Você está na página 1de 35

Guia de Estudo LPI 201-202

Tpico 208 Web Services (Questes da Prova 202)


Principais temas abordados:
O Servidor HTTP Apache;
Utilizao de um certificado de segurana;
Conhecimento !sico de pro"#$
Apache Servidor HTTP
/etc/apache % &iret'rio com ar(uivos de configurao do apache
httpd.conf) apache2.conf ou apache.conf % Principal ar(uivo de configurao do apache$
mods-avaIiabIe % &iret'rio (ue contem m'dulos hailitados
sites-avaIiabIe % &iret'rio (ue contem a configurao dos sites dispon*veis
mods-enabIe % Contem lin+s sim'licos para os ar(uivos de m'dulos em mods,avaliale
sites-enabIe % Contem lin+s sim'licos para os ar(uivos de configurao em sites,avaliale
ports.conf % Ar(uivo de configurao de portas$
Configuraes fundamentais apache2.conf (Debian)
ServerType (standaIone/inetd) % &efine se o httpd deve rodar separado ou invocado pelo inetd
e"$- ServerType standaIone
ServerRoot caminho % &efine o diret'rio onde esto os ar(uivos de configurao do Apache
e"$- ServerRoot "/etc/apache2"
PidFiIe caminho % Ar(uivo (ue armazenara o valor do P.& do processo httpd pai /0var0run0http$pid1
e"$- PidFiIe /var/run/http.pid
ServerAdmin emaiI % 2mail do administrador do servidor) sero encaminhadas informa3es de erro
e"$- ServerAdmin admin@empresa.com.br
DocumentRoot caminho % &iret'rio (ue armazenara documentos disponiilizados no site
e"$- DocumentRoot "/var/www"
ServerName www.nome.com.br % O dom*nio registrado por onde o site poder! ser acessado
e"$- ServerName www.empresa.com.br
LoadModuIe nome caminho % Carrega um modulo &SO /&#namic Shared O4ect1
e"$- LoadModuIe vhost_aIias_moduIe Iibexec/apache/mod_vhost_aIias.so
AddModuIe moduIo.c % Ativao dos m'dulos est!ticos e e"ternos
e"$- AddModuIe mod_vhost_aIias.c
<IfModuIe ssI_moduIe> - verificar se o modulo foi carregado
.nstru3es
</IfModuIe>
Port porta % &efine a porta onde o servidor escutara$
e"$- Port 80
User usurio % Usu!rio dono do processo servidor$
e"$- User nobody
Group grupo % 5rupo dono do processo servidor$
e"$- Group nobody
Configuraes que infIuenciam na performance do servidor
Timeout % Tempo limite de espera para uma re(uisio 52T) dados via POST ou PUT
e"$- Timeout 300
KeepAIive % Permite (ue mais de uma re(uisio se4a realizada em uma 6nica cone"o
e"$- KeepAIive On
MaxKeepAIiveRequests % 7umero m!"imo de re(uisi3es numa mesma cone"o
e"$- MaxKeepAIiveRequests 100
1
Guia de Estudo LPI 201-202
KeepAIiveTimeout % .ntervalo em segundos das ultima re(uisio at8 o fechamento da cone"o
e"$- KeepAIiveTimeout 15
MinSpareServers % 7umero m*nimo de processos servidores inativos
e"$- MinSpareServers 5
MaxSpareServers % 7umero m!"imo de processos servidores inativos
e"$- MaxSpareServers 10
MinSpareThreads % 7umero m*nimo de threads servidores inativos
e"$- MinSpareThreads 5
MaxSpareThreads % 7umero m!"imo de threads servidores inativos
e"$- MaxSpareThreads 10
StartServers % 7umero de processos filhos disparados inicialmente mais o servidor principal
e"$- StartServers 5
MaxCIients % Total m!"imo de processos servidores
e"$- MaxCIients 150
MaxRequestsPerChiId , 7umero m!"imo de re(uisi3es (ue um processo filho poder! receer$
e"$- MaxRequestsPerChiId 0
Ativao de mduIos
2strutura modular) cada recurso e"tra )pode ser carregado atrav8s de m'dulos) e"$ PHP e P#thon
apache2ctI restart % Comando usado para reiniciar o apache
Restrio de acesso
9&irector# 0:
Options ;ollo<S#m=in+s
Allo<Override 7one
90&irector#:
&escrio-
<Directory /> % Aertura da seo) diret'rio raiz
Options FoIIowSymLinks % Orienta o apache a oedecer os lin+s sim'licos no diret'rio
AIIowOverride None % 2specifica se pode ser usado um ar(uivo $htaccess no diret'rio
</Directory> % ;echamento da seo
Conte6do do ar(uivo $htaccess
9&irector# >0var0<<<>:
Options .nde"es ;ollo<S#m=in+s ?ulti@ie<s
Allo<Override All
Order allo<)den#
Allo< from all
90&irector#:
Criar conta de acesso
htpasswd % Cria contas de acesso ao diret'rio restrito
htpasswd -s -c /var/www/restrito/.htpasswd aIuno
Descrio:
htpasswd % Comando (ue cria a conta
-s % Utilizao do algoritmo SHAA
m % ;ora criptografia mdB
-c /var/www/restrito/.htpasswd % .ndica a localizao do ar(uivo (ue armazenara a senha
aIuno % 7ome do usu!rio da conta
2
Guia de Estudo LPI 201-202
Contedo do arquivo /var/www/restrito/.htaccess
AuthT#pe Casic
Auth7ame DEestricted AreaF
AuthUser;ile D0var0<<<0restrito0$htpass<dF
Ee(uire valid,user
Arquivos de Iog
O log de erros 8 definido pelo parGmetro 2rror=og no ar(uivo apacheH$conf
e"$- ErrorLog /var/Iog/apache2/error.Iog
ErrorLog sysIog:user % Ao inv8s de ar(uivo utilizar o s#slog e a facilidade user
Transaes imagens em pgina HTML
=og;ormat DIh Il Iu It JFIrJF I:s IF common
Lista de caracteres
%h % Host remoto
%I % =og remoto) se houver
%u % Usu!rio remoto) se dispon*vel pelo auth
%t % &ata e hora) no formato padro americano
%r % Primeira linha de re(uisio
%s % Status da re(uisio
%b % C#tes receidos) e"clu*dos os caealhos
Criar Iogs personaIizados
&efine o ar(uivo e o nic+name pr8,definido
CustomLog /var/Iog/apache/access_Iog common
Criar logs apenas para registrar (uais navegadores acessam o site
LogFormat "%(User-agent)i" agent
CustomLog /var/Iog/apache/agent_Iog agent
Opes do comando apache2ctI
apache2ctI start % .nicia o servidor
apache2ctI stop % Termina o servidor
apache2ctI status % Status do servidor
apache2ctI restart % Eeiniciai ou inicia o servidor
apache2ctI gracefuI % .nicia ou reinicia o servidor) mas aguarda as cone"3es ativas terminarem
apache2ctI configtest % @erifica se h! erros de sinta"e nas configura3es$
Manuteno do servidor Web
Hosts Virtuais baseado em consuIta de nomes
9@irtualHost K:
Server7ame <<<$empresa$com$r
&ocumentEoot 0var0<<<0empresa
90@irtualHost:
Com ServerAIias (Indica outros nomes por meio dos quais o site ser acessveI)
9@irtualHost K:
Server7ame <<<$empresa$com$r
ServerAlias empresa$com$r K$empresa$com$r
&ocumentEoot 0var0<<<0empresa
3
Guia de Estudo LPI 201-202
90@irtualHost:
Hosts Virtuais baseado em IP
9@irtualHost ALH$AMN$A$A :
Server7ame <<<$empresa$com$r
&ocumentEoot 0var0<<<0empresa
90@irtualHost:
Hosts Virtuais Redirecionamento
9@irtualHost K-NO:
Server7ame <<<$empresa$com$r
Eedirect Permanent 0 http-00<<<$dominio$com$r
90@irtualHost:
Prtica Criar um Host VirtuaI
1 % vim 0etc0apacheH0sites,avaliale0<<<$empresa$com$r /Crie o dom*nio virtual1
P Host @irtual
7ame@irtualHost <<<$empresa$com$r
9@irtualHost <<<$empresa$com$r:
&ocumentEoot 0var0<<<0empresa$com$r
Server7ame empresa$com$r
ServerAdmin <emasterQempresa$com$r
2rror=og 0var0log0apacheH0empresa$com$r,access$log
Custom=og 0var0log0apacheH0empresa$com$r,access$log common
90@irtualHost:
Descrio:
NameVirtuaIHost www.empresa.com.br % Host virtual aseado em nome$
<VirtuaIHost www.empresa.com.br> , &efine o host virtual$
DocumentRoot /var/www/empresa.com.br , &iret'rio (ue armazenara documentos disponiilizados no site
ServerName empresa.com.br , O dom*nio registrado por onde o site poder! ser acessado
ServerAdmin webmaster@empresa.com.br , 2mail do administrador do servidor) sero encaminhadas
informa3es de erro
ErrorLog /var/Iog/apache2/empresa.com.br-access.Iog % Ar(uivo de logs de erros
CustomLog /var/Iog/apache2/empresa.com.br-access.Iog common , &efine o ar(uivo e o nic+name pr8,
definido
</VirtuaIHost> , ;echa a sesso
2 % mkdir /var/www/empresa.com.br /Crie o diret'rio do dom*nio virtual1
3 % vim /var/www/empresa.com.br/index.htmI /Crie o ar(uivo inde" para o seu dom*nio1
9html:
9title: ?inha P!gina 90title:
9od#:
Testando o Apache
90od#:
90html:
