Guia de Estudo LPI 202

Guia de Estudo LPI 201-202
Tpico 208 Web Services (Questes da Prova 202)

Principais temas abordados:
O Servidor HTTP Apache;
Utilizao de um certificado de segurana;
Conhecimento !sico de pro"#$
Apache Servidor HTTP
/etc/apache % &iret'rio com ar(uivos de configurao do apache
httpd.conf) apache2.conf ou apache.conf % Principal ar(uivo de configurao do apache$
mods-avaIiabIe % &iret'rio (ue contem m'dulos hailitados
sites-avaIiabIe % &iret'rio (ue contem a configurao dos sites dispon*veis
mods-enabIe % Contem lin+s sim'licos para os ar(uivos de m'dulos em mods,avaliale
sites-enabIe % Contem lin+s sim'licos para os ar(uivos de configurao em sites,avaliale
ports.conf % Ar(uivo de configurao de portas$
Configuraes fundamentais apache2.conf (Debian)
ServerType (standaIone/inetd) % &efine se o httpd deve rodar separado ou invocado pelo inetd
e"$- ServerType standaIone
ServerRoot caminho % &efine o diret'rio onde esto os ar(uivos de configurao do Apache
e"$- ServerRoot "/etc/apache2"
PidFiIe caminho % Ar(uivo (ue armazenara o valor do P.& do processo httpd pai /0var0run0http$pid1
e"$- PidFiIe /var/run/http.pid
ServerAdmin emaiI % 2mail do administrador do servidor) sero encaminhadas informa3es de erro
e"$- ServerAdmin admin@empresa.com.br
DocumentRoot caminho % &iret'rio (ue armazenara documentos disponiilizados no site
e"$- DocumentRoot "/var/www"
ServerName www.nome.com.br % O dom*nio registrado por onde o site poder! ser acessado
e"$- ServerName www.empresa.com.br
LoadModuIe nome caminho % Carrega um modulo &SO /&#namic Shared O4ect1
e"$- LoadModuIe vhost_aIias_moduIe Iibexec/apache/mod_vhost_aIias.so
AddModuIe moduIo.c % Ativao dos m'dulos est!ticos e e"ternos
e"$- AddModuIe mod_vhost_aIias.c
<IfModuIe ssI_moduIe> - verificar se o modulo foi carregado
.nstru3es
</IfModuIe>
Port porta % &efine a porta onde o servidor escutara$
e"$- Port 80
User usurio % Usu!rio dono do processo servidor$
e"$- User nobody
Group grupo % 5rupo dono do processo servidor$
e"$- Group nobody
Configuraes que infIuenciam na performance do servidor
Timeout % Tempo limite de espera para uma re(uisio 52T) dados via POST ou PUT
e"$- Timeout 300
KeepAIive % Permite (ue mais de uma re(uisio se4a realizada em uma 6nica cone"o
e"$- KeepAIive On
MaxKeepAIiveRequests % 7umero m!"imo de re(uisi3es numa mesma cone"o
e"$- MaxKeepAIiveRequests 100
1
KeepAIiveTimeout % .ntervalo em segundos das ultima re(uisio at8 o fechamento da cone"o
e"$- KeepAIiveTimeout 15
MinSpareServers % 7umero m*nimo de processos servidores inativos
e"$- MinSpareServers 5
MaxSpareServers % 7umero m!"imo de processos servidores inativos
e"$- MaxSpareServers 10
MinSpareThreads % 7umero m*nimo de threads servidores inativos
e"$- MinSpareThreads 5
MaxSpareThreads % 7umero m!"imo de threads servidores inativos
e"$- MaxSpareThreads 10
StartServers % 7umero de processos filhos disparados inicialmente mais o servidor principal
e"$- StartServers 5
MaxCIients % Total m!"imo de processos servidores
e"$- MaxCIients 150
MaxRequestsPerChiId , 7umero m!"imo de re(uisi3es (ue um processo filho poder! receer$
e"$- MaxRequestsPerChiId 0
Ativao de mduIos
2strutura modular) cada recurso e"tra )pode ser carregado atrav8s de m'dulos) e"$ PHP e P#thon
apache2ctI restart % Comando usado para reiniciar o apache
Restrio de acesso
9&irector# 0:
Options ;ollo<S#m=in+s
