Principais temas abordados: O Servidor HTTP Apache; Utilizao de um certificado de segurana; Conhecimento !sico de pro"#$ Apache Servidor HTTP /etc/apache % &iret'rio com ar(uivos de configurao do apache httpd.conf) apache2.conf ou apache.conf % Principal ar(uivo de configurao do apache$ mods-avaIiabIe % &iret'rio (ue contem m'dulos hailitados sites-avaIiabIe % &iret'rio (ue contem a configurao dos sites dispon*veis mods-enabIe % Contem lin+s sim'licos para os ar(uivos de m'dulos em mods,avaliale sites-enabIe % Contem lin+s sim'licos para os ar(uivos de configurao em sites,avaliale ports.conf % Ar(uivo de configurao de portas$ Configuraes fundamentais apache2.conf (Debian) ServerType (standaIone/inetd) % &efine se o httpd deve rodar separado ou invocado pelo inetd e"$- ServerType standaIone ServerRoot caminho % &efine o diret'rio onde esto os ar(uivos de configurao do Apache e"$- ServerRoot "/etc/apache2" PidFiIe caminho % Ar(uivo (ue armazenara o valor do P.& do processo httpd pai /0var0run0http$pid1 e"$- PidFiIe /var/run/http.pid ServerAdmin emaiI % 2mail do administrador do servidor) sero encaminhadas informa3es de erro e"$- ServerAdmin admin@empresa.com.br DocumentRoot caminho % &iret'rio (ue armazenara documentos disponiilizados no site e"$- DocumentRoot "/var/www" ServerName www.nome.com.br % O dom*nio registrado por onde o site poder! ser acessado e"$- ServerName www.empresa.com.br LoadModuIe nome caminho % Carrega um modulo &SO /&#namic Shared O4ect1 e"$- LoadModuIe vhost_aIias_moduIe Iibexec/apache/mod_vhost_aIias.so AddModuIe moduIo.c % Ativao dos m'dulos est!ticos e e"ternos e"$- AddModuIe mod_vhost_aIias.c <IfModuIe ssI_moduIe> - verificar se o modulo foi carregado .nstru3es </IfModuIe> Port porta % &efine a porta onde o servidor escutara$ e"$- Port 80 User usurio % Usu!rio dono do processo servidor$ e"$- User nobody Group grupo % 5rupo dono do processo servidor$ e"$- Group nobody Configuraes que infIuenciam na performance do servidor Timeout % Tempo limite de espera para uma re(uisio 52T) dados via POST ou PUT e"$- Timeout 300 KeepAIive % Permite (ue mais de uma re(uisio se4a realizada em uma 6nica cone"o e"$- KeepAIive On MaxKeepAIiveRequests % 7umero m!"imo de re(uisi3es numa mesma cone"o e"$- MaxKeepAIiveRequests 100 1 Guia de Estudo LPI 201-202 KeepAIiveTimeout % .ntervalo em segundos das ultima re(uisio at8 o fechamento da cone"o e"$- KeepAIiveTimeout 15 MinSpareServers % 7umero m*nimo de processos servidores inativos e"$- MinSpareServers 5 MaxSpareServers % 7umero m!"imo de processos servidores inativos e"$- MaxSpareServers 10 MinSpareThreads % 7umero m*nimo de threads servidores inativos e"$- MinSpareThreads 5 MaxSpareThreads % 7umero m!"imo de threads servidores inativos e"$- MaxSpareThreads 10 StartServers % 7umero de processos filhos disparados inicialmente mais o servidor principal e"$- StartServers 5 MaxCIients % Total m!"imo de processos servidores e"$- MaxCIients 150 MaxRequestsPerChiId , 7umero m!"imo de re(uisi3es (ue um processo filho poder! receer$ e"$- MaxRequestsPerChiId 0 Ativao de mduIos 2strutura modular) cada recurso e"tra )pode ser carregado atrav8s de m'dulos) e"$ PHP e P#thon apache2ctI restart % Comando usado para reiniciar o apache Restrio de acesso 9&irector# 0: Options ;ollo<S#m=in+s Allo<Override 7one 90&irector#: &escrio- <Directory /> % Aertura da seo) diret'rio raiz Options FoIIowSymLinks % Orienta o apache a oedecer os lin+s sim'licos no diret'rio AIIowOverride None % 2specifica se pode ser usado um ar(uivo $htaccess no diret'rio </Directory> % ;echamento da seo Conte6do do ar(uivo $htaccess 9&irector# >0var0<<<>: Options .nde"es ;ollo<S#m=in+s ?ulti@ie<s Allo<Override All Order allo<)den# Allo< from all 90&irector#: Criar conta de acesso htpasswd % Cria contas de acesso ao diret'rio restrito htpasswd -s -c /var/www/restrito/.htpasswd aIuno Descrio: htpasswd % Comando (ue cria a conta -s % Utilizao do algoritmo SHAA m % ;ora criptografia mdB -c /var/www/restrito/.htpasswd % .ndica a localizao do ar(uivo (ue armazenara a senha aIuno % 7ome do usu!rio da conta 2 Guia de Estudo LPI 201-202 Contedo do arquivo /var/www/restrito/.htaccess AuthT#pe Casic Auth7ame DEestricted AreaF AuthUser;ile D0var0<<<0restrito0$htpass<dF Ee(uire valid,user Arquivos de Iog O log de erros 8 definido pelo parGmetro 2rror=og no ar(uivo apacheH$conf e"$- ErrorLog /var/Iog/apache2/error.Iog ErrorLog sysIog:user % Ao inv8s de ar(uivo utilizar o s#slog e a facilidade user Transaes imagens em pgina HTML =og;ormat DIh Il Iu It JFIrJF I:s IF common Lista de caracteres %h % Host remoto %I % =og remoto) se houver %u % Usu!rio remoto) se dispon*vel pelo auth %t % &ata e hora) no formato padro americano %r % Primeira linha de re(uisio %s % Status da re(uisio %b % C#tes receidos) e"clu*dos os caealhos Criar Iogs personaIizados &efine o ar(uivo e o nic+name pr8,definido CustomLog /var/Iog/apache/access_Iog common Criar logs apenas para registrar (uais navegadores acessam o site LogFormat "%(User-agent)i" agent CustomLog /var/Iog/apache/agent_Iog agent Opes do comando apache2ctI apache2ctI start % .nicia o servidor apache2ctI stop % Termina o servidor apache2ctI status % Status do servidor apache2ctI restart % Eeiniciai ou inicia o servidor apache2ctI gracefuI % .nicia ou reinicia o servidor) mas aguarda as cone"3es ativas terminarem apache2ctI configtest % @erifica se h! erros de sinta"e nas configura3es$ Manuteno do servidor Web Hosts Virtuais baseado em consuIta de nomes 9@irtualHost K: Server7ame <<<$empresa$com$r &ocumentEoot 0var0<<<0empresa 90@irtualHost: Com ServerAIias (Indica outros nomes por meio dos quais o site ser acessveI) 9@irtualHost K: Server7ame <<<$empresa$com$r ServerAlias empresa$com$r K$empresa$com$r &ocumentEoot 0var0<<<0empresa 3 Guia de Estudo LPI 201-202 90@irtualHost: Hosts Virtuais baseado em IP 9@irtualHost ALH$AMN$A$A : Server7ame <<<$empresa$com$r &ocumentEoot 0var0<<<0empresa 90@irtualHost: Hosts Virtuais Redirecionamento 9@irtualHost K-NO: Server7ame <<<$empresa$com$r Eedirect Permanent 0 http-00<<<$dominio$com$r 90@irtualHost: Prtica Criar um Host VirtuaI 1 % vim 0etc0apacheH0sites,avaliale0<<<$empresa$com$r /Crie o dom*nio virtual1 P Host @irtual 7ame@irtualHost <<<$empresa$com$r 9@irtualHost <<<$empresa$com$r: &ocumentEoot 0var0<<<0empresa$com$r Server7ame empresa$com$r ServerAdmin <emasterQempresa$com$r 2rror=og 0var0log0apacheH0empresa$com$r,access$log Custom=og 0var0log0apacheH0empresa$com$r,access$log common 90@irtualHost: Descrio: NameVirtuaIHost www.empresa.com.br % Host virtual aseado em nome$ <VirtuaIHost www.empresa.com.br> , &efine o host virtual$ DocumentRoot /var/www/empresa.com.br , &iret'rio (ue armazenara documentos disponiilizados no site ServerName empresa.com.br , O dom*nio registrado por onde o site poder! ser acessado ServerAdmin webmaster@empresa.com.br , 2mail do administrador do servidor) sero encaminhadas informa3es de erro ErrorLog /var/Iog/apache2/empresa.com.br-access.Iog % Ar(uivo de logs de erros CustomLog /var/Iog/apache2/empresa.com.br-access.Iog common , &efine o ar(uivo e o nic+name pr8, definido </VirtuaIHost> , ;echa a sesso 2 % mkdir /var/www/empresa.com.br /Crie o diret'rio do dom*nio virtual1 3 % vim /var/www/empresa.com.br/index.htmI /Crie o ar(uivo inde" para o seu dom*nio1 9html: 9title: ?inha P!gina 90title: 9od#: Testando o Apache 90od#: 90html: 4 % apache2ctI -S /Testa a sinta"e do seu ar(uivo de @irtual Host1 5 % a2ensite /Hailita o dom*nio criado1 6 % a2ensite www.empresa.com.br / Hailita o dom*nio sem a necessidade de criar lin+s virtuais1 7 % invoke-rc.d apache2 reIoad /Eecarrega as configura3es sem reiniciar o apache1 Conexes seguras (SSL) 4 Guia de Estudo LPI 201-202 SSL (Secure Socket Layers) % Assegura a segurana e a autenticidade da comunicao com o servidor$ A verso do Apache H$" 4! inclui o modRssl HTTPS % Protocolo para navegao segura na porta 443$ CA /Certificate Authorit#1 % Autoridade certificadora) (ue garante a autenticidade do servidor$ ExempIos de CAs @eriSign /Tha<te1 5eoTrust 5o&add# Gerar chave A % Hailitar o modulo