4 % apache2ctI -S /Testa a sinta"e do seu ar(uivo de @irtual Host1
5 % a2ensite /Hailita o dom*nio criado1
6 % a2ensite www.empresa.com.br / Hailita o dom*nio sem a necessidade de criar lin+s virtuais1
7 % invoke-rc.d apache2 reIoad /Eecarrega as configura3es sem reiniciar o apache1
Conexes seguras (SSL)
4
Guia de Estudo LPI 201-202
SSL (Secure Socket Layers) % Assegura a segurana e a autenticidade da comunicao com o servidor$ A
verso do Apache H$" 4! inclui o modRssl
HTTPS % Protocolo para navegao segura na porta 443$
CA /Certificate Authorit#1 % Autoridade certificadora) (ue garante a autenticidade do servidor$
ExempIos de CAs
@eriSign /Tha<te1
5eoTrust
5o&add#
Gerar chave
A % Hailitar o modulo ssl
a2enmod ssI
H % Acessar o diret'rio para guardar a chave
cd /etc/ssI
openssI % Comando usado para gerar chave privada (ue ser! mantida no servidor$
S % 5era uma chave usando criptografia Triple &2S e guarda no ar(uivo <<<$empresa$com$r$+e#
openssI genrsa -des3 -out www.empresa.com.br.key 1024
T % Cria um Certificate Signing Ee(uest /Pedido de assinatura do certificado1
openssI req -new -key www.empresa.com.br.key -out www.empresa.com.br.csr
B % Para vocU mesmo assinar o certificado e no uma unidade certificadora use-
openssI x509 -req -days 365 -in www.empresa.com.br.csr -signkey www.empresa.com.br.key -out
www.empresa.com.br.crt
Configurando o domnio virtuaI com SSL
vim 0etc0apacheH0sites,avaliale0<<<$empresa$com$r
7ame@irtualHost K-TTS
9@irtualHost K-TTS:
&ocumentEoot 0var0<<<0empresa$com$r
Server7ame K-TTS
ServerAdmin <emasterQempresa$com$r
2rror=og 0var0log0apacheH0empresa$com$r,access$log
Custom=og 0var0log0apacheH0empresa$com$r,access$log common
SSLEngine On
SSLCertificateFiIe /etc/ssI/www.empresa.com.br.crt
SSLCertificateKeyFiIe /etc/ssI/www.empresa.com.br.key
90@irtualHost:
SSLEngine On % Ativa o uso de SS= /porta TTS1
SSLCertificateFiIe /etc/ssI/www.empresa.com.br.crt % Ar(uivo do certificado assinado
SSLCertificateKeyFiIe /etc/ssI/www.empresa.com.br.key % Ar(uivo da chave
https-00<<<$empresa$com$r
ImpIementando Nginx como um Web Service e um Proxy Reverso
/etc/init.d/nginx start - Inicia o servio
/etc/nginx/nginx.conf - Arquivo de configurao
5
Guia de Estudo LPI 201-202
Web Service:
Configurao do arquivo nginx.conf:
server {
Iisten 127.0.0.1:8080;
server_name exampIe;
access_Iog /usr/IocaI/nginx/Iogs/exampIe.access.Iog;
error_Iog /usr/IocaI/nginx/Iogs/exampIe.error.Iog;

Iocation / {
root /var/www/exampIe;
index index.htmI index.htm;
}
}
Proxy Reverso:
Dentro do arquivo nginx.conf adicione dentro da Seo Http as Iinhas abaixo:
proxy_cache_path /data/nginx/cache IeveIs=1:2 keys_zone=STATIC:30m
inactive=168h max_size=5g;
*Obs: a pasta aonde ficar o cache deve ser criada: /data/nginx/cache
/etc/nginx/conf.d/defauIt.conf - Arquivo com configuraes do proxy reverso:
Ex:
Iocation / {
proxy_pass http://rodoIfofadino.com.br;
proxy_set_header Host $host;
proxy_cache STATIC;
proxy_cache_vaIid 200 7d;
proxy_cache_use_staIe error timeout invaIid_header updating
http_500 http_502 http_503 http_504;
}
ImpIementando um Servidor Proxy
Squid % Servidor pro"# (ue age como filtro) lo(ueador conte6do e autenticador
/etc/squid/squid.conf % Principal ar(uivo de configurao do s(uid
Opes fundamentais de um Cache Squid
http_port % &efine a porta utilizada pelo s(uid /SAHN a padro1
http_port 3128 transparent % &efine a porta utilizada pelo s(uid com transparUncia poderia especificar t o ip
da interface e"- http_port 192.168.0.1:3128 trasparent
cache_mgr % O email do administrador do pro"#
cache_effective_use % O usu!rio so o (ual o daemon s(uid ser! e"ecutado
cache_effective_group % O grupo so o (ual o daemon s(uid ser! e"ecutado
cache_men % define a (uantidade de cache de memoria tam
cache_dir % &efine o local e a (uantidade de memoria em disco
squid -z % Eecria o cache do s(uid
6
Guia de Estudo LPI 201-202
ACL
Access ControI List % Eegra de acesso /permisso e limites ao usu!rio do pro"#1
Tipos de AC=
src: filtra endereo de origem
dst: filtra endereo de destino
dstdomain: filtra dom*nio de destino
time: filtra hor!rio e dias da semana
urI_regex: filtra e"press3es regulares dentro de uma url
proxy_auth: filtra usu!rios autenticados
e"$- acI In src 192.168.1.0/24
&efine uma AC= de nome lan (ue se refere as todas as re(uisi3es para rede ALH$AMN$A$O0HT
Para lierar 0 7egar o acesso para esse grupo
http_access aIIow Ian
http_access deny Ian
Tpico 209 CompartiIhamento de Arquivos
Principais temas abordados:
Configurao e operao do SA?CA;
Compartilhamento de ar(uivos e espao em disco com 7;S$
SMB e CIFS % Protocolos (ue permitem compartilhar recursos de um servidor =inu" para esta3es Vindo<s e
vice,versa
smbd % &aemon do sama respons!vel por servidor de ar(uivos e impressoras$
nmbd % &aemon do sama respons!vel por servidor de nomes 7etC.OS$
Sama , &aemon do sama respons!vel por servidor de ar(uivos) impressoras e 7etC.OS /&eian1
/etc/samba/smb.conf % Principal ar(uivo de configurao do sama
ExempIo de um arquivo de configurao mnima:
[gIobaI]
<or+group W lpi
server string W &eian Sama Server
[homes]
comment W Home &irectories
read onl# W no
ro<seale W no
[printers]
comment W All Printers
path W 0var0spool0sama
printale W #es
ro<seale W no
[gIobaI] % Seo de configura3es gloais do servidor
[homes] % Seo de compartilhamento de diret'rios
7
Guia de Estudo LPI 201-202
[printers] % Seo de compartilhamento de impressoras
Op3es-
comment W Home &irectories
read onl# W #es or <ritale W no
ro<seale W no
path W 0var0spool0sama
printale W #es
ro<seale W no
guest o+ W #es
<rite list W 4oao) maria) Xcontailidade
read list W 4oao) maria) Qcontailidade
valid users W Xar(uivos) 4ose) 4oa(uim) Xadmin
invalid valid users W Xar(uivos) 4ose) 4oa(uim) Xadmin
hosts allo< W ALH$AMN$A$HS) athenas) AYH$AM$
testparm % Comando usando para testar as configura3es /sinta"e1 do ar(uivo sm$conf
Criao de contas de usurio samba
smbpasswd % Comando usado para criar conta do sama
Opes:
smbpasswd -a usurio % Cria uma conta do sama para um usu!rio indicado
smbpasswd -x usurio % 2"clui uma conta do sama para um usu!rio indicado
smbpasswd -d usurio % Clo(ueia uma conta do sama para um usu!rio indicado
smbpasswd -e usurio % &eslo(ueia uma conta do sama para um usu!rio indicado
smbpasswd -m % .ndica (ue a conta 8 uma conta de ma(uina e no de usu!rio
smbpasswd -n usurio % A senha do usu!rio do sama ser! nula$ Somente ser! poss*vel arir o
compartilhamento se e"istir o parGmetro null pass<ords W #es na seo gloal$
username map = /var/Iib/samba/users.map % Opo inserida no sm$conf para mapear usu!rios (ue
possuam na estao um nome diferente da(uele utilizado no servidor$
ExempIo de users.map
root W admin administrador
Samba como servidor PDC
PDC (Primary Domain ControI) % Servidor de dom*nio permite (ue usu!rios de esta3es Vindo<s realizem
logon utilizando as informa3es de autenticao centralizadas no servidor$
Parmetros da seo [gIobaI] para funcionamento do samba com PDC
workgroup % &efine o nome do dom*nio$
e"$- workgroup = Ipi
Iogon script % Script (ue ser! e"ecutado (uando o usu!rio se logar
e"$- Iogon script = Iogon.cmd
domain Iogons % &etermina a ativao de login remoto pra o dom*nio especificado
e"$- domain Iogons = yes
Outros parmetros da seo [gIobaI] para funcionamento do samba com PDC
netbios name % &efine o nome do computador na rede Vindo<s
e"$- netbios name = maqIinux
preferred master % &etermina se o servidor nmd devera ter prioridade frente a outros servidores
e"$- preferred master = yes
os IeveI % Prioridade do servidor) o numero AOO garante (ue este ser! o primeiro servidor
