arquivos: ftp> mput *
1E)
0eri'que o log de atividade do FL":
# less /var/log/proftpd/xferlog
'.'. 1xerc2cios tericos
1P 2ara <ue serve a porta 6tp=dataU ???????????????????????????????????????????????????????????????????????????????? 2P Sual a di6erena dos #odos passivo e ativoU ???????????????????????????????????????????????????????????????????????????????? ???????????????????????????????????????????????????????????????????????????????? 3P .# ter#os de se uranaM <ual a #aior 6al%a do ,02U ????????????????????????????????????????????????????????????????????????????????
'.). Laboratrio 1. 2er#ita <ue o usu*rio anon?#ous poste dados e# u# diretrio c%a#ado inco#in L
Captulo 7 &$' - 57
Captulo ! "F#
).1. Objetivos Instalar o dae#on 4,-L .ntender a conf urao do 4,-L ./portar u# diretrio usando 4,-.
).2. Introduo terica
O 4,- 4etEorB ,ile -?ste#M K u# siste#a de ar<uivos especial capa; de e/portar u# diretrio via rede. Ao i#portar u# diretrioM a i#presso <ue o cliente te# K de <ue o diretrio est* locali;ado no prprio co#putadorM o <ue torna o acesso e utili;ao do diretrio transparente para o usu*rio fnalM o <ue torna o 4,- u#a soluo interessante para centrali;ao de diretrios pessoais e recursos co#partil%ados e# redeM j* <ue as opera8es de bacBup e #anuteno sero centrali;adas. 2ara <ue os clientes possa# acessar o servidor 4,- K necess*rio <ue os se uintes servios esteja# sendo e/ecutados no servidor7
Captulo 7 &$' - 58 nfsd = -ervio 4,- <ue atende as re<uisi8es dos clientes 4,-L mountd = -ervio <ue e/ecuta as solicita8es de #onta e# dos clientes 4,-L &ortma& = -ervio <ue per#ite <ue clientes 4,- descubra# <ual porta o servidor 4,- est* utili;ando.
). . 5r+tica -iri#ida
(.3.1. Insta)a"#o e confgura"#o do N&%
SE10!#517 1) $o #ebian/ basta instalar o &acote nfs*4ernel*server que os outros ser(o instalados: # aptitude install nfs-kernel-server
2) Agora &odemos determinar quais diret)rios com&artil%ar/ editando o arquivo /etc/e-&orts: # vim /etc/exports
&retendemos
.) Sinta-e do arquivo: /diretrio_compartilhado 192.168.200.0/24(rw,no_root_squash,subtree_check) /outro_diretrio 192.168.100.1(ro,root_squash)
@ "rova de certifca-.o "ode conter "erguntas sobre a confgura-.o de um servidor E>1
Captulo 7 &$' - 59 Eote as o"-?es rootMs7uas e noMrootMs7uas : @ o"-.o rootMs7uas n.o "ermite 7ue o root local ten a "oderes administrativos dentro do diret+rio com"artil ado/ ou se=a/ 0 como se o root ("erdesse os "oderes( sobre 7ual7uer o"era-.o na7uele diret+rio.
NC a o"-.o noMrootMs7uas "ermite 7ue o root local administre a7uele diret+rio/ "odendo causar s0rios "roblemas/ =C 7ue o root local terC "oderes administrativos em um diret+rio com"artil ado/ "odendo a"agar ar7uivos de outros usuCrios/ ler documentos e mudar as "ermiss?es.
+) @rie o diret)rio /srv/nfs &ara ser e-&ortado e em seguida/ adicione alguns arquivos nele: # mkdir -p /srv/nfs # cp /etc/apt/* /srv/nfs
8) Edite o arquivo /etc/e-&orts &ara que o diret)rio criado se>a e-&ortado: /srv/nfs 192.168.200.0/24(rw,root_squash)
9) 1einicie o servi o $FS: # invoke-rc.d portmap restart # invoke-rc.d nfs-kernel-server restart
:) 0eri'cando em quais &ortas locais o nfs est trabal%ando: # rpcinfo -p localhost programa verso protocoloporta 100000 2tcp 111 portmapper 100024 1udp 722 status 100003 2udp2049 nfs
Captulo 7 &$' - 60 @,!E$LE:
1) $a mquina cliente/ basta instalarmos o &acote nfs*client: # aptitude install nfs-common
2) 0eri'que todos os diret)rios com&artil%ados &elo colega atrav7s do comando: # showmount -e 192.168.200.X
.) @rie um &onto de montagem: # mkdir /mnt/nfs
+) 6onte o diret)rio com&artil%ado: # mount -t nfs 192.168.200.X:/srv/nfs /mnt/nfs
8) "odemos veri'car todas as cone-3es com o servidor: # showmount -a 192.168.200.X
9) 0isuali2e tamb7m com o comando mount os &ontos de montagem : # mount
:) E-&lore o diret)rio remoto: # ls /mnt/nfs
Captulo 7 &$' - 61 ;) @omo administrador/ tente remover algum arquivo do diret)rio remoto: # cd /mnt/nfs # rm ARQUIVO
SE10!#51: Co#o in6or#adoM por padroM o 4,- assu#e a opo rootVs<uas% <ue no reZete os direitos de ad#inistrador aos clientes. 5a#os alterar isso e 6a;er al uns testes. 1) Edite o arquivo /etc/e-&orts e acrescente: /srv/nfs 192.168.200.0/24(rw,no_root_squash)
2) $(o 7 necessrio reiniciar o $FS. 5 comando e-&ortfs &ermite gerenciar os diret)rios com&artil%ados de forma dinKmica: # exportfs -r
@ o"-.o -r fa9 com 7ue o ar7uivo /etc/ex"orts se=a relido. Konsulte a man"age do ex"ortfs "ara saber sobre outras o"-?es 7ue "ermitem ex"ortar novos diret+rios sem a necessidade de alterar o ar7uivo /etc/ex"orts ou reiniciar o E>1.
@,!E$LE: A oraM na #*<uina cliente tente nova#ente re#over al u# ar<uivo. 1) Fa a este teste como administrador: # cd /mnt/nfs # rm ARQUIVO Observe <ue no %* a necessidade de re#ontar o siste#a de ar<uivos co#partil%adoM toda alterao 6oi 6eita de 6or#a dinT#ica.
Captulo 7 &$' - 62 ).4. 1xerc2cios tericos
1P 2ara <ue serve a opo noVrootVs<uas% no ar<uivo @etc@e/portsU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Sual tipo de fles?ste# deve ser utili;ado co# o 4,-U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 3P 5ocQ centrali;ou os diretrios pessoais e# u# servidor. Co#o vocQ deve conf urar o cliente para <ue o co#partil%a#ento seja #ontado durante o bootU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
).5. Laboratrio 1. Crie u# #es#o diretrio co# per#isso de escrita para u# I2 e so#ente leitura para u# outro I2 . ./porte esse diretrio atravKs do 4,-L 2. Crie u# co#partil%a#ento c%a#ado publico e e/porte=o para a rede 1!2.1'8.2&&.&@2".
Captulo 8 'e()i*o( 'AM+A - 63
Captulo $ #e%&i'o% #AM(A
,.1. Objetivos .ntender as 6uncionalidades do -A3>AL .ntender seu ar<uivo de conf uraoL Criar co#partil%a#ento de diretriosL Criar u# servidor de autenticao.
,.2. Introduo terica A sute -A3>A co#eou a ser desenvolvida por AndreE 0rid ell e# 1!!2 co#o 6erra#enta para co#partil%a#ento de diretrios e ar<uivos entre #*<uinas \ni/ e #a<uinas co# siste#a operacional AindoEs e O-@2M da I>3. 9tili;ando en en%aria reversa no protocolo -3>M -erver 3essa e >locBM AndreE 6oi capa; de i#ple#entar al u#as 6uncionalidades -3> e# #*<uinas \ni/. 3ais tardeM o I.0, bati;ou este conjunto de 6uncionalidades co#o CI,-M Co##on Internet ,ile -?ste#. AlK# de pro#over esta interoperabilidadeM o -A3>A ta#bK# K capa; de reali;ar al u#as tare6as citadas abai/o7 Co#partil%ar u# ou #ais tipos de siste#as de ar<uivosL Co#partil%ar i#pressoras e# u#a rede 40M ou atuar co#o clienteL Autenticao de clientes e# u# do#nio AindoEs.
Captulo 8 'e()i*o( 'AM+A - 64 A sute -A3>A precisa de trQs co#ponentes para reali;ar sua 6uno. -o eles7 nmbd = )espons*vel pela resoluo de no#es smbd = )espons*vel por co#partil%ar recursos <inbind = Au/ilia na autenticao e# u# do#nio A+
,. . 5r+tica -iri#ida 1) 0amos instalar a suDte SA6UA/ algumas ferramentas au-iliares e o &acote de documenta (o: # a"titude install samba samba-doc smbclient smbfs
2) 0e>a o arquivo de con'gura (o/ e ten%a como %bito sem&re guardar uma c)&ia do arquivo original: # vim /etc/samba/smb.conf # mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Red Hat: Ea "lataforma Red Hat/ o ar7uivo de confgura-.o do samba fca em /etc/smb.conf
Captulo 8 'e()i*o( 'AM+A - 65 Ire#os a ora co#enta#os aci#a7 [global] workgroup = microx server string = Servidor de Arquivos security = SHARE wins support = Yes [Publico] comment = Diretorio Publico path = /srv/samba/publico force user = smbuser force group = users read only = No guest ok = Yes Corresponde#7 [global] workgroup = Grupo de Trabalho; server string = Comentrio para o servidor; security = Compartilhamento sem a necessidade de controle de usurios e senhas; wins support = O samba se torna um Servidor Wins, resolve nome para mquinas Windows. [Publico] comment = Adicionar comentrio ao compartilhamento; path = Diretrio que ser utilizado para compartilhamento; force user = Define um usurio padro que ser usado por todos que acessarem este compartilhamento; force group = Define um grupo padro que ser usado por todos que acessarem este compartilhamento; read only = Permisses de leitura e gravao; guest ok = Define que usurios convidados tero acesso ao compartilhamento. erar u# novo ar<uivo @etc@sa#ba@s#b.con6 co# as op8es <ue
Captulo 8 'e()i*o( 'AM+A - 66 .) 5 SA6UA oferece um comando &ara veri'car a sinta-e do arquivo de con'gura (o. 0amos utili2*lo: # testparm
+) $)s de'nimos que todo arquivo criado no com&artil%amento seria do usurio smbuser e do gru&o users. 0amos criar este usurio e alterar seu gru&o: # useradd smbuser -g users
8) Lamb7m 7 necessrio criar o diret)rio que ser com&artil%ado: # mkdir -p /srv/samba/publico # chown smbuser:users /srv/samba/publico
9) 1einicie o SA6UA &ara que as altera 3es ten%am efeito: # invoke-rc.d samba stop # invoke-rc.d samba start
:) 0eri'que se requisi 3es: # netstat -putan
os
daemons
Gsmbd
nmbd)
est(o
atendendo
;) 0eri'que o com&artil%amento: # smbclient -L localhost
C) 0eri'que o com&artil%amento da mquina ao lado: # smbclient -L 192.168.200.X
Captulo 8 'e()i*o( 'AM+A - 67 1E) Se tudo ocorreu bem/ &odemos montar o com&artil%amento/ escol%a uma das formas abai-o: # smbmount //192.168.200.X/Publico /mnt # mount -t cifs //192.168.200.X/Publico /mnt
11) @on'rme se o com&artil%amento foi montado/ e ent(o crie um arquivo no com&artil%amento: # mount # touch /mnt/$HOSTNAME.txt
12)
0eri'que as &ermiss3es do arquivo criado &elo colega:
# ls -la /srv/samba/publico
,.4. Sa%ba co%o contro$ador de -o%2nio 5ri%+rio A ora <ue j* esta#os #ais 6a#iliari;ados co# o -A3>AM pode#os conf ur*= lo para atuar co#o u# Controlador de +o#nio 2ri#*rio. . @on'gura (o &ara "#@ @ maior vantagem de ter um controlador de dom8nios 1amba 0 ter a estabilidade e Oexibilidade do <inux controlando os logins em uma rede Aicrosoft.
2ara
<ue
isso
seja
possvelM
ns
ire#os
editar
nosso
ar<uivo
@etc@sa#ba@s#b.con6 de 6or#a o -a#ba co#putadores da rede.
f <ue apto a
erenciar os lo ins e
Captulo 8 'e()i*o( 'AM+A - 68 Edite o seu arquivo /etc/samba/smb.conf &ara que ele 'que como o e-em&lo abai-o: [Global] 2 netbios name = SERVER 3 workgroup = EMPRESA 4 server string = Primary Domain Controller 5 log file = /var/log/samba/%m.log 6 max log size = 100 7 security = user 8 unix password sync = Yes 9 passwd program = /usr/bin/passwd %u 10 smb passwd file = /etc/samba/smbpasswd 11 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 12 domain logons = Yes 13 os level = 100 14 preferred master = Yes 15 domain master = Yes 16 local master = yes 17 logon drive = H: 18 logon home = \\%L\homes\%U 19 logon path = \\%L\Profiles\%U
1
1.) Agora/ vamos criar o com&artil%amento %omes que ir(o arma2enar os dados &essoais dos usurios: [homes] 2 comment = Diretorio Pessoal 3 path = /srv/samba/homes/%U 4 valid users = %U 5 read only = No 6 browseable = No
1
1. Co#partil%a#ento %o#esL 2. Co#ent*rioL 3. 1ocali;ao do co#partil%a#ento no servidorL ". 9su*rios <ue pode# acessar o co#partil%a#ento Od9 _ usu*rio da seoPL $. -o#ente leitura desativadoL
Captulo 8 'e()i*o( 'AM+A - 69 '. 4o per#ite visuali;ao por outros usu*rios. Hste=a atento a confgura-.o de com"artil amentos e suas o"-?es comunsP
1+) "or ultimo/ iremos criar os "er's 6)veis/ que arma2enar(o as con'gura 3es do usurio: [Profiles] 8 comment = Perfis Moveis 9 path = /srv/samba/profiles 10 read only = No 11 guest ok = Yes 12 browseable = No
7
1. Co#partil%a#ento 2roflesL 2. Co#ent*rioL 3. 1ocali;ao do co#partil%a#entoM no servidorL ". -o#ente leitura desativadoL $. :abilitando perfl #vel para usu*rio convidadoL '. 4o per#ite visuali;ao por outros usu*rios.
Kom essas confgura-?es/ o 1@AG@ estC "ronto "ara atuar como controlador de dom8nios/ "or0m/ serC necessCrio cadastrar os usuCrios e com"utadores Qindows no samba/ criar as contas de usuCrios e acertar as "ermiss?es dos usuCrios tamb0m. :amos ver isso na "r+xima se-.o.
18)
0amos manter o @om&artil%amento "Bblico aberto &ara todos:
[Publico] path = /srv/samba/publico browseable = yes writeable = yes public = yes
Captulo 8 'e()i*o( 'AM+A - 70 ,.5. !adastrando usu+rios no 5-!
2ara <ue nossos usu*rios possa# AindoEs possa# e6etuar lo in no do#nioM K necess*rio <ue tanto o %ost <uanto o usu*rio esteja# cadastrados na conta nor#al do co#putador e ta#bK# na conta -A3>A. 5a#os conf urar isto. 1) 5 usurio root 7 quem &oder adicionar uma mquina a um domDnio samba: # smbpasswd -a root
2) Antes de &rosseguirmos/ 7 necessrio criar os diret)rios: # mkdir /srv/samba/profiles # mkdir /srv/samba/homes
.) E alterar suas &ermiss3es: # chmod 775 /srv/samba/profiles # chmod 775 /srv/samba/homes # chown root:users /srv/samba/profiles
+) Lamb7m &recisamos criar o usurio que ir autenticar*se no SA6UA: # useradd -c "Seu Nome Completo" -m -d /srv/samba/homes/microx -g users -s /bin/false microx
8) Atribuir a sen%a &ara o novo usurio: # smbpasswd -a microx
Captulo 8 'e()i*o( 'AM+A - 71 9) E cadastrar a mquina que entrar no domDnio: # useradd -c "HOSTNAME" -d /dev/null -s /bin/false hostname$
>i7ue atento com a <*,/ ele "ode cobrar os nomes dos modulo de autentica-.o do samba: /etc/"am.d/common-aut aut re7uired /lib/security/"amMwinbind.so account re7uired /lib/security/"amMwinbind.so
,.'. 1xerc2cios 3ericos
1P O 6a;e# os servios n#bd e s#bdU ???????????????????????????????????????????????????????????????????????????????? ???????????????????????????????????????????????????????????????????????????????? 2P O <ue K u# )oa#in 2rofle e <uais as suas vanta ensU ???????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????
,.). Laboratrio
1. I#ple#ente u# co#partil%a#ento pNblicoL 2. I#ple#ente o -a#ba co# 2+C.
Captulo 9
o,ain &a,e '-ste, - 72
Captulo ) Do*ain "a*e #+ste*
..1. Objetivos .ntender sobre resoluo de no#esL )eali;ar consultas +4-L Conf urar u#a ;ona de do#nio +4-L Conf urar u#a ;ona reversa de do#nio +4-.
..2. Introduo terica 4o fnal dos anos (&M a introduo do protocolo 0C2@I2 e conse<eente#ente a r*pida e/panso da A)2Anet tornou obsoleto o siste#a de atuali;ao #anual e centrali;ado do ar<uivo :O-0-.0G0M <ue contin%a u#a tabela associando todas in6or#a8es sobre os %osts da A)2AnetM incluindo seus endereos. .ra si#ples #antQ=lo para poucas centenas de #*<uinasM #as tornou=se i#pratic*vel para #il%ares e #il%ares <ue se conectava# a rede e# u# processo e/ponencial de cresci#ento. +iante desse proble#aM a direo da A)2Anet contratou pes<uisadores para desenvolver u#a soluo <ue atendesse [s se uintes especifca8es7 2er#itir ad#inistrao local e ao #es#o te#po publicao lobalL Darantir univocidade do no#e do %osts atravKs de u#a distribuio %ier*r<uica de do#nios.
Captulo 9
.# 1!8" 6oi liberado o +o#ain 4a#e -?ste#M descritos nas ),CCs 882 e 883. Atual#ente estas ),CCs 6ora# suplantadas pelas de nN#eros 1&3" e 1&3$M alK# de ),CCs suple#entares de se uranaM ad#inistraoM atuali;ao dinT#ica de servidores de no#eM e #uitas outras.
*.2.1. Caractersticas
>anco de dados %ier*r<uico e distribudo representado no 6or#ato de u#a *rvore invertida e 12( nveisL
4a#espace de atK '3 caracteresL Y capa; de associar outras in6or#a8es a u# %ost e no s seus endereos I2CsL Ar<uitetura cliente@servidorL Os clientes so c%a#ados resolversM e costu#a# ser bibliotecas do siste#a operacional Olibresolv no linu/P co#partil%adas entre os #ais diversos pro ra#asM co#o o pin ou o nave ador EebL
+o outro lado esto os servidores de no#e +4- O+4- na#eserverPL A rai; da *rvore te# no#e nulo ou ]]M por isso a representa#os si#ples#ente co#o ponto O.PL
Os ns abai/o do do#nio rai; so c%a#ados do#nios de nvel #ais elevado Otop level do#ainsPL
-ua <uantidade e no#es so i#postos pela ICA44 OInternet Corporation 6or
Captulo 9 Assi ned 4a#es and 4u#bersPL .les so divididos e# co# duas letrasL
01+ e cc01+M onde te#os respetiva#ente o do#nios
enKricos co#M eduM ovM #ilM etcL e os cdi os de pases Ocountr?=codePM se#pre
A ICA44 dele aM de acordo co# tratados internacionaisM a responsabilidade pela ad#inistrao de u# cc01+L
4o caso do >rasilM essa responsabilidade pertence atual#ente ao CDI.brM #ais especifca#ente ao ).DI-0)O.brL
9#a ve; dele ado u# do#nioM sua nova autoridade pode dele ar subdo#nios se# necessitar notifcar a entidade respons*vel pelo do#nio paiL
9# subdo#nio est* para u# subdiretrio assi# co#o u# do#nio est* para u# diretrioM e u# %ost est* para u# ar<uivoL ,inal#enteM vale a pena #encionar <ue o ar<uivo :O-0-.0G0 6oi portado para
a#biente 9ni/ Oe posterior#ente 1inu/P co#o @etc@%osts. .ste ar<uivo K nor#al#ente o pri#eiro a ser consultado pelo resolvedorM <ue ir* buscar por u# servidor de no#es apenas e# caso de o %ost no ser encontrado no ar<uivo @etc@%osts.
.. . *eso$uo -oluo +4- K o processo pelo <ual u# pro ra#a consulta dados a respeito de u# %ostna#e. 4a rande #aioria das ve;esM consulta=se o endereo I2 deste %ostM para ento e6etuar al u# tipo de cone/o [ al u# servioM co#o :002 M -302. 2O2M dentre inN#eros outros. O processo de resoluoM a partir do pri#eiro na#eserver consultadoM pode ser7 recursiva iterativa
Captulo 9 *.3.1. Reso)u"#o Recursiva
0o#ando u# nave ador Eeb co#o e/e#ploM a resoluo para acesso a u# Eebsite te# as se uintes etapas7 1. 9su*rio solicita acesso a EEE.e/e#plo.co#.brL 2. 4ave ador c%eca se j* con%ece o endereo I2 do %ostna#e solicitado Ocac%e do broEserPL 3. -e no con%eceM o nave ador passa a solicitao para a biblioteca de resoluo OresolverPL
Captulo 9
". O resolver procura o %ostna#e solicitado no ar<uivo @etc@%osts localL $. -e no encontrarM ele c%eca o ar<uivo @etc@resolv.con6 para saber a <uais na#eservers deve solicitar a in6or#aoL '. O resolver repassa a solicitao ao pri#eiro na#eserver da listaM e lo o aps para o pr/i#o atK o f# da listaM a uardando por u#a resposta de <ual<uer u# delesL (. O servidor de no#es acionado consulta seu cac%eM se %ouverL 8. -e no encontrar e# seu cac%eM o servidor e# <uesto vai direta#ente ao servidor rai; e trans6ere a consulta OEEE.e/e#plo.co#.brUPL !. O servidor rai; no 6a; cac%eM e ta#bK# no K autoridade sobre ;onas de bai/o nvelM ento ele apenas responde u#a parte da <uesto7 ]4o sei <ue# KM #as sei <ue# pode responder #el%or7 br.]L 1&. O servidor de no#es reenvia a consulta para o servidor .br.
OEEE.e/e#plo.co#.brUPL 11. .br retorna o #es#o tipo de respostaM porK# co#o u#a dica #ais
pr/i#a7 ]4o sei <ue# KM #as sei <ue# pode responder #el%or7 co#.br.]L 12. 2asso 1& e 11 so e6etuados #ais u#a ve;M e a ora a resposta K ]4o sei
<ue# KM #as sei <ue# pode responder #el%or7 e/e#plo.co#.br.]L 13. Aps repetir o passo 1&M fnal#ente a resposta ser* da autoridade sobre o
do#nio e/e#plo.co#.br. 5ai ser respondido o I2M junta#ente ao 001 do re istroM ou ser* respondido ]ine/istente]L 1". O servidor de no#es 6ar* cac%e da respostaM ao #es#o te#po <ue a
repassa para o resolvedor ori inalL 1$. 1'. O resolvedor repassa a resposta para o nave adorL & nave ador inicia u#a cone/o :002 co# o I2 descoberto. Konceitos de DE1 e a confgura-.o do DE1 em <inux utili9ando Gind$/ s.o cobrados na *rova do <*, %!# 3 "eso%.
Captulo 9 *.3.2. Reso)u"#o Iterativa
.n<uanto o servidor cac%e do e/e#plo aci#a e/ecuta u# processo recursivo de consultas sucessivas descendo a *rvore atK a autoridade capa; de responder defnitiva#ente ao <uestiona#ento apresentadoM os servidores ].]M ]br.]M ]co#.br.]M apenas in6or#a# <ue con%ece# al uK# #ais preciso <ue eles. .ssa K u#a consulta iterativa. IteraoM nesse casoM si nifca ]apontar para o #ais pr/i#o con%ecido].
..4. 6r>uivo ?etc?&osts +erivado do ar<uivo :O-0-.0G0 ori inalM a<uele <ue era atuali;ado e distribudo antes do sur i#ento do +o#ain 4a#e -?ste#M o ar<uivo @etc@%osts continua tendo u# papel #uito i#portante no processo de resoluo. 4o passo a passo descrito anterior#enteM observe <ue ele K a pri#eira 6onte de consulta do resolver. .ste co#porta#ento pode ser #odifcado atravKs do ar<uivo @etc@nssEitc%M porK#M isso s seria 6eito e# u# cen*rio #uito particular. 2ode#os considerar <ue <uase a totalidade dos siste#as \ni/ vo se uir a orde# de resoluo padro. -endo assi#M K bo# con%ecer a sinta/e desse ar<uivo7 Endereco_IP hostname_canonico [aliases...] 192.168.200.254 gateway.com.br gateway -o possveis u# endereo I2 por lin%aM se uido de u# endereo canbnico e opcional#ente aliases. O no#e de %ost canbnico pode ser <ual<uer no#e no 6or#ato +4-M porK#M e# al uns casosM co#o o de servidores de e=#ailsM K ade<uado <ue os I2s presentes nesta #*<uina ten%a# u# ,S+4 pertinente. ,ull=Sualifed +o#ain 4a#e K u# %ostna#e <ue identifca se# a#bi eidade a posio da<uele n dentro da *rvore +4-. 2or essa ra;oM u# ,S+4 deve ter#inar co# u# ].]M <ue representa a rai; da *rvore. O aliases pode# ser outros %ostna#es canbnicosM ou si#ples suf/osM para si#plifcar a escrita de deter#inados endereos. Aps a instalao do siste#aM o ar<uivo %osts costu#a conter u#a entrada re6erente ao I2 da inter6ace loopbacBM e u#a entrada para cada outra inter6ace presente na #*<uina para <ual u# endereo 6oi atribudo. 2or e/e#plo7
Captulo 9 127.0.0.1 localhost 192.168.1.23 micro23.microx.com.br. micro23
2ode ser acrescentadas <uantas entradas 6ore# necess*riasM inclusive para I2s e/ternos. Atual#enteM os siste#as baseados e# +ebian j* contK# entradas para enderea#ento I2v'M <ue se ue# a #es#a l ica.
..5. /erra%entas de consu$ta Caso ainda no esteja# presentesM va#os bai/ar instalar as 6erra#entas de pes<uisa. # a"titude install dnsutils nsloo4u&
A I-C di; literal#enteM no #anual de utili;ao do >I4+7 ]+evido a sua inter6ace #isteriosa e 6re<eente co#porta#ento inconsistenteM ns no reco#enda#os o uso do nslooBup. 9se# o di no lu ar dele]. 2orK#M o pacote K
#antido pela prpria I-C e# no#e da le io de ad#inistradores <ue se %abituara# a utili;ar o nslooBup co#o 6erra#enta de soluo de proble#as. +entre suas vanta ens est* o 6ato de ter u#a biblioteca de resoluo independente do siste#a OresolvedorPM e consultar u# servidor por ve;M dentre os listados no resolv.con6. 2ode dei/ar a consulta #ais lentaM #as torna a tria e# #ais control*vel.+entre os proble#as #ais crbnicos do nslooBup esto7 respostas con6usas e erros indefnidos. %ost O co#ando %ost K concebido para dar respostas objetivasM li#itando=se na #aioria dos casos a u#a s lin%a. 2orK#M repostas #ais detal%adas pode# ser obtidas co# a utili;ao de parT#etros. Ao contr*rio do di M o %ost consulta a searc% list do ar<uivo @etc@resolv.con6
Captulo 9 dig
O co#ando di te#poM a palavra di
K o acrbni#o para do#ain in6or#ation
roperM <ue si nifca
al o co#o ]a<uele <ue busca por in6or#a8es de do#nio no escuro]M e ao #es#o e# in lQs si nifca literal#ente ]escavar]. Ac%o <ue #encionar estas curiosidades de#onstra o es6oro de i#a inao dos criadores do di M e no [ toaM ele K o co#ando de pes<uisa #ais poderoso no pacote de utilit*rios >I4+. 4o di %* de;enas de op8es e incont*veis co#bina8es entre elasM por isso
consultar o #anM e sobretudoM ter u# 6orte do#nio do 6unciona#ento do siste#a de no#es de do#nio K necess*rio para do#in*=las. O di no utili;a a opo searc% do @etc@resolv.con6M por isso K necess*rio
utili;ar ,S+4 e# todas as buscas.
..'. 5r+tica diri#ida 2ara perceber as vanta ens e desvanta ens dos co#andos a se uirM e/ecute=os junta#ente co# o pro6essor e oua as suas e/plica8es. 1) 0amos come ar &or um nsloo4u& interativo: # nslookup
2) E-ibindo as con'gura 3es do nsloo4u&: > server > set all
.) Uuscando &or registros de endere os !"/ entrega de e*mails/ autoridade sobre o domDnio e dados adicionais: > www.uol.com.br. > set type=MX > gmail.com.
Captulo 9
+) E-ibir as informa 3es do registro do domDnio e S"F Gitem que eremos estudar a frente): > > > > set type=SOA uol.com.br. set type=TXT terra.com.br.
8) Agora vamos e-&erimentar o ob>etivo comando %ost: # host www # host -v www.4linux.com.br. # host -v -t mx 4linux.com.br # host -v -t soa 4linux.com.br # host -l -v -t any 4linux.com.br
9) E 'nalmente/ o VverborrgicoW comando dig: # dig www # dig www.4linux.com.br. # dig @200.204.0.138 www.4linux.com.br. # dig -t mx 4linux.com.br. # dig -t soa 4linux.com.br. # dig @192.168.0.254 exemplo.com.br axfr # dig -x 200.212.122.137 # dig +trace www.4linux.com.br.
Captulo 9 ..). @IN-.
O >I4+ O>erBele? Internet 4a#e +o#ainP K o servidor de no#es utili;ado na rande #aioria dos servidores da InternetM provendo u#a est*vel e robusta ar<uitetura sobre a <ual as or ani;a8es pode# construir sua estrutura de no#es.
1) "ara instalar o U!$#C no #ebian basta e-ecutar: # a"titude install bind$
ar<uivo
de
conf urao
do
>I4+!
c%a#a=se
na#ed.con6M
nas
distribui8es )ed :at e -use ele fca e/ata#ente no diretrio @etc. 4o +ebianM entretantoM este ar<uivo 6oi 6ra #entado e# trQs. O ar<uivo principal ainda c%a#a=se na#ed.con6 #as contK# apenas conf ura8es est*ticas. .le utili;a a cl*usula include para ane/ar os ar<uivos na#ed.con6.options e na#ed.con6.local. -endo <ue desses doisM o pri#eiro serve para personali;ar todas op8es re6erentes ao 6unciona#ento do prprio >I4+M en<uanto <ue o se undo serve para declarar todas as ;onas pelas <uais este servidor deve responder. # ls -lh /etc/bind O ar<uivo db.root O@var@na#ed@na#ed.ca no )ed:atP relaciona os endereos dos 13 servidores rai;M e K lido co#o ;ona %intM <ue ser* e/plicada adiante. 4 G,ED vai utili9ar a "orta 26/RD* "ara receber consultas/ a "orta 26/LK* "ara transferir 9onas "ara servidores escravos/ a "orta $26/LK* "ara receber comandos via rndc S7ue de"endem de c aves cri"tografadasT/ e "ortas ud" altas "odem ser dinamicamente atribu8das "ara efetuar consultas em outros servidores.
2) 0amos observar a recursividade e as &ortas envolvidas utili2ando o tc&dum&/ mas antes vamos veri'car as &ortas: # netstat -nltup
Captulo 9 .) Em um segundo terminal: # a"titude install tc"dum"
+) E-ecute o sniXer tc&dum& &ara veri'car os &acotes saindo de uma &orta alta at7 a &orta 8./ud&: # tcpdump -i eth0 -n port 53
8) $o terminal anterior: # dig @localhost -t any wikipedia.com 9) 5s logs do servi o U!$# ser(o lan ados/ &or &adr(o/ no arquivo /var/log/daemon.log: # tail /var/log/daemon.log
Eo Red Hat e 1use os eventos do servi-o ser.o logados diretamente no /var/log/messages.
..,. Servidor cac&e As bibliotecas do resolvedor da #aioria dos siste#as operacionais no so capa;es de e/ecutar o processo de resoluo co#pletoM c%a#ado recursivoM co#o vi#os aci#a. Ao invKs disso elas depende# de u# servidor inter#edi*rio co# essa capacidade. Suando nos conecta#os de casa direta#ente [ InternetM o servio +:C2 do provedor se encarre a de nos atribuir o endereo de seus servidores cac%e. Caso contr*rioM nosso resolver no teria a <ue# consultar e no conse uira#os nave ar. 4o entantoM #uitos ad#inistradores de rede utili;a# os I2s desses provedores para conf urar v*rias esta8es de trabal%o de u#a rede. O e6eito disto K <ue cada estao vai 6a;er suas prprias consultas individuaisM #ultiplicando o volu#e de
Captulo 9
dados tra6e ados atravKs do linB de InternetM desperdiando te#po e ocupando lar ura de banda. Suanto #aior a redeM pior o i#pacto. A alternativa para evitar estes proble#as K #anter u# servidor +4- cac%in onl?. -ervidores cac%e reserva# o resultado de suas buscas na #e#ria pelo te#po li#ite estabelecido pela autoridade sobre o do#nio consultado. +essa 6or#aM independente da <uantidade de #*<uinas da redeM as consultas sero 6eitas na Internet apenas u#a ve; a cada intervalo de atuali;ao.
1) $osso servidor U!$# rec7m instalado > est o&erando como servidor cac%e. "ara testar: # dig @localhost -t soa fsf.org
2) 5bserve os dados no roda&7 da consulta e re&ita o comando: # dig @localhost -t soa fsf.org Observe o <uer? ti#e no rodapK da sada do di .
.) "ara que a &artir de agora todas nossas a&lica 3es utili2em o &otencial de nosso servidor cac%e/ edite o arquivo /etc/resolv.conf e manten%a a&enas as lin%as a seguir: # vi /etc/resolv.conf
nameserver 127.0.0.1
Captulo 9 .... *estrin#indo consu$tas
9# cuidado #uito i#portante <ue deve#os to#ar co# servidores cac%e K li#itar <ue# est* autori;ado a utili;ar esse servio. 2or padroM o nosso >I4+ est* liberado para acesso pNblicoM ou sejaM se %ouver u#a inter6ace conectada direta#ente a InternetM <ual<uer outro co#putador no #undo pode #andar nosso servidor procurar u# deter#inado endereo. ,ica#os vulner*veis a abusos.
1) E-&erimente fa2er uma consulta atrav7s do servidor do seu colega: # dig @192.168.200.x -t txt uol.com.br
2) "ara evitar este com&ortamento/ edite o arquivo /etc/bind/named.conf.o&tions e acrescente a seguinte declara (o: # vi /etc/bind/named.conf.options
allow-query { 127.0.0.1; 192.168.200.x; };
.) "ara carregar as modi'ca 3es no Uind e-ecute: # /etc/init.d/bind9 reload +essa 6or#aM nosso servidor s responder* para consultas ori inadas local#ente. *ara carregar as modifca-?es nos ar7uivos confs do Gind: # rndc reconfg
+) 1e&ita a e-&eriOncia com o colega: # dig @192.168.200.x -t txt uol.com.br Y possvel ser ainda #ais econb#ico e# ter#os de banda se ao invKs de e/ecutar u#a busca recursiva a cada nova consultaM enca#in%ar a consulta para o
Captulo 9 servidor disponibili;ado pelo provedor.
8) !sso &ode ser feito acrescentando ao named.conf.o&tions a clusula for<arders com o i& do &rovedor: # vi /etc/bind/named.conf.options
forwarders {200.176.2.10; }; 4nde ,*MD4M*R4:HD4R 0 um servidor DE1 ca"a9 de fa9er consultas recursivas.
..10. Servidor de Aonas Cada do#nio na Internet te# sua autoridadeM <ue nada #ais K do <ue u# servidor onde as in6or#a8es da<uele do#nio so criadasM #antidas ou alteradas. 3as co#o u# do#nio pode se sub=dividir e# inN#eros outros do#niosM sur e u# outro conceito7 fonas. 9#a ;ona K o conjunto dos %osts de u# do#nio sobre o <ual se #antK# autoridade. 9#a ve; dele ado u# subdo#nio a outra autoridadeM os %osts desse do#nio pertence# a ;ona da<uela autoridadeM e no #ais a ;ona ori inal onde inicia=se o subdo#nio.
Captulo 9 *.1+.1. 'ipos de onas e Registros
.# relao as ;onasM o >I4+ pode operar de acordo co# ' tipos7 #asterM slaveM stubM %intM 6orEard e dele ation=onl?. master = O >I4+ vai responder co#o autoridade sobre a<uele do#nio. Os dados da ;ona sero criadosM publicados e ad#inistrados a partir dele. slave = O >I4+ ta#bK# vai responder por esse do#nioM #as nen%u#a criao ou alterao respectiva a essa ;ona ser* 6eita local#ente neste servidor. Os dados sero se#pre trans6eridos de u# servidor #aster. stub = .ste tipo de ;ona no K previsto e# nen%u#a ),C e 6oi i#ple#entado apenas no bind. Asse#el%a=se a u#a ;ona slave #as replica do #aster apenas os re istros do tipo 4-. .# desuso. %int = .specfca para o >I4+ onde ele deve co#ear u#a busca recursiva <uando estiver operando co#o cac%e. 2or padroM %* u#a ;ona %int criada co# os endereos dos root servers. for<ard = -erve para orientar o >I4+ a enca#in%ar a consulta sobre u#a deter#inada ;ona para outro servidor e# especial. O enca#in%a#ento de consultas ta#bK# pode ser especifcado de #aneira na#ed.con6.options. delegation*onlA = 2ara evitar abusos de al u#as autoridades sobre do#nios de pri#eiro nvel OCO3M 4.0M O)DPM o >I4+ #antK# o tipo de ;ona ]dele ao apenas]. Sual<uer resposta <ue no ten%a u#a dele ao e/plcita ou i#plicita na seo autoridade ser* trans6or#ada e# u#a resposta 4G+O3AI4. 5a#os conf urar nossa prpria ;ona +4- <ue vai se c%a#ar #icro/.co#.br. 2ode ser <ue na Internet j* e/ista u# do#nio co# este no#eM #as isso no i#porta por<ue nossas consultas fcaro li#itadas ao laboratrio. As ;onas deve# ser declaradas no ar<uivo na#ed.con6.local. 9#a ;ona #estre precisaM no #ni#o do no#e do do#nioM tipo de ;ona e o ca#in%o para o banco de dados de re istros. Suando apenas o no#e do ar<uivo K citadoM o servidor >I4+ vai procur*=lo no diretrio defnido na opo director?M do ar<uivo na#ed.con6.options. lobal no ar<uivo
Captulo 9 Isso si nifca <ueM por padroM o ca#in%o
o,ain &a,e '-ste, - 87 corresponderia a
co#pleto
@var@cac%e@bind@db.#icro/ O conteNdo do banco de dados da ;ona <ue 6oi declarada ser* principal#ente u#a sKrie de re istros de recursos Oresources recordsPM ou si#ples#enteM re istros. 4o entanto trQs diretivas so suportadas7 g001L gO)IDI4L gI4C19+.. 3as co# e/ceo do g001M so rara#ente utili;adas. Rm registro tem o seguinte formato: dono ULL<V UclasseV ti"o dados.
dono = Y o no#e do re istro. Suando substitudo por u#a hM o dono K o prprio do#nio. Caso o dono f<ue e# brancoM o >I4+ assu#e o no#e do re istro i#ediata#ente superior.
LL, = 9# valor e# se undo para a per#anQncia dos dados deste re istro no cac%e de u# servidor. )ara#ente utili;ado.
classe = 2ode# ser C:M :- ou I4. O padro K I4M de InternetM e no precisa ser declarada.
ti&o = 4o #o#ento e/iste# #ais de 3& tipos de re istroM dentre os <uais vere#os -OAM 4-M 3GM AM C4A3.M 0G0 e 20).
dados = +i6erentes tipos de dados so defnidos para di6erentes tipos de re istros. 2ara u# re istro tipo A te#os u# endereo I2 por e/e#plo. )ecente#enteM re istros do tipo 0G0 te# sido usados para au#entar o
controle contra spa#s. -o criados de acordo co# o 6or#ato defnido pelo projeto -ender 2olic? ,ra#eEorBM ou si#ples#ente -2,.
Captulo 9
O S"F di; <uais servidores pode# .45IA) e=#ails e# no#e do seu do#nio. O objetivo K evitar <ue seu do#nio seja usado para 6orjar re#etentes 6alsos. Drandes provedores j* adotara# o -2,M e cada ve; #ais outros do#nios ve# se uindo a #es#a pr*tica. 0ende a tornar=se u#a i#posio. 3uito #ais anti o <ue o -2,M e por conse<uQnciaM u#a i#posio natural do ecossiste#a de e=#ailsM K arantir <ue o I2 do registro 6N ten%a endereo reverso. .sta K u#a 6or#a de c%ecar se o e=#ail partiu de u# usu*rio do#Kstico cujo co#putador est* sendo usado co#o ;u#biM por e/e#plo. 4or#al#enteM conf urar o enderea#ento reverso no depende do
ad#inistrador do do#nioM e si# do provedor do linB. 2orK#M K possvel re<uisitar autoridade sobre o bloco de I2s destinado [<uele linB. 5ai depender do provedor. 3as co#o e# nosso caso esta#os utili;ando apenas endereos privadosM va#os assu#ir a autoridade sobre todo o bloco 1!2.1'8.2&&@2".
..11. !on"#urao do Servidor @ind. A ora ire#os conf urar o bind!M le#brando <ue esta#os 6a;endo u# teste internoM restrin indo as consultas apenas para local%ostM certif<ue=se dentro do ar<uivo @etc@resolv.con6 e dentro do ar<uivo @etc@%osts esto corretosM e6etue teste co# o co#ando pin . Ire#os prosse uir co# a conf urao.
1) Acrescente as lin%as abai-o ao arquivo named.conf.local: # vi /etc/bind/named.conf.local
zone "microx.com.br" { type master; file "db.microx"; }; zone "200.168.192.in-addr.arpa" { type master; file "rev.microx";
Captulo 9 };
A ora <ue j* declara#os as duas ;onas pelas <uais nos tornare#os autoridade. 5a#os preenc%er o banco de dados de re istros.
2) @riaremos o banco de dados de servidores #$S/ e*mail/ <eb e ft&: # vi /var/cache/bind/db.microx
registros
de
#$S/
teremos
$TTL 1h ; TTL default para todos os registros que no tiverem seu prprio TTL. 2 @ IN SOAns1.microx.com.br. hostmaster.microx.com.br. ( 3 2009090901 ; serial 4 1h ; refresh 5 15m ; retry 6 1w ; expire 7 1h) ; negative caching TTL 8 ; 9 ; 10 @ IN NS ns1.microx.com.br. 11 @ IN MX 10 mail.microx.com.br. 12 ns1 IN A 192.168.200.X 13 mail IN A 192.168.200.X 14 pop IN CNAME mail 15 smtp IN CNAME mail 16 www IN A 192.168.200.X 17 ftp IN CNAME www 18 @ IN A 192.168.200.X 19 @ IN TXT "v=spf1 a mx ip4:192.168.200.0/24 -all"
1
1obre o registro 14@/ v.o algumas ex"lica-?es: serial = Y a re6erQncia para os slaves sabere# se a ;ona so6reu altera8esL refres% = 0e#po <ue o servidor secund*rio vai a uardar atK c%ecar se %* atuali;a8es no servidor pri#*rioL
Captulo 9
retrA = .# caso de 6al%a do re6res%M o te#po atK a pr/i#a verifcaoL e-&ire = O te#po <ue o secund*rio a uardar* o pri#*rio voltarM se es otarM o secund*rio para de responder por essa ;onaL
negative cac%ing LL, = -e a ;ona e/pirarM esse ser* o te#po pelo <ual u# servidor cac%e ar#a;enar* a in6or#ao 4G+O3AI4 antes de iniciar u#a nova busca recursiva. O #*/i#o so 3 %oras.
@gora sobre o registro LWL: a = Sual<uer re istro A desse do#nioL m- = O servidor de e=#ailL 1C2.19;.2EE/2+ = Sual<uer %ost da rede 1!2.1'8.2&&.&@2"M <ual<uer outra ori e#M descarte.
.) Agora iremos con'gurar a 2ona reversa/ &ara com&letar nosso registro 6N: # vi /var/cache/bind/rev.microx
$TTL 1h ; TTL default para todos os registros que no tiverem seu prprio TTL. 2 @ IN SOAns1.microx.com.br. hostmaster.microx.com.br. ( 3 2009090901 ; serial 4 1h ; refresh 5 15m ; retry 6 1w ; expire 7 1h) ; negative caching TTL 8 ; 9 ; 10 @ IN NS ns1.microx.com.br. 11 X IN PTR mail.microx.com.br.
1
Captulo 9
Hstamos "rontos "ara a"licar nossas confgura-?es. Aas "ara observar se deu tudo certo ou n.o/ num segundo terminal inicie o comando: # tail -f /var/log/daemon.log
+) 0oltando ao terminal anterior: # /etc/init.d/bind9 restart 5erif<ue no se undo ter#inal se o lo no acusa nen%u# proble#a.
8) Se o servi o levantou sem erros/ teste a resolu (o do seu domDnio: # # # # ping www.microx.com.br dig -t mx microx.com.br dig -x 192.168.200.x dig @localhost www.kernel.org
*ara registrarmos um dom8nio "Bblico/ "recisamos de "elo menos dois servidores DE1 res"ondendo "elo nosso dom8nio. ,sso signifca um servidor mestre e "elo menos um servidor escravo. @ exig;ncia 0 uma forma de garantir 7ue seu dom8nio estarC sem"re dis"on8vel. 1e um servidor "arar/ o outro continua res"ondendo.
-e os servidores estivere# e#
eo rafca#ente separadosM isso
arante ainda
#ais disponibilidadeM pois #es#o <ue u# linB caiaM o outro certa#ente ainda estar* disponvel. 1o oM nossa aula de >I4+ no estaria co#pleta antes de conf urar u# servidor escravo. 4a verdadeM u# #es#o servidor rodando >I4+ pode ser si#ultanea#ente #estre para al uns do#niosM escravo para outrosM e cac%e para todo o resto.
Captulo 9
9) Sendo assim/ cada um de n)s vai se tornar escravo do colega a esquerda. # vi /etc/bind/named.conf.local Acrescente a ;ona <ue para <ual vocQ ser* escravo7 zone "nomedocolega.com.br" { 2 type slave; 3 masters { 192.168.200.x; }; 4 file "sec.nomedocolega"; 5 };
1
:) Ative a con'gura (o: # /etc/init.d/bind9 reload
;) 5bserve nos logs se a 2ona foi transferida. Em caso &ositivo/ ve>a o conteBdo do arquivo criado: # cat /var/cache/bind/sec.nomedocolega A ora responda7 -e vocQ conse uiu bai/ar a ;ona do seu cole aM <ue# #ais conse uiriaU
*ara evitar abusos "odemos adicionar ao ar7uivo /etc/bind/named.conf.o"tions Sconfgura-.o globalT:
C) Ent(o &ara validar as a 3es de seguran a/ editamos: # vim /etc/bind/named.conf.options
allow-transfer { none; };
Captulo 9
1E) Ficamos &rotegidos contra en-eridos/ mas agora &recisamos autori2ar nossos escravos acrescentando: # vim /etc/bind/named.conf.options
Onde G K o I2 do cole a. 4o dia=a=dia do ser* do outro servidor. allow-transfer { 192.168.200.x; 192.168.200.X;}; 5a#os aproveitar e tornar #ais r*pida a atuali;aoM enviando u#a notifcao se#pre <ue f;er#os u#a #udana na ;onaM ao invKs de esperar o re6res% dos nossos escravos.
11)
Uasta acrescentar em cada 2ona/ dentro do
/etc/bind/named.con.local: also-notify { 192.168.200.x; };
..12. 1xerc2cios tericos
1P O <ue K +4- reverso e <ual sua i#portTnciaU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Co#o per#itir apenas trans6erQncia de ;onas para o I2 1!2.1'8.2&&.1&&U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
Captulo 9
3P Co#o per#itir consultas recursivas apenas para a nossa redeU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV "P O <ue K -2,M e <ual sua relao co# o -ervidor +4-U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
..1 . Laboratrio 1. Criar cria u#a vieE e/clusiva da ;ona #icro/.co#.br para consultas da rede 1&.&.&.&@2"L
Captulo 10 Apac.e - 95
Captulo 1, Apac-e
10.1. Objetivos .ntender a conf urao b*sica do apac%e2L :abilitar a lin ua e# 2:2$ no apac%e2L Conf urar do#nios virtuaisL :abilitar suporte a --1.
10.2. Introduo terica O Aeb -erver Apac%e K u# es6oro co#unit*rio 6eito por desenvolvedores ao redor do #undoM no <ual o objetivo consiste e# desenvolver u# Aeb -erver de cdi o 6onte abertoM est*vel e se uro. .# 1!!'M tornou=se u# dos Aeb -ervers #ais populares no #undoM eM desde entoM #antK# sua posio co#o o servidor Eeb co# a #aior base instalada no #undo. -e undo u#a pes<uisa 6eita pelo site 4etCra6tM o Apac%e est* servindo e# #KdiaM $&d dos sites pes<uisados. Isso s 6oi possvel <ualidadesM das <uais al u#as sero listadas na lista abai/o7 Y so6tEare livreM podendo ser #odifcado e adptadoL -uporta v*rias lin ua ensM co#o 2:2 M 2?t%onM )ub?M 2erlM inclusive A-2 .4.0L 3ulti plata6or#aL raas a u#a sKrie de
Captulo 10 Apac.e - 96 2ossu suporte a v*rias 6uncionalidades providas por #dulosL 2ode trabal%ar co# #ulti t%reads ou #ulti processos.
10. . 454 Borker e 454 5re/ork
+e acordo co# a docu#entao ofcial do projeto Apac%e#p#M K possvel escol%er entre al u#as conf ura8es <ue ajuda# a oti#i;ar a per6or#ance ou #anter a co#patibilidade co# aplica8es anti asM por e/e#plo. 5a#os enteder as particularidades do #odo 2re,orB e AorBer.
1+.3.1. ,P, Pre &or-
4este #odoM o Apac%e trabal%ar* co# a i#ple#entao de #ulti processosM de acordo co# a estrutura cl*ssica de u# processo de 9ni/M si#ilar a verso 1.3 do Aeb server e# <uesto. Assi# sendoM u# Nnico processo ser* respons*vel por e/ecutar novos processos <ue sero utili;ados para a uardar novas cone/8es e responder as re<uisi8es e/istentes. .ste #odo K ideal para <ue# precisa #anter co#patibilidade co# aplica8es e bibliotecas <ue no suporta# o o #odo t%read.
1+.3.2. ,P, .or-er
4o #odo 323 AorBerM o Apac%e trabal%ar* co# u#a i#ple#entao #ista de processos e t%readsM o <ue possibilita atenteder #ais cone/8es si#ultaneas co# u# custo #enor de %ardEareM j* <ue t%readsM por defnioM so #ais velo;es <ue processos. 4este #odoM o apac%e #antK# u#a sKrie de t%reads ociosasM 6a;endo co# <ue
Captulo 10 Apac.e - 97 novas cone/8es seja# processadas e respondidas de u#a #aneira #ais r*pida do <ue no #odo 2re ,orB. In6eli;#enteM ne# toda aplicao se d* be# co# t%readsM co#o o 2:2$M por e/e#plo.
10.4. 5r+tica diri#ida
1+./.1. Insta)a"#o do Apac0e 2
1) 0amos instalar o A&ac%e 2: # aptitude install apache2
4 @"ac e% no Debian 0 dividido em uma s0rie de ar7uivos e diret+rios. :amos con ecer estes ar7uivos e suas res"ectivas fun-?es: /etc/a"ac e%/a"ac e%.conf - @r7uivo de confgura-.o "rinci"alX /etc/a"ac e%/modules.conf - @r7uivo de confgura-.o de m+dulosX /etc/a"ac e%/"orts.conf- @r7uivo de confgura-.o de "ortasX /etc/a"ac e%/sites-available - Konfgura-.o de sites dis"on8veisX /etc/a"ac e%/mods-available - Aodulos abilitadosX
2)
Abra o arquivo de con'gur (o &ara que &ossamos visuali2ar as &rinci&ais o& 3es de con'gura (o do A&ac%e:
#vim /etc/apache2/apache2.conf A vari*vel -erver)oot defne aonde o Apac%e deve procurar por seus ar<uivos de conf urao. 4o e/e#plo abai/oM os ar<uivos de conf urao sero procurados e# @etc@apac%e27 ServerRoot /etc/apache2 c* a variavel +ocu#ent)oot di; ao Apac%e aonde procurar os sites <ue deve
Captulo 10 Apac.e - 98 ser apresentados aos usu*rios. 4o e/#eploM os sites sero ar#a;enados e# @var@EEE7 DocumentRoot /var/www O usu*rio e rupo <ue e/ecuta o apac%e so defnidos pelas vari*veis abai/o7 User $APACHE_RUN_USERS Group $APACHE_RUN_GROUP Caso seja encontrado al u# erro durante o 6unciona#ento do Apac%eM o #es#o ser* re istrado de acordo co# o desi inos da vari*vel .rror1o M co#o no e/e#plo abai/o7 ErrorLog /var/log/apache2/error.log .M ainda 6alando e# lo sM o Apac%e suporta a declarao de re istros personli;ados atravKs do uso da vari*vel 1o ,or#at7 LogFormat "%h %l %u %t \"%r\" %>s %b \"%Refereri\" \"%User-Agenti\"" combined
.) 5s logs/ &or &adr(o/ ser(o arma2enados no formato IcombinedI/ dentro do diret)rio /var/log/a&ac%e2/access.log/ e o formato IcombinedI far o registro dos seguintes itens: Y% = :ostna#e ou endereo I2 do visitanteL Yl = :6enL Yu = 4o#e de usu*rioM caso e/istaL Yt = :or*rio de acessoL Yr = )e<uisio solicitadaL YZs = O resultado da solicitao L Yb = O ta#an%o e# b?tes da respostaL 1efereri = O site anterior a visitaM se in6or#adoL
Captulo 10 Apac.e - 99 Qser*Agenti = O nave ador do visitanteM se in6or#ado.
@ "rova "ode "erguntar sobre as variaveis Hrror<og/ Kustom<og/ 1erverRoot e DocumentRoot.
10.5. 6justes do %du$o Borker e 5re/ork
Ainda dentro do ar<uivo de conf urao do apac%eM e/iste# ajustes de per6or#ance para os #dulos 323 AorBer e 323 2re6orB. 2or padroM o apac%e ve# conf urado para trabal%ar e# 323 AorBerM entoM va#os entender suas conf ura8es7
1 2 3 4 5 6
StartServers 2 MaxClients 150 MinSpareThreads25 MaxSpareThreads75 ThreadsPerChild25 MaxRequestsPerChild0 A variavel StartServers conf ura o nN#ero inicial de servidoresL A vari*vel 6a-@lientsM o nN#ero #*/i#o de cone/8es si#ultaneasL A vari*vel 6inS&areL%readsM conf ura o valor #ni#o de t%reads e# esperaL A vari*vel 6a-S&areL%readsM conf ura o valor #*/i#o de t%reads e# esperaL . a var*vel 6a-1equest"er@%ildM conf ura o valor #*/i#o por processo. O #dulo 2re,orB ta#bK# possui ajustes si#ilares ao #dulo AorBer7