ssl a2enmod ssI H % Acessar o diret'rio para guardar a chave cd /etc/ssI openssI % Comando usado para gerar chave privada (ue ser! mantida no servidor$ S % 5era uma chave usando criptografia Triple &2S e guarda no ar(uivo <<<$empresa$com$r$+e# openssI genrsa -des3 -out www.empresa.com.br.key 1024 T % Cria um Certificate Signing Ee(uest /Pedido de assinatura do certificado1 openssI req -new -key www.empresa.com.br.key -out www.empresa.com.br.csr B % Para vocU mesmo assinar o certificado e no uma unidade certificadora use- openssI x509 -req -days 365 -in www.empresa.com.br.csr -signkey www.empresa.com.br.key -out www.empresa.com.br.crt Configurando o domnio virtuaI com SSL vim 0etc0apacheH0sites,avaliale0<<<$empresa$com$r 7ame@irtualHost K-TTS 9@irtualHost K-TTS: &ocumentEoot 0var0<<<0empresa$com$r Server7ame K-TTS ServerAdmin <emasterQempresa$com$r 2rror=og 0var0log0apacheH0empresa$com$r,access$log Custom=og 0var0log0apacheH0empresa$com$r,access$log common SSLEngine On SSLCertificateFiIe /etc/ssI/www.empresa.com.br.crt SSLCertificateKeyFiIe /etc/ssI/www.empresa.com.br.key 90@irtualHost: SSLEngine On % Ativa o uso de SS= /porta TTS1 SSLCertificateFiIe /etc/ssI/www.empresa.com.br.crt % Ar(uivo do certificado assinado SSLCertificateKeyFiIe /etc/ssI/www.empresa.com.br.key % Ar(uivo da chave https-00<<<$empresa$com$r ImpIementando Nginx como um Web Service e um Proxy Reverso /etc/init.d/nginx start - Inicia o servio /etc/nginx/nginx.conf - Arquivo de configurao 5 Guia de Estudo LPI 201-202 Web Service: Configurao do arquivo nginx.conf: server { Iisten 127.0.0.1:8080; server_name exampIe; access_Iog /usr/IocaI/nginx/Iogs/exampIe.access.Iog; error_Iog /usr/IocaI/nginx/Iogs/exampIe.error.Iog;
Iocation / { root /var/www/exampIe; index index.htmI index.htm; } } Proxy Reverso: Dentro do arquivo nginx.conf adicione dentro da Seo Http as Iinhas abaixo: proxy_cache_path /data/nginx/cache IeveIs=1:2 keys_zone=STATIC:30m inactive=168h max_size=5g; *Obs: a pasta aonde ficar o cache deve ser criada: /data/nginx/cache /etc/nginx/conf.d/defauIt.conf - Arquivo com configuraes do proxy reverso: Ex: Iocation / { proxy_pass http://rodoIfofadino.com.br; proxy_set_header Host $host; proxy_cache STATIC; proxy_cache_vaIid 200 7d; proxy_cache_use_staIe error timeout invaIid_header updating http_500 http_502 http_503 http_504; } ImpIementando um Servidor Proxy Squid % Servidor pro"# (ue age como filtro) lo(ueador conte6do e autenticador /etc/squid/squid.conf % Principal ar(uivo de configurao do s(uid Opes fundamentais de um Cache Squid http_port % &efine a porta utilizada pelo s(uid /SAHN a padro1 http_port 3128 transparent % &efine a porta utilizada pelo s(uid com transparUncia poderia especificar t o ip da interface e"- http_port 192.168.0.1:3128 trasparent cache_mgr % O email do administrador do pro"# cache_effective_use % O usu!rio so o (ual o daemon s(uid ser! e"ecutado cache_effective_group % O grupo so o (ual o daemon s(uid ser! e"ecutado cache_men % define a (uantidade de cache de memoria tam cache_dir % &efine o local e a (uantidade de memoria em disco squid -z % Eecria o cache do s(uid 6 Guia de Estudo LPI 201-202 ACL Access ControI List % Eegra de acesso /permisso e limites ao usu!rio do pro"#1 Tipos de AC= src: filtra endereo de origem dst: filtra endereo de destino dstdomain: filtra dom*nio de destino time: filtra hor!rio e dias da semana urI_regex: filtra e"press3es regulares dentro de uma url proxy_auth: filtra usu!rios autenticados e"$- acI In src 192.168.1.0/24 &efine uma AC= de nome lan (ue se refere as todas as re(uisi3es para rede ALH$AMN$A$O0HT Para lierar 0 7egar o acesso para esse grupo http_access aIIow Ian http_access deny Ian Tpico 209 CompartiIhamento de Arquivos Principais temas abordados: Configurao e operao do SA?CA; Compartilhamento de ar(uivos e espao em disco com 7;S$ SMB e CIFS % Protocolos (ue permitem compartilhar recursos de um servidor =inu" para esta3es Vindo<s e vice,versa smbd % &aemon do sama respons!vel por servidor de ar(uivos e impressoras$ nmbd % &aemon do sama respons!vel por servidor de nomes 7etC.OS$ Sama , &aemon do sama respons!vel por servidor de ar(uivos) impressoras e 7etC.OS /&eian1 /etc/samba/smb.conf % Principal ar(uivo de configurao do sama ExempIo de um arquivo de configurao mnima: [gIobaI] <or+group W lpi server string W &eian Sama Server [homes] comment W Home &irectories read onl# W no ro<seale W no [printers] comment W All Printers path W 0var0spool0sama printale W #es ro<seale W no [gIobaI] % Seo de configura3es gloais do servidor [homes] % Seo de compartilhamento de diret'rios 7 Guia de Estudo LPI 201-202 [printers] % Seo de compartilhamento de impressoras Op3es- comment W Home &irectories read onl# W #es or <ritale W no ro<seale W no path W 0var0spool0sama printale W #es ro<seale W no guest o+ W #es <rite list W 4oao) maria) Xcontailidade read list W 4oao) maria) Qcontailidade valid users W Xar(uivos) 4ose) 4oa(uim) Xadmin invalid valid users W Xar(uivos) 4ose) 4oa(uim) Xadmin hosts allo< W ALH$AMN$A$HS) athenas) AYH$AM$ testparm % Comando usando para testar as configura3es /sinta"e1 do ar(uivo sm$conf Criao de contas de usurio samba smbpasswd % Comando usado para criar conta do sama Opes: smbpasswd -a usurio % Cria uma conta do sama para um usu!rio indicado smbpasswd -x usurio % 2"clui uma conta do sama para um usu!rio indicado smbpasswd -d usurio % Clo(ueia uma conta do sama para um usu!rio indicado smbpasswd -e usurio % &eslo(ueia uma conta do sama para um usu!rio indicado smbpasswd -m % .ndica (ue a conta 8 uma conta de ma(uina e no de usu!rio smbpasswd -n usurio % A senha do usu!rio do sama ser! nula$ Somente ser! poss*vel arir o compartilhamento se e"istir o parGmetro null pass<ords W #es na seo gloal$ username map = /var/Iib/samba/users.map % Opo inserida no sm$conf para mapear usu!rios (ue possuam na estao um nome diferente da(uele utilizado no servidor$ ExempIo de users.map root W admin administrador Samba como servidor PDC PDC (Primary Domain ControI) % Servidor de dom*nio permite (ue usu!rios de esta3es Vindo<s realizem logon utilizando as informa3es de autenticao centralizadas no servidor$ Parmetros da seo [gIobaI] para funcionamento do samba com PDC workgroup % &efine o nome do dom*nio$ e"$- workgroup = Ipi Iogon script % Script (ue ser! e"ecutado (uando o usu!rio se logar e"$- Iogon script = Iogon.cmd domain Iogons % &etermina a ativao de login remoto pra o dom*nio especificado e"$- domain Iogons = yes Outros parmetros da seo [gIobaI] para funcionamento do samba com PDC netbios name % &efine o nome do computador na rede Vindo<s e"$- netbios name = maqIinux preferred master % &etermina se o servidor nmd devera ter prioridade frente a outros servidores e"$- preferred master = yes os IeveI % Prioridade do servidor) o numero AOO garante (ue este ser! o primeiro servidor e"$- os IeveI = 100 Iogon path % &iret'rio onde sero armazenadas as configura3es do Vindo<s /Perfil1 e"$- Iogon path = \\%N\%U\profiIe 8 Guia de Estudo LPI 201-202 Iogon drive % &etermina a letra de drive (ue o Vindo<s usara para o diret'rio HO?2 e"$- Iogon drive = H: Iogon home % &etermina a localizao do diret'rio HO?2 e"$- Iogon home = \\%N\%U \profiIe ExempIo de uma configurao do smb.conf como PDC [gIobaI] netios name W ma(linu" <or+group W lpi server string W &eian Sama Server domain master W #es preferred master W #es domain logons W #es os level W AOO logon path W JJI7JIUJprofile logon drive W H- logon home W JJI7JIU Jprofile logon script W logon$cmd Parmetros da seo [netIogon] [netIogon] % Compartilhamento para (ue esta3es Vindo<s identifi(uem o servidor como P&C [netIogon] comment W =ogin path W 0var0li0sama0netlogon read onl# W #es Contas de mquina IncIuir o usurio root no samba smpass<d ,a root IncIuir conta para estao (conta de maquina) necessria apenas quando Samba age como PDC useradd ,s 0in0false ,d 0dev0null <in"p,OAZ , Cria a conta Uni" para a m!