e"$- os IeveI = 100
Iogon path % &iret'rio onde sero armazenadas as configura3es do Vindo<s /Perfil1
e"$- Iogon path = \\%N\%U\profiIe
8
Guia de Estudo LPI 201-202
Iogon drive % &etermina a letra de drive (ue o Vindo<s usara para o diret'rio HO?2
e"$- Iogon drive = H:
Iogon home % &etermina a localizao do diret'rio HO?2
e"$- Iogon home = \\%N\%U \profiIe
ExempIo de uma configurao do smb.conf como PDC
[gIobaI]
netios name W ma(linu"
<or+group W lpi
server string W &eian Sama Server
domain master W #es
preferred master W #es
domain logons W #es
os level W AOO
logon path W JJI7JIUJprofile
logon drive W H-
logon home W JJI7JIU Jprofile
logon script W logon$cmd
Parmetros da seo [netIogon]
[netIogon] % Compartilhamento para (ue esta3es Vindo<s identifi(uem o servidor como P&C
[netIogon]
comment W =ogin
path W 0var0li0sama0netlogon
read onl# W #es
Contas de mquina
IncIuir o usurio root no samba
smpass<d ,a root
IncIuir conta para estao (conta de maquina) necessria apenas quando Samba age como PDC
useradd ,s 0in0false ,d 0dev0null <in"p,OAZ , Cria a conta Uni" para a m!(uina
passwd % Cria a conta Uni"
-s /bin/faIse % 7o tera um shell valido por no ser tratar de uma conta de usu!rio
-d /dev/nuII % 7o ter! um diret'rio valido por no ser tratar de uma conta de usu!rio
winxp-01$ , 7ome da ma(uina) origatoriamente contas de ma(uinas devem terminar com Z
BIoquear conta da maquina com a opo -I
pass<d ,l <in"p,OAZ
IncIuir a conta da maquina no samba
smpass<d ,m ,a <in"p,OA
Scripts de Iogon
7a seo [netIogon] criar o script indicado em path = /var/Iib/samba/netIogon
O script de logon mapear! o home do usu!rio para a unidade h- na estao Vindo<s
exempIo de um arquivo Iogon.cmd
7et US2 H- 0HO?2
Samba como servidor Wins (Servidor de nome NetBIOS)
Para ativar o Sama com servidor Vins use o parGmetro <ins support W #es em sm$conf
/etc/samba/Imhosts % ?apeamento de .P e nomes das ma(uinas
e"$- 192.168.1.1 maqIinux
9
Guia de Estudo LPI 201-202
192.168.1.2 winxp-01
nmbIookup % Comando usado para investigar o servio Vins
e"$- nmbIookup -B 192.168.1.255 'maqIinux'
nmbIookup % Comando usado para investigar o servio Vins
-B 192.168.1.255 % 2specifica para (ual endereo de roadcast a solicitao deve ser enviada
'maqIinux' % 7ome da ma(uina
-W domnio % 2specifica um dom*nio de grupo diferente do indicado em sm$conf
smbstatus % Comando usado para inspeo) lista a utilizao atual dos compartilhamentos
smbstatus -p % =ista os processo ativos do Sama
smbstatus -S % =ista os compartilhamentos sendo utilizados
smbstatus -u usurio % ?ostra apenas informa3es referentes ao usu!rio especificado
CIiente Samba
smbcIient % Comando usado para verificar os compartilhamentos dispon*veis
smbcIient -L \\maqIinux -U teste % @erifica compartilhamentos dispon*veis da ma(uina ma(linu" usando o
usu!rio teste para se autenticar
Montar compartiIhamento do samba no Linux
mount ,t smfs ,o usernameWteste)pass<ordWAHSTBM 00ma(linu"0teste 0mnt0sama
mount ,t smfs ,o usernameWteste)pass<ordWAHSTBM 00ALH$AMN$A$HO0teste 0mnt0sama
mount % Comando usado para montar$
,t smfs % Sistema de ar(uivos do tipo smfs$
,o usernameWteste)pass<ordWAHSTBM % 7ome do usu!rio e senha$
00ALH$AMN$A$AHO0teste % Computador e compartilhamento remoto
0mnt0sama % Ponto de montagem na ma(uina local$
Para montar no fsta use a opo credentiaIs=nome_do_arquivo com o seguinte Conte6do
username W teste
pass<ord W AHSTBM
Configurar um servidor NFS
NFS Network FiIe System % Sistema de ar(uivo de rede (ue permite montar compartilhamentos remotos
como se fossem dispositivos locais$
/etc/init.d/portmap % &aemon usado para montar dispositivos remotos$
Outros daemons necessrios para servir compartiIhamentos por meio de NFS
rpc.nfsd % &ispara os eventos controlados pelo modulo 7;S do +ernel$
rpc.mountd % Eesponde as solicita3es de montagem$
rpc.rquotad % Controla as (uotas do compartilhamento$
rpc.Iockd % Controle de trava para o 7;S$
rpc.statd % 7otificao de reinicio para o 7;S$
/etc/init.d/nfs ou /etc/init.d/nfs-kerneI-server % &aemon do nfs$ Use start) stop ou restart$
Definindo compartiIhamento
/etc/exports % Ar(uivo usado para definir os compartilhamento e lista de controle de acesso$
1
Guia de Estudo LPI 201-202
e"$- /mnt/Ivm 192.168.1.0/24(ro) 192.168.1.12(rw,no_root_squad)
/mnt/Ivm % &iret'rio a ser compartilhado
192.168.1.0/24(ro) % Clientes da rede ALH$AMN$A$O0HT permisso de leitura no compartilhamento
192.168.1.12(rw,no_root_squad) % O host ALH$AMN$A$AH permisso de escrita no compartilhamento
ro % Apenas leitura$
rw % =eitura e escrita$
no_root_squad % Permite (ue o usu!rio remoto root monte o compartilhamento$
exportfs -a % Ativa os compartilhamentos configurados em 0etc0e"ports
exportfs -ua % &esativa os compartilhamentos
Acesso ao compartiIhamento
mount ,t nfs ALH$AMN$A$H-0mnt0lvm 0mnt0remoto
mount % Comando usado para montar$
-t nfs % Tipo de sistema de ar(uivos /7;S1$
192.168.1.2:/mnt/Ivm % .P e compartilhamento do computador remoto$
/mnt/remoto % Ponto de montagem no computador local$
showmount % Usado para verificar (uais so os compartilhamentos disponiilizados no servidor
e"$- showmount -e 192.168.1.2
Opes-
showmount -e IP % 2"ie (uais compartilhamentos disponiilizados no servidor$
showmount -a IP % ?ostra o host e o diret'rio montado por ele$
showmount -a IP % ?ostra os diret'rios montados por clientes$
nfsstat % 7a ma(uina cliente mostra estat*sticas de uso dos compartilhamentos 7;S do servidor$
e"$- nfsstat -m
rpcinfo % 2"ie um relat'rio de informa3es EPC de um determinado host$
e"$- rpcinfo -p 192.168.1.1
TCPwrappers
Controle de acesso estaelecido atrav8s dos ar(uivos 0etc0hosts$allo< e 0etc0hosts0den#
/etc/hosts.aIIow % Cont8m as regras para os hosts (ue podero acessar a ma(uina local
e"$- ALL: 192.168.1.* EXCEPT 192.168.1.20
/etc/hosts.deny % Cont8m as regras para os hosts (ue no podero acessar a ma(uina local
e"$- ALL: ALL
Tpico 210 Administrao dos cIientes de redes
Principais temas abordados:
Oteno autom!tica de .P a partir do &HCP;
Autenticao por PA?;
Cliente =&AP$
Configurao DHCP
DHCP Dinamic Host Configuration ProtocoI % &istriui endereos .P para as esta3es mediantes a regras
1
Guia de Estudo LPI 201-202
pr8,estaelecidas
Configurao do Servidor
/etc/dhcp/dhcpd.conf % Principal ar(uivo de configurao do servidor &HCP
/etc/dhcp3/dhcpd.conf % Principal ar(uivo de configurao do servidor &HCP /&eian1
ExempIo de um arquivo dhcpd.conf
default,lease,time MOO;
ma",lease,time YHOO;
option domain,name >empresa$com$r>;
option domain,name,servers ALH$AMN$A$AO;
sunet ALH$AMN$A$O netmas+ HBB$HBB$HBB$O [
range ALH$AMN$A$BO ALH$AMN$A$AOO;
option routers ALH$AMN$A$AO;
\
host fulano [
hard<are ethernet ON-OO-HY-CY-AT-B;;
fi"ed,address ALH$AMN$A$MS;
\
host teste [
hard<are ethernet ON-OO-HY-AA-CT-2C;
fi"ed,address ALH$AMN$A$MY;
\
Descrio:
defauIt-Iease-time 600 % &etermina em segundos o intervalo de checagem de .P$
max-Iease-time 7200 % Per*odo m!"imo em segundos de alocao de .P$
option domain-name % ]ual dom*nio transmitido para os clientes$
option domain-name-servers % ]ual servidor de nomes o cliente poder! utilizar em resolv$conf$
subnet 192.168.1.0 netmask 255.255.255.0 % &efine a rede e mascara$
range 192.168.1.50 192.168.1.100 % .ntervalo de .P dispon*veis para a rede$
option routers 192.168.1.10 % &efine a rota padro para os clientes$
Outras opes:
host fuIano % 7ome do hos/ma(uina1
hardware ethernet 08:00:27:C7:14:5F % ?ac address do host$
Fixed-address 192.168.1.63 % .P fi"o para o host$
Boot via rede
CompatibiIidade com estaes DiskIess.