1 2 3 4 5
StartServers 5 MinSpareServers 5 MaxSpareServers10 MaxClients 150 MaxRequestsPerChild0 A variavel StartServers conf ura o nN#ero inicial de servidoresL A vari*vel 6inS&areServerM conf ura o valor #ni#o de processos e# esperaL A vari*vel 6a-S&areL%readsM conf ura o valor #*/i#o de processo e# esperaL A vari*vel 6a-@lientsM o nN#ero #*/i#o de cone/8es si#ultaneasL . a var*vel 6a-1equest"er@%ildM conf ura o valor #*/i#o por processo.
10.'. Se#urana +entro do ar<uivo securit?M va#os colocar as re ras de se urana7 # cd /etc/apache2
# vim conf.d/security As vari*veis abai/o ajuda# a difcultar o processo de descoberta da verso do servidor e siste#a operacional7 ServerSignature Off ServerTokens Prod TraceEnable Off
Captulo 10 Apac.e - 101 Aps e6etuar os ajustesM se necess*rioM reinicie o servidor apac%e7 invoke-rc.d apache2 restart
10.). Su(orte a 5<5
A lin ua e# de pro ra#ao 2:2 K u#a das #ais populares entre os desenvolvedores Aeb. 3uitas 6erra#entas de blo sM Aeb-ites e ta#bK# 6erra#entas Eeb para ad#inistrao de servios e servidoresM co#o o 2%p1dapAd#inM necessita# ter o 2:2$ conf urado co#o prK re<uisito para instalao.
1) !nstalando o su&orte a "H"8: # aptitude install php5 libapache2-mod-php5
2) 0eri'que se os m)dulos do "H"8 est(o ativados: # ls -l /etc/apache2/mods-enabled # apache2ctl -M
.) 5 "H"8 7 ativado &or &adr(o durante a instala (o do m)dulo/ &or7m/ caso necessrio/ %abilite o su&orte manualmente: #a2enmod php5
Ea "lataforma Red Hat/ a abilita-.o de m+dulos 0 feita utili9ando o comando system-confg- tt".
Captulo 10 Apac.e - 102 +) 1einicie o A&ac%e: # /etc/init.d/apache2 restart
8) Lestando o "H"/ &ara testar/ crie um arquivo com o nome inde-.&%& no diret)rio /var/<<</ com o conteBdo a seguir e abra no seu bro<ser: # vim /var/www/index.php
<? phpinfo() ?> A oraM acesse sua p* ina A.> e verif<ue o resultado.
4 ar7uivo /etc/" "2/a"ac e%/" ".ini/ arma9ena as confgura-?es do funcionamento do " "2 com a"ac e%. @ fun-.o do ar7uivo e seu "at com"leto "odem ser cobrados na <*,. 4 @"ac e% e sua confgura-.o "rova %!% - "eso 6.
10.,. -o%2nios virtuais
9# +o#nio 5irtual K u#a 6uncionalidade <ue per#ite ao seu servido Aeb responder co# u# ou #ais sites e# u# #es#o I2M o <ue possibilita acessar servios e p* inas di6erentes e# u# #es#o servidorM apenas apontando a entrada +4correta nos ar<uivos de conf urao. Os do#nios virtuais deve# ser conf urados neste dois diretrios7 /etc/a&ac%e2/sites*available7 4este diretrio fca# todos os ar<uivos de conf urao dos do#nios virtuaisL
Captulo 10 Apac.e - 103 /etc/a&ac%e2/sites*enabled7 4este diretrio f ca# todos os do#nios
virtuais ativosM <ue na verdade so linBs si#blicos para os ar<uivos de conf urao locali;ados no diretrio citado anterior#ente.
1) 0amos criar um domDnio virtual: # vim /etc/apache2/sites-available/www.microx.com.br
1 2 3 4 5 6 7 8 9 10 11
# Host Virtual NameVirtualHostwww.microx.com.br <VirtualHost www.microx.com.br> DocumentRoot /var/www/microx.com.br ServerName microx.com.br ServerAdmin webmaster@microx.com.br ErrorLog /var/log/apache2/microx.com.br-error.log CustomLog /var/log/apache2/microx.com.br-access.log common </VirtualHost>
@ "rova de certifca-.o "ode cobrar o uso de "arametros como Hrror<og e sua fun-.o
2) @rie o diret)rio onde vai 'car %os&edado o domDnio virtual: # mkdir /var/www/microx.com.br
.) #entro do diret)rio rec7m criado/ crie um arquivo c%amado inde-.%tml: #vim /var/www/microx.com.br/index.html
<html>