Allo<Override 7one
90&irector#:
&escrio-
<Directory /> % Aertura da seo) diret'rio raiz
Options FoIIowSymLinks % Orienta o apache a oedecer os lin+s sim'licos no diret'rio
AIIowOverride None % 2specifica se pode ser usado um ar(uivo $htaccess no diret'rio
</Directory> % ;echamento da seo
Conte6do do ar(uivo $htaccess
9&irector# >0var0<<<>:
Options .nde"es ;ollo<S#m=in+s ?ulti@ie<s
Allo<Override All
Order allo<)den#
Allo< from all
90&irector#:
Criar conta de acesso
htpasswd % Cria contas de acesso ao diret'rio restrito
htpasswd -s -c /var/www/restrito/.htpasswd aIuno
Descrio:
htpasswd % Comando (ue cria a conta
-s % Utilizao do algoritmo SHAA
m % ;ora criptografia mdB
-c /var/www/restrito/.htpasswd % .ndica a localizao do ar(uivo (ue armazenara a senha
aIuno % 7ome do usu!rio da conta
2
Contedo do arquivo /var/www/restrito/.htaccess
AuthT#pe Casic
Auth7ame DEestricted AreaF
AuthUser;ile D0var0<<<0restrito0$htpass<dF
Ee(uire valid,user
Arquivos de Iog
O log de erros 8 definido pelo parGmetro 2rror=og no ar(uivo apacheH$conf
e"$- ErrorLog /var/Iog/apache2/error.Iog
ErrorLog sysIog:user % Ao inv8s de ar(uivo utilizar o s#slog e a facilidade user
Transaes imagens em pgina HTML
=og;ormat DIh Il Iu It JFIrJF I:s IF common
Lista de caracteres
%h % Host remoto
%I % =og remoto) se houver
%u % Usu!rio remoto) se dispon*vel pelo auth
%t % &ata e hora) no formato padro americano
%r % Primeira linha de re(uisio
%s % Status da re(uisio
%b % C#tes receidos) e"clu*dos os caealhos
Criar Iogs personaIizados
&efine o ar(uivo e o nic+name pr8,definido
CustomLog /var/Iog/apache/access_Iog common
Criar logs apenas para registrar (uais navegadores acessam o site
LogFormat "%(User-agent)i" agent
CustomLog /var/Iog/apache/agent_Iog agent
Opes do comando apache2ctI
apache2ctI start % .nicia o servidor
apache2ctI stop % Termina o servidor
apache2ctI status % Status do servidor
apache2ctI restart % Eeiniciai ou inicia o servidor
apache2ctI gracefuI % .nicia ou reinicia o servidor) mas aguarda as cone"3es ativas terminarem
apache2ctI configtest % @erifica se h! erros de sinta"e nas configura3es$
Manuteno do servidor Web
Hosts Virtuais baseado em consuIta de nomes
9@irtualHost K:
Server7ame <<<$empresa$com$r
&ocumentEoot 0var0<<<0empresa
90@irtualHost:
Com ServerAIias (Indica outros nomes por meio dos quais o site ser acessveI)
9@irtualHost K:
ServerAlias empresa$com$r K$empresa$com$r
3
90@irtualHost:
Hosts Virtuais baseado em IP
9@irtualHost ALH$AMN$A$A :
90@irtualHost:
Hosts Virtuais Redirecionamento
9@irtualHost K-NO:
Eedirect Permanent 0 http-00<<<$dominio$com$r
90@irtualHost:
Prtica Criar um Host VirtuaI
1 % vim 0etc0apacheH0sites,avaliale0<<<$empresa$com$r /Crie o dom*nio virtual1
P Host @irtual
7ame@irtualHost <<<$empresa$com$r
9@irtualHost <<<$empresa$com$r:
&ocumentEoot 0var0<<<0empresa$com$r
Server7ame empresa$com$r
ServerAdmin <emasterQempresa$com$r
2rror=og 0var0log0apacheH0empresa$com$r,access$log
Custom=og 0var0log0apacheH0empresa$com$r,access$log common
90@irtualHost:
Descrio:
NameVirtuaIHost www.empresa.com.br % Host virtual aseado em nome$
<VirtuaIHost www.empresa.com.br> , &efine o host virtual$
DocumentRoot /var/www/empresa.com.br , &iret'rio (ue armazenara documentos disponiilizados no site
ServerName empresa.com.br , O dom*nio registrado por onde o site poder! ser acessado