Bootp (Bootstrap) % Carregamento remoto do sistema operacional
ExempIo:
host fulano [
hard<are ethernet ON-OO-HY-CY-AT-B;;
fi"ed,address ALH$AMN$A$MS;
filename Dvmlinuz$fulanoF;
server,name Dempresa$com$rF;
ne"t,server servername;
\
1
Guia de Estudo LPI 201-202
Outra forma de iniciar o servidor DHCP
dhcpd -If /etc/dhcpd.Ieases eth0
dhcpd3 -If /var/Iib/dhcp3/dhcpd.Ieases eth0 (Debian)
dhcpd.Ieases % Ar(uivo (ue armazena o anco de dados de aluguel do cliente &HCP) contendo datas do
aluguel e os endereos ?AC da placa de interface de rede$
Servidor DHCP centraIizado fora da rede do cIiente
dhcreIay (Agente DHCP ReIay) % Permite o revezamento de pedidos &HCP e COOTP de uma su,rede sem
um servidor &HCP$
e"$- dhcreIay -i eth0 empresa.com.br
Descrio:
dhcreIay % Comando$
-i eth0 % .nterface (ue o dhcrela# aguardar! por re(uisi3es de .P$
empresa.com.br % &om*nio
Logs
taiIf -f /var/Iog/daemon.Iog % Comando para verificar em tempo real) distriui3es de .P aos clientes
Autenticao por PAM
PAM (PIuggabIe Authentication ModuIes) % ?ecanismo (ue oferece uma camada de astrao para
autenticao de usu!rios$
Programas ou servios que utiIiza autenticao possui uma configurao no PAM
/etc/pam.conf % Ar(uivo (ue centraliza todas as configura3es de cada programa ou servio$
/etc/pam.d % &iret'rio com ar(uivos individuais contendo as configura3es de cada programa ou servio$
Sinta"e interna dos ar(uivos individuais contendo as configura3es-
Tipo ControIe MduIo Argumentos
e"emplo do ar(uivo 0etc0pam$d0gdm
session optionaI pam_gnome_keyring.so auto_start
session % /Tipo1 &efine o tipo de autenticao usado para o m'dulo$
optionaI % /Controle1 2specifica o (ue fazer dependendo da resposta do m'dulo$
pam_gnome_keyring.so % /?'dulo1 ]ual m'dulo utilizar$
auto_start % /Argumentos1 Eepresenta os argumentos passados para o m'dulo$
Tipos de autenticao PAM
account % @erifica se o usu!rio pode acessar o servio) se a senha no espirou etc$
auth % &etermina a autenticidade do usu!rio via senha)pode utilizar outros meios) como iometria$
password % ?ecanismo da alterao da autenticao /provavelmente a senha1$
session % Procedimentos antes e depois (ue o usu!rio for autenticado$ 2"$- restrio de servio
ControIes do PAM
requisite % Autenticao 8 imediatamente negada) no caso de negativa do m'dulo$
required % Autenticao recusa no caso de negativa do m'dulo) mas consultara outros m'dulos para o servio
1
Guia de Estudo LPI 201-202
antes de negar completamente a autenticao$
sufficient % Se a autenticao para este m'dulo for em sucedida) a autenticao ser! confirmada mesmo (ue
os m'dulos anteriores tenham negado$
optionaI % A aprovao ou negao far! diferena se for o 6nico do tipo para o servio$
/usr/Iib/security ou /Iib/security % &iret'rio de locao dos m'dulos$
Diferenas entre as configuraes:
7o ar(uivo /etc/pam.d/Iogin
auth requisite pam_securetty.so
7o ar(uivo /etc/pam.conf
Iogin auth requisite pam_securetty.so
ExempIos de mduIos e arquivos de configuraes:
pam_motd.so (mduIo) % &etermina a e"iio do ar(uivo /etc/motd ap's um login em sucedido
pam_Iimits.so (mduIo) % &etermina os limites de utilizao de recursos para usu!rios definidos em
/etc/security/Iimits.conf
PAM e LDAP
pam_Idap.so % ?'dulo usado na configurao do PA? para utilizar autenticao) uscando as informa3es
num diret'rio =&AP
ExempIo do arquivo /etc/pam.d/Iogin para que o Iogin faa autenticao via LDAP
auth sufficient pamRldap$so
auth re(uired pamRuni"$so tr#RfirstRpass
accountsufficient pamRldap$so
accountre(uired pamRuni"$so
Uso de cIiente LDAP
LDAP (Lightweight Directory Access ProtocoI) % Protocolo utilizado para pes(uisar e modificar servios de
diret'rios numa rede TCP0.P$
Diretrio % Con4unto de informa3es /classes de o4etos1 com atriutos e propriedades organizadas de forma
hier!r(uica e l'gica$
sIapd % &aemon servidor do Open=&AP$
/etc/Idap/sIapd.conf % Principal ar(uivo de configurao dividido em trUs se3es- gloal) funcionamento interno
/ac+end1 e configurao de anco de dados$
Configuraes bsicas
include 0etc0ldap0schema0core$schema
include 0etc0ldap0schema0cosine$schema
include 0etc0ldap0schema0nis$schema
include 0etc0ldap0schema0inetorgperson$schema
Incorpora os padres de esquemas e definies de cIasses de objetos
pidfile 0var0run0slapd0slapd$pid
Arquivo com o PID do processo servidor (sIapd)
1
Guia de Estudo LPI 201-202
argsfile 0var0run0slapd0slapd$args
Arquivo contendo argumentos passados ao daemon
ac+end d
Define quaI ser o sistema de armazenamento de dados.
dataase d
Inicio da seo do banco de dados
suffi" >dcWempresa)dcWcom)dcWr>
O sufixo base para o diretrio no banco de dados
rootdn >cnWadmin)dcWempresa)dcWcom)dcWr>
Define o super-usurio (admin) para o banco de dados definido
rootp< [SSHA\MlVPMVigS@;z^4Ta&2g^_gh7COcd=]r
Senha do super-usurio (comando sIappasswd)
director# >0var0li0ldap>
Diretrio onde sero armazenados os arquivos do banco de dados
inde" o4ectClass e(
Definio da indexao. Configuraes bsicas para um diretrio LDAP.
Conectando ao diretrio
sIaptest % Comando usado para testar as configura3es em 0etc0ldap0slapd$conf
/etc/init.d/sIapd start % .nicia o daemon do =&AP
Idapsearch % Eealiza pes(uisa simples na ase de dados do =&AP
e"$- Idapsearch -x -b '' -s base '(objectcIass=*)' namingContexts
Arquivos LDIF
LDIF (LDAP Dta Interchange Format) % Tipo de ar(uivo usado para .nsero de dados em um diret'rio =&AP$
ExempIo de um arquivo LDIF (exempIo.Idif)
dn- dcWempresa) dcWcom) dcWr
o4ectClass- domain
dc- empresa
SigIas utiIizadas em arquivos Idif
dn: distinguished7ame
o: organization7ame
c: countr#
cn: common7ame
sn: surname
Para incluir os dados do ar(uivo e"emplo$ldif no diret'rio =&AP
Idapadd -f exempIo.Idif -x -W -D 'cn=admin,dc=empresa,dc=com,dc=br'
Para pes(uisar os dados do ar(uivo no diret'rio =&AP
Idapsearch -x -b 'dc=empresa,dc=com,dc=br' '(objectcIass=*)'
1
Guia de Estudo LPI 201-202
LDAP Comandos de grupos e usurios
Idapaddgroup % Adiciona um grupo$ 2"$- ldapaddgroup 9nomeRdoRgrupo: `gida
Idapadduser % Adiciona um usu!rio$ 2"$- ldapadduser 9nomeRdoRusu!rio: 9nomeRdoRgrupoJgid: `uida
Idapaddusertogroup % .nclui um usu!rio num grupo$ 2"$- ldapaddusertogroup 9nomeRdoRusu!rioJuid:
9nomeRdoRgrupoJgid:
Idapaddmachine % Cria uma conta de ma(uina$ 2"$- ldapaddmachine 9nomeZ: 9nomeRdoRgrupoJgid: `uida
IdapdeIetegroup % Eemove um grupo
IdapdeIeteuser % Eemove um usu!rio
IdapdeIeteuserfromgroup % 2"clui um usu!rio de um grupo$ 2"$- ldapdeleteuserfromgroup 9usu!rio:
9nomeRdoRgrupoJgid:
Idappasswd % Altera a senha de um item no diret'rio =&AP
Tpico 211 Servios de e-maiI
Principais temas abordados:
Configurao !sica de servidor de email;
;iltros do Procmail;
Servios POP e .?AP$
SMTP (SimpIe MaiI Transfer ProtocoI) % Protocolo utilizado para envio de mensagem de email$
MTA (MaiI Transfer Agent) % Agente de transporte de email /servidor de email1 respons!vel em enviar as
mensagens /S?TP1$
MDA (MaiI DeIivery Agent) % Agente entregador de email respons!vel em entregar as mensagens nas cai"as
postais dos usu!rios$
MTA % Postfi") Sendmail) (mail e 2"im$
MDA % Courier) &ovecot /Pop ou .?AP1
SendmaiI
/etc/maiI % &iret'rio (ue contem os ar(uivos de configurao do Sendmail$
Arquivos de configurao:
/etc/maiI/access % Ar(uivo utilizado para verificar e lierar /ou no1 emails cu4o destino 8 a ma(uina local$
Usado tam8m para (ue o servidor local possa ser utilizado como servidor de email por outras ma(uinas
/rela#1$
reIay % 2ncaminhamento a partir de origem e"terna$
Aes do arquivo access:
OK- Aceita o email para a entrega local;
RELAY- Aceita o email para encaminhamento por meio deste servidor;
REJECT- Ee4eita o envio do email;
DISCARD- &escarta e email sem gerar mensagem de erro$ Ao v!lida apenas para nomes de dom*nio ou
endereos de email$
Ap's configurar o /etc/maiI/access gere o ar(uivo de mapa in!rio-
makemap hash /etc/maiI/access.db < /etc/maiI/access
makemap % =U as configura3es a partir de entrada padro e gera o ar(uivo utilizado pelo Sendmail$
/etc/maiI/IocaI-host-names % &efine (uais nomes sero aceitos para a m!(uina local$
/etc/maiI/virtusertabIe % ?apeia mensagens receidas por outras contas ou dom*nios$
Ap's configurar o /etc/maiI/virtusertabIe gere o ar(uivo de mapa in!rio-
makemap hash /etc/maiI/virtusertabIe.db > /etc/maiI/virtusertabIe
/etc/maiI/genericstabIe % Eeescreve o endereo para emails enviados$
1
Guia de Estudo LPI 201-202
Ap's configurar o /etc/maiI/genericstabIe gere o ar(uivo de mapa in!rio-
makemap hash /etc/maiI/genericstabIe .db > /etc/maiI/genericstabIe
/etc/maiI/genericsdomain % .nforma ao Sendmail (uais endereos so considerados locais$
/etc/maiI/maiIertabIe % Eedireciona email vindo de fora) uma alternativa ao virtusertale$
/etc/maiI/domaintabIe % ?apeamento entre dom*nios$
Ap's configurar o /etc/maiI/domaintabIe gere o ar(uivo in!rio-
makemap hash /etc/maiI/domaintabIe .db > /etc/maiI/domaintabIe
/etc/maiI/aIiases % Eedireciona emails enviando para as contas locais especificadas$
Ap's configurar o /etc/maiI/aIiases gere o ar(uivo in!rio-
makemap hash /etc/maiI/aIiases .db > /etc/maiI/ aIiases
/etc/maiI/sendmaiI.cf % Principal ar(uivo de configurao do Sendmail$
/usr/share/sendmaiI/cf/cf/ % &iret'rio (ue contem ar(uivos e"emplos de configurao /$mc1 do Sendmail$
Usando um ar(uivo $mc /e"$- config.mc1 poder! ser gerado o ar(uivo de configurao do Sendmail atrav8s do
comando mT$
e"$- m4 config.mc > /etc/maiI/sendmaiI.cf
Para reiniciar o Sendmail para utilizar as novas configura3es use o comando kiIIaII -HUP sendmaiI
Postfix
/etc/postfix % &iret'rio (ue contem os ar(uivos de configurao do Postfi"$
/etc/postfix/main.cf % Principal ar(uivo de configurao do Postfi"$
Principais op3es do main.cf-
myorigin % &etermina o dom*nio (ue aparecera nos email enviado deste servidor
e"$- myorigin = $myhostname
mydestination , 2specifica para (uais dom*nios as mensagens receidas devem ser entregues localmente e
no enviadas para outro servidor$
e"$- mydestination = $myhostname, IocaIhost.$mydomain, IocaIhost
mynetworks % 2specifica em (ual surede o servidor aceitara emails enviados de clientes
e"$- mynetworks = 192.168.100.0/24 127.0.0.0/8
mynetworks_styIe % Usado no lugar de m#net<or+s) define o padro para aceitar email
e"$- mynetworks_styIe = subnet % Todas as ma(uinas da su,rede local$
mynetworks_styIe = host % Apenas da ma(uina local$
mynetworks_styIe = cIass % Clientes dentro da classe .P do servidor$
reIay_domains % &efine para (uais dom*nios ser! feito rela# de emails receidos$
e"$- reIay_domains = $mydestination
reIayhost % &efine (ual servidor se encarregara de entregar o email da internet$
1
Guia de Estudo LPI 201-202
e"$- reIayhost = [smtp.gmaiI.com]:587
/etc/postfix/master.cf % Ar(uivo de configurao (ue determina (uais comandos e como devem ser
e"ecutados
/etc/postfix/virtuaI % &efine dom*nios virtuais como os (uais o Postfi" deve atuar como servidor$
Exim
/etc/exim % &iret'rio (ue contem os ar(uivos de configurao do 2"im$
/etc/exim/exim.conf % Principal ar(uivo de configurao do 2"im$
QmaiI
/var/qmaiI/controI % &iret'rio (ue contem os ar(uivos de configurao do (mail$
/etc/qmaiI % =in+ sim'lico pra o diret'rio 0var0(mail0control
Aspectos comuns
/etc/aIiases % Ar(uivo usado parar criar alias /apelidos1 de contas de email para contas de usu!rios
e"$- postmaster: root
Ao chegar um email para postmasterQempresa$com$r ser! redirecionado para o usu!rio root
/var/spooI/maiI ou /var/maiI % &iret'rios para armazenar mensagens locais
/var/Iog/maiI/* % &iret'rios para armazenar logs
Administrao da entrega IocaI de e-maiI
procmaiI % ?&A /?ail &eliver# Agent1 tradicional do =inu"$ Um ?&A 8 respons!vel por classificar e distriuir os
emails entre os usu!rios do sistema$
Principais componentes do ProcmaiI
/etc/procmaiIrc % Ar(uivo de configurao do procmail$
~/.procmaiIrc % Ar(uivo (ue pode conter filtros espec*ficos de cada usu!rio$
/usr/bin/procmaiI % Programa (ue processa as mensagens$
Criando FiItros.