(uina passwd % Cria a conta Uni" -s /bin/faIse % 7o tera um shell valido por no ser tratar de uma conta de usu!rio -d /dev/nuII % 7o ter! um diret'rio valido por no ser tratar de uma conta de usu!rio winxp-01$ , 7ome da ma(uina) origatoriamente contas de ma(uinas devem terminar com Z BIoquear conta da maquina com a opo -I pass<d ,l <in"p,OAZ IncIuir a conta da maquina no samba smpass<d ,m ,a <in"p,OA Scripts de Iogon 7a seo [netIogon] criar o script indicado em path = /var/Iib/samba/netIogon O script de logon mapear! o home do usu!rio para a unidade h- na estao Vindo<s exempIo de um arquivo Iogon.cmd 7et US2 H- 0HO?2 Samba como servidor Wins (Servidor de nome NetBIOS) Para ativar o Sama com servidor Vins use o parGmetro <ins support W #es em sm$conf /etc/samba/Imhosts % ?apeamento de .P e nomes das ma(uinas e"$- 192.168.1.1 maqIinux 9 Guia de Estudo LPI 201-202 192.168.1.2 winxp-01 nmbIookup % Comando usado para investigar o servio Vins e"$- nmbIookup -B 192.168.1.255 'maqIinux' nmbIookup % Comando usado para investigar o servio Vins -B 192.168.1.255 % 2specifica para (ual endereo de roadcast a solicitao deve ser enviada 'maqIinux' % 7ome da ma(uina -W domnio % 2specifica um dom*nio de grupo diferente do indicado em sm$conf smbstatus % Comando usado para inspeo) lista a utilizao atual dos compartilhamentos smbstatus -p % =ista os processo ativos do Sama smbstatus -S % =ista os compartilhamentos sendo utilizados smbstatus -u usurio % ?ostra apenas informa3es referentes ao usu!rio especificado CIiente Samba smbcIient % Comando usado para verificar os compartilhamentos dispon*veis smbcIient -L \\maqIinux -U teste % @erifica compartilhamentos dispon*veis da ma(uina ma(linu" usando o usu!rio teste para se autenticar Montar compartiIhamento do samba no Linux mount ,t smfs ,o usernameWteste)pass<ordWAHSTBM 00ma(linu"0teste 0mnt0sama mount ,t smfs ,o usernameWteste)pass<ordWAHSTBM 00ALH$AMN$A$HO0teste 0mnt0sama mount % Comando usado para montar$ ,t smfs % Sistema de ar(uivos do tipo smfs$ ,o usernameWteste)pass<ordWAHSTBM % 7ome do usu!rio e senha$ 00ALH$AMN$A$AHO0teste % Computador e compartilhamento remoto 0mnt0sama % Ponto de montagem na ma(uina local$ Para montar no fsta use a opo credentiaIs=nome_do_arquivo com o seguinte Conte6do username W teste pass<ord W AHSTBM Configurar um servidor NFS NFS Network FiIe System % Sistema de ar(uivo de rede (ue permite montar compartilhamentos remotos como se fossem dispositivos locais$ /etc/init.d/portmap % &aemon usado para montar dispositivos remotos$ Outros daemons necessrios para servir compartiIhamentos por meio de NFS rpc.nfsd % &ispara os eventos controlados pelo modulo 7;S do +ernel$ rpc.mountd % Eesponde as solicita3es de montagem$ rpc.rquotad % Controla as (uotas do compartilhamento$ rpc.Iockd % Controle de trava para o 7;S$ rpc.statd % 7otificao de reinicio para o 7;S$ /etc/init.d/nfs ou /etc/init.d/nfs-kerneI-server % &aemon do nfs$ Use start) stop ou restart$ Definindo compartiIhamento /etc/exports % Ar(uivo usado para definir os compartilhamento e lista de controle de acesso$ 1 Guia de Estudo LPI 201-202 e"$- /mnt/Ivm 192.168.1.0/24(ro) 192.168.1.12(rw,no_root_squad) /mnt/Ivm % &iret'rio a ser compartilhado 192.168.1.0/24(ro) % Clientes da rede ALH$AMN$A$O0HT permisso de leitura no compartilhamento 192.168.1.12(rw,no_root_squad) % O host ALH$AMN$A$AH permisso de escrita no compartilhamento ro % Apenas leitura$ rw % =eitura e escrita$ no_root_squad % Permite (ue o usu!rio remoto root monte o compartilhamento$ exportfs -a % Ativa os compartilhamentos configurados em 0etc0e"ports exportfs -ua % &esativa os compartilhamentos Acesso ao compartiIhamento mount ,t nfs ALH$AMN$A$H-0mnt0lvm 0mnt0remoto mount % Comando usado para montar$ -t nfs % Tipo de sistema de ar(uivos /7;S1$ 192.168.1.2:/mnt/Ivm % .P e compartilhamento do computador remoto$ /mnt/remoto % Ponto de montagem no computador local$ showmount % Usado para verificar (uais so os compartilhamentos disponiilizados no servidor e"$- showmount -e 192.168.1.2 Opes- showmount -e IP % 2"ie (uais compartilhamentos disponiilizados no servidor$ showmount -a IP % ?ostra o host e o diret'rio montado por ele$ showmount -a IP % ?ostra os diret'rios montados por clientes$ nfsstat % 7a ma(uina cliente mostra estat*sticas de uso dos compartilhamentos 7;S do servidor$ e"$- nfsstat -m rpcinfo % 2"ie um relat'rio de informa3es EPC de um determinado host$ e"$- rpcinfo -p 192.168.1.1 TCPwrappers Controle de acesso estaelecido atrav8s dos ar(uivos 0etc0hosts$allo< e 0etc0hosts0den# /etc/hosts.aIIow % Cont8m as regras para os hosts (ue podero acessar a ma(uina local e"$- ALL: 192.168.1.* EXCEPT 192.168.1.20 /etc/hosts.deny % Cont8m as regras para os hosts (ue no podero acessar a ma(uina local e"$- ALL: ALL Tpico 210 Administrao dos cIientes de redes Principais temas abordados: Oteno autom!tica de .P a partir do &HCP; Autenticao por PA?; Cliente =&AP$ Configurao DHCP DHCP Dinamic Host Configuration ProtocoI % &istriui endereos .P para as esta3es mediantes a regras 1 Guia de Estudo LPI 201-202 pr8,estaelecidas Configurao do Servidor /etc/dhcp/dhcpd.conf % Principal ar(uivo de configurao do servidor &HCP /etc/dhcp3/dhcpd.conf % Principal ar(uivo de configurao do servidor &HCP /&eian1 ExempIo de um arquivo dhcpd.conf default,lease,time MOO; ma",lease,time YHOO; option domain,name >empresa$com$r>; option domain,name,servers ALH$AMN$A$AO; sunet ALH$AMN$A$O netmas+ HBB$HBB$HBB$O [ range ALH$AMN$A$BO ALH$AMN$A$AOO; option routers ALH$AMN$A$AO; \ host fulano [ hard<are ethernet ON-OO-HY-CY-AT-B;; fi"ed,address ALH$AMN$A$MS; \ host teste [ hard<are ethernet ON-OO-HY-AA-CT-2C; fi"ed,address ALH$AMN$A$MY; \ Descrio: defauIt-Iease-time 600 % &etermina em segundos o intervalo de checagem de .P$ max-Iease-time 7200 % Per*odo m!"imo em segundos de alocao de .P$ option domain-name % ]ual dom*nio transmitido para os clientes$ option domain-name-servers % ]ual servidor de nomes o cliente poder! utilizar em resolv$conf$ subnet 192.168.1.0 netmask 255.255.255.0 % &efine a rede e mascara$ range 192.168.1.50 192.168.1.100 % .ntervalo de .P dispon*veis para a rede$ option routers 192.168.1.10 % &efine a rota padro para os clientes$ Outras opes: host fuIano % 7ome do hos/ma(uina1 hardware ethernet 08:00:27:C7:14:5F % ?ac address do host$ Fixed-address 192.168.1.63 % .P fi"o para o host$ Boot via rede CompatibiIidade com estaes DiskIess. Bootp (Bootstrap) % Carregamento remoto do sistema operacional ExempIo: host fulano [ hard<are ethernet ON-OO-HY-CY-AT-B;; fi"ed,address ALH$AMN$A$MS; filename Dvmlinuz$fulanoF; server,name Dempresa$com$rF; ne"t,server servername; \ 1 Guia de Estudo LPI 201-202 Outra forma de iniciar o servidor DHCP dhcpd -If /etc/dhcpd.Ieases eth0 dhcpd3 -If /var/Iib/dhcp3/dhcpd.Ieases eth0 (Debian) dhcpd.Ieases % Ar(uivo (ue armazena o anco de dados de aluguel do cliente &HCP) contendo datas do aluguel e os endereos ?AC da placa de interface de rede$ Servidor DHCP centraIizado fora da rede do cIiente dhcreIay (Agente DHCP ReIay) % Permite o revezamento de pedidos &HCP e COOTP de uma su,rede sem um servidor &HCP$ e"$- dhcreIay -i eth0 empresa.com.br Descrio: dhcreIay % Comando$ -i eth0 % .nterface (ue o dhcrela# aguardar! por re(uisi3es de .P$ empresa.com.br % &om*nio Logs taiIf -f /var/Iog/daemon.Iog % Comando para verificar em tempo real) distriui3es de .P aos clientes Autenticao por PAM PAM (PIuggabIe Authentication ModuIes) % ?ecanismo (ue oferece uma camada de astrao para autenticao de usu!rios$ Programas ou servios que utiIiza autenticao possui uma configurao no PAM /etc/pam.conf % Ar(uivo (ue centraliza todas as configura3es de cada programa ou servio$ /etc/pam.d % &iret'rio com ar(uivos individuais contendo as configura3es de cada programa ou servio$ Sinta"e interna dos ar(uivos individuais contendo as configura3es- Tipo ControIe MduIo Argumentos e"emplo do ar(uivo 0etc0pam$d0gdm session optionaI pam_gnome_keyring.so auto_start session % /Tipo1 &efine o tipo de autenticao usado para o m'dulo$ optionaI % /Controle1 2specifica o (ue fazer dependendo da resposta do m'dulo$ pam_gnome_keyring.so % /?'dulo1 ]ual m'dulo utilizar$ auto_start % /Argumentos1 Eepresenta os argumentos passados para o m'dulo$ Tipos de autenticao PAM account % @erifica se o usu!rio pode acessar o servio) se a senha no espirou etc$ auth % &etermina a autenticidade do usu!rio via senha)pode utilizar outros meios) como iometria$ password % ?ecanismo da alterao da autenticao /provavelmente a senha1$ session % Procedimentos antes e depois (ue o usu!rio for autenticado$ 2"$- restrio de servio ControIes do PAM requisite % Autenticao 8 imediatamente negada) no caso de negativa do m'dulo$ required % Autenticao recusa no caso de negativa do m'dulo) mas consultara outros m'dulos para o servio 1 Guia de Estudo LPI 201-202 antes de negar completamente a autenticao$ sufficient % Se a autenticao para este m'dulo for em sucedida) a autenticao ser! confirmada mesmo (ue os m'dulos anteriores tenham negado$ optionaI % A aprovao ou negao far! diferena se for o 6nico do tipo para o servio$ /usr/Iib/security ou /Iib/security % &iret'rio de locao dos m'dulos$ Diferenas entre as configuraes: 7o ar(uivo /etc/pam.d/Iogin auth requisite pam_securetty.so 7o ar(uivo /etc/pam.conf Iogin auth requisite pam_securetty.so ExempIos de mduIos e arquivos de configuraes: pam_motd.so (mduIo) % &etermina a e"iio do ar(uivo /etc/motd ap's um login em sucedido pam_Iimits.so (mduIo) % &etermina os limites de utilizao de recursos para usu!rios definidos em /etc/security/Iimits.conf PAM e LDAP pam_Idap.so % ?'dulo usado na configurao do PA? para utilizar autenticao) uscando as informa3es num diret'rio =&AP ExempIo do arquivo /etc/pam.d/Iogin para que o Iogin faa autenticao via LDAP auth sufficient pamRldap$so auth re(uired pamRuni"$so tr#RfirstRpass accountsufficient pamRldap$so accountre(uired pamRuni"$so Uso de cIiente LDAP LDAP (Lightweight Directory Access ProtocoI) % Protocolo utilizado para pes(uisar e modificar servios de diret'rios numa rede TCP0.P$ Diretrio % Con4unto de informa3es /classes de o4etos1 com atriutos e propriedades organizadas de forma hier!r(uica e l'gica$ sIapd % &aemon servidor do Open=&AP$ /etc/Idap/sIapd.conf % Principal ar(uivo de configurao dividido em trUs se3es- gloal) funcionamento interno /ac+end1 e configurao de anco de dados$ Configuraes bsicas include 0etc0ldap0schema0core$schema include 0etc0ldap0schema0cosine$schema include 0etc0ldap0schema0nis$schema include 0etc0ldap0schema0inetorgperson$schema Incorpora os padres de esquemas e definies de cIasses de objetos pidfile 0var0run0slapd0slapd$pid Arquivo com o PID do processo servidor (sIapd) 1 Guia de Estudo LPI 201-202 argsfile 0var0run0slapd0slapd$args Arquivo contendo argumentos passados ao daemon ac+end d Define quaI ser o sistema de armazenamento de dados. dataase d Inicio da seo do banco de dados suffi" >dcWempresa)dcWcom)dcWr> O sufixo base para o diretrio no banco de dados rootdn >cnWadmin)dcWempresa)dcWcom)dcWr> Define o super-usurio (admin) para o banco de dados definido rootp< [SSHA\MlVPMVigS@;z^4Ta&2g^_gh7COcd=]r Senha do super-usurio (comando sIappasswd) director# >0var0li0ldap> Diretrio onde sero armazenados os arquivos do banco de dados inde" o4ectClass e( Definio da indexao. Configuraes bsicas para um diretrio LDAP. Conectando ao diretrio sIaptest % Comando usado para testar as configura3es em 0etc0ldap0slapd$conf /etc/init.d/sIapd start % .nicia o daemon do =&AP Idapsearch % Eealiza pes(uisa simples na ase de dados do =&AP e"$- Idapsearch -x -b '' -s base '(objectcIass=*)' namingContexts Arquivos LDIF LDIF (LDAP Dta Interchange Format) % Tipo de ar(uivo usado para .nsero de dados em um diret'rio =&AP$ ExempIo de um arquivo LDIF (exempIo.Idif) dn- dcWempresa) dcWcom) dcWr o4ectClass- domain dc- empresa SigIas utiIizadas em arquivos Idif dn: distinguished7ame o: organization7ame c: countr# cn: common7ame sn: surname Para incluir os dados do ar(uivo e"emplo$ldif no diret'rio =&AP Idapadd -f exempIo.Idif -x -W -D 'cn=admin,dc=empresa,dc=com,dc=br' Para pes(uisar os dados do ar(uivo no diret'rio =&AP Idapsearch -x -b 'dc=empresa,dc=com,dc=br' '(objectcIass=*)' 1 Guia de Estudo LPI 201-202 LDAP Comandos de grupos e usurios Idapaddgroup % Adiciona um grupo$ 2"$- ldapaddgroup 9nomeRdoRgrupo: `gida Idapadduser % Adiciona um usu!rio$ 2"$- ldapadduser 9nomeRdoRusu!rio: 9nomeRdoRgrupoJgid: `uida Idapaddusertogroup % .nclui um usu!rio num grupo$ 2"$- ldapaddusertogroup 9nomeRdoRusu!rioJuid: 9nomeRdoRgrupoJgid: Idapaddmachine % Cria uma conta de ma(uina$ 2"$- ldapaddmachine 9nomeZ: 9nomeRdoRgrupoJgid: `uida IdapdeIetegroup % Eemove um grupo IdapdeIeteuser % Eemove um usu!rio IdapdeIeteuserfromgroup % 2"clui um usu!rio de um grupo$ 2"$- ldapdeleteuserfromgroup 9usu!rio: 9nomeRdoRgrupoJgid: Idappasswd % Altera a senha de um item no diret'rio =&AP Tpico 211 Servios de e-maiI Principais temas abordados: Configurao !sica de servidor de email; ;iltros do Procmail; Servios POP e .?AP$ SMTP (SimpIe MaiI Transfer ProtocoI) % Protocolo utilizado para envio de mensagem de email$ MTA (MaiI Transfer Agent) % Agente de transporte de email /servidor de email1 respons!vel em enviar as mensagens /S?TP1$ MDA (MaiI DeIivery Agent) % Agente entregador de email respons!vel em entregar as mensagens nas cai"as postais dos usu!rios$ MTA % Postfi") Sendmail) (mail e 2"im$ MDA % Courier) &ovecot /Pop ou .?AP1 SendmaiI /etc/maiI % &iret'rio (ue contem os ar(uivos de configurao do Sendmail$ Arquivos de configurao: /etc/maiI/access % Ar(uivo utilizado para verificar e lierar /ou no1 emails cu4o destino 8 a ma(uina local$ Usado tam8m para (ue o servidor local possa ser utilizado como servidor de email por outras ma(uinas /rela#1$ reIay % 2ncaminhamento a partir de origem e"terna$ Aes do arquivo access: OK- Aceita o email para a entrega local; RELAY- Aceita o email para encaminhamento por meio deste servidor; REJECT- Ee4eita o envio do email; DISCARD- &escarta e email sem gerar mensagem de erro$ Ao v!lida apenas para nomes de dom*nio ou endereos de email$ Ap's configurar o /etc/maiI/access gere o ar(uivo de mapa in!rio- makemap hash /etc/maiI/access.db < /etc/maiI/access makemap % =U as configura3es a partir de entrada padro e gera o ar(uivo utilizado pelo Sendmail$ /etc/maiI/IocaI-host-names % &efine (uais nomes sero aceitos para a m!(uina local$ /etc/maiI/virtusertabIe % ?apeia mensagens receidas por outras contas ou dom*nios$ Ap's configurar o /etc/maiI/virtusertabIe gere o ar(uivo de mapa in!rio- makemap hash /etc/maiI/virtusertabIe.db > /etc/maiI/virtusertabIe /etc/maiI/genericstabIe % Eeescreve o endereo para emails enviados$ 1 Guia de Estudo LPI 201-202 Ap's configurar o /etc/maiI/genericstabIe gere o ar(uivo de mapa in!rio- makemap hash /etc/maiI/genericstabIe .db > /etc/maiI/genericstabIe /etc/maiI/genericsdomain % .nforma ao Sendmail (uais endereos so considerados locais$ /etc/maiI/maiIertabIe % Eedireciona email vindo de fora) uma alternativa ao virtusertale$ /etc/maiI/domaintabIe % ?apeamento entre dom*nios$ Ap's configurar o /etc/maiI/domaintabIe gere o ar(uivo in!rio- makemap hash /etc/maiI/domaintabIe .db > /etc/maiI/domaintabIe /etc/maiI/aIiases % Eedireciona emails enviando para as contas locais especificadas$ Ap's configurar o /etc/maiI/aIiases gere o ar(uivo in!rio- makemap hash /etc/maiI/aIiases .db > /etc/maiI/ aIiases /etc/maiI/sendmaiI.cf % Principal ar(uivo de configurao do Sendmail$ /usr/share/sendmaiI/cf/cf/ % &iret'rio (ue contem ar(uivos e"emplos de configurao /$mc1 do Sendmail$ Usando um ar(uivo $mc /e"$- config.mc1 poder! ser gerado o ar(uivo de configurao do Sendmail atrav8s do comando mT$ e"$- m4 config.mc > /etc/maiI/sendmaiI.cf Para reiniciar o Sendmail para utilizar as novas configura3es use o comando kiIIaII -HUP sendmaiI Postfix /etc/postfix % &iret'rio (ue contem os ar(uivos de configurao do Postfi"$ /etc/postfix/main.cf % Principal ar(uivo de configurao do Postfi"$ Principais op3es do main.cf- myorigin % &etermina o dom*nio (ue aparecera nos email enviado deste servidor e"$- myorigin = $myhostname mydestination , 2specifica para (uais dom*nios as mensagens receidas devem ser entregues localmente e no enviadas para outro servidor$ e"$- mydestination = $myhostname, IocaIhost.