2 3 4 5 6
<title> Minha pgina <title> <body> Funciona! :) </body> </html>
+) "ara testar a sinta-e de seu arquivo de 0irtual Host: # apache2ctl -S
8) Qtili2e o comando a2ensite &ara %abilitar o domDnio virtual rec7m criado: # a2ensite
9) 5 a&ac%e &ossui um comando &ara %abilitar o domDnio virtual sem a necessidade de criar os lin4s virtuais via lin%a de comando: # a2enmod www.microx.com.br
:) 1ecarregue as con'gura 3es sem reiniciar o a&ac%e: # invoke-rc.d apache2 reload A oraM no seu nave ador AebM acesse o site EEE.#icro/.co#.br e veja se o #es#o est* 6uncionando.
10... Su(orte a <335S O --1M ou -ecure -ocBets 1a?erM K u# padro Aeb <ue per#ite tra6e ar dados senveis e confdenciaisM co# se urana atravKs da internetM utili;ando o protocolo :002-. -endo assi#M K e/tre#a#ente i#portante <ue o ad#inistrador de redes conf ure o acesso --1 para sites <ue necessita# deste tipo de proteo.
Captulo 10 Apac.e - 105 1) 0eri'que se o m)dulo ssl est %abilitado/ e/ em caso negativo/ %abilite*o:
# a2enmod ssl O --1 trabal%a co# o conceito de certifcados pNblicosM entoM deve#os e6etuar os procedi#entos de criao do certifcado <ue ser* 6ornecido aos clientes.
2) Entre no diret)rio que ir arma2enar o certi'cado: # cd /etc/ssl
.) @rie a c%ave que ser usada &ara assinar o certi'cado: # openssl genrsa -out microX.key 1024
+)
@om a c%ave em m(os/ crie o certi'cado G'que atento as &erguntas):
# openssl req -new -key microX.key -out microX.csr +epois de criar o certifcadoM vocQ pode envi*=lo a u#a unidade certifcadoraM <ue o assinar* por u# valor anualM ouM caso vocQ #es#o pode assinar o certifcadoM le#brando <ueM neste casoM o cliente dir* <ue o certifcado no 6oi recon%ecido por u#a unidade certifcadora.
8) "ara envi*lo a uma unidade certi'cadora: # openssl x509 -req -days 365 -in microX.csr -signkey microX.key -out microX.crt
Captulo 10 Apac.e - 106 9) A&)s gerar o certi'cado/ con'gure seu domDnio 0irtual: NameVirtualHost *:443 2 <VirtualHost *:443> 3 DocumentRoot /var/www/microx.com.br 4 ServerName *:443 5 ServerAdmin webmaster@microx.com.br 6 ErrorLog /var/log/apache2/microx.com.br-error.log 7 CustomLog /var/log/apache2/microx.com.br-access.log common 8 SSLEngine on 9 SSLCertificateFile /etc/ssl/microX.crt 10 SSLCertificateKeyFile /etc/ssl/microX.key 11 </VirtualHost>
1 12
NameVirtualHost www.microx.com.br:80 14 <VirtualHost www.microx.com.br:80>