Um filtro pode ser criado diretamente no ar(uivo ~/.procmaiIrc ou criado no diret'rio b0$procmail$
Estrutura de um fiItro:
Inicio- ?arcador determinando comeo de regra indicado por -O
Condio- Uma ou mais e"press3es regulares (ue funcionaro como crit8rios
Ao- O destino dado a mensagem
ExempIo:
-O
K c;rom$KfulanoQ$K
estagi!rio
Pegar! todas as mensagens (ue se en(uadrem na e"presso regular /remetentes1 contendo o termo fulanoQ
e as colocar! no diret'rio estagi!rio dentro da pasta de emails do usu!rio /b0?ail1
ExempIo indicando o arquivo de trava Iock-fiIe no inicio do fiItro:
-O-
1
Guia de Estudo LPI 201-202
K c;rom$KfulanoQ$K
estagi!rio
/-O-1 2vita (ue o ar(uivo onde as mensagens sero gravadas se4a aerto para gravao ao mesmo tempo
ExempIo redirecionando mensagem fiItrada para outro endereo de emaiI
-O
K cSu4ect$Klinu"$K
d admQempresa$com$r
ExempIo definindo mais de uma ao no fiItro utiIizando chaves:
-O
K cSu4ect$Klinu"$K
[
-O c
d admQempresa$com$r
-O
e gzip :: linu"$gz
\
Descrio:
:0 % ?arcador determinando comeo de regra
* ^Subject.*Iinux.* % 2"presso linu" no campo assunto
{ % .nicia a definio de mais de uma ao
:0 c % Caractere c indica (ue a mensagem deve ser copiada para a pr'"ima ao
! adm@empresa.com.br % Eedireciona as mensagens para o email$
:0 % ?arcador determinando comeo de regra
| gzip >> Iinux.gz % Adiciona a mensagem no ar(uivo linu"$gz por meio de um Pipe
} % ;echa definio de mais de uma ao
Administrar entrega de e-maiI remoto
IMAP (Internet Message Access ProtocoI) % Protocolo para receimento de mensagens (ue utiliza tam8m
cone"o segura /SS=1$
POP (Post Office ProtocoI) % Semelhante ao .?AP) mas com uma implementao mais simples$
Servidor Courier
Servidor SMTP % Postfi"
Servidor IMAP/POP % Courier
/etc/courier % &iret'rio (ue contem os ar(uivos de configurao do Courier$
/etc/courier/imapd % Ar(uivo de defini3es para o daemon imapd$ &efinio de .P e porta de cone"o so
especificadas logo no inicio do ar(uivo$
e"$- ADDRESS=192.168.1.100 % Se no for definido um 6nico .P o servidor .?AP aceitar! cone"3es de todas
as interfaces de redes ativas$
e"$- IMAP_CHECK_ALL_FOLDERS=(0 ou 1 ) , Se ativado checas novas mensagens de email para pastas fora
da pasta .7COf
e"$- IMAP_ENHANCEDIDLE=(0 ou 1) % Se ativado altera3es aparecem no cliente no momento (ue ocorrem
no servidor$
1
Guia de Estudo LPI 201-202
/etc/courier/pop3d % Ar(uivo de defini3es para o daemon popSd$
e"$- POP3DSTART=YES % &etermina a e"ecuo do servidor POP na inicializao do Courier
Servidor Dovecot
Uma alternativa para servidor IMAP/POP) seu funcionamento 8 asicamente o mesmo do Courier
/etc/dovecot % &iret'rio (ue contem os ar(uivos de configurao do &ovecot$
/etc/dovecot/dovecot.conf % Principal ar(uivo de configurao do &ovecot$
Mtodo de autenticao usando PAM
/etc/pam.d/dovecot
auth re(uired pamRuni"$so
accountre(uired pamRuni"$so
Opes do arquivo de configurao /etc/dovecot/dovecot.conf
maiI_Iocation % &efine o local de armazenamento das mensagens
e"$- maiI_Iocation = maiIdir:~/MaiIdir
mbox_read_Iocks e mbox_write_Iocks % &efini3es (ue evita falhas de leitura e escrita nas cai"as de
mensagens
e"$- mbox_read_Iocks = fcntI
mbox_write_Iocks = dotIock fcntI
fcntI- Use esta opo se poss*vel$ Traalha com o 7;S tam8m se loc+d 8 usado$
fIock- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$
Iockf- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$
maiI_priviIeged_group % 2m caso de utilizao do diret'rio 0var0mail para as cai"as de entrada
e"$- maiI_priviIeged_group = maiI
mbox_dirty_syncs % Para oter melhor performance
e"$- mbox_dirty_syncs = yes
Tpico 212 Segurana do Sistema
Principais temas abordados:
Eoteadores) ;ire<alls e 7AT;
Proteo de Servidores ;TP;
Utilizao do OpenSSH;
tcpR<rappers e outras ferramentas de segurana$
CIasses de endereos
Categoria 1 % 2ndereos (ue no precisam ter acesso a outros endereos em redes e"ternas ou na internet$
Categoria 2 , 2ndereos (ue precisam ter acesso a alguns servios e"ternos /email) ftp) <<<1 u(e podem ser
mediados via gate<a#$
Categoria 3 % 2ndereos (ue necessitam de conectividade direta com a internet$
2ndereos das categorias A e H so chamados de privados$
2ndereos da categoria S so chamados de p6licos$
CIasse privada de endereamento IP
2
Guia de Estudo LPI 201-202
;ai"a ?ascara de rede 7otao areviada
AO$O$O$O at8 AO$HBB$HBB$HBB HBB$O$O$O AO$O$O$O0N
AYH$AM$O$O at8 AYH$SA$HBB$HBB HBB$HTO$O$O AYH$AM$O$O0AH
ALH$AMN$O$O at8 ALH$AMN$HBB$HBB HBB$HBB$HBB$O ALH$AMN$O$O0AM
Rotas
route % Comando para mane4o de rotas
route -n % 2"ie a taela de rotas no roteador
Adicionar uma rota manualmente por meio da interface ethA
e"$- route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1
Adicionar uma rota padro
e"$- route add defauIt gw 192.168.1.1
Adicionar uma rota padro usando forma e"tensa
e"$- route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1
NAT Network Address TransIation
O 7AT permite (ue um host da rede privada comuni(ue,se com hosts da rede pulica /.nternet1$ Para ativa o
7at no sistema 8 usado o comando iptales$
IptabIes % Eespons!vel por definir regras para o transito de pacotes .P controlado pelo +ernel$
tabeIas , Transito de pacotes .P divido em categorias
chains % linhas da taela (ue podem receer diversas regras
TabeIas do iptabIes
fiIter % Taela padro (ue cont8m as chains emutidas .7PUT) ;OEVAE& e OUTPUT$
INPUT % Para pacotes (ue chegam ao host local$
FORWARD % Para pacotes sendo roteados pelo host local$
OUTPUT % Para pacotes gerados no host local e destino e"terno$
nat % Para pacotes (ue criam novas cone"3es /tradu3es e redirecionamento1) cont8m as chains emutidas
PE2EOUT.75) OUTPUT e POSTEOUT.75
PREROUTING % Para alterar pacotes receidos antes do roteamento$
POSTROUTING % Para alterar pacotes (uando eles esto prestes a sair$
mangIe % Para altera3es espec*ficas de pacotes) cont8m as chains emutidas .7PUT) OUTPUT)
PE2EOUT.75) ;OEVAE& e POSTEOUT.75$
Argumentos-comandos dentro de uma chain:
-A- Adiciona uma regra na chain$
-I- .nserir regra numa posio dentro da chain$
-R- Sustituir regra na chain$
-D- Apagar chain$
-N- Criar chain personalizada$
-X- Apagar chain vazia$
-P- &efinir pol*tica para uma chain emutida$
-L- =istar as regras em uma chain$
-F- Apagar todas as regras em uma chain$
2
Guia de Estudo LPI 201-202
-Z- ^erar os contadores de pacotes em todas as regras de uma chain$
Regras de fiItragem padro e destinos para a maioria das chains:
-s endereo Ou --source endereo % 2ndereo de origem do pacote$ Pode ser nome de rede) host) .P de
rede0mascara ou um endereo .P$
e"$- -s 192.168.2.0/24
-d endereo Ou --destination endereo % 2ndereo de destino do pacote$ Pode ser nome de rede) host) .P de
rede0mascara ou um endereo .P$
e"$- -d 192.168.2.0/24
-p protocoIo Ou --protocoI protocoIo % &efine o protocolo$ Pode ser tcp) udp) icmp ou all$
e"$- -p tcp
-i interface Ou --in-interface interface % .nterface atrav8s da (ual o pacote chegou$
e"$- -i eth0
-o interface Ou --out-interface interface % .nterface atrav8s da (ual o pacote ser! enviado$
e"$- -o eth0
-j ao Ou --jump ao % Targets /a3es1 para os pacotes interceptados$ Targets comuns para o fire<all so
ACC2PT /Permite a passagem normal do pacote1 e &EOP /&escarta o pacote1$
e"$- -j ACCEPT
-m mduIo Ou --match mduIo % Usa m'dulo estendido Dm'duloF$ Um muito usado para o fire<all 8 o m'dulo