$mydomain, IocaIhost mynetworks % 2specifica em (ual surede o servidor aceitara emails enviados de clientes e"$- mynetworks = 192.168.100.0/24 127.0.0.0/8 mynetworks_styIe % Usado no lugar de m#net<or+s) define o padro para aceitar email e"$- mynetworks_styIe = subnet % Todas as ma(uinas da su,rede local$ mynetworks_styIe = host % Apenas da ma(uina local$ mynetworks_styIe = cIass % Clientes dentro da classe .P do servidor$ reIay_domains % &efine para (uais dom*nios ser! feito rela# de emails receidos$ e"$- reIay_domains = $mydestination reIayhost % &efine (ual servidor se encarregara de entregar o email da internet$ 1 Guia de Estudo LPI 201-202 e"$- reIayhost = [smtp.gmaiI.com]:587 /etc/postfix/master.cf % Ar(uivo de configurao (ue determina (uais comandos e como devem ser e"ecutados /etc/postfix/virtuaI % &efine dom*nios virtuais como os (uais o Postfi" deve atuar como servidor$ Exim /etc/exim % &iret'rio (ue contem os ar(uivos de configurao do 2"im$ /etc/exim/exim.conf % Principal ar(uivo de configurao do 2"im$ QmaiI /var/qmaiI/controI % &iret'rio (ue contem os ar(uivos de configurao do (mail$ /etc/qmaiI % =in+ sim'lico pra o diret'rio 0var0(mail0control Aspectos comuns /etc/aIiases % Ar(uivo usado parar criar alias /apelidos1 de contas de email para contas de usu!rios e"$- postmaster: root Ao chegar um email para postmasterQempresa$com$r ser! redirecionado para o usu!rio root /var/spooI/maiI ou /var/maiI % &iret'rios para armazenar mensagens locais /var/Iog/maiI/* % &iret'rios para armazenar logs Administrao da entrega IocaI de e-maiI procmaiI % ?&A /?ail &eliver# Agent1 tradicional do =inu"$ Um ?&A 8 respons!vel por classificar e distriuir os emails entre os usu!rios do sistema$ Principais componentes do ProcmaiI /etc/procmaiIrc % Ar(uivo de configurao do procmail$ ~/.procmaiIrc % Ar(uivo (ue pode conter filtros espec*ficos de cada usu!rio$ /usr/bin/procmaiI % Programa (ue processa as mensagens$ Criando FiItros. Um filtro pode ser criado diretamente no ar(uivo ~/.procmaiIrc ou criado no diret'rio b0$procmail$ Estrutura de um fiItro: Inicio- ?arcador determinando comeo de regra indicado por -O Condio- Uma ou mais e"press3es regulares (ue funcionaro como crit8rios Ao- O destino dado a mensagem ExempIo: -O K c;rom$KfulanoQ$K estagi!rio Pegar! todas as mensagens (ue se en(uadrem na e"presso regular /remetentes1 contendo o termo fulanoQ e as colocar! no diret'rio estagi!rio dentro da pasta de emails do usu!rio /b0?ail1 ExempIo indicando o arquivo de trava Iock-fiIe no inicio do fiItro: -O- 1 Guia de Estudo LPI 201-202 K c;rom$KfulanoQ$K estagi!rio /-O-1 2vita (ue o ar(uivo onde as mensagens sero gravadas se4a aerto para gravao ao mesmo tempo ExempIo redirecionando mensagem fiItrada para outro endereo de emaiI -O K cSu4ect$Klinu"$K d admQempresa$com$r ExempIo definindo mais de uma ao no fiItro utiIizando chaves: -O K cSu4ect$Klinu"$K [ -O c d admQempresa$com$r -O e gzip :: linu"$gz \ Descrio: :0 % ?arcador determinando comeo de regra * ^Subject.*Iinux.* % 2"presso linu" no campo assunto { % .nicia a definio de mais de uma ao :0 c % Caractere c indica (ue a mensagem deve ser copiada para a pr'"ima ao ! adm@empresa.com.br % Eedireciona as mensagens para o email$ :0 % ?arcador determinando comeo de regra | gzip >> Iinux.gz % Adiciona a mensagem no ar(uivo linu"$gz por meio de um Pipe } % ;echa definio de mais de uma ao Administrar entrega de e-maiI remoto IMAP (Internet Message Access ProtocoI) % Protocolo para receimento de mensagens (ue utiliza tam8m cone"o segura /SS=1$ POP (Post Office ProtocoI) % Semelhante ao .?AP) mas com uma implementao mais simples$ Servidor Courier Servidor SMTP % Postfi" Servidor IMAP/POP % Courier /etc/courier % &iret'rio (ue contem os ar(uivos de configurao do Courier$ /etc/courier/imapd % Ar(uivo de defini3es para o daemon imapd$ &efinio de .P e porta de cone"o so especificadas logo no inicio do ar(uivo$ e"$- ADDRESS=192.168.1.100 % Se no for definido um 6nico .P o servidor .?AP aceitar! cone"3es de todas as interfaces de redes ativas$ e"$- IMAP_CHECK_ALL_FOLDERS=(0 ou 1 ) , Se ativado checas novas mensagens de email para pastas fora da pasta .7COf e"$- IMAP_ENHANCEDIDLE=(0 ou 1) % Se ativado altera3es aparecem no cliente no momento (ue ocorrem no servidor$ 1 Guia de Estudo LPI 201-202 /etc/courier/pop3d % Ar(uivo de defini3es para o daemon popSd$ e"$- POP3DSTART=YES % &etermina a e"ecuo do servidor POP na inicializao do Courier Servidor Dovecot Uma alternativa para servidor IMAP/POP) seu funcionamento 8 asicamente o mesmo do Courier /etc/dovecot % &iret'rio (ue contem os ar(uivos de configurao do &ovecot$ /etc/dovecot/dovecot.conf % Principal ar(uivo de configurao do &ovecot$ Mtodo de autenticao usando PAM /etc/pam.d/dovecot auth re(uired pamRuni"$so accountre(uired pamRuni"$so Opes do arquivo de configurao /etc/dovecot/dovecot.conf maiI_Iocation % &efine o local de armazenamento das mensagens e"$- maiI_Iocation = maiIdir:~/MaiIdir mbox_read_Iocks e mbox_write_Iocks % &efini3es (ue evita falhas de leitura e escrita nas cai"as de mensagens e"$- mbox_read_Iocks = fcntI mbox_write_Iocks = dotIock fcntI fcntI- Use esta opo se poss*vel$ Traalha com o 7;S tam8m se loc+d 8 usado$ fIock- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$ Iockf- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$ maiI_priviIeged_group % 2m caso de utilizao do diret'rio 0var0mail para as cai"as de entrada e"$- maiI_priviIeged_group = maiI mbox_dirty_syncs % Para oter melhor performance e"$- mbox_dirty_syncs = yes Tpico 212 Segurana do Sistema Principais temas abordados: Eoteadores) ;ire<alls e 7AT; Proteo de Servidores ;TP; Utilizao do OpenSSH; tcpR<rappers e outras ferramentas de segurana$ CIasses de endereos Categoria 1 % 2ndereos (ue no precisam ter acesso a outros endereos em redes e"ternas ou na internet$ Categoria 2 , 2ndereos (ue precisam ter acesso a alguns servios e"ternos /email) ftp) <<<1 u(e podem ser mediados via gate<a#$ Categoria 3 % 2ndereos (ue necessitam de conectividade direta com a internet$ 2ndereos das categorias A e H so chamados de privados$ 2ndereos da categoria S so chamados de p6licos$ CIasse privada de endereamento IP 2 Guia de Estudo LPI 201-202 ;ai"a ?ascara de rede 7otao areviada AO$O$O$O at8 AO$HBB$HBB$HBB HBB$O$O$O AO$O$O$O0N AYH$AM$O$O at8 AYH$SA$HBB$HBB HBB$HTO$O$O AYH$AM$O$O0AH ALH$AMN$O$O at8 ALH$AMN$HBB$HBB HBB$HBB$HBB$O ALH$AMN$O$O0AM Rotas route % Comando para mane4o de rotas route -n % 2"ie a taela de rotas no roteador Adicionar uma rota manualmente por meio da interface ethA e"$- route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1 Adicionar uma rota padro e"$- route add defauIt gw 192.168.1.1 Adicionar uma rota padro usando forma e"tensa e"$- route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1 NAT Network Address TransIation O 7AT permite (ue um host da rede privada comuni(ue,se com hosts da rede pulica /.nternet1$ Para ativa o 7at no sistema 8 usado o comando iptales$ IptabIes % Eespons!vel por definir regras para o transito de pacotes .P controlado pelo +ernel$ tabeIas , Transito de pacotes .P divido em categorias chains % linhas da taela (ue podem receer diversas regras TabeIas do iptabIes fiIter % Taela padro (ue cont8m as chains emutidas .7PUT) ;OEVAE& e OUTPUT$ INPUT % Para pacotes (ue chegam ao host local$ FORWARD % Para pacotes sendo roteados pelo host local$ OUTPUT % Para pacotes gerados no host local e destino e"terno$ nat % Para pacotes (ue criam novas cone"3es /tradu3es e redirecionamento1) cont8m as chains emutidas PE2EOUT.75) OUTPUT e POSTEOUT.75 PREROUTING % Para alterar pacotes receidos antes do roteamento$ POSTROUTING % Para alterar pacotes (uando eles esto prestes a sair$ mangIe % Para altera3es espec*ficas de pacotes) cont8m as chains emutidas .7PUT) OUTPUT) PE2EOUT.75) ;OEVAE& e POSTEOUT.75$ Argumentos-comandos dentro de uma chain: -A- Adiciona uma regra na chain$ -I- .nserir regra numa posio dentro da chain$ -R- Sustituir regra na chain$ -D- Apagar chain$ -N- Criar chain personalizada$ -X- Apagar chain vazia$ -P- &efinir pol*tica para uma chain emutida$ -L- =istar