ServerAdmin webmaster@empresa.com.br , 2mail do administrador do servidor) sero encaminhadas
informa3es de erro
ErrorLog /var/Iog/apache2/empresa.com.br-access.Iog % Ar(uivo de logs de erros
CustomLog /var/Iog/apache2/empresa.com.br-access.Iog common , &efine o ar(uivo e o nic+name pr8,
definido
</VirtuaIHost> , ;echa a sesso
2 % mkdir /var/www/empresa.com.br /Crie o diret'rio do dom*nio virtual1
3 % vim /var/www/empresa.com.br/index.htmI /Crie o ar(uivo inde" para o seu dom*nio1
9html:
9title: ?inha P!gina 90title:
9od#:
Testando o Apache
90od#:
90html:
4 % apache2ctI -S /Testa a sinta"e do seu ar(uivo de @irtual Host1
5 % a2ensite /Hailita o dom*nio criado1
6 % a2ensite www.empresa.com.br / Hailita o dom*nio sem a necessidade de criar lin+s virtuais1
7 % invoke-rc.d apache2 reIoad /Eecarrega as configura3es sem reiniciar o apache1
Conexes seguras (SSL)
4
SSL (Secure Socket Layers) % Assegura a segurana e a autenticidade da comunicao com o servidor$ A
verso do Apache H$" 4! inclui o modRssl
HTTPS % Protocolo para navegao segura na porta 443$
CA /Certificate Authorit#1 % Autoridade certificadora) (ue garante a autenticidade do servidor$
ExempIos de CAs
@eriSign /Tha<te1
5eoTrust
5o&add#
Gerar chave
A % Hailitar o modulo ssl
a2enmod ssI
H % Acessar o diret'rio para guardar a chave
cd /etc/ssI
openssI % Comando usado para gerar chave privada (ue ser! mantida no servidor$
S % 5era uma chave usando criptografia Triple &2S e guarda no ar(uivo <<<$empresa$com$r$+e#
openssI genrsa -des3 -out www.empresa.com.br.key 1024
T % Cria um Certificate Signing Ee(uest /Pedido de assinatura do certificado1
openssI req -new -key www.empresa.com.br.key -out www.empresa.com.br.csr
B % Para vocU mesmo assinar o certificado e no uma unidade certificadora use-
openssI x509 -req -days 365 -in www.empresa.com.br.csr -signkey www.empresa.com.br.key -out
www.empresa.com.br.crt
Configurando o domnio virtuaI com SSL
vim 0etc0apacheH0sites,avaliale0<<<$empresa$com$r
7ame@irtualHost K-TTS
9@irtualHost K-TTS:
&ocumentEoot 0var0<<<0empresa$com$r
Server7ame K-TTS
ServerAdmin <emasterQempresa$com$r
2rror=og 0var0log0apacheH0empresa$com$r,access$log
Custom=og 0var0log0apacheH0empresa$com$r,access$log common
SSLEngine On
SSLCertificateFiIe /etc/ssI/www.empresa.com.br.crt
SSLCertificateKeyFiIe /etc/ssI/www.empresa.com.br.key
90@irtualHost:
SSLEngine On % Ativa o uso de SS= /porta TTS1
SSLCertificateFiIe /etc/ssI/www.empresa.com.br.crt % Ar(uivo do certificado assinado
SSLCertificateKeyFiIe /etc/ssI/www.empresa.com.br.key % Ar(uivo da chave
https-00<<<$empresa$com$r
ImpIementando Nginx como um Web Service e um Proxy Reverso
/etc/init.d/nginx start - Inicia o servio
/etc/nginx/nginx.conf - Arquivo de configurao
5
Web Service:
Configurao do arquivo nginx.conf:
server {
Iisten 127.0.0.1:8080;
server_name exampIe;
access_Iog /usr/IocaI/nginx/Iogs/exampIe.access.Iog;
error_Iog /usr/IocaI/nginx/Iogs/exampIe.error.Iog;

Iocation / {
root /var/www/exampIe;
index index.htmI index.htm;
}
}
Proxy Reverso:
Dentro do arquivo nginx.conf adicione dentro da Seo Http as Iinhas abaixo:
proxy_cache_path /data/nginx/cache IeveIs=1:2 keys_zone=STATIC:30m
inactive=168h max_size=5g;
*Obs: a pasta aonde ficar o cache deve ser criada: /data/nginx/cache
/etc/nginx/conf.d/defauIt.conf - Arquivo com configuraes do proxy reverso:
Ex:
Iocation / {