state$
--state estado % Permite determinar (ual a relao de um pacote com as cone"3es e"istentes$
estados-

INVALID % O estado no pode ser determinado$
ESTABLISHED % O pacote pertence a uma cone"o ativa$
NEW % .ndica (ue o pacote inicia uma nova cone"o$
RELATED % O pacote inicia outra cone"o porem relacionadas a uma cone"o e"istente$
Para criar uma regra de NAT:
iptales ,t nat ,A POSTEOUT.75 ,s ALH$AMN$H$O0HT ,o ethO ,4 S7AT %to,source HOA$BH$BO$AA
&escrio-
-t nat % &etermina (ue a taela 7AT se4a utilizada$
-A POSTROUTING % .ncluir a regra na corrente POSTEOUT.75
-s 192.168.2.0/24 % &etermina (ue a regra aplica,se a pacotes originados na rede privada$
-o eth0 % &etermina (ue a regra aplica,se a pacotes cu4o destino se4a a interface ethO$
-j SNAT % &etermina a ao /,41 a ser e"ecutada para o pacote (ue se en(uadrar na regras estaelecidas$
S7AT /source 7AT1 &etermina (ue o .P de origem do pacote enviado se4a informado com a opo ,,to,source
HOA$BH$BO$AA /.P do roteador1$
Configurando roteamento com o IPTabIes (Masquerading)

iptales ,t nat ,A POSTEOUT.75 ,o ethO ,4 ?AS]U2EA&2
Para permitir 7AT) al8m de definir a regra na taela de tr!fego 8 necess!rio alterar o Conte6do do ar(uivo
/proc/sys/net/ipv4/ip_forward para A /true1
2
Guia de Estudo LPI 201-202
e"$- echo "1" > /proc/sys/net/ipv4/ip_forward
Redirecionamentos
2"emplo- Todas as cone"3es destinadas a porta NO /http1 se4am redirecionadas pra um host da rede privada$
.ptales ,t nat ,A PE2EOUT.75 ,p tcp ,,dport NO ,4 &7AT ,,to,destination ALH$AMN$H$H-NO
&escrio-
-t nat % &etermina (ue a taela 7AT se4a utilizada$
-A PREROUTING % ?anipula os pacotes na medida em (ue entram na taela$
-p tcp % 2specifica o protocolo para a pr'"ima opo$
--dport 80 % &etermina a porta (ue ser redirecionada$
-j DNAT % .ndica (ue se trata de uma traduo para outro .P de destino$
--to-destination 192.168.2.2:80 % .P de destino
2"emplo para redirecionar pedidos de cone"o na porta HHOOO do roteador para o login via OpenSSH em uma
interface da rede interna$
IptabIes -t nat -A PREROUTING -p tcp --dport 22000 -j DNAT --to-destination 192.168.2.2:22
2"emplo para apenas redirecionar uma porta do roteador para outra porta no pr'prio roteador$ Todas as
suscita3es para a porta NO sero redirecionadas para a porta NONO$
IptabIes -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
BIoqueando ataques
Apagar todas as regras da taela filter
e"$- iptabIes -t fiIter -F
=ierar todos os pacotes gerados localmente
e"$- iptabIes -t fiIter -A INPUT -i Io -j ACCEPT
=ierar para entrar pela interface ethO somente os pacotes pertencentes /2STAC=.SH2&1 ou relacionados
/E2=AT2&1 a uma cone"o e"istente$
e"$- iptabIes -t fiIter -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT
2staelecer pol*tica de descartar todos os pacotes na chain .7PUT da taela filters
e"$- iptabIes -t fiIter -P INPUT DROP
@erificar novas regras
e"$- iptabIes -L
=ierar o acesso e"terno a porta NO
e"$- iptabIes -A INPUT -p tcp --dport 80 -j ACCEPT
=ierar o acesso e"terno a porta HH para acesso administrativo
e"$- iptabIes -A INPUT -p tcp --dport 22 -j ACCEPT
Segurana
DoS (DeniaI of Service) % Ata(ue (ue consiste em fazer um numero alt*ssimo de solicita3es a um servidor) de
forma (ue este no se4a capaz de responder a todos e torne,se inacess*vel$
2
Guia de Estudo LPI 201-202
Para evitar esse tipo de ata(ue 8 necess!rio ativar os recursos de verificao de endereo de origem (IP
spoofing Ips forjados) e proteo TCP SYN Cookie$
s#sctl ,< net$ipvT$conf$all$rpRfilterWA
s#sctl ,< net$ipvT$tcpRs#ncoo+iesWA

SaIvamento de regras
iptabIes-save % =ista as configura3es ativas do iptales$ 2"ie as configura3es atuais na sa*da padro /tela
do terminal1
iptabIes-save > /etc/iptabIes.conf % Salva as regras redirecionando a sa*da para um ar(uivo$
ptabIes-restore % Eestaura as configura3es gravadas no ar(uivo
iptabIes-restore < /etc/iptabIes.conf % Eestaura as configura3es gravadas para a entrada padro do
comando $
.ncluir o comando em um script de inicializao como 0etc0rc$local ou 0etc0rc$d0rc$local$
Segurana de servidores FTP
vsftpd (Very Secure FTP daemon) % Servidor ;TP desenvolvido com enfo(ue na segurana$
/etc/vsftpd.conf % Principal ar(uivo de configurao do servidor ;TP$
/etc/init.d/vsftpd % &aemon do servidor ;TP$
/home/ftp ou /var/ftp % &iret'rio ase para o ;TP$
Op3es do ar(uivo /etc/vsftpd.conf
Iisten=YES % Caso o vsftpd no for utilizado atrav8s do inetd ou "inetd$
Opes para conexes annimas
anonymous_enabIe=YES % Permitir ;TP angnimo$
write_enabIe=YES % Permitir escrita com comando ;TP$
anon_upIoad_enabIe=YES % Para permitir (ue o usu!rio angnimo possa carregar ar(uivos$
chroot_IocaI_user=YES % Permite restringir os usu!rios locais para seus diret'rios$
chroot_IocaI_user=YES % ?ostra ao usu!rio com login e senha o pr'prio diret'rio e 0home0ftp para usu!rio
angnimos$
Crie o diret'rio /home/ftp/incoming para usu!rios angnimos possam copiar ar(uivos para o servidor$ Configure
o diret'rio para usu!rio ftp e grupo ftp$
2"$- mkdir /home/ftp/incoming
chown ftp:ftp /home/ftp/incoming
IocaI_enabIe=YES , Permiti login de usu!rios cadastrados no sistema$
chroot_Iist_enabIe=YES % Ativa a lista de usu!rios locais sem chroot$
chroot_Iist_fiIe=/etc/vsftpd.chroot_Iist , 2specifica uma lista de usu!rios locais (ue no tero chroot para
seus diret'rios pessoais$
SheII seguro (SSH)
OpenSSH % ;erramenta padro para acesso remoto
/etc/ssh/sshd_config , Principal ar(uivo de configurao do servidor SSH$
Ajustes do Servidor OpenSSH
Op3es do ar(uivo /etc/ssh/sshd_config
2
Guia de Estudo LPI 201-202
PermitRootLogin yes % Clo(ueia o acesso direto ao usu!rio root) criando uma segunda camada de segurana$
ProtocoI 2 % Protocolo do tipo H mais seguro$
IgnoreRhosts yes % .gnora uma modalidade de lierao de acesso) onde os endereos presentes nos
ar(uivos b0$rhosts e b0$shosts podem entrar sem fornecer senha$
X11Forwarding yes % Permite (ue as 4anelas de programas se4am aertas atrav8s de cone"o SSH
CIiente OpenSSH
ssh % Comando usado para cliente ssh se conectar em um servidor$
/etc/ssh/ssh_config , Ar(uivo de configurao do cliente SSH$
e"$- ssh usurio@192.168.1.1
ssh % Comando usado pelo cliente
fuIano % 7ome do usu!rio presente no servidor
192.168.1.1 % .P do servidor
Chaves criptogrficas
&etermina a confiailidade e o m8todo de criptografia usada numa cone"o segura$
Chaves do computador
Formato Chave Privada Chave PbIica
ESA 0etc0ssh0sshRhostRrsaR+e# 0etc0ssh0sshRhostRrsaR+e#$pu
&SA 0etc0ssh0sshRhostRdsaR+e# 0etc0ssh0sshRhostRdsaR+e#$pu
~/.ssh/known_hosts , Armazena a chave p6lica de cone"o do computador remoto) (ue garante a
confiailidade entre o dois$
Para (ue a chave passe a valer para todos os usu!rios) o conte6do do ar(uivo b0$ssh0+no<nRhosts deve ser
inclu*do no ar(uivo /etc/ssh_known_hosts
Autenticao por chave
ssh-keygen % Comando usado para criar as chaves /pulica e privada1$
/root/.ssh/authorized_keys % Ar(uivo na ma(uina de destino (ue guarda o Conte6do da chave pulica
Tipos de formatos
&SA /Digital Signature Algorithm1 % Criptografia de AOHT its$
ESA /Rivest) Shamir and Adleman1 % Criptografia de TOLM its$
e"$- ssh-keygen -t das -b 1024
ssh-keygen -t rsa -b 4096
Um tamanho maior em bits torna ainda mais difciI a quebra da criptografia.