13
RewriteEngine On 16 Options +FollowSymlinks 17 rewriteCond %SERVER_PORT 80 18 rewriteRule ^(.*)$ https://www.microx.com.br/$1 [R,L] 19 </VirtualHost>
15
:) Ative o mod?re<rite &ara que/ toda ve2 que algu7m acessar seu site/ se>a automticamente redirecionado &ara o site com HLL"S ativado: #a2enmod rewrite
;) 1einicie o a&ac%e: #invoke-rc.d apache2 stop #invoke-rc.d apache2 start
C) Agora/ abra o navegador e efetue o teste no endere o: http://www.microx.com.br
Captulo 10 Apac.e - 107 10.10. 1xerc2cio terico
1P 5ocQ precisa alterar a porta de trabal%o do seu Apac%e para a porta 8&&&. Sual seria o procedi#entoU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Os usu*rios recla#a# <ue o site est* #uito lento na %ora de nave ar no servidor. -abendo <ue vocQ te# #e#ria sobrando na #*<uina e <ue o proble#a no K a redeM <ual atitude to#aria de i#ediatoU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 3P -eu supervisor pediu <ue vocQ #udasse o diretrio padro do Apac%e para o diretrio @sites. Suais procedi#entos deve# ser to#adosU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV ????????????????????????????????????????????????????????????????????????????????
10.11. Laboratrio 1. 3ude a p* ina de erro padro "&" para u#a #ensa e# personali;ada. +ICA7 9se os e/e#plos no prprio ar<uivoL 2. +escubra na docu#entao ofcial do apac%e o <ue 6a; o #odulo )eErite e co#o ele 6uncionaL 3. Crie u# do#nio virtual co# o seu sobreno#e.
Captulo 11 Post/i0 - 108
Captulo 11 Post./
11.1. Objetivos .ntender co#o 6unciona u# 30AL .ntender as 6un8es b*sicas de u# 30AL Instalar e conf urar o servidor 2ostf/.
11.2. Introduo terica 4a dKcada de (&M as pri#eiras #ensa ens era# enviadas pela A)2AnetM antecessora da atual Internet. A troca de #ensa ens era 6eita e# sua #aioria por estudantesM pes<uisadores e profssionais dos randes centros de pes<uisaM restrita a poucos usu*rios <ue tin%a# acesso a essa rede. As #ensa ens era# enviadas atravKs de u# protocolo se#el%ante ao atual -302 M <ue 6oi defnido apenas e# 1!82. O -end#ail era o servidor de correios #ais utili;ado na dKcada de !&M causando a#or e dio aos ad#inistradores de siste#a. Causava a#or a<ueles <ue tin%a# te#po de lerM estudar e co#preender o seu 6unciona#ento co#ple/o e c%eio de #acros. idio para a<ueles <ue precisava# apenas rotear suas #ensa ens e no %avia necessidade de perder %oras e #ais %oras tentando co#preender seu 6unciona#ento. A sua 6or#a #onoltica ta#bK# era u# rande ponto ne ativo. -endo apenas u# Nnico processo controlando todas as etapas de trans#isso de e#ailM o -end#ail apresentava inN#eras 6al%as de se uranaM de #aior risco <uando
Captulo 11 Post/i0 - 109 e/ecutado e# #odo root. 3uitos servidores era# invadidos por cracBers e natural#ente os ad#inistradores de siste#a procurava# alternativas. 4a Kpoca no e/istia #uitas alternativasM os ad#inistradores continuava# a utili;ar o -end#ail. .# 1!!8 as pri#eiras vers8es do 2ostf/ co#eara# a sur ir. Aietse 5ene#a K seu criador e possui inN#eros trabal%os relacionados [ se urana da in6or#ao. Aietse K pes<uisador da I>3 atK %oje. A pri#eira verso ofcial do 2ostf/M e# so6tEare livre 6oi lanada e# +e;e#bro de 1!!8.
11. . !aracter2sticas do 5ost"x Sistema multitarefa = O 2ostf/ possui u# conjunto de #dulos <ue dese#pen%a# u# papel especfco para cada etapa do tr*6e o de e=#ailsM este co#porta#ento per#ite #el%or dese#pen%o e# e<uipa#entos #ultiprocessados. Se&ara (o de &rivil7gios = O 2ostf/ K e/ecutado e# c%root <ue restrin e o acesso a ar<uivos internos a jaulaM separando assi# #uito de seus #dulos. 6odular = Y possvel criar #dulos para trabal%ar e# conjunto co# o 2ostf/M tornando=o 6acil#ente e/tensvel. @om&atibilidade = O 2ostf/ 6oi desenvolvido para suportar os 6or#atos de ar#a;ena#entos de #ensa ens e/istentes. Os ar<uivos de conf urao do 2ostf/M pode# ser encontrados no diretrio @etc@postf/M onde os seus principais ar<uivos so7 main.cf = Ar<uivo principal do 2ostf/ onde fca# todas as conf ura8es principais relacionadas ao 6unciona#ento do 2ostf/. master.cf = Y o ar<uivo <ue controla a ao de cada dae#on do 2ostf/M co# ele pode#os di;er <uantos processos s#tpd estaro e# e/ecuo. Caso ten%a#os u#a estrutura rande de #*<uinaM u#a ajuste nesses dae#ons sero be# co#pensadoras e# ter#os de per6or#ance.
Captulo 11 Post/i0 - 110 11.4. 5r+tica diri#ida
1) 0amos instalar o "ost'- via a&titude: # aptitude install postfix
Eo Debian/ 7uando instalarmos o *ostfx/ ele automaticamente remove o servidor "adr.o 7ue 0 o Hxim4.
2) 0e>amos o arquivo de con'gura (o main.cf: # vi /etc/postfix/main.cf
## Banner que ser mostrado nas conexes. importante mudar. 2 smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 3 biff = no 4 ## Modificar o domnio caso o MUA's no fizer corretamente, mas deixamos ativado, 5 ## pois isso trabalho do prprio MUA. 6 # appending .domain is the MUA's job. 7 append_dot_mydomain = no
1 8
## Tempo de aviso de mensagens de erro. 10 # Uncomment the next line to generate "delayed mail" warnings 11 #delay_warning_time = 4h
9 12
## Parmetros de criptografia. 14 # TLS parameters 15 smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem 16 smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key 17 smtpd_use_tls=yes 18 smtpd_tls_session_cache_database = btree:$ {queue_directory}/smtpd_scache 19 smtp_tls_session_cache_database = btree:$ {queue_directory}/smtp_scache
13
Captulo 11 Post/i0 - 111