proxy_pass http://rodoIfofadino.com.br;
proxy_set_header Host $host;
proxy_cache STATIC;
proxy_cache_vaIid 200 7d;
proxy_cache_use_staIe error timeout invaIid_header updating
http_500 http_502 http_503 http_504;
}
ImpIementando um Servidor Proxy
Squid % Servidor pro"# (ue age como filtro) lo(ueador conte6do e autenticador
/etc/squid/squid.conf % Principal ar(uivo de configurao do s(uid
Opes fundamentais de um Cache Squid
http_port % &efine a porta utilizada pelo s(uid /SAHN a padro1
http_port 3128 transparent % &efine a porta utilizada pelo s(uid com transparUncia poderia especificar t o ip
da interface e"- http_port 192.168.0.1:3128 trasparent
cache_mgr % O email do administrador do pro"#
cache_effective_use % O usu!rio so o (ual o daemon s(uid ser! e"ecutado
cache_effective_group % O grupo so o (ual o daemon s(uid ser! e"ecutado
cache_men % define a (uantidade de cache de memoria tam
cache_dir % &efine o local e a (uantidade de memoria em disco
squid -z % Eecria o cache do s(uid
6
ACL
Access ControI List % Eegra de acesso /permisso e limites ao usu!rio do pro"#1
Tipos de AC=
src: filtra endereo de origem
dst: filtra endereo de destino
dstdomain: filtra dom*nio de destino
time: filtra hor!rio e dias da semana
urI_regex: filtra e"press3es regulares dentro de uma url
proxy_auth: filtra usu!rios autenticados
e"$- acI In src 192.168.1.0/24
&efine uma AC= de nome lan (ue se refere as todas as re(uisi3es para rede ALH$AMN$A$O0HT
Para lierar 0 7egar o acesso para esse grupo
http_access aIIow Ian
http_access deny Ian
Tpico 209 CompartiIhamento de Arquivos
Configurao e operao do SA?CA;
Compartilhamento de ar(uivos e espao em disco com 7;S$
SMB e CIFS % Protocolos (ue permitem compartilhar recursos de um servidor =inu" para esta3es Vindo<s e
vice,versa
smbd % &aemon do sama respons!vel por servidor de ar(uivos e impressoras$
nmbd % &aemon do sama respons!vel por servidor de nomes 7etC.OS$
Sama , &aemon do sama respons!vel por servidor de ar(uivos) impressoras e 7etC.OS /&eian1
/etc/samba/smb.conf % Principal ar(uivo de configurao do sama
ExempIo de um arquivo de configurao mnima:
[gIobaI]
<or+group W lpi
server string W &eian Sama Server
[homes]
comment W Home &irectories
read onl# W no
ro<seale W no
[printers]
comment W All Printers
path W 0var0spool0sama
printale W #es
ro<seale W no
[gIobaI] % Seo de configura3es gloais do servidor
[homes] % Seo de compartilhamento de diret'rios
7
[printers] % Seo de compartilhamento de impressoras
Op3es-
comment W Home &irectories
read onl# W #es or <ritale W no
ro<seale W no
path W 0var0spool0sama
printale W #es
ro<seale W no
guest o+ W #es
<rite list W 4oao) maria) Xcontailidade
read list W 4oao) maria) Qcontailidade
valid users W Xar(uivos) 4ose) 4oa(uim) Xadmin
invalid valid users W Xar(uivos) 4ose) 4oa(uim) Xadmin
hosts allo< W ALH$AMN$A$HS) athenas) AYH$AM$
testparm % Comando usando para testar as configura3es /sinta"e1 do ar(uivo sm$conf
Criao de contas de usurio samba
smbpasswd % Comando usado para criar conta do sama
Opes:
smbpasswd -a usurio % Cria uma conta do sama para um usu!rio indicado
smbpasswd -x usurio % 2"clui uma conta do sama para um usu!rio indicado
smbpasswd -d usurio % Clo(ueia uma conta do sama para um usu!rio indicado
smbpasswd -e usurio % &eslo(ueia uma conta do sama para um usu!rio indicado
smbpasswd -m % .ndica (ue a conta 8 uma conta de ma(uina e no de usu!rio