Chaves do usurio
Formato Chave Privada Chave PbIica
2
Guia de Estudo LPI 201-202
ESA b0$ssh0idRrsa b0$ssh0idRrsa$pu
&SA b0$ssh0idRdsa b0$ssh0idRdsa$pu
2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$
cat ~/.ssh/id_dsa.pub | ssh usurio@192.168.1.1 "cat >> ~/.ssh/authorized_keys"
Outro 2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$
ssh-copy-id usurio@192.168.1.1 % Copia o ar(uivo idRrsa$pu para a ma(uina remota$
ssh-copy-id % Comando usado para copiar chave pulica para um computador remoto
ssh-copy-id -i outro_arquivo.pub usurio@192.168.1.1 % Copia outro ar(uivo de chave pulica para a
ma(uina remota$
ssh-agent % Agente de autenticao) sua funo 8 armazenar a chave privada para autenticao via chave
p6lica /&SA ou ESA1$
ssh-add , Adiciona chaves de autenticao &SA ou ESA ao programa de autenticao$
Tneis criptografados
Criar um t6nel SSH entre a porta BLOO /@7C1 do computador local at8 a porta BLOO /@7C1 do computador
remoto
ssh -fNL 5900:IocaIhost:5900 usurio@192.168.1.1
f % .ndica (ue o comando deve ser e"ecutado em segundo plano
N % &etermina (ue no deva ser aerta uma sesso do shell na ma(uina remota
L % .ndica (ual porta ser usada
No cIiente
vncviewer IocaIhost:0
f remoto via Ssh
2"ecutar um programa na ma(uina remota via SSH
e"$- ssh -X usurio@192.168.1.1 "VirtuaIBox"
TCP Wrappers
Controla o acesso por hosts na rede
/etc/hosts.aIIow , Cont8m regras descrevendo (ue hosts tem permisso de acessar um servio em sua
m!(uina$
e"$- A==- ALH$AMN$A$K 2fC2PT ALH$AMN$A$HO
/etc/hosts.deny , Cont8m regras descrevendo (ue hosts no tem permisso de acessar um servio em sua
m!(uina$
e"$- A==- A==
Para servidores disparados por meio do daemon inetd 8 necess!rio forar a utilizao de TCPR<rappers$
Op3es do ar(uivo 0etc/inetd.conf
service name % 7ome do servio valido em 0etc0services
e"$- teInet
socket type % stream se TCP e dgram se U&P$
e"$- stream
protocoI % Protocolo v!lido em 0etc0protocols) como tcp e udp
2
Guia de Estudo LPI 201-202
e"$- tcp
wait/nowait % Se o inetd deve ou no esperar o programa servidor retornar para aceitar cone"3es para o
mesmo$
e"$- nowait
user.group % Eoda o program servidor com o usu!rio e grupo especificado
e"$- teInetd
server program % Caminho do programa para e"ecutar (uando um pedido e"istir no respectivo soc+et$
e"$- /usr/sbin/tcpd
server program arguments % ]uando o tcpd 8 usado para controlar os pedidos) neste campo devera constar o
caminho para o programa (ue 8 de fato o servidor do servio$
e"$- /usr/sbin/in.teInetd
2"emplo do servidor telnet no ar(uivo 0etc0inetd$conf
teInet stream tcp nowait teInetd /usr/sbin/tcpd /usr/sbin/in.teInetd
/var/run/inetd.pid % P.& do daemon inetd
Super,servidor finetd
/etc/xinetd.conf % Ar(uivo de configurao do finetd
/etc/xinetd.d % &iret'rio (ue guarda ar(uivos para cada servio$
2"emplo de um servio
nome do servio
[
disale W #es0no
soc+etRt#pe W stream)dgram)ra<)rdm ou se(pac+et
protocol W Protocolo v!lido em 0etc0protocols
<ait W #es0no
user W Usu!rio de inicio do servidor
group W 5rupo de inicio do servidor
server W Caminho para o programa servidor do servio solicitado
noRaccess W ALH$AMN$A$O
onl#Rfrom W O$O$O$O

\
Tarefas de segurana
A lista internacional Cugtra( da Securit# ;ocus) C2ET e C.AC 8 uma ferramenta de vital importGncia
(ue emite oletins de segurana$
Bugtraq- <<<$securit#focus$com0archive0A
CERT- <<<$cert$org
CIAC- <<<$ciac$org
Deteco de Intrusos
Iastb % 2"ies tentativas de logins (ue no lotaram com U"ito$
IDS (Intrusion Detection System) % ;erramentas espec*ficas (ue pode lo(uear cone"3es (ue apresentam
algum comportamento suspeito
2
Guia de Estudo LPI 201-202
Programas
FaiI2ban % Analisa ar(uivos de logs e lo(ueia endereos .P com muitas tentativas de acesso mal,sucedidas$
Snort % Analisa protocolos e uscas por padr3es espec*ficos) deteco (ue v!rios ata(ues e varreduras como
estouros de pilhas) ata(ues por C5.) analise por S?C) entre outros$
OpenVAS % Possui uma estrutura aseada em cliente0servidor$ O componente principal 8 um servidor com um
con4unto de testes de vulnerailidade conhecido com 7@Ts derivado do 7essus$
NVTs (Network VuInerabiIity Test) .dentificar prolemas nos sistemas remotos e em aplicativos$
Tpico 213 SoIuo de probIemas
Principais temas abordados:
Eeviso do t'picos anteriores;
.dentificao de falhas do sistema;
.dentificao de falhas de programas$
Identificar estgios de boot e consertar carregadores de boot
Etapas da iniciaIizao:
A % Carregamento do +ernel pelo =ilo ou 5ru
H % .nicializao do +ernel
S % .dentificao de configurao do hard<are
T % &isparo de daemons
ProbIemas no carregador de boot
Eemoo do +ernel) defeito no sistema de ar(uivos) entre outros$ O processo de oot do =ilo acontece
em dois est!gios) o primeiro estagio consiste num 6nico setor carregado pelo Cios$ O segundo estagio carrega
o =ilo multi,setor$
Interpretao de erros (cdigo hexadecimaI) no segundo estagio:
00- 7enhum erro identificado
01- Comando de disco invalido
02- .ndicador de endereo no encontrado
03- &isco protegido contra gravao
04- Setor no encontrado
06- &is(uete removido
08- &?A overrun
0A- Setor defeituoso
0B- Trilha defeituosa
20- ;alha no controlador
40- ;alha no rastreio /C.OS1 ou Cilindro : AOHAS /=.=O1
99- hndice de setor invalido para o segundo estagio /=.=O1
9A- AusUncia de assinatura para o carregador de segundo estagio
AA- &river no pronto
FF- ;alha geral
Outros erros
LIL?- O carregador de segundo estagio foi carregado num endereo incorreto
LIL-- A taela de +ernels est! corrompida
2
Guia de Estudo LPI 201-202
SoIuo geraI de probIemas
FaIhas de KerneI
Checar logs em /var/Iog e usar o comando dmesg para diagnostico de prolemas de hard<are
FaIhas de hardware
Ispci , lista componentes conectados no arramento pci
Ispci -s endereo do dispositivo -v , =ista com detalhes o dispositivo pci
e"$- lspci ,s OO-AA$O ,v
Isusb , lista componentes conectados no arramento us
Isusb -v -d ID do dispositivo -v , =ista com detalhes o dispositivo us
e"$- lsus ,v ,d AdM-OOOA
MduIos
.ncluir m'dulo com o comando modprobe nome_do_moduIo e checar a documentao do +ernel em
0usr/src/Iinux/Documentation) para verificar o nome do modulo para o dispositivo em (uesto$
FaIhas em programas
strace % Comando capaz de rastrear todas as chamadas de sistema feitas por um programa$
strace pwd % O strace e"ecuta o comando especificado e faz o rastreamento de suas chamadas de sistema$
strace pwd -o arquivo % O strace e"ecuta o comando especificado e as informa3es de rastreamento sero
enviadas para o ar(uivo especificado) ao inv8s do terminal ou console$
strace -p PID % ;az o rastreamento de um processo em e"ecuo com o P.& informado
Itrace % Comando (ue intercepta e mostra todas as chamadas (ue um programa faz para iliotecas
dinGmicas$
Itrace pwd % O ltrace e"ecuta o comando especificado e faz o rastreamento de suas chamadas para iliotecas
dinGmicas$$
Uma chamada de sistema 8 um m8todo usado pelo processo para re(uisitar um servio do sistema
operacional) ou mais especificamente do +ernel$
Isof % Usado para investigar (uem ou (uais processos esto utilizando um determinado ar(uivo
Isof -p PID % =istar todos os ar(uivos aertos por um determinado processo$
Isof -u usurio % =istar todos os ar(uivos aertos por um determinado processo disparado por um usu!rio$
Isof /dev/sda2 % =istar todos os ar(uivos aertos por processos (ue esto utilizando um determinado ar(uivo$
ProbIemas em recursos do sistema
Variveis de ambiente
/etc/profiIe % &efine as vari!veis gloais para o sistema
~/.bashrc % &efine as vari!veis para um usu!rio especifico
PATH &efine a lista de diret'rios nos (uais programas re(uisitados sero procurados$
e"$- echo $PATH
/usr/IocaI/sbin:/usr/IocaI/bin:/usr/sbin:/usr/bin:/sbin:/bin
LANG % .dioma padro do sistema) usado pelo amiente gr!fico$
e"$- echo $LANG
pt_BR.UTF-8
2
Guia de Estudo LPI 201-202
EDITOR % ]ual editor de te"to padro usado no console
e"$- echo $EDITOR
nano
PAGER % O paginador usado no console) como less ou more
e"$- echo $PAGER
Iess