20
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for 22 # information on enabling SSL in the smtp client.
21 23
## Nessa opo, precisamos colocar o hostname da mquina e o domnio que 25 ## conhecido como FQDN. 26 myhostname = mail.4linux.com.br
24 27
## Arquivos onde so configurados os alias de e-mails. 29 alias_maps = hash:/etc/aliases 30 alias_database = hash:/etc/aliases

28 31
## Define a origem local, que por padro o mesmo FQDN que est em /etc/mailname. 33 myorigin = /etc/mailname
32 34
## Domnios que o seu servidor pode receber mensagens. 36 mydestination = mail.4linux.com.br, localhost.4linux.com.br, , localhost
35 37
## Essa opo s usada se o seu servidor faz Relay para outros servidores 39 ## de e-mail. 40 relayhost =
38 41
## Nesse campo deveremos colocar apenas os IP's que podem realmente fazer relay 43 ## em seu servidor. 44 ## CUIDADO, se adicionarmos IP's ou classes demais, o servidor poder virar alvo 45 ## de spammers. 46 mynetworks = 127.0.0.0/8 192.168.200.0/24
42 47
## Padro de entrega das mensagens. Nesse caso usado o mbox. 49 mailbox_command = procmail -a "$EXTENSION"
48 50
## Tamanho mximo de caixa-postal para entrega local 52 mailbox_size_limit = 0

51 53 54
## Em alguns clientes, podemos adicionar um sinal espacial ao
Captulo 11 Post/i0 - 112 endereo de e-mail 55 ## para direcionar mensagens a uma determinada pasta, por exemplo. 56 recipient_delimiter = +
57
## Interfaces de rede a qual o Postfix pode fazer bind, ou seja, estabelecer 59 ## conexes. O padro do Debian seria todas as interfaces. 60 inet_interfaces = all 61 </comandoNumerado>
58
.) "odemos agora reiniciar o "ost'-: # /etc/init.d/postfix restart
+) 0e>a se a &orta 28 S6L" est &ronta &ara receber cone-3es: # netstat -nltup
11.5. S435
1) @om o comando LE,$EL iremos testar a cone-ao e enviar um email: # telnet localhost 25 2 helo gmail.com 3 mail from:seuemaildogmail@gmail.com 4 rcpt to:aluno@microx.com.br 5 data 6 subject: Teste 7 Este um teste de email. 8 . 9 quit
1
Captulo 11 Post/i0 - 113 2) 6ande uma email ,ocal: # telnet localhost 25
mail from:root@microx.com.br 2 rcpt to:aluno@microx.com.br 3 data 4 subject: Teste 5 Este um teste de email. 6 . 7 quit
1
.) 0eri'que o log de email: # tail /var/log/mail.log
+) 0eri'que o diretorio de emails: # cd /var/mail # ls -la # cat aluno
8) 0eri'que a lista de emails do servidor: # mailq
11.'. !ourier 5O5
e !ourier I465
9# servidor de e#ail s estaria co#pleto se tiver#os a instalao de u# dae#on pop3 e i#ap. 2ara issoM va#os reali;ar al uns testes.
Captulo 11 Post/i0 - 114 1) "ara que o @ourier funcione vamos instalar: # aptitude install courier-authdaemon courier-authlib courier-base courier-imap courier-pop
2) A&)s este &asso/ edite o arquivo: # vim /etc/postfix/main.cf
home_mailbox = Maildir/ DEFAULT=$HOME/Maildir/ MAILDIR=$HOME/Maildir/
.) Agore visuali2e os arquivos e crie o smt&: # cat /etc/pam.d/pop3
# cat /etc/pam.d/imap
# vim /etc/pam.d/smtp @include @include @include @include common-auth common-accont common-password common-session
11.$.1. Criando cai1as postais2
1) 0amos criar as cai-as &ostais: # maildirmake /home/aluno/Maildir # maildirmake /home/aluno/Maildir/.Enviadas # maildirmake /home/aluno/Maildir/.Rascunhos
Captulo 11 Post/i0 - 115 # maildirmake /home/aluno/Maildir/.lixeira # maildirmake /home/aluno/Maildir/.Spam
4 comando maildirmake 0 um comando do "acote courier/ ve=a este site: tt"://www.courier-mta.org/maildirmake. tml
2) A>uste as &ermiss3es: # chown aluno. /home/aluno -R
.) Leste do "5". na &orta 11E: # telnet localhost 110
user aluno pass 123456 quit
+) Leste do !6A" na &orta 1+.: # telnet localhost 143
a login aluno 123456 logout -e vocQ conse uir ler as #ensa ensM si nifca <ue o seu servidor est* pronto para receber e trans#itir #ensa ens.
E.o es7ue-a de "ublicar o registro AW no seu DE1/ confgurar corretamente o cam"o LWL/ tamb0m no DE1 RH:HR14.
Captulo 11 Post/i0 - 116 11.). !riando a$ias no 5ost"x
2ode#os criar alias para <ue u# usu*rio possa receber v*rios e=#ailCs di6erentes na #es#a conta. 1) Edite o arquivo de alias e crie um &ara o seu usurio: # vi /etc/aliases
usuario_de_alias: usuario_existente
2) "ara validar essas modi'ca 3es e gerar o arquivo &recisamos usar o comando &ostalias: # postalias /etc/aliases
de %as%/
.) 0eri'que se o arquivo aliases.db foi atuali2ado: # stat /etc/aliases.db
+) Agora &odemos fa2er um teste via telnet/ enviando o e*mail &ara o usurio de alias: # telnet localhost 25
8) Se tudo deu certo/ a mensagem destinada ao usurio de alias/ vai ser arma2enada no cai-a &ostal do usurio real: # cd /var/mail # cat usuario
Captulo 11 Post/i0 - 117 11.,. 1xerc2cios tericos
1P Suais so os dois tipos de 6or#ato de cai/as postais <ue pode#os utili;arU . <ual K a di6erena entre elesU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P O protocolo 2O23 K u# protocolo se uroU ./pli<ue. VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 3P Suais so os principais ar<uivos de conf urao do 2ostf/M e <uais so as suas 6un8esU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV "P O <ue acontece se conf urar#os de #aneira errada a opo #?netEorBs dentro do ar<uivo #ain.c6U VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
11... Laboratrio 1. ,aa u# teste via telnet no seu servidor e veja se ele responde ao co#ando vr6?. 9se o co#ando vr6? aps o co#ando %elo. ./e#plo7 vr6? usuario. 9se esse co#ando e# usu*rio v*lido e e# u# usu*rio inv*lido. 2. A ora <ue j* viu co#o o co#ando vr6? pode ser prejudicialM tente desativ*=lo. +ica7 #an $ postcon6 3. Crie u#a lista c%a#ada todosM <ue <uando al uK# enviar u# e=#ail para elaM todos os usu*rio v*lidos do siste#a receba# a #ensa e#.
Captulo 12 1e2 P(o0- co, '3ui* - 118
Captulo 12 0e1 P%o/+ co* #2ui'
12.1. Objetivos
.ntender co#o u# Eeb pro/? trabal%aL .ntender AC1Cs e seus tipos b*sicosL Instalar e conf urar o s<uidL Conf urar autenticao 4C-AL Conf urar u# analisador de 1o Cs.
12.2. Introduo 3erica 4este captuloM ire#os observar al u#as particularidades do pro/? Eeb -<uidMu#a soluo Open -ource a#pla#ente utili;ada no #ercado co#o acelerador e fltro de conteNdo Aeb. Observare#os ta#bK#M co#o utili;ar al u#as AC1Cs <ue podero 6acil#ente ser aplicadas ao <ue c%a#a#os de ]Cen*rios Co#uns]M aonde tere#os al uns sites liberados e al uns sites blo<ueados. 0a#bK# ire#os ver co#o 6are#os para <ue u# usu*rio deva e6etuar autenticao e por ulti#oM vere#os co#o erar relatrios de nave ao a partir dos lo s erados pelo s<uid.
Captulo 12 1e2 P(o0- co, '3ui* - 119 12. . /unciona%ento de u% Beb 5roxC I#a ine <ue os seus usu*rios necessita# acessar co# 6re<eQncia u# site de notcias. A cada re<uisioM o nave ador Eeb resolve o +4- deste siteM 6a; a re<uisio ao servidor Eeb encontradoM tra; o conteNdo atK o usu*rio. A oraM i#a ine <ue 3&& clientes esto acessando este site. +esperdcio de bandaM no ac%aU As solu8es Aeb 2ro/? 6ora# desenvolvidas justa#ente para contornar este proble#a. I#a ine o #es#o cen*rio aci#aM s <ue desta ve;M ao invKs de consultar o siteM o nave ador consulta o Aeb 2ro/? previa#ente conf uradoM e entoM o servidor pro/? 6a; a consulta ao siteM s <ueM antes de entre ar a re<uisio ao clienteM o servidor pro/? ar#a;ena o conteNdo do site e# u# diretrio do disco r ido eM <uando u# se undo cliente acessar o #es#o siteM o servidor pro/? verifca se o conteNdo esta ar#a;enado e# cac%e. .# caso positivoM o servidor entre a o conteNdo do cac%eM acelerando a nave ao e econo#i;ando banda. AlK# dissoM o Aeb 2ro/? ta#bK# pode a ir co#o fltro de conteNdoM verifcando se K desej*vel <ue a<uele conteNdo seja acessvel para a<uele usu*rioM endereo I2 ou 3ac AddressM e ento libera ou ne a o acesso de acordo co# o especifcado nas AC1CsM ite# <ue vere#os da<ui a pouco. 9# Aeb 2ro/? ta#bK# pode ser transparente ou conf urado #anual#ente pelo usu*rio ou ad#inistrador. 5a#os ver as di6erenas7
12.4. 5roxC 4anua$%ente !on"#urado
.# u# pro/? #anual#ente conf uradoM o broEser sabe <ue K necess*rio 6a;er u#a re<uisio ao servidor pro/?M entoM te#os u#a sKrie de 6un8es <ue o broEser pode solicitarM co#o 6orar a atuali;ao do cac%eM verifcar se as credenciais de autenticao 6ora# 6ornecidas previa#enteM ou sejaM o cliente sabe <ue deve 6alar co# u# pro/? e 6ar* a re<uisio direto a este. AlK# dissoM o servidorM por sua ve;M possui o nu#ero I2 do cliente <ue 6e; a<uela re<uisioM o <ue possibilita criar AC1Cs especifcas e controles de lo #ais apurados. A i#a e# a se uir #ostra co#o 6unciona u# pro/? #anual#ente conf urado.
Captulo 12 1e2 P(o0- co, '3ui* - 120
12.5. 5roxC 3rans(arente .# u# pro/? transparenteM no %* necessidade de conf urar#os o broEser. O cliente 6ara sua re<uisio ao ateEa? padro da<uela redeM e entoM co# u#a re ra de freEall previa#ente conf uradaM o ateEa? 6ar* o redireciona#ento para o pro/?M <ue por sua ve; reali;ar* seu trabal%o. A #aior vanta e# deste #odelo K <ue no te#os a necessidade de conf urar os broEsers #anual#enteM o <ue seria justifc*vel e# u#a rede aonde no te#os o poder de #anipular o co#putador dos usu*rios Oco#o u# provedor de internetM por e/e#ploP. .# co#pensaoM perdere#os a Ze/ibilidade dos lo s e autenticaoM j* <ue o nave ador Eeb no sabe <ue est* passando por u# pro/?M e ta#bK# tere#os <ue 6a;er 4A0 para acessos para sites <ue utili;a# :002-M j* <ue o s<uid no sabe lidar co# este tipo de conteNdo <uando esta trabal%ando de 6or#a transparente.
Captulo 12 1e2 P(o0- co, '3ui* - 121 Abai/oM u#a ilustrao si#plifcada de co#o esse processo 6unciona7
12.'. 6ccess !ontro$ Lists AC1M ou Access Control 1istM co#o o prprio no#e di; K u#a #aneira de criar listas de acesso no -<uid. Co# elas pode#os criar u#a re ra di;endo <ue a AC1 de no#e ]3?4etorB] en loba todos os endereos ori inados e# 1!2.1'8.2&&.&@2"M ou sejaM K u#a AC1 <ue ]casa] co# a rede inteira. 0a#bK# pode#os defnir u#a AC1 c%a#ada ]-ite"linu/] <ue ]casaria] co# <ual<uer do#nio destino no <ual constasse ."linu/.co#.br. @K<Y1 de origem e destino "odem ser cobrados na <*,-,,/ bem como sua forma de utili9a-.o.
12.). 3i(os co%uns de 6!LDs >asica#enteM as AC1Cs disponveis no s<uid para utili;ao na #aioria dos casos pode# ser a rupadas na se uinte lista7
Captulo 12 1e2 P(o0- co, '3ui* - 122 AC1Cs de ori e# AC1Cs de destino AC1Cs de %or*rio
12.(.1. %inta1e das AC3% acl <nome da acl> <tipo da acl> <padro da acl> 5a#os co#entar estes trQs tipos nas se8es se uintes7
12.,. 6!LDs de ori#e% AC1Cs de ori e# so utili;adas para controlar todo e <ual<uer acesso <ue ten%a co#o ori e# u# deter#inado padro. .ssa ori e#M eral#ente K u# endereo de %ost ou endereo de rede.
0a#bK# pode ser conf urado u# do#nioM #as ten%a e# #ente <ueM neste casoM K necess*rio <ue seu servidor pro/? esteja co#pleta#ente %*bil a resolver estes endereos. Algumas aclRs de origem: acl MyNetworksrc 192.168.200.0/24 acl gateway src 192.168.200.254
12... 6!LDs de destino AC1Cs de destino so #ais co#uns e 6re<uente#ente utili;adas para criar padr8es <ue case# co# deter#inados endereos de redeM endereos de do#nioM partes de u# do#nio e ta#bK# por e/press8es re ulares. 5a#os dar u#a ol%ada na construo dessas AC1Cs. Algumas aclRs de destino
Captulo 12 1e2 P(o0- co, '3ui* - 123 acl Servers dst 192.168.200.1 192.168.200.2 192.168.200.3 acl 4linuxdstdomain .4linux.com.br acl Brasildstdomain .com.br
12.10. 6!LDs de &or+rio AC1Cs de %or*rio so #uito uteisM <uando <uere#osM por e/e#ploM per#itir acesso a sites de relaciona#ento durante o %or*rio de al#oo ou 6ora do %or*rio de e/pediente. 5a#os ver u#a AC1Cs <ue podera#os utili;ar para especifcar o %or*rio de al#ooM e outra para especifcar o %or*rio da #an%. acl almoco time 13:00-14:00 acl parte_manha time 08:00-12:59
.sses so os tipos b*sicos de AC1CsM porK#M u#a AC1 so;in%a no 6a; absoluta#ente nada. +urante a pr*tica diri idaM vere#os co#o tornar as AC1Cs Nteis co# conf ura8es <ue per#ite# utili;ar as AC1Cs para blo<ueio e liberao de sitesM do#nios e %or*rios.
12.11. /i$tros Outro recurso interessante para o uso de u# pro/? K oconceito de fltro de conteNdoM <ue possibilita a fltra e# do conteNdo Eeb dos usu*rios. 2ara reali;ar essa conf uraoM pode#os usar os se uintes fltros7 src j ,iltro por rede ou endereo I2L time j ,iltro por %ora e dia da se#anaL url&at%?rege- j fltro de co#ple#ento de u#a urlL url?rege- j ,iltro de u#a strin na urlL
Captulo 12 1e2 P(o0- co, '3ui* - 124 dstdomain j ,iltro de u#a urlL &ro-A?aut% j ,iltro por usu*rios autenticadosL ar& = ,iltro por 3AC addressL ma-conn j ,iltro por cone/8esL &roto j ,itro por protocolosL &ort j ,iltro por porta.
12.12. 5r+tica -iri#ida
1) 5 &rimeiro &asso 7 instalar e con'rmar a instala (o do Squid: # aptitude install squid # dpkg -l squid 4s ar7uivos e diret+rios "rinci"ais 7ue ele utili9arC: /etc/s7uid/s7uid.conf - @r7uivo de confgura-.o /var/log/s7uid/Z- @r7uivos de log do s7uid. /var/s"ool/s7uid - Diret+rio 7ue cont0m o cac e do s7uid
2) A&)s con'rmar a instala (o do squid/ veri'que o conteBdo dos diret)rios mencionados. # ls /var/spool/squid # ls /var/log/squid # ls /etc/squid
Captulo 12 1e2 P(o0- co, '3ui* - 125 .) 5 squid 7 um soft<are bem documentado/ e boa &arte desta documenta (o est em forma de comentrios no arquivo de con'gura (o. 0amos dar uma ol%ada nele. # vim /etc/squid/squid.conf
12.1 . !on"#ura:es Iniciais A conf urao padro do s<uid no per#ite nen%u# tipo de nave aoM por #edidas de se urana. A pri#eira coisa <ue deve#os 6a;er K especifcar <ual rede o s<uid deve ouvirM e ta#bK# deve#os especifcar u#a AC1 do tipo ori e# <ue case co# o nosso endereo I2 . 5a#os 6a;er isso.
1) "ara que o squid ou a a&enas uma rede/ troque o valor do &arKmetro I%tt&?&ort .12;I &ara: http_port 192.168.200.X:3128
2) 5utra con'gura (o im&ortante 7 o &arKmetro visible?%ostname. Este &arKmetro di2 qual ser o %ostname que o squid ir utili2ar &ara resolver seu endere o local e tamb7m 7 o endere o que ser a&resentado nas &ginas de informa (o # visible_hostname proxy.microx.com.br 5a#os aproveitar <ue esta#os co# a #o na #assa e va#os conf urar al uns parT#etros relativos ao cac%e.
.) A>uste do cac%e em disco: !remos es&eci'car 8126U de cac%e/ com 12; diret)rios e 289 subdiret)rios: cache_dir ufs /var/spool/squid 512 128 256
Captulo 12 1e2 P(o0- co, '3ui* - 126 +) #e'nindo o cac%e que ser arma2enado em mem)ria: cache_mem 16 MB
8) Agora/ iremos &arar o squid/ veri'car a sinta-e do arquivo de con'gura (o/gerar o cac%e e ent(o reiniciaremos o squid. # # # # invoke-rc.d squid stop squid -k parse squid -z invoke-rc.d squid start
9) Loda ve2 que vocO mudar as A@,Rs vocO deve e-ecutar os comandos: #squid -k parse #squid -k reconfigure +epois destes ajustes iniciaisM esta#os prontos para criar nossas AC1Cs e verifcar o 6unciona#ento do s<uid co#o fltro de conteNdo.
12.14. /i$trando acessos co% S>uid 9#a das obri a8es de u# Ad#inistrador de -iste#as e# al uns a#bientes K controlar o <ue deve ou no deve ser acessvel na internet a partir da rede interna. .ntoM para <ue possa#os entender co#o trabal%ar co# AC1CsM va#os criar o se uinte cen*rioM onde deve#os criar u# conjunto de AC1Cs <ue resulte na se uinte situaoM <ual<uer %ost na #in%a rede deve ser i#pedido de nave ar e# <ual<uer do#nio .co#M tendo co#o Nnica e/ceo o site EEE.a#a;on.co#. Co#o 6a;er issoU 4 "rimeiro "asso 0 "rocurar a se-.o correta "ara cria-.o de @K<Ys dentro do ar7uivo de confgura-.o do s7uid. *rocure uma lin a semel ante a esta: # ,E1HRL [4RR 4QE RR<HS1T HHRH L4 @<<4Q @KKH11 >R4A [4RR K<,HEL1
Captulo 12 1e2 P(o0- co, '3ui* - 127 1) Agora/ de&ois desta lin%a/ crie uma acl com a rede de origem/ uma acl &ara domDnios .com e uma acl &ara o domDnio ama2on.com: acl MyNetwork src 192.168.200.0/24 acl International dstdomain .com acl Amazon dstdomain .amazon.com . a oraM co# as AC1Cs criadasM ire#os especifcar as polticas de acesso e blo<ueios co# o co#ando %ttpVaccess.
2)
"rocure uma string c%amada %tt&?access denA all e coloque o seguinte conteBdo/ antes desta regra: allow MyNetwork Amazon deny MyNetwork International allow MyNetwork deny all
http_access http_access http_access http_access
.) @on'gure seu bro<ser e fa a o teste de navega (o &ara os sites: www.google.com www.amazon.com www.google.com.br
"P A oraM e/peri#ente inverter a orde# das re ras de acesso7 http_access deny MyNetwork International http_access allow MyNetwork Amazon http_access allow MyNetwork
<embre-se 7ue a ordem das @K<Ys n.o im"orta/ "or0m/ o s7uid farC o fltro de acordo com a ordem das regras de acesso confguradas "or tt"Maccess. <embre-se disso 7uando f9er troubles ooting ou criar novas regras. XT
Captulo 12 1e2 P(o0- co, '3ui* - 128 12.15. @$ack$ist e B&ite$ist
O conceito de >lacBlist e A%itelist K #uito si#ples7 Ulac4list = 9#a lista de palavras <ue eu <uero ne ar. [%itelist = 9#a lista de do#nios <ue eu <uero liberarM #as <ue casa# co# a blacBlist.
1) "ara e-em&li'car o uso de blac4lists e <%itelists/ vamos criar duas A@,Rs/ uma negando o qualquer url que conten%a a &alavra linu-/ e outra liberando os sites <<<.linu-.com e <<<.+linu-.com.br. 4o se es<uea de li#par as AC1Cs e os %ttpVaccess anteriores. acl blacklist url_regex linux acl whitelist dstdomain www.linux.com www.4linux.com.br
2) Agora crie os %tt&?access: http_access deny MyNetwork blacklist !whitelist http_access allow MyNetWork
.) Agora/ tente acessar os seguintes sites: www.4linux.com.br www.vivaolinux.com.br www.linux.com www.br-linux.org
*ara a"render mais/ acesse www.s7uid-cac e.org e leia a documenta-.o ofcial do "ro=eto s7uid.
Captulo 12 1e2 P(o0- co, '3ui* - 129 12.1'. 6utenticao N!S6 O -<uid possui u# #ecanis#o de autenticao <ue pode trabal%ar de diversas #aneirasM e u#a delasM a 4C-AM utili;a o #es#o #ecanis#o de autenticao do apac%e. 5a#os conf urar esse #odelo de autenticao e va#os criar u#a acl <ue e/ija autenticao ta#bK#. 1) 0amos con'gurar a autentica (o no Squid: auth_param auth_param auth_param auth_param basic basic basic basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd children 5 realm Squid proxy-caching web server credentialsttl 2 hours
1. 1in%a 1 conf ura o autenticador 2. 1in%a 2 o nN#ero de processos de autenticao 3. 1in%a 3 conf ura o ttulo da cai/a de autenticao ". 1in%a " conf ura o te#po de validade da autenticao
2) Merando o arquivo de sen%as: # aptitude install apache-utils # htpasswd -c /etc/squid/passwd aluno 123456
.) Merando as A@,Rs de acesso com sen%a: acl MyNetwork src 192.168.200.0/24 acl passwd proxy_auth REQUIRED
+) @on'gurando o acesso F internet mediante sen%a: http_access allow MyNetwork passwd
Captulo 12 1e2 P(o0- co, '3ui* - 130 12.1). 6uditoria de acesso co% S6*E O -A)D -<uid Anal?sis )eport Denerator K u#a 6erra#enta desenvolvida pelo brasileiro 2edro 1ineu e OrsoM cujo objetivo K analisar o ar<uivo @var@s<uid@lo @access.lo acessado pelos usu*rios. 1) Sua instala (o 7 bem sim&les/ bastando a&enas/ no e-ecutar um a&titude: # aptitude install sarg #ebian/ erar u# relatrio de acesso baseado no conteNdo
2) 0amos observar seu arquivo de con'gura (o. Fique a vontade e leia alguns comentrios &ara entende as fun 3es do SA1M. # vim /etc/squid/sarg.conf
.) Saia do arquivo e e-ecute o sarg: # sarg
+) Agora/ acesse o endere o local%ost/squid*re&orts e ve>a o seu conteBdo http://localhost/squid-reports
Captulo 12 1e2 P(o0- co, '3ui* - 131 12.1,. 1xerc2cios 3ericos
1P O <ue 6a;e# as op8es ]s<uid =B reconf ure] e ]s<uid =;] VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Sual K o diretrio <ue contK# os %t#ls in6or#ativos do s<uidU Co#o vocQ 6aria para #ud*=losU Odica7 #an s<uid e s<uid.con6P VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 3P Crie AC1Cs e re ras de acesso <ue per#ita# apenas a nave ao a sites overna#entaisM ou sejaM do#nios do tipo . ov e . ov.br. VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV "P Co#o re#over a opo <ue #ostra a verso do s<uid das p* inas de in6or#aoU
VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
12.1.. Laboratrio 1. Crie u# conjunto de AC1Cs <ue case# co#M sites de conteNdo indesejado7 EEE.pla?bo?.co#.brM EEE.?outube.co# e <ual<uer e/presso <ue conten%a as palavras ]se/]M ]bu?] ... 2. Crie as re ra de acesso necess*rias para <ue <ual<uer pessoa possa nave ar a vontadeM porK#M na %ora de nave ar e# sites de conteNdo indesejado.
Captulo 13 4pen! AP - 132
Captulo 13 3penLDAP
1 .1. Objetivos I#ple#entar e conf urar servidor Open1+A2L .ntendi#ento dos principais protocolosL 3anipular base de dadosM locali;ao e edio de objetosL )eali;ar +u#p da >ase de dados Open1+A2 e reali;ar restauraoL Inte rar Open1+A2 co# -<uidL Autenticao de cliente e# base do Open1+A2L I#ple#entao de 6erra#enta para #anipulao de base Open1+A2 via broEser.
1 .2. Introduo terica A cada dia <ue sur e# novos siste#as nas e#presas af# de resolver diversos tipos de proble#asM cresce a necessidade de ter u# #aior controle e #el%ores #ecanis#os de busca de in6or#ao. -e urana e controle de dados K i#prescindvel e# <ual<uer e#presaM u#as das vanta ens do Open1+A2 K a possibilidade de <ue v*rios siste#as possa# co#partil%ar de base de dados de usu*rios e sen%as de 6or#a centrali;ada e inte rada. O projeto Open1+A2 K u# servio de diretrioM <ue utili;a o protocolo 1+A2 M
Captulo 13 4pen! AP - 133 baseado no protocolo G.$&&. O Open1+A2 utili;a o tra6e o de dados via 0C2@I2 M podendo ser i#ple#entado e# diversas plata6or#as e# redes I25" e I25'M possibilitando autenticaoM #ecanis#os de se urana no uso de certifcados e cripto rafaM podendo ser conf urado para restrin ir acesso a socBet la?erM ter #Nltipla instTncias de banco de dadosM #Nltiplas 0%readsM per#ite replicao e conf urao do servio de acordo co# a sua necessidade atravKs de -c%e#a. A or ani;ao da estrutura de dados do Open1+A2 K %ier*r<uicaM sendo re6erenciada a 6or#a de FrvoreM co# conceito de orientao de objetos. Open1+A2 constitui=se de7 sla&d = -ervio Open1+A2 slur&d = -ervio para replicao e atuali;ao Open1+A2 libraries = >ibliotecas para i#ple#entao do Open1+A2 M co# utilit*rios e 6erra#entas
1 . . 5r+tica diri#ida
1) !nstala (o do 5&en,#A"/ veri'que se > tem instalado o 5&en,#A": # d"kg -l sla"d
2) !nstale &acotes do 5&en,#A": # aptitude install libldap2 ldap-utils slapd
Captulo 13 4pen! AP - 134 .) @on'gure as o& 3es do 5&en,#A": # dpkg-reconfigure slapd
+) @on'gure quando for solicitado em: O#itir conf urao do servidor Open1+A27 4kO In6or#e o no#e de do#nio +4- para construir a base dn7 #icro/.co#.br In6or#e no#e da or ani;ao7 "linu/ +i ite sen%a7 123"$' .scol%a base de dados7 >+> )e#oo da base de dados <uando o pacote slapd 6or e/pur ado7 4kO 3over base anti a de dados e# @var@lib@ldap7 -I3 2er#itir protocolo 1+A2v27 -I3 O)e<uirido para inte rar o -<uid co# Open1+A2P
8) !nicie o servi o do 5&en,#A": # /etc/init.d/slapd start
9) 0eri'que se o servi o est dis&onDvel &ara a rede: # netstat -nltup
:) 0isuali2e a base fDsica de dados do 5&en,#A": # ls /var/lib/ldap/
;) 0isuali2e o arquivo de con'gura (o 5&en,#A" no #ebian: # vi /etc/ldap/slapd.conf
# Este o principal arquivo de configurao do slapd. Veja man page slapd.conf 2 # para verificar demais configuraes
1 3
##################################################################### ##
4 5 6 7
# Configuraes Globais
# Autorizar LDAPv2 binds 9 allow bind_v2