smbpasswd -n usurio % A senha do usu!rio do sama ser! nula$ Somente ser! poss*vel arir o
compartilhamento se e"istir o parGmetro null pass<ords W #es na seo gloal$
username map = /var/Iib/samba/users.map % Opo inserida no sm$conf para mapear usu!rios (ue
possuam na estao um nome diferente da(uele utilizado no servidor$
ExempIo de users.map
root W admin administrador
Samba como servidor PDC
PDC (Primary Domain ControI) % Servidor de dom*nio permite (ue usu!rios de esta3es Vindo<s realizem
logon utilizando as informa3es de autenticao centralizadas no servidor$
Parmetros da seo [gIobaI] para funcionamento do samba com PDC
workgroup % &efine o nome do dom*nio$
e"$- workgroup = Ipi
Iogon script % Script (ue ser! e"ecutado (uando o usu!rio se logar
e"$- Iogon script = Iogon.cmd
domain Iogons % &etermina a ativao de login remoto pra o dom*nio especificado
e"$- domain Iogons = yes
Outros parmetros da seo [gIobaI] para funcionamento do samba com PDC
netbios name % &efine o nome do computador na rede Vindo<s
e"$- netbios name = maqIinux
preferred master % &etermina se o servidor nmd devera ter prioridade frente a outros servidores
e"$- preferred master = yes
os IeveI % Prioridade do servidor) o numero AOO garante (ue este ser! o primeiro servidor
e"$- os IeveI = 100
Iogon path % &iret'rio onde sero armazenadas as configura3es do Vindo<s /Perfil1
e"$- Iogon path = \\%N\%U\profiIe
8
Iogon drive % &etermina a letra de drive (ue o Vindo<s usara para o diret'rio HO?2
e"$- Iogon drive = H:
Iogon home % &etermina a localizao do diret'rio HO?2
e"$- Iogon home = \\%N\%U \profiIe
ExempIo de uma configurao do smb.conf como PDC
[gIobaI]
netios name W ma(linu"
<or+group W lpi
server string W &eian Sama Server
domain master W #es
preferred master W #es
domain logons W #es
os level W AOO
logon path W JJI7JIUJprofile
logon drive W H-
logon home W JJI7JIU Jprofile
logon script W logon$cmd
Parmetros da seo [netIogon]
[netIogon] % Compartilhamento para (ue esta3es Vindo<s identifi(uem o servidor como P&C
[netIogon]
comment W =ogin
path W 0var0li0sama0netlogon
read onl# W #es
Contas de mquina
IncIuir o usurio root no samba
smpass<d ,a root
IncIuir conta para estao (conta de maquina) necessria apenas quando Samba age como PDC
useradd ,s 0in0false ,d 0dev0null <in"p,OAZ , Cria a conta Uni" para a m!(uina
passwd % Cria a conta Uni"
-s /bin/faIse % 7o tera um shell valido por no ser tratar de uma conta de usu!rio
-d /dev/nuII % 7o ter! um diret'rio valido por no ser tratar de uma conta de usu!rio
winxp-01$ , 7ome da ma(uina) origatoriamente contas de ma(uinas devem terminar com Z
BIoquear conta da maquina com a opo -I
pass<d ,l <in"p,OAZ
IncIuir a conta da maquina no samba
smpass<d ,m ,a <in"p,OA
Scripts de Iogon
7a seo [netIogon] criar o script indicado em path = /var/Iib/samba/netIogon
O script de logon mapear! o home do usu!rio para a unidade h- na estao Vindo<s
exempIo de um arquivo Iogon.cmd
7et US2 H- 0HO?2
Samba como servidor Wins (Servidor de nome NetBIOS)
Para ativar o Sama com servidor Vins use o parGmetro <ins support W #es em sm$conf
/etc/samba/Imhosts % ?apeamento de .P e nomes das ma(uinas
e"$- 192.168.1.1 maqIinux
9
192.168.1.2 winxp-01
nmbIookup % Comando usado para investigar o servio Vins
e"$- nmbIookup -B 192.168.1.255 'maqIinux'
nmbIookup % Comando usado para investigar o servio Vins
-B 