env 2"ie as vari!veis de amiente e seus conte6dos
LD_LIBRARY_PATH % @ari!vel de amiente usada por e"portar iliotecas para uso do ld$so
e"$ export LD_LIBRARY_PATH=caminho_da_bibIioteca
/etc/Id.so.conf , Ar(uivo com localizao para as iliotecas de sistema
Idconfig , Comando usado para (ue as altera3es no ar(uivo 0etc0ld$so$conf atualizem /etc/Id.so.cache
Opes do KerneI
sysctI % Comando usado para editar op3es do +ernel sem precisar reiniciar o sistema$ Outra forma 8 modificar
diretamente os ar(uivos so o diret'rio 0proc0s#s$
sysctI - a % ?ostra todas as op3es do comando s#sctl$
sysctI -w net.ipv4.ip_forward=1 % &etermina se o sistema deve agir como um roteador de pacotes .P$
A opo -w deve se usada para fazer a alterao) caso contrario ser! mantido o valor atual$
/etc/sysctI.conf % Ar(uivo de configurao do s#sctl para incluir altera3es para ser carregadas no oot$
e"$- P Uncomment the ne"t line to enale pac+et for<arding for .PvT
net.ipv4.ip_forward=1
ProbIemas em configuraes de ambiente
vipw , 2dita diretamente o ar(uivo 0 etc0pass<d) e evita (ue o ar(uivo se4a alterado por outro comando ou outro
usu!rio durante a edio$
vipw -s , 2dita diretamente o ar(uivo 0 etc0shado<$
vigr , 2dita diretamente o ar(uivo 0 etc0group) e evita (ue o ar(uivo se4a alterado por outro comando ou outro
usu!rio durante a edio$
vigr -s , 2dita diretamente o ar(uivo 0 etc0gshado<
Usurio com contas bIoqueadas
! no inicio da linha do ar(uivo 0etc0pass<d
e"$- !teste-ZAZ?&7TgfCvZP0t;HgA]fU#$HCTtro=]O-AOOA-AOOA-Teste)))-0home0teste-0in0ash
Ou
shell padro apontar para /bin/faIse
e"$- teste-ZAZ?&7TgfCvZP0t;HgA]fU#$HCTtro=]O-AOOA-AOOA-Teste)))-0home0teste-/bin/faIse
Outras configuraes de Iogin
/etc/Iogin.defs % Ar(uivo de configurao para valores padro para validade de contas e numero m!"imo de
tentativas de login$
e"$- P ?a" time in seconds for login % Tempo m!"imo de espera para o usu!rio digitar a senha
LOGIN_TIMEOUT 10
Apndice no PDF em anexo com todos os pesos e objetivos das provas 201 e 202
3
Guia de Estudo LPI 201-202
Tpico 207 Domain Name Server
Principais temas abordados:
Configurao do Servidor C.7&;
Criao e manuteno d ar(uivos de zonas;
Segurana de &7S$
Configurao bsica de um servidor DNS
DNS Domain Name System % Traduz os nomes de ma(uinas /dom*nio1 para .P e vice,versa$
2"$- <i+i$tldp$org
org % top,level domain
tIdp % second,level domain
wiki % third,level domain
e"emplos de top,level domain- $com.br) .com) .org) .net) entre outros$
Bind % Servidor de resoluo de nomes$
named % Programa respons!vel por responder solicita3es de traduo de nomes
/etc/bind/named.conf % Principal ar(uivo de configurao do ind$
Servidor caching-onIy
O servidor apenas re(uisita a resoluo do nome 4unto a um servidor e"terno e armazena a resposta para
agilizar futuras re(uisi3es$
DNS reverso % Eespons!vel por converter n6meros .P para seus nomes$
/var/named/root.hints % Ar(uivo (ue guarda uma lista com os servidores de nomes principais da internet$
/etc/bind/db.root no &eian$
KiII -HUP $(pidof named) % ;ora a leitura do ar(uivo de configurao do ind$
ou
rndc reIoad
rndc % 2"ie (uais instru3es podem ser utilizadas
Criao e manuteno de zonas de DNS
named.conf
zone Dempresa$com$rF .7 [
t#pe master;
file Dempresa$zoneF;
\;
zone % 7ome da zona
type % &etermina a prioridade da zone /master ou slave1
fiIe % Ar(uivo de definio de registro ds zona
Registro da zona
ZTT=
3
Guia de Estudo LPI 201-202
Q .7 SOA empresa$com$r$ hostmaster$empresa$com$r$ /
$TTL % @alidade padro dos dados;
@ % Corresponde ao dom*nio da zona
IN % .nternet e determina classe do registro
SOA /Start of Authorit#1 % Eegistro da autoridade para o dom*nio) seguido do nome do servidor &7S e email do
administrador

AAAOHOOLOO ; Serial
MOTNOO ; Eefresh
NMTOO ; Eetr#
HTALHOO ; 2"pire
MOTNOO 1 ; 7egative Cache TT=
1110200900 % 7umero serial de identificao par a zona$
604800 % .ntervalo de atualizao$
86400 % .ntervalo para novas tentativas$
2419200 % Prazo de validade das informa3es$
604800 % .ntervalo m*nimo de permanUncia no cache$
Tipos de registros comuns:
NS % 2specifica (ual dos registros 8 o servidor de nomes do dom*nio$
MX % Servidor de email para o dom*nio$
A % ?apeia o nome especificado a es(uerda para o .P especificado a direita$
CNAME % Cria um alias especificado a es(uerda para um nome 4! definido em outro registro$
PTR % ?apeia um numero .P para um nome$
DNS reverso (Traduz numero .P para nomes1
zone >A$AMN$ALH$in,addr$arpa> [
t#pe master;
file >0etc0ind0d$AO>;
\;
zone % 7ome da zona
type % &etermina a prioridade da zone /master ou slave1
fiIe % Ar(uivo de definio de registro da zona
Servidores escravos
zone >empresa$com$r> [
t#pe slave;
file >0etc0ind0d$AO>;
masters [ ALH$AMN$A$A; \;
\;
zone % 7ome da zona$
type % &etermina a prioridade da zone /master ou slave1$
fiIe % Ar(uivo de definio de registro da zona$
masters % .P do servidor master$
Redirecionamento de servidor
options [
director# D0var0named0F;
for<arders [
HOO$ALH$ATO$HA;
3
Guia de Estudo LPI 201-202
HOO$ALH$ATS$B;
\
\;
0etc0ind0named$conf
zone Dempresa$com$rF .7 [
t#pe fo<ard;
for<arders [
HOO$ALH$ATO$HA;
HOO$ALH$ATS$B;
\
\;
Diagnostico do servidor
host % verifica o nome0ip correspondente de determinado host$
host empresa.com.br
host 192.168.1.1
host www empresa.com.br % informa3es mais detalhadas
dig (Domain Information Groper) % ;erramenta para diagnostico de servidor &7S
e"$- dig @empresa.com.br ANY
nsIookup , solicita informa3es para servidores de dom*nios da .nternet$
nsIookup modo interativo /consulta o servidor em 0etc0resolv$conf1
e"$- nsIookup
> empresa.com.br
pes(uisar um nome com nsloo+up em modo no interativo
nsIookup empresa.com.br
Segurana de DNS
&7S poisoning /envenenamento de &7S1 % Permite clonar um site e conseguir informa3es pessoais$
EnjauIar o servidor
4aula chroot % Amiente isolado onde so e"istam componentes necess!rios a e"ecuo do servidor &7S $
2"emplo de como o daemon named pode ser iniciado como processo do usu!rio no privilegiado
named -u bind -t /var/named
dnssec , Permite (ue as transferUncias entre servidores &7S possam ser autenticadas por meio de uma chave
criptogr!fica
dnssec-keygen % Permite gerar a chave criptogr!fica$
cd 0etc0ind
dnssec,+e#gen ,a &SA , YMN ,r 0dev0uramdom ,n ^O72 empresa$com$r
Descrio:
dnssec-keygen % Comando (ue gera a chave
-a das % 2specifica a criptografia usada
-b 768 % Tamanho da chave
-r /dev/uramdom % ;onte de dados aleat'rios
-n ZONE % ]ual o tipo de dono da chave
empresa.com.br % 2specifica o nome da chave
Arquivos gerados:
3
Guia de Estudo LPI 201-202
_empresa$com$r$XOOSXHHHSS$+e#
_empresa$com$r$XOOSXHHHSS$private
O ar(uivo $+e# deve menciona ao final do ar(uivo da zona por meio da instruo Zinclude
e"$-
$incIude Kempresa.com.br.XOOSXHHHSS$+e#
A zona deve ser assinada
dnssec-signzone % Comando usado para assinar a zona
dnssec,signzone ,r 0dev0urandom ,o empresa$com$r empresa$d _empresa$com$r$XOOSXHHHSS
Descrio-
dnssec-signzone % Comando usado para assinar a zona
-r /dev/uramdom % ;onte de dados aleat'rios
-o empresa.com.br empresa.db % &efine a origem do ar(uivo da zona
Kempresa.com.br.+003+22233 % Ar(uivo de chave gerado pelo comando dnssec,+e#gen
Arquivo gerado:
empresa$d$signed
O ar(uivo gerado deve ser especificado no registro da zona em named$conf
zone >empresa$com$r> [
t#pe master;
file >0etc0ind0empresa.db.signed>;
allo<,update [ none; \;
\;
Tam8m sero criado os ar(uivos dsset e +e#set utilizados para o administrador da zona superior saer (uais
chaves so o ponto d entrada seguro para a zona$
dsset,empresa$com$r$
+e#set,empresa$com$r$
Kempresa.com.br.+003+22233.key % 2sta chave deve estar presente na entrada trusted,+e#s do ar(uivo
named$conf
trusted,+e#s [
string numer numer numer string ;
string numer numer numer string ;
$$$
\;
Restringir Acesso
Eestringir totalmente o acesso ao servidor de nomes a uma rede ao a um host$
Allo<,(uer# [
ALH$AMN$A$O0HT;
\;
3
Guia de Estudo LPI 201-202
Para restringir transferUncia de zonas entre servidores$
Allo<,transfer [
ALH$AMN$A$H;
\;
3