8 10
# Definies de Schema e objectClass 12 include/etc/ldap/schema/core.schema 13 include/etc/ldap/schema/cosine.schema 14 include/etc/ldap/schema/nis.schema 15 include/etc/ldap/schema/inetorgperson.schema

11 16
# Local do arquivo onde encontra o nmero do processo slapd. 18 O script init.d no parar o servidor se voc mudar isto. 19 pidfile/var/run/slapd/slapd.pid
17 20
# Lista de argumentos a serem passados para o servidor 22 argsfile /var/run/slapd/slapd.args

21 23
# Nvel de logs a serem gerados pelo servidor, leia slapd.conf para maiores 25 # informaes 26 loglevel 0
24 27
# Local onde mdulos dinmicos so armazenados 29 modulepath /usr/lib/ldap 30 moduleload back_bdb

28 31 32
#Verificao de schema

33 34
schemacheck on
# O nmero mximo de entradas que esto retornadas para operao de busca 36 sizelimit 500
35 37
# Parmetros para configurao de Threads / CPU 39 tool-threads 1

38 40
##################################################################### ## 42 # Especificao de Diretivas para o bdb 43 # 'backend' directive occurs 44 backend bdb 45 checkpoint 512 30
41 46
##################################################################### ## 48 # Especificao de Diretivas para outro: 49 # 'backend' directive occurs 50 #backend <other>
47 51
##################################################################### ## 53 # Especificao de diretivas para banco de dados #1, tipo bdb: 54 # 'database' directive occurs 55 database bdb
52 56
# Definio de sufixo da base 58 suffix "dc=teste,dc=seu-nome,dc=br"

57 59
# rootdn diretiva para especificar um super usurio no banco de dados. 61 # Isto preciso. 62 # for syncrepl. 63 # rootdn "cn=admin,dc=teste,dc=seu-nome,dc=br"
60 64
# Local onde os arquivos de banco de dados so armazenados fisicamente #1 66 directory "/var/lib/ldap"

65 67 68
# Para pacote Debian, no usamos 2MB como default mas tenha certeza
Captulo 13 4pen! AP - 137 de atualizar 69 # este valor 70 dbconfig set_cachesize 0 2097152 0

71
# Verificar informaes de bugs encontrados nestes parmetros 73 # http://bugs.debian.org/303057

72 74
# Nmeros de objetos que podem ser travados no mesmo tempo 76 dbconfig set_lk_max_objects 1500 77 #Nmeros de lockers (ambas requisies e concesses) 78 dbconfig set_lk_max_locks 1500 79 #Nmeros de lockers 80 dbconfig set_lk_max_lockers 1500
75 81
# Opes de indexao #1 83 index objectClass eq

82 84
# Salva o tempo que entradas foram modificadas no banco de dados 86 lastmodon

85 87
# Local onde so replicados os logs do banco de dados 89 # replogfile /var/lib/ldap/replog

88 90
# Parmetros de acesso e permisses 92 access to attrs=userPassword,shadowLastChange 93 by dn="cn=admin,dc=teste,dc=seu-nome,dc=br" write 94 by anonymous auth 95 by self write 96 by * none 97 access to dn.base="" by * read
91 98
by dn="cn=admin,dc=teste,dc=seu-nome,dc=br" write 100 by * read 101 #access to dn=".*,ou=Roaming,o=morsnet" 102 # by dn="cn=admin,dc=teste,dc=seu-nome,dc=br" write 103 # by dnattr=owner write 104 # Especificao de diretivas de banco de dados #2, de tipo outro, pode 105 ser bdb: 106 # 'database' directive occurs 107 #database <other>
99
Captulo 13 4pen! AP - 138 # Definio de sufixo da base#2 109 #suffix "dc=debian,dc=org"

108 110
#################################################################### ### 112 </comandoNumerado>

111
C) 0eri'ca (o de teste da con'gura (o do arquivo do 5&en,#A": # slaptest
\ necessCrio criar a nossa base de dados. *ara tal utili9aremos migrationtools/ uma ferramenta "ara migra-.o de base de dados escrita em *erl "ara o 4"en<D@* . *ortanto verif7ue e instale os "acote migrationtools e "erl:
1E)
0eri'que se tem o &acote &erl instalado:
# dpkg -l | grep perl
11)
!nstale "erl/ caso n(o este>a instalado:
# aptitude install perl
12)
0eri'que o &acote 6igration Lools:
# aptitude search migrationtools 1.) 1eali2e a instala (o 6igration Lools:
# aptitude install migrationtools
1+) Acesse o diret)rio /usr/s%are/migrationtools e co&ie o arquivo de con'gura (o: # cd /usr/share/migrationtools # cp -av migrate_common.ph migrate_common.ph.original
Captulo 13 4pen! AP - 139 18) Edite o arquivo migrate?common.&% e os cam&os a seguir/ salve: $DEFAULT_MAIL_DOMAIN="microx.com.br"; $DEFAULT_BASE=dc="microx,dc=com,dc=br";
19) 0amos migrar a base de usurios do sistema G/etc/&ass<d) &ara uma base &adr(o ,#!F/ &ara inserir na base ,#A": # cd /usr/share/migrationtools # ./migrate_passwd.pl /etc/passwd /etc/ldap/users.ldif
1:) 0eri'que o arquivo /etc/lda&/users.ldif criado e observe o conteBdo: # less /etc/ldap/users.ldif
gidNumber: 106 2 homeDirectory: /var/lib/gdm 3 gecos: Gnome Display Manager