as regras em uma chain$ -F- Apagar todas as regras em uma chain$ 2 Guia de Estudo LPI 201-202 -Z- ^erar os contadores de pacotes em todas as regras de uma chain$ Regras de fiItragem padro e destinos para a maioria das chains: -s endereo Ou --source endereo % 2ndereo de origem do pacote$ Pode ser nome de rede) host) .P de rede0mascara ou um endereo .P$ e"$- -s 192.168.2.0/24 -d endereo Ou --destination endereo % 2ndereo de destino do pacote$ Pode ser nome de rede) host) .P de rede0mascara ou um endereo .P$ e"$- -d 192.168.2.0/24 -p protocoIo Ou --protocoI protocoIo % &efine o protocolo$ Pode ser tcp) udp) icmp ou all$ e"$- -p tcp -i interface Ou --in-interface interface % .nterface atrav8s da (ual o pacote chegou$ e"$- -i eth0 -o interface Ou --out-interface interface % .nterface atrav8s da (ual o pacote ser! enviado$ e"$- -o eth0 -j ao Ou --jump ao % Targets /a3es1 para os pacotes interceptados$ Targets comuns para o fire<all so ACC2PT /Permite a passagem normal do pacote1 e &EOP /&escarta o pacote1$ e"$- -j ACCEPT -m mduIo Ou --match mduIo % Usa m'dulo estendido Dm'duloF$ Um muito usado para o fire<all 8 o m'dulo state$ --state estado % Permite determinar (ual a relao de um pacote com as cone"3es e"istentes$ estados-
INVALID % O estado no pode ser determinado$ ESTABLISHED % O pacote pertence a uma cone"o ativa$ NEW % .ndica (ue o pacote inicia uma nova cone"o$ RELATED % O pacote inicia outra cone"o porem relacionadas a uma cone"o e"istente$ Para criar uma regra de NAT: iptales ,t nat ,A POSTEOUT.75 ,s ALH$AMN$H$O0HT ,o ethO ,4 S7AT %to,source HOA$BH$BO$AA &escrio- -t nat % &etermina (ue a taela 7AT se4a utilizada$ -A POSTROUTING % .ncluir a regra na corrente POSTEOUT.75 -s 192.168.2.0/24 % &etermina (ue a regra aplica,se a pacotes originados na rede privada$ -o eth0 % &etermina (ue a regra aplica,se a pacotes cu4o destino se4a a interface ethO$ -j SNAT % &etermina a ao /,41 a ser e"ecutada para o pacote (ue se en(uadrar na regras estaelecidas$ S7AT /source 7AT1 &etermina (ue o .P de origem do pacote enviado se4a informado com a opo ,,to,source HOA$BH$BO$AA /.P do roteador1$ Configurando roteamento com o IPTabIes (Masquerading)
iptales ,t nat ,A POSTEOUT.75 ,o ethO ,4 ?AS]U2EA&2 Para permitir 7AT) al8m de definir a regra na taela de tr!fego 8 necess!rio alterar o Conte6do do ar(uivo /proc/sys/net/ipv4/ip_forward para A /true1 2 Guia de Estudo LPI 201-202 e"$- echo "1" > /proc/sys/net/ipv4/ip_forward Redirecionamentos 2"emplo- Todas as cone"3es destinadas a porta NO /http1 se4am redirecionadas pra um host da rede privada$ .ptales ,t nat ,A PE2EOUT.75 ,p tcp ,,dport NO ,4 &7AT ,,to,destination ALH$AMN$H$H-NO &escrio- -t nat % &etermina (ue a taela 7AT se4a utilizada$ -A PREROUTING % ?anipula os pacotes na medida em (ue entram na taela$ -p tcp % 2specifica o protocolo para a pr'"ima opo$ --dport 80 % &etermina a porta (ue ser redirecionada$ -j DNAT % .ndica (ue se trata de uma traduo para outro .P de destino$ --to-destination 192.168.2.2:80 % .P de destino 2"emplo para redirecionar pedidos de cone"o na porta HHOOO do roteador para o login via OpenSSH em uma interface da rede interna$ IptabIes -t nat -A PREROUTING -p tcp --dport 22000 -j DNAT --to-destination 192.168.2.2:22 2"emplo para apenas redirecionar uma porta do roteador para outra porta no pr'prio roteador$ Todas as suscita3es para a porta NO sero redirecionadas para a porta NONO$ IptabIes -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 BIoqueando ataques Apagar todas as regras da taela filter e"$- iptabIes -t fiIter -F =ierar todos os pacotes gerados localmente e"$- iptabIes -t fiIter -A INPUT -i Io -j ACCEPT =ierar para entrar pela interface ethO somente os pacotes pertencentes /2STAC=.SH2&1 ou relacionados /E2=AT2&1 a uma cone"o e"istente$ e"$- iptabIes -t fiIter -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT 2staelecer pol*tica de descartar todos os pacotes na chain .7PUT da taela filters e"$- iptabIes -t fiIter -P INPUT DROP @erificar novas regras e"$- iptabIes -L =ierar o acesso e"terno a porta NO e"$- iptabIes -A INPUT -p tcp --dport 80 -j ACCEPT =ierar o acesso e"terno a porta HH para acesso administrativo e"$- iptabIes -A INPUT -p tcp --dport 22 -j ACCEPT Segurana DoS (DeniaI of Service) % Ata(ue (ue consiste em fazer um numero alt*ssimo de solicita3es a um servidor) de forma (ue este no se4a capaz de responder a todos e torne,se inacess*vel$ 2 Guia de Estudo LPI 201-202 Para evitar esse tipo de ata(ue 8 necess!rio ativar os recursos de verificao de endereo de origem (IP spoofing Ips forjados) e proteo TCP SYN Cookie$ s#sctl ,< net$ipvT$conf$all$rpRfilterWA s#sctl ,< net$ipvT$tcpRs#ncoo+iesWA
SaIvamento de regras iptabIes-save % =ista as configura3es ativas do iptales$ 2"ie as configura3es atuais na sa*da padro /tela do terminal1 iptabIes-save > /etc/iptabIes.conf % Salva as regras redirecionando a sa*da para um ar(uivo$ ptabIes-restore % Eestaura as configura3es gravadas no ar(uivo iptabIes-restore < /etc/iptabIes.conf % Eestaura as configura3es gravadas para a entrada padro do comando $ .ncluir o comando em um script de inicializao como 0etc0rc$local ou 0etc0rc$d0rc$local$ Segurana de servidores FTP vsftpd (Very Secure FTP daemon) % Servidor ;TP desenvolvido com enfo(ue na segurana$ /etc/vsftpd.conf % Principal ar(uivo de configurao do servidor ;TP$ /etc/init.d/vsftpd % &aemon do servidor ;TP$ /home/ftp ou /var/ftp % &iret'rio ase para o ;TP$ Op3es do ar(uivo /etc/vsftpd.conf Iisten=YES % Caso o vsftpd no for utilizado atrav8s do inetd ou "inetd$ Opes para conexes annimas anonymous_enabIe=YES % Permitir ;TP angnimo$ write_enabIe=YES % Permitir escrita com comando ;TP$ anon_upIoad_enabIe=YES % Para permitir (ue o usu!rio angnimo possa carregar ar(uivos$ chroot_IocaI_user=YES % Permite restringir os usu!rios locais para seus diret'rios$ chroot_IocaI_user=YES % ?ostra ao usu!rio com login e senha o pr'prio diret'rio e 0home0ftp para usu!rio angnimos$ Crie o diret'rio /home/ftp/incoming para usu!rios angnimos possam copiar ar(uivos para o servidor$ Configure o diret'rio para usu!rio ftp e grupo ftp$ 2"$- mkdir /home/ftp/incoming chown ftp:ftp /home/ftp/incoming IocaI_enabIe=YES , Permiti login de usu!rios cadastrados no sistema$ chroot_Iist_enabIe=YES % Ativa a lista de usu!rios locais sem chroot$ chroot_Iist_fiIe=/etc/vsftpd.chroot_Iist , 2specifica uma lista de usu!rios locais (ue no tero chroot para seus diret'rios pessoais$ SheII seguro (SSH) OpenSSH % ;erramenta padro para acesso remoto /etc/ssh/sshd_config , Principal ar(uivo de configurao do servidor SSH$ Ajustes do Servidor OpenSSH Op3es do ar(uivo /etc/ssh/sshd_config 2 Guia de Estudo LPI 201-202 PermitRootLogin yes % Clo(ueia o acesso direto ao usu!rio root) criando uma segunda camada de segurana$ ProtocoI 2 % Protocolo do tipo H mais seguro$ IgnoreRhosts yes % .gnora uma modalidade de lierao de acesso) onde os endereos presentes nos ar(uivos b0$rhosts e b0$shosts podem entrar sem fornecer senha$ X11Forwarding yes % Permite (ue as 4anelas de programas se4am aertas atrav8s de cone"o SSH CIiente OpenSSH ssh % Comando usado para cliente ssh se conectar em um servidor$ /etc/ssh/ssh_config , Ar(uivo de configurao do cliente SSH$ e"$- ssh usurio@192.168.1.1 ssh % Comando usado pelo cliente fuIano % 7ome do usu!rio presente no servidor 192.168.1.1 % .P do servidor Chaves criptogrficas &etermina a confiailidade e o m8todo de criptografia usada numa cone"o segura$ Chaves do computador Formato Chave Privada Chave PbIica ESA 0etc0ssh0sshRhostRrsaR+e# 0etc0ssh0sshRhostRrsaR+e#$pu &SA 0etc0ssh0sshRhostRdsaR+e# 0etc0ssh0sshRhostRdsaR+e#$pu ~/.ssh/known_hosts , Armazena a chave p6lica de cone"o do computador remoto) (ue garante a confiailidade entre o dois$ Para (ue a chave passe a valer para todos os usu!rios) o conte6do do ar(uivo b0$ssh0+no<nRhosts deve ser inclu*do no ar(uivo /etc/ssh_known_hosts Autenticao por chave ssh-keygen % Comando usado para criar as chaves /pulica e privada1$ /root/.ssh/authorized_keys % Ar(uivo na ma(uina de destino (ue guarda o Conte6do da chave pulica Tipos de formatos &SA /Digital Signature Algorithm1 % Criptografia de AOHT its$ ESA /Rivest) Shamir and Adleman1 % Criptografia de TOLM its$ e"$- ssh-keygen -t das -b 1024 ssh-keygen -t rsa -b 4096 Um tamanho maior em bits torna ainda mais difciI a quebra da criptografia. Chaves do usurio Formato Chave Privada Chave PbIica 2 Guia de Estudo LPI 201-202 ESA b0$ssh0idRrsa b0$ssh0idRrsa$pu &SA b0$ssh0idRdsa b0$ssh0idRdsa$pu 2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$ cat ~/.ssh/id_dsa.pub | ssh usurio@192.168.1.1 "cat >> ~/.ssh/authorized_keys" Outro 2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$ ssh-copy-id usurio@192.168.1.1 % Copia o ar(uivo idRrsa$pu para a ma(uina remota$ ssh-copy-id % Comando usado para copiar chave pulica para um computador remoto ssh-copy-id -i outro_arquivo.pub usurio@192.168.1.1 % Copia outro ar(uivo de chave pulica para a ma(uina remota$ ssh-agent % Agente de autenticao) sua funo 8 armazenar a chave privada para autenticao via chave p6lica /&SA ou ESA1$ ssh-add , Adiciona chaves de autenticao &SA ou ESA ao programa de autenticao$ Tneis criptografados Criar um t6nel SSH entre a porta BLOO /@7C1 do computador local at8 a porta BLOO /@7C1 do computador remoto ssh -fNL 5900:IocaIhost:5900 usurio@192.168.1.1 f % .ndica (ue o comando deve ser e"ecutado em segundo plano N % &etermina (ue no deva ser aerta uma sesso do shell na ma(uina remota L % .ndica (ual porta ser usada No cIiente vncviewer IocaIhost:0 f remoto via Ssh 2"ecutar um programa na ma(uina remota via SSH e"$- ssh -X usurio@192.168.1.1 "VirtuaIBox" TCP Wrappers Controla o acesso por hosts na rede /etc/hosts.aIIow , Cont8m regras descrevendo (ue hosts tem permisso de acessar um servio em sua m!(uina$ e"$- A==- ALH$AMN$A$K 2fC2PT ALH$AMN$A$HO /etc/hosts.deny , Cont8m regras descrevendo (ue hosts no tem permisso de acessar um servio em sua m!(uina$ e"$- A==- A== Para servidores disparados por meio do daemon inetd 8 necess!rio forar a utilizao de TCPR<rappers$ Op3es do ar(uivo 0etc/inetd.conf service name % 7ome do servio valido em 0etc0services e"$- teInet socket type % stream se TCP e dgram se U&P$ e"$- stream protocoI % Protocolo v!lido em 0etc0protocols) como tcp e udp 2 Guia de Estudo LPI 201-202 e"$- tcp wait/nowait % Se o inetd deve ou no esperar o programa servidor retornar para aceitar cone"3es para o mesmo$ e"$- nowait user.group % Eoda o program servidor com o usu!rio e grupo especificado e"$- teInetd server program % Caminho do programa para e"ecutar (uando um pedido e"istir no respectivo soc+et$ e"$- /usr/sbin/tcpd server program arguments % ]uando o tcpd 8 usado para controlar os pedidos) neste campo devera constar o caminho para o programa (ue 8 de fato o servidor do servio$ e"$- /usr/sbin/in.teInetd 2"emplo do servidor telnet no ar(uivo 0etc0inetd$conf teInet stream tcp nowait teInetd /usr/sbin/tcpd /usr/sbin/in.teInetd /var/run/inetd.pid % P.& do daemon inetd Super,servidor finetd /etc/xinetd.conf % Ar(uivo de configurao do finetd /etc/xinetd.d % &iret'rio (ue guarda ar(uivos para cada servio$ 2"emplo de um servio nome do servio [ disale W #es0no soc+etRt#pe W stream)dgram)ra<)rdm ou se(pac+et protocol W Protocolo v!lido em 0etc0protocols <ait W #es0no user W Usu!rio de inicio do servidor group W 5rupo de inicio do servidor server W Caminho para o programa servidor do servio solicitado noRaccess W ALH$AMN$A$O onl#Rfrom W O$O$O$O
\ Tarefas de segurana A lista internacional Cugtra( da Securit# ;ocus) C2ET e C.AC 8 uma ferramenta de vital importGncia (ue emite oletins de segurana$ Bugtraq- <<<$securit#focus$com0archive0A CERT- <<<$cert$org CIAC- <<<$ciac$org Deteco de Intrusos Iastb % 2"ies tentativas de logins (ue no lotaram com U"ito$ IDS (Intrusion Detection System) % ;erramentas espec*ficas (ue pode lo(uear cone"3es (ue apresentam algum comportamento suspeito 2 Guia de Estudo LPI 201-202 Programas FaiI2ban % Analisa ar(uivos de logs e lo(ueia endereos .P com muitas tentativas de acesso mal,sucedidas$ Snort % Analisa protocolos e uscas por padr3es espec*ficos) deteco (ue v!rios ata(ues e varreduras como estouros de pilhas) ata(ues por C5.) analise por S?C) entre outros$ OpenVAS % Possui uma estrutura aseada em cliente0servidor$ O componente principal 8 um servidor com um con4unto de testes de vulnerailidade conhecido com 7@Ts derivado do 7essus$ NVTs (Network VuInerabiIity Test) .dentificar prolemas nos sistemas remotos e em aplicativos$ Tpico 213 SoIuo de probIemas Principais temas abordados: Eeviso do t'picos anteriores; .dentificao de falhas do sistema; .dentificao de falhas de programas$ Identificar estgios de boot e consertar carregadores de boot Etapas da iniciaIizao: A % Carregamento do +ernel pelo =ilo ou 5ru H % .nicializao do +ernel S % .dentificao de configurao do hard<are T % &isparo de daemons ProbIemas no carregador de boot Eemoo do +ernel) defeito no sistema de ar(uivos) entre outros$ O processo de oot do =ilo acontece em dois est!gios) o primeiro estagio consiste num 6nico setor carregado pelo Cios$ O segundo estagio carrega o =ilo multi,setor$ Interpretao de erros (cdigo hexadecimaI) no segundo estagio: 00- 7enhum erro identificado 01- Comando de disco invalido 02- .ndicador de endereo no encontrado 03- &isco protegido contra gravao 04- Setor no encontrado 06- &is(uete removido 08- &?A overrun 0A- Setor defeituoso 0B- Trilha defeituosa 20- ;alha no controlador 40- ;alha no rastreio /C.OS1 ou Cilindro : AOHAS /=.=O1 99- hndice de setor invalido para o segundo estagio /=.=O1 9A- AusUncia de assinatura para o carregador de segundo estagio AA- &river no pronto FF- ;alha geral Outros erros LIL?- O carregador de segundo estagio foi carregado num endereo incorreto LIL-- A taela de +ernels est! corrompida 2 Guia de Estudo LPI 201-202 SoIuo geraI de probIemas FaIhas de KerneI Checar logs em /var/Iog e usar o comando dmesg para diagnostico de prolemas de hard<are FaIhas de hardware Ispci , lista componentes conectados no arramento pci Ispci -s endereo do dispositivo -v , =ista com detalhes o dispositivo pci e"$- lspci ,s OO-AA$O ,v Isusb , lista componentes conectados no arramento us Isusb -v -d ID do dispositivo -v , =ista com detalhes o dispositivo us e"$- lsus ,v ,d AdM-OOOA MduIos .ncluir m'dulo com o comando modprobe nome_do_moduIo e checar a documentao do +ernel em 0usr/src/Iinux/Documentation) para verificar o nome do modulo para o dispositivo em (uesto$ FaIhas em programas strace % Comando capaz de rastrear todas as chamadas de sistema feitas por um programa$ strace pwd % O strace e"ecuta o comando especificado e faz o rastreamento de suas chamadas de sistema$ strace pwd -o arquivo % O strace e"ecuta o comando especificado e as informa3es de rastreamento sero enviadas para o ar(uivo especificado) ao inv8s do terminal ou console$ strace -p PID % ;az o rastreamento de um processo em e"ecuo com o P.& informado Itrace % Comando (ue intercepta e mostra todas as chamadas (ue um programa faz para iliotecas dinGmicas$ Itrace pwd % O ltrace e"ecuta o comando especificado e faz o rastreamento de suas chamadas para iliotecas dinGmicas$$ Uma chamada de sistema 8 um m8todo usado pelo processo para re(uisitar um servio do sistema operacional) ou mais especificamente do +ernel$ Isof % Usado para investigar (uem ou (uais processos esto utilizando um determinado ar(uivo Isof -p PID % =istar todos os ar(uivos aertos por um determinado processo$ Isof -u usurio % =istar todos os ar(uivos aertos por um determinado processo disparado por um usu!rio$ Isof /dev/sda2 % =istar todos os ar(uivos aertos por processos (ue esto utilizando um determinado ar(uivo$ ProbIemas em recursos do sistema Variveis de ambiente /etc/profiIe % &efine as vari!veis gloais para o sistema ~/.bashrc % &efine as vari!veis para um usu!rio especifico PATH &efine a lista de diret'rios nos (uais programas re(uisitados sero procurados$ e"$- echo $PATH /usr/IocaI/sbin:/usr/IocaI/bin:/usr/sbin:/usr/bin:/sbin:/bin LANG % .dioma padro do sistema) usado pelo amiente gr!fico$ e"$- echo $LANG pt_BR.UTF-8 2 Guia de Estudo LPI 201-202 EDITOR % ]ual editor de te"to padro usado no