1 4
dn: uid=root,ou=People,dc=seu-nome,dc=com,dc=br 6 uid: root 7 cn:: cm9vdA== 8 objectClass: account 9 objectClass: posixAccount 10 objectClass: top 11 objectClass: shadowAccount 12 userPassword: {crypt}$1$dL7nEggA$P6Ib/H9QBkdd/sTcUBW1z1 13 shadowLastChange: 12495 14 shadowMax: 99999 15 shadowWarning: 7 16 loginShell: /bin/bash 17 uidNumber: 0 18 gidNumber: 0 19 homeDirectory: /root 20 gecos: root
5
Captulo 13 4pen! AP - 140 1;) Agora vamos migrar a base de gru&os do sistema G/etc/grou&) &ara uma base &adr(o ,#!F/ &ara inserir na base ,#A": ./migrate_group.pl /etc/group /etc/ldap/groups.ldif
1C)
0eri'que os arquivos gerados em /etc/lda&/grou&.ldif:
# cat /etc/ldap/groups.ldif
2E)
@riando nossa base ldif:
# ./migrate_base.pl > /etc/ldap/base.ldif
21) Edite o arquivo gerado em /etc/lda&/base.ldif e remova as lin%as de 1 a 1E/ &or default durante a migra (o estas lin%as foram criadas/ &odendo gerar erro durante a im&orta (o/ dentro do vim e-ecute o comando ES@:1/1Ed &ara a&agar as 1E &rimeiras lin%as: # vim /etc/ldap/base.ldif
22)
Adicione o base ldif na base do 5&en,#A":
# ldapadd -x -D cn=admin,dc=microx,dc=com,dc=br -f /etc/ldap/base.ldif -W
2.)
1eali2e uma busca na sua base de dados 5&en,#A":
ldapsearch -x | more
2+)
Adicione o grou&.ldif:
# ldapadd -x -D cn=admin,dc=seu-nome,dc=com,dc=br -f /etc/ldap/groups.ldif -W
Captulo 13 4pen! AP - 141 28) Adicione o user.ldif:
# ldapadd -x -D cn=admin,dc=seu-nome,dc=com,dc=br -f /etc/ldap/users.ldif -W
29) 0ocO &ode transferir as informa 3es em formato ldif atrav7s do sla&add &assando a informa (o direto &ara servidor: # /etc/init.d/slapd stop # slapadd -l meuarquivo.ldif -f slapd.conf
2:) 1eali2ando busca es&ecD'ca atrav7s do nome do ob>eto que consta na base do 5&en,#A": # ldapsearch -x -b 'dc=microx,dc=com,dc=br' '(cn=cdrom)'
2;)
@onsulta da Uase 5&en,#A":
# slapcat | more
1 .4. !on"#urando u% c$iente L-65 2ara <ue os nossos co#putadores possa# autenticar=se co#o clientes 1+A2 MK necess*rio <ue #odif<ue#os u#a sKrie de ar<uivos do 2A3 e ta#bK# K necess*ria a instalao de al uns pacotes. 1) !nstalando os &acotes necessrios e con'gure*os: #aptitude install libnss-ldap libpam-ldap
2) Acrescente as o& 3es lda& nas lin%as &ass<d/ grou& e s%ado</ &ara que nossa esta (o &asse a buscar os usurios no ,#A". # vim /etc/nsswitch.conf passwd:compat ldap group: compat ldap
Captulo 13 4pen! AP - 142 shadow:compat ldap
.) Agora vamos con'gurar o arquivo /etc/libnss*lda&.conf: # vim /etc/libnss-ldap.conf
+) "rocure as lin%as 1C2 e 1C. e con'gure*as: nss_base_passwd ou=People,dc=microx,dc=com,dc=br nss_base_shadow ou=People,dc=microx,dc=com,dc=br
8)
Agora vamos con'gurar /etc/&am?lda&.conf:
as
lin%as
1:2
1:.
do
arquivo
nss_base_passwd ou=People,dc=microx,dc=com,dc=br nss_base_shadow ou=People,dc=microx,dc=com,dc=br 2or ulti#oM ire#os conf urar o 2A3 para <ue ele bus<ue os usu*rios na base 1+A2 .
9) @on'gure o arquivo /etc/&am.d/common*aut% : # 2 # /etc/pam.d/common-auth - authentication settings common to all services 3 # 4 # This file is included from other service-specific PAM config files, 5 # and should contain a list of the authentication modules that define 6 # the central authentication scheme for use on the system 7 # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the 8 # traditional Unix authentication mechanisms. 9 # 10 auth sufficient pam_ldap.so 11 auth required pam_unix.so nullok_secure try_first_pass
1
Captulo 13 4pen! AP - 143 :) @on'gure o arquivo /etc/&am.d/common*account # 2 # /etc/pam.d/common-account - authorization settings common to all services 3 # 4 # This file is included from other service-specific PAM config files, 5 # and should contain a list of the authorization modules that define 6 # the central access policy for use on the system. The default is to 7 # only deny service to users whose accounts are expired in /etc/shadow. 8 # 9 account sufficient pam_ldap.so 10 account required pam_unix.so 11 session required pam_mkhomedir.so skel=/etc/skel umask=0077
1
;) Agora con'gure o arquivo /etc/&am.d/common*&ass<ord: # 2 # /etc/pam.d/common-password - password-related modules common to all services 3 # 4 # This file is included from other service-specific PAM config files, 5 # and should contain a list of modules that define the services to be 6 #used to change user passwords. The default is pam_unix
1 7
# The "nullok" option allows users to change an empty password, else 9 # empty passwords are treated as locked accounts. 10 # 11 # (Add `md5' after the module name to enable MD5 passwords) 12 # 13 # The "obscure" option replaces the old ÒBSCURE_CHECKS_ENAB' option in 14 # login.defs. Also the "min" and "max" options enforce the length of the 15 # new password.
8 16
passwordsufficientpam_unix.so nullok obscure min=4 max=8 md5 18 passwordrequired pam_ldap.so try_first_pass

17 19 20
# Alternate strength checking for password. Note that this
Captulo 13 4pen! AP - 144 # 22 # 23 # 24 # 25 # 26 # 27 #

21
requires the libpam-cracklib package to be installed. You will need to comment out the password line above and uncomment the next two in order to use this. (Replaces the ÒBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH') password required password required pam_cracklib.so retry=3 minlen=6 difok=3 pam_unix.so use_authtok nullok md5
C) Edite tamb7m o arquivo /etc/&am.d/common*session: # 2 # /etc/pam.d/common-session - session-related modules common to all services 3 # 4 # This file is included from other service-specific PAM config files, 5 # and should contain a list of modules that define tasks to be performed 6 # at the start and end of sessions of *any* kind (both interactive and 7 # non-interactive). The default is pam_unix. 8 # 9 session sufficient pam_ldap.so 10 session required pam_unix.so
1
1 .5. 6cessando o O(enL-65 via @rowser co% 5&(Lda(6d%in
5a#os acessar a base do Open1+A2 via >roEserM para tal ser* necess*rio instalar p%p e dar suporte ao Apac%e.
1) !nstale os &acotes do "H" necessrio &ara o 5&en,#A": # aptitude install php-pear php5-ldap
Captulo 13 4pen! AP - 145 2) 0eri'que se seu servidor A&ac%e est com su&orte a "H": # ls -l /etc/apache2/mods-enable
.) !nstalando os &acotes do &%&lda&admin: # aptitude install phpldapadmin
+) Abra o seu bro<ser e digite no cam&o Q1,: 127.0.0.1/phpldapadmin/index.php
1 .'. 6utenticando o S>uid na base de usu+rios L-65 4o nosso casoM <uere#os <ue os usu*rios do nosso servidor Open1+A2 seja# autenticados. 2ara issoM usare#os o pro ra#a ldapVaut%. 1) 6odi'que as seguintes lin%as no arquivo /etc/squid/squid.conf &ara ser feita a autentica (o via 5&en,#A": # vim /etc/squid/squid.conf
auth_param basic program /usr/lib/squid/ldap_auth -b dc=seunome,dc=com,dc=br -f uid=%s 192.168.200.X
E.o es7uecer de tirar a outra lin a de autentica-.o usando ncsa.
Captulo 13 4pen! AP - 146 1 .). 1xerc2cio terico
1P Sual a di6erena e# reali;ar os co#andos ldapsearc% =/ e slapcatU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P O <ue K u# sc%e#aU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 3P Sual K o banco de dados utili;ados pelo Open1+A2 e onde est* ar#a;enado no siste#aU ???????????????????????????????????????????????????????????????????????????????? ???????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????
1 .,. Laboratrio
1. Instale o 1+A2 tendo o seu no#e co#o cnM co#o no e/e#plo da apostilaL 2. Crie u# usu*rio direta#ente no 1+A2 e autenti<ue no -S9I+.
Captulo 14 $i(e5all - 147
Captulo 14 Fi%e4all
14.1. Objetivos
.ntender as tabelas principais do iptablesL .ntender as polticas b*sicasL .ntender o conceito de e/ce8esL .ntender o conceito de nat e 6orEardL Conf urar u# freEall si#ples.
14.2. Introduo terica Os siste#a D49@1inu/ co# êrnel sKrie 2." e 2.' trabal%a# co# o Iptables para 6a;er o erencial#ento de re ras de ,ireEall. 1e#brando <ue o Iptables K apenas u# ,ront=.nd <ue erencia o suporte 4etflter no êrnel. O Iptables possu " tabelasM sendo elas7 'lter nat mangle ra<
Captulo 14 $i(e5all - 148 @ tabela flter 0 a tabela "adr.o do ,"tables.
Cada u#a dessas tabelas possu o <ue c%a#a#os de C:AI4-. As C:AI4- so onde vo ser defnidos as re ras para o nosso freEall. 4esse captulo va#os tratar #ais das C:AI4- da tabela flter e al u#as coisas sobre as C:AI4- da tabela nat. As C:AI4- da tabela flter so as se uintes7 0abela ,ilter !$"QL = )e ras de entrada de pacotes. 5QL"QL = )e ras de sada de pacotes. F51[A1# = )e ras de passa e# de pacotes pelo freEall.
As C:AI4- da tabela nat so as se uintes7 0abela 4at "1E15QL!$M = )e ras <ue sero processadas antes do rotea#ento dos pacotes nas inter6aces do freEall. "5SL15QL!$M = )e ras <ue sero processadas ps rotea#ento dos pacotes nas inter6aces do freEall. 5QL"QL = )e ras de sada de pacotes.
14. . !o%(reendendo as (o$2ticas @FSI!6S e o conceito das 1G!1HI1S A #etodolo ia utili;ada para i#ple#entao do freEall ser* a se uinte7
Captulo 14 $i(e5all - 149 Ire#os ne ar todo o tr*6e o para as C:AI4- de I4290M O90290 e ,O)AA)+ da tabela flterM posterior#ente ire#os defnir a relao dos servios <ue deve# ser liberados no freEallM a estesM ire#os c%a#ar de e/ce8es. 0odo o tr*6e o de pacotes <ue as nossas e/ce8es no cobrir sero blo<ueado por padro. .# su#aM o <ue no 6or ofcial#ente per#itido j* est* e/pressa#ente ne ado.
14.4. 5r+tica diri#ida
5a#os a ora #ontar o nosso ,ireEall. 1) 0eri'que como est(o con'guradas as &olDticas bsicas que est(o de'nidas &or &adr(o: # iptables -n -L
2) 6odi'que as &olDticas bsicas &ara #15" A,,: # iptables -P INPUT DROP # iptables -P OUTPUT DROP # iptables -P FORWARD DROP
Captulo 14 $i(e5all - 150 .) 0eri'que se a nova &olDtica foi assumida: # iptables -n -L
A ora <ue percebe#os <ue te#os u# freEall ativoM deve#os pensar nas de#ais polticasM u#a ve; <ueM por #ais se uro <ue seja u# freEallM cuja poltica base seja ne ar tudoM no K u# f reEall pr*ticoM pois precisa#os reali;ar co#unica8es. +essa 6or#aM precisa#os defnir polticas de e/ce8es para o ,ireEall.
+) 1eali2e o teste usando o comando &ing na sua interface loo&bac4: # ping 127.0.0.1
8) 5 teste anterior nos &ermitiu veri'car que devemos de'nir uma &olDtica de e-ce (o &ara a interface loo&bac4. @riaremos uma &olDtica que &ossibilite isso: # iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT # iptables -A INPUT -d 127.0.0.1 -j ACCEPT
9) ,iste as &olDticas ativas: # iptables -n -L
:) 0e>amos se agora conseguimos fa2er um &ing na interface de loo&bac4: # ping 127.0.0.1
;) E-ecute o comando &ing/ tendo como alvo o endere o da mquina do instrutor &ara veri'car se alguma comunica (o 7 &ossDvel: # ping 192.168.200.254
Captulo 14 $i(e5all - 151 C) Agora criaremos uma &olDtica que &ermita que se>a e-ecutado o comando &ing a &artir de sua mquina com a sua interface de rede interna/ mas sua mquina n(o ir res&onder a &ing: # iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.200.x ACCEPT -d 0/0 -j
# iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 ACCEPT
-d 192.168.200.x -j
1E)
0eri'que se as regras foram adicionadas:
# iptables -n -L
11) "odemos ver se conseguimos fa2er um &ing na mquina do instrutor: # ping 192.168.200.254
12) Agora que > temos um &olDtica de e-ce (o/ tente fa2er um &ing no domDnio <<<.uol.com.br: # ping www.uol.com.br
1.) A&esar de conseguirmos usar o &ing nos endere os !"Rs/ ainda n(o conseguimos fa2er um &ing &or nomes. 0amos desenvolver a regra que fa a isso: # iptables -A OUTPUT -p udp -s 192.168.200.x --sport 1024:65535 -d 0/0 --dport 53 -j ACCEPT
# iptables -A INPUT -p udp -s 0/0 --sport 53 -d 192.168.200.x --dport 1024:65535 -j ACCEPT
Captulo 14 $i(e5all - 152 1+) 0eri'que se as regras foram adicionadas:
# iptables -n -L
18)
@om as regras de'nidas/ &odemos fa2er um &ing &or nomes:
# ping www.uol.com.br 3es#o <ue libera#os o nosso freEall para resolver os no#esM ainda no conse ui#os acessar u# servidor Aeb por eleM pois precisa#os liberar o acesso as portas 8& e ""3.
19)
@riaremos uma regra de e-ce (o que &ermita navega (o <eb:
# iptables -A OUTPUT -p tcp -s 192.168.200.x --sport 1024:65535 -d 0/0 --dport 80 -j ACCEPT
# iptables -A OUTPUT -p tcp -s 192.168.200.x --sport 1024:65535 -d 0/0 --dport 443 -j ACCEPT
# iptables -A INPUT -p tcp -s 0/0 --sport 80 -d 192.168.200.x --dport 1024:65535 -j ACCEPT
# iptables -A INPUT -p tcp -s 0/0 --sport 443 -d 192.168.200.x --dport 1024:65535 -j ACCEPT
1:) Fa amos um teste &ara ver se conseguimos tra ar rotas usando a ferramenta mtr: # mtr 200.176.2.11
Captulo 14 $i(e5all - 153 1;) 5 mtr utili2a res&ostas icm& do ti&o 11/ ent(o &recisamos criar uma regra liberando a entrada desse ti&o de &acote: # iptables -A INPUT -p icmp --icmp-type 11 -s 0/0 -j ACCEPT
1C)
0eri'que se a regra foi adicionada:
# iptables -n -L
2E)
E-ecute o comando mtr &ara testar a regra criada:
# mtr 200.17.2.11
14.5. /irewa$$ co%o #atewaC de rede
-e o nosso servidor KM por e/e#ploM u# freEall de 6ronteira entre a sua rede e a internetM ou sejaM u# ateEa? de redeM deve#os estabelecer u#a poltica <ue 6aa o repasse dos pacotes de u#a rede para a outraM para per#itir o repasseO6orEardP de pacotes entre u#a rede e outra.
1) A &rimeira coisa que &recisamos fa2er 7 liberar o re&asse de &acotes entre as interfaces no 4ernel: # sysctl -a | grep ip_forward # sysctl -w net.ipv4.ip_forward=1 *ara deixar esse valor fxo/ devemos deixar esse "ar]metro dentro de /etc/sysctl.conf # vim /etc/sysctl.conf net.i"v4.i"MforwardI#
Captulo 14 $i(e5all - 154 2) Agora &recisamos &ermitir no i&tables que nossa rede se comunique com outras. #evemos fa2er isso acrescentas regras na c%ain F51[A1#: # iptables -A FORWARD -s 192.168.200.0/24 -j ACCEPT # iptables -A FORWARD -d 192.168.200.0/24 -j ACCEPT 4o pode#os es<uecer <ue a internet trabal%a co# I2Cs reservadosM di6erente da nossa rede. 2or isso tere#os <ue 6a;er a traduo do enderea#ento inv*lido Oda 1A4P para o v*lido Oda internetPM atravKs da especifcao da tabela 4atM 6a;endo o #ascara#ento.
.) 0amos fa2er com que nossa ,A$ se>a mascarada: # iptables -t nat -A POSTROUTING -o ethX -s 192.168.200.0/24 -j MASQUERADE @ interface et W 0 a 7ue estC com o ,* vClido.
+) 0eri'que como est(o as regras inseridas: # iptables -n -L # iptables -n -L -t nat
8) "ara n(o &erdermos essas regras/ &odemos salv*las utili2ando recursos do i&tables/ lembrando que isso n(o 7 ainda um scri&t &ro'ssional: # iptables-save > /root/firewall.back # cat firewall.back
9) Agora &odemos fa2er um teste e lim&ar todas as regras adicionadas na mem)ria: # iptables -F # iptables -F -t nat
:) 0eri'que se as regras foram a&agadas: # iptables -n -L # iptables -n -L -t nat
;) 6odi'que as &olDticas bsicas &ara A@@E"L: # iptables -P INPUT ACCEPT # iptables -P OUTPUT ACCEPT # iptables -P FORWARD ACCEPT
14.'. Scri(t de "rewa$$
0odas as re ras <ue 6ora# 6eitasM fca# na #e#ria do co#putadorM se ele 6or reiniciadoM perdere#os todas elas. 2ode#os utili;ar o iptables=saveM #as ele no fca u# script profssional. -e ue a<ui u# script co# todas as re ras <ue 6ora# 6eitasM e# se uida esse script pode ser adicionado aos nveis de e/ecuo do siste#aM para ser carre ado se#pre a #*<uina 6or li ada. 5a#os c%a#ar nosso script de freEall.s%7
# cd /etc/init.d # vim firewall.sh
Captulo 14 $i(e5all - 156 #!/bin/bash 2 # Firewall personalizado - Curso 452 - 4Linux

1 3 4 5
## Definio de variveis
IPT=$(which iptables) 7 ET0="192.168.200.X" 8 NET="0/0" 9 PA=1024:65535 10 REDE="192.168.200.0/24"

6 11
## Fechando as Polticas 13 $IPT -P INPUT DROP

12 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
$IPT -P OUTPUT DROP $IPT -P FORWARD DROP ## Liberando LoopBack $IPT -A OUTPUT -d 127.0.0.1 -j ACCEPT $IPT -A INPUT -d 127.0.0.1 -j ACCEPT ## Liberando Ping (Sada de icmp 8 e Entrada de icmp 0) $IPT -A OUTPUT -p icmp --icmp-type 8 -s $ET0 -d $NET -j ACCEPT $IPT -A INPUT -p icmp --icmp-type 0 -s $NET -d $ET0 -j ACCEPT ## Liberando resoluo de nomes
$IPT -A OUTPUT -p udp -s $ET0 --sport $PA -d $NET --dport 53 -j ACCEPT

33 34 35 36 37 38
$IPT -A INPUT -p udp -s $NET --sport 53 -d $ET0 --dport $PA -j ACCEPT ## Liberando navegao web
$IPT -A OUTPUT -p tcp -s $ET0 --sport $PA -d $NET --dport 80 -j ACCEPT 40 $IPT -A OUTPUT -p tcp -s $ET0 --sport $PA -d $NET --dport 443 -j ACCEPT
39

41
$IPT -A INPUT -p tcp -s $NET --sport 80 -d $ET0 --dport $PA -j ACCEPT 43 $IPT -A INPUT -p tcp -s $NET --sport 443 -d $ET0 --dport $PA -j ACCEPT
42 44 45 46 47 48
## Liberando consultas mtr $IPT -A INPUT -p icmp --icmp-type 11 -s $ET0 -j ACCEPT
## Regras de FORWARD e NAT para liberar a LAN para acessar a internet.

49 50 51 52 53 54 55 56 57
net.ipv4.ip_forward=1 $IPT -A FORWARD -s $REDE -j ACCEPT $IPT -A FORWARD -d $REDE -j ACCEPT $IPT -t nat -A POSTROUTING -o ethX -s $REDE -j MASQUERADE
@gora "odemos confgurar as "ermiss?es de execu-.o "ara o scri"t: # c mod 522 frewall.s # ls -l frewall.s
2ara <ue ele seja iniciado junto co# siste#a <uando a #*<uina 6or li adaM pode#os colocar o script nos nveis de e/ecuo7 # update-rc.d firewall.sh defaults # ls -l /etc/rc2.d
14.). 1xerc2cios tericos
1P Suantas tabelas o iptables possu e <ual delas K a padroU
Captulo 14 $i(e5all - 158 VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 2P Sual tabela K respons*vel por 6a;er o #ascara#ento de I2Cs inv*lidosU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV 3P Sual seria# as re ras para liberar <ue outras #*<uinas consi a# conectar na porta 22 do seu servidorU VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV "P Consulte o #anual do iptables e responda <ual #dulo K necess*rio para li#itar a <uantidade de pacotes ic#p <ue sua #*<uina pode receberM e co#o devo us*=lo. VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
14.,. Laboratrio
1. I#a ine# <ue o seu servidor te# 2 I2CsM u# v*lido e outro inv*lido. Crie u#a re ra <ue redirecione todos os pacotes <ue c%e are# na porta 2$ do I2 v*lido para u#a #*<uina da rede <ue ten%a I2 inv*lido na porta 2$. +ica7 #an iptables.
Captulo 15 4pen"P& - 159
Captulo 15 3penVP"
15.1. Objetivos
.ntender co#o 6unciona u#a 524L Conf urar u#a 524 %ost to %ost.
15.2. Introduo 3erica 524 5irtual 2rivate 4etEorBM K u#a rede de co#unicao particularM eral#ente utili;ando canais de co#unicao inse urosM co#o a prpria 1A4 ou #es#o a Internet. O <ue torna esta rede de co#unicao particular K o 6ato das 6erra#entas de 524 e#pre are# #Ktodos e protocolos de cripto rafaM criando u# tNnel de cripto rafa para prover acesso se uro a partes da rede ou #es#o li ao entre 1A4Cs eo rafca#ente separadasM eli#inando a necessidade de u# canal de co#unicao privativo de alto custo 6ornecido pela operadora de teleco#unica8es. 0a#bK# pode#os utili;ar u#a 6erra#enta de 524 para i#ple#entar ou re6orar a se urana de acesso %* al u# servio dentro de nossa rede. 5ocQ possui u# so6tEare de erao de notas fscaisM e os 6uncion*rios
acessa# este ter#inal via telnetM <ue K u# protocolo <ue no i#ple#enta cripto rafa. 2ara corri ir esta situao e re6orar a se urana deste a#bienteM vocQ poderia conf urar u#a 524 entre o co#putador dos usu*rios e o servidorM #el%orando assi# a se urana deste servio. 4este laboratrioM ire#os conf urar u#a 524 %ost=to=%ost.
15. . 5r+tica -iri#ida 4s trabal%are#os neste laboratrio co# u# par de c%aves si#KtricasM ou sejaM usare#os a #es#a c%ave tanto para o servidor 524 <uanto para o cliente 524M lo oM a c%ave deve ser erada no servidor e replicada para o cliente via --:. 15. .1. !on"#urando o servidor
1) 5 &rimeiro &asso 7 instalar o soft<are 5&en0"$: # a"titude install o"env"n
5a#os entrar no diretrio @etc@openvpn e erar a c%ave7 # cd /etc/openvpn # openvpn --genkey --secret /etc/openvpn/chave
Captulo 15 4pen"P& - 161 2) 0amos gerar o arquivo de con'gura (o do servidor: # vim /etc/openvpn/server.conf
#Configurao para servidor 2 dev tun 3 # Server -> 172.16.0.1 4 # Client -> 172.16.0.2 5 #Definindo os IP's da VPN 6 ifconfig 172.16.0.1 172.16.0.2 7 #Definido a chave 8 secret /etc/openvpn/chave 9 # Definindo a porta 10 port 5000 11 comp-lzo 12 verb 4
1
15.4. !on"#urando o c$iente 1) Lamb7m 7 necessrio ter o 5&en0"$ no cliente: # a"titude install o"env"n
2) 0amos entrar no diret)rio /etc/o&env&n e co&iar a c%ave do servidor. # cd /etc/openvpn # scp 192.168.200.X /etc/openvpn/chave .
.) 0amos gerar o arquivo de con'gura (o do cliente: # vim /etc/openvpn/client.conf
Captulo 15 4pen"P& - 162 #Configurao para cliente 2 dev tun 3 # Server -> 172.16.0.1 4 # Client -> 172.16.0.2 5 #Definindo os IP's da VPN 6 ifconfig 172.16.0.2 172.16.0.1 7 #Definindo o IP real do servidor 8 remote 192.168.200.X 9 #Definido a chave 10 secret /etc/openvpn/chave 11 # Definindo a porta 12 port 5000 13 comp-lzo 14 verb 4
1
+) !niciando a 0"$/ tanto no servidor quanto no cliente. # openvpn --config /etc/openvpn/server.conf # openvpn --config /etc/openvpn/client.conf
8) E-ecute um ifcon'g &ara ver se a interface tunE foi criada: R i6conf =a
9) E-ecute um &ing na sua interface 0"$: # ping 172.16.0.X
:) E-ecute um &ing na interface do seu colega: # ping 172.16.0.X .6etue testes e# todos os servios utili;ando o I2 da 524.
*1/1*JN!I6S @I@LIOE*F/I!6S
4elson 3endona e 0ia o 5ilas >oas. D49 1inu/. .ditora >rasport. 0%e 1inu/ +ocu#entation 2rojectM tt"://www.tld".org Duia ,oca Dnu@1inu/M tt"://focalinux.ci"sga.org.br
6N1GOS
#+ste* I*a5e% 6 4Linu/
3 2ue 7 O -?ste# I#a er K u# siste#a de auto#ati;ao para rotinas de bacBup e recuperao de #*<uinas. .le per#ite <ue as #es#as #*<uinas possa# ser co#partil%adas por v*rios cursos si#ultTneosM #as de 6or#a <ue o estado delasM isto KM todos os seus ar<uivos e conf ura8es seja# individual por aluno. uardados e recuperados de 6or#a
Instalan'o o p%o5%a*a8 2ri#eira#enteM o aluno dever* 6a;er o doEnload do pro ra#a e #udar as suas per#iss8es. .sse procedi#ento s K necess*rio na pri#eira aula. # cd /sbin # wget 192.168.1.1/si/si_cliente # chmod u+x /sbin/si_cliente
15.4.1. 4ac-up ao fna) de cada au)a

Ao 'nal de cada aula o aluno e/ecuta o co#ando abai/oM selecionando a opo de Enviar !magem. # si_cliente
O pro6essor verifcar* se todas as #a<uinas esto co# a i#a e# pronta para enviar. .# caso positivoM ir* e/ecutar u# pro ra#a para recebQ=las.
"51LA$L5: $\5 desli ue seu #icroM pois o servidor estar* conectado a ele recebendo os ar<uivos #odifcados. Aps o processo ter sido concludoM as #*<uinas sero desli adas auto#atica#ente.
15.4.2. Restore antes de cada aula

4o incio de cada aulaM a i#a e# de cada #*<uina dever* ser restaurada. 2ara issoM basta e/ecutar o co#ando abai/oM selecionando a opo )eceber I#a e#. 4or#al#enteM esta operao K reali;ada pelo prprio instrutor antes da aula se iniciar e dever* ser reali;ada pelo aluno apenas sob sua orientao. ALE$]\5T 0odos os ar<uivos do siste#a podero ser apa adosl -e vocQ no 6e; nen%u# tipo de bacBupM 6aa=o antesl # si_cliente Aparecer* u#a lista e# das i#a ens disponveis. 5ocQ dever* escol%er a<uela <ue corresponder a sua #*<uina. 9# e/e#plo de no#enclatura das i#a ens7 451-Instrutor-31-Noturno-10 (Cod. do curso)-(Nome do Instrutor)-(Dia de Incio)-(Perodo)-(Fim do IP do Micro) Aps a concluso do processoM a #*<uina ir* se reiniciali;ar auto#atica#ente eM e# se uidaM estar* pronta para uso.

452 Linux Network Servers

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

452 Linux Network Servers

Enviado por

Direitos autorais:

Formatos disponíveis

Linux Network Servers 452

!.3. )esoluo...................................................................................................................... ("

1&.". 2r*tica diri ida........................................................................................................... !(

Captulo 1 Ajustes Iniciais - 7

ndice de tabelas ndice de Figuras

Captulo 1 Ajustes Iniciais - 8

Captulo 1 Ajustes Iniciais

# Interface Loopback 2 auto lo 3 iface lo inet loopback

# Interface de rede primria 6 auto eth0

Red Hat: # vim /etc/sysconfg/network/ifcfg-et !

1.4. !on"#urando a reso$uo de no%es 1) Edite o arquivo /etc/resolv.conf: # vim

2) Adicione o endere o !" do servidor #$S da Embratel: nameserver 200.176.2.10

1) Edite o arquivo de /etc/%osts: # vim /etc/hosts

127.0.0.1 localhost.localdomain localhost 192.168.200.X microX.microx.com.br microX

1) 0eri'cando servi os de rede com netstat: # netstat -nltup

Red Hat: # c kconfg --list # c kconfg --level %642 "ortma" sto"

4 comando runlevel/ mostra 7ual 0 o n8vel de iniciali9a-.o 7ue nos encontramos.

8) 1e&are o que est montado no sistema: # cat /proc/mounts # cat /proc/partitions # df -h

9) 5s di&ositivos 'cam /dev/ e seu sistema de arquivos 7 o udev. # ls -l /dev

:e=a novamente estes t+"icos no 42! e no 42#.

:) 5s m)dulos carregados no sistema: # # # # ls -l /lib/modules lsmod modprobe -l cat /proc/modules

;) "ara e-ibir todas bibliotecas do sistema: # ldconfig -p # ls /lib # cat /etc/ld.so.conf

Captulo 1 Ajustes Iniciais - 15 1.10. 1xerc2cios 3ericos

2P Sual K o diretrio #enos i#portante 6a;er bacBup no -site#aU O,:-P VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV

Captulo 2 PAM - 17 esto disponveis no se uinte endereo7 http://www.kernel.org/pub/linux/libs/pam

auth requisite pam_nologin.so

account requisite pam_time.so

# vim /etc/pam.d/ssh account required pam_time.so

Captulo 2 PAM - 21 12) Em seguida coloque a regra no time.conf:

2.'. 1xerc2cios 3ericos

3.2.1. Nveis de RAID

arantida pela duplicao dos discos

ravados e# cada par de discosM lo oM se u#

Captulo 3 RAI - 25 GO) entre A1 e 21. 01001100 XOR 00010110 -------01011010

2) #e&ois de criarmos o 1A!#/ /etc/mdadm/mdadm.conf/ que administra (o do 1A!#: # vim /etc/mdadm/mdadm.conf

necessrio editar o arquivo ser utili2ado durante a

8) @rie um &onto de montagem em /mnt/raid # mkdir /mnt/raid

9) 6ontando o 1A!#: # mount -t ext3 /dev/md0 /mnt/raid

:) @on'gure o /etc/fstab: /dev/md0 /mnt/raidext3defaults0

.5. 7eri"cando o 8unciona%ento do *6I-9

1) 0eri'cando os dis&ositivos individualmente: # mdadm -E /dev/sda11 # mdadm -E /dev/sda12 # mdadm -E /dev/sda13

#!/bin/bash while true ; do date >> /mnt/raid/dados.txt sleep 3 done

chmod +x TestaRaid.sh /root/TestaRaid.sh

2) 0eri'cando os detal%es do 1A!# a&)s a fal%a: # mdadm --detail /dev/md0

8) "ara &arar o 1A!#: # mdadm -S /dev/md0

9) 1einiciando o 1A!#: # mdadm -As /dev/md0

.). 1xerc2cios 3ericos

Captulo 4 !"M - 33 4.4. -e"nindo as 5arti:es

@aso n(o ten%a: # a"titude install lvm%

2) 1ed Hat: $o 1ed Hat: # r"m -7a Fgre" lvm

.) @aso n(o ten%a: # yum install lvm%

+) Mere o arquivo de con'gura (o do ,06/ utili2e o comando vgscan. # vgscan

;) @onsultando o Mru&o de 0olumes G0M). # vgdis"lay # vgdis"lay -v vg!#

1E) ,istando informa 3es do 0olume ,)gico G,0): # lvdis"lay -v /dev/vg!#/lv!#

12) ,istando o device do ,0 criado: # ls -l /dev/vg!#/lv!#

1.) 0eri'cando os ,0s criados: # lvs

@riando o sistema de arquivo ENL. no 0olume ,)gico:

# mkfs -t ext6 /dev/vg!#/lv!#

2) 6ontando manualmente o sistema ,06 criado: # mount -t ext6 /dev/vg!#/lv!# /lvm

.) 0eri'cando se o dis&ositivo est montado: # df # mount

+) @om label G&ara 1ed Hat): <@GH<I/lvm /lvm ext6 defaults ! %

8) Sem label G&ara #ebian): /dev/vg!#/lv!# /lvm ext6 defaults ! %

Captulo 4 !"M - 37 4.). 6d%inistrando o L74 1) #esmonte o ,06: # umount /lvm

2) 1edimencione o 0olume ,)gico G,0): # lvextend -< J%2&mb /dev/vg!#/lv!#