console e"$- echo $EDITOR nano PAGER % O paginador usado no console) como less ou more e"$- echo $PAGER Iess env 2"ie as vari!veis de amiente e seus conte6dos LD_LIBRARY_PATH % @ari!vel de amiente usada por e"portar iliotecas para uso do ld$so e"$ export LD_LIBRARY_PATH=caminho_da_bibIioteca /etc/Id.so.conf , Ar(uivo com localizao para as iliotecas de sistema Idconfig , Comando usado para (ue as altera3es no ar(uivo 0etc0ld$so$conf atualizem /etc/Id.so.cache Opes do KerneI sysctI % Comando usado para editar op3es do +ernel sem precisar reiniciar o sistema$ Outra forma 8 modificar diretamente os ar(uivos so o diret'rio 0proc0s#s$ sysctI - a % ?ostra todas as op3es do comando s#sctl$ sysctI -w net.ipv4.ip_forward=1 % &etermina se o sistema deve agir como um roteador de pacotes .P$ A opo -w deve se usada para fazer a alterao) caso contrario ser! mantido o valor atual$ /etc/sysctI.conf % Ar(uivo de configurao do s#sctl para incluir altera3es para ser carregadas no oot$ e"$- P Uncomment the ne"t line to enale pac+et for<arding for .PvT net.ipv4.ip_forward=1 ProbIemas em configuraes de ambiente vipw , 2dita diretamente o ar(uivo 0 etc0pass<d) e evita (ue o ar(uivo se4a alterado por outro comando ou outro usu!rio durante a edio$ vipw -s , 2dita diretamente o ar(uivo 0 etc0shado<$ vigr , 2dita diretamente o ar(uivo 0 etc0group) e evita (ue o ar(uivo se4a alterado por outro comando ou outro usu!rio durante a edio$ vigr -s , 2dita diretamente o ar(uivo 0 etc0gshado< Usurio com contas bIoqueadas ! no inicio da linha do ar(uivo 0etc0pass<d e"$- !teste-ZAZ?&7TgfCvZP0t;HgA]fU#$HCTtro=]O-AOOA-AOOA-Teste)))-0home0teste-0in0ash Ou shell padro apontar para /bin/faIse e"$- teste-ZAZ?&7TgfCvZP0t;HgA]fU#$HCTtro=]O-AOOA-AOOA-Teste)))-0home0teste-/bin/faIse Outras configuraes de Iogin /etc/Iogin.defs % Ar(uivo de configurao para valores padro para validade de contas e numero m!"imo de tentativas de login$ e"$- P ?a" time in seconds for login % Tempo m!"imo de espera para o usu!rio digitar a senha LOGIN_TIMEOUT 10 Apndice no PDF em anexo com todos os pesos e objetivos das provas 201 e 202 3 Guia de Estudo LPI 201-202 Tpico 207 Domain Name Server Principais temas abordados: Configurao do Servidor C.7&; Criao e manuteno d ar(uivos de zonas; Segurana de &7S$ Configurao bsica de um servidor DNS DNS Domain Name System % Traduz os nomes de ma(uinas /dom*nio1 para .P e vice,versa$ 2"$- <i+i$tldp$org org % top,level domain tIdp % second,level domain wiki % third,level domain e"emplos de top,level domain- $com.br) .com) .org) .net) entre outros$ Bind % Servidor de resoluo de nomes$ named % Programa respons!vel por responder solicita3es de traduo de nomes /etc/bind/named.conf % Principal ar(uivo de configurao do ind$ Servidor caching-onIy O servidor apenas re(uisita a resoluo do nome 4unto a um servidor e"terno e armazena a resposta para agilizar futuras re(uisi3es$ DNS reverso % Eespons!vel por converter n6meros .P para seus nomes$ /var/named/root.hints % Ar(uivo (ue guarda uma lista com os servidores de nomes principais da internet$ /etc/bind/db.root no &eian$ KiII -HUP $(pidof named) % ;ora a leitura do ar(uivo de configurao do ind$ ou rndc reIoad rndc % 2"ie (uais instru3es podem ser utilizadas Criao e manuteno de zonas de DNS named.conf zone Dempresa$com$rF .7 [ t#pe master; file Dempresa$zoneF; \; zone % 7ome da zona type % &etermina a prioridade da zone /master ou slave1 fiIe % Ar(uivo de definio de registro ds zona Registro da zona ZTT= 3 Guia de Estudo LPI 201-202 Q .7 SOA empresa$com$r$ hostmaster$empresa$com$r$ / $TTL % @alidade padro dos dados; @ % Corresponde ao dom*nio da zona IN % .nternet e determina classe do registro SOA /Start of Authorit#1 % Eegistro da autoridade para o dom*nio) seguido do nome do servidor &7S e email do administrador
AAAOHOOLOO ; Serial MOTNOO ; Eefresh NMTOO ; Eetr# HTALHOO ; 2"pire MOTNOO 1 ; 7egative Cache TT= 1110200900 % 7umero serial de identificao par a zona$ 604800 % .ntervalo de atualizao$ 86400 % .ntervalo para novas tentativas$ 2419200 % Prazo de validade das informa3es$ 604800 % .ntervalo m*nimo de permanUncia no cache$ Tipos de registros comuns: NS % 2specifica (ual dos registros 8 o servidor de nomes do dom*nio$ MX % Servidor de email para o dom*nio$ A % ?apeia o nome especificado a es(uerda para o .P especificado a direita$ CNAME % Cria um alias especificado a es(uerda para um nome 4! definido em outro registro$ PTR % ?apeia um numero .P para um nome$ DNS reverso (Traduz numero .P para nomes1 zone >A$AMN$ALH$in,addr$arpa> [ t#pe master; file >0etc0ind0d$AO>; \; zone % 7ome da zona type % &etermina a prioridade da zone /master ou slave1 fiIe % Ar(uivo de definio de registro da zona Servidores escravos zone >empresa$com$r> [ t#pe slave; file >0etc0ind0d$AO>; masters [ ALH$AMN$A$A; \; \; zone % 7ome da zona$ type % &etermina a prioridade da zone /master ou slave1$ fiIe % Ar(uivo de definio de registro da zona$ masters % .P do servidor master$ Redirecionamento de servidor options [ director# D0var0named0F; for<arders [ HOO$ALH$ATO$HA; 3 Guia de Estudo LPI 201-202 HOO$ALH$ATS$B; \ \; 0etc0ind0named$conf zone Dempresa$com$rF .7 [ t#pe fo<ard; for<arders [ HOO$ALH$ATO$HA; HOO$ALH$ATS$B; \ \; Diagnostico do servidor host % verifica o nome0ip correspondente de determinado host$ host empresa.com.br host 192.168.1.1 host www empresa.com.br % informa3es mais detalhadas dig (Domain Information Groper) % ;erramenta para diagnostico de servidor &7S e"$- dig @empresa.com.br ANY nsIookup , solicita informa3es para servidores de dom*nios da .nternet$ nsIookup modo interativo /consulta o servidor em 0etc0resolv$conf1 e"$- nsIookup > empresa.com.br pes(uisar um nome com nsloo+up em modo no interativo nsIookup empresa.com.br Segurana de DNS &7S poisoning /envenenamento de &7S1 % Permite clonar um site e conseguir informa3es pessoais$ EnjauIar o servidor 4aula chroot % Amiente isolado onde so e"istam componentes necess!rios a e"ecuo do servidor &7S $ 2"emplo de como o daemon named pode ser iniciado como processo do usu!rio no privilegiado named -u bind -t /var/named dnssec , Permite (ue as transferUncias entre servidores &7S possam ser autenticadas por meio de uma chave criptogr!fica dnssec-keygen % Permite gerar a chave criptogr!fica$ cd 0etc0ind dnssec,+e#gen ,a &SA , YMN ,r 0dev0uramdom ,n ^O72 empresa$com$r Descrio: dnssec-keygen % Comando (ue gera a chave -a das % 2specifica a criptografia usada -b 768 % Tamanho da chave -r /dev/uramdom % ;onte de dados aleat'rios -n ZONE % ]ual o tipo de dono da chave empresa.com.br % 2specifica o nome da chave Arquivos gerados: 3 Guia de Estudo LPI 201-202 _empresa$com$r$XOOSXHHHSS$+e# _empresa$com$r$XOOSXHHHSS$private O ar(uivo $+e# deve menciona ao final do ar(uivo da zona por meio da instruo Zinclude e"$- $incIude Kempresa.com.br.XOOSXHHHSS$+e# A zona deve ser assinada dnssec-signzone % Comando usado para assinar a zona dnssec,signzone ,r 0dev0urandom ,o empresa$com$r empresa$d _empresa$com$r$XOOSXHHHSS Descrio- dnssec-signzone % Comando usado para assinar a zona -r /dev/uramdom % ;onte de dados aleat'rios -o empresa.com.br empresa.db % &efine a origem do ar(uivo da zona Kempresa.com.br.+003+22233 % Ar(uivo de chave gerado pelo comando dnssec,+e#gen Arquivo gerado: empresa$d$signed O ar(uivo gerado deve ser especificado no registro da zona em named$conf zone >empresa$com$r> [ t#pe master; file >0etc0ind0empresa.db.signed>; allo<,update [ none; \; \; Tam8m sero criado os ar(uivos dsset e +e#set utilizados para o administrador da zona superior saer (uais chaves so o ponto d entrada seguro para a zona$ dsset,empresa$com$r$ +e#set,empresa$com$r$ Kempresa.com.br.+003+22233.key % 2sta chave deve estar presente na entrada trusted,+e#s do ar(uivo named$conf trusted,+e#s [ string numer numer numer string ; string numer numer numer string ; $$$ \; Restringir Acesso Eestringir totalmente o acesso ao servidor de nomes a uma rede ao a um host$ Allo<,(uer# [ ALH$AMN$A$O0HT; \; 3 Guia de Estudo LPI 201-202 Para restringir transferUncia de zonas entre servidores$ Allo<,transfer [ ALH$AMN$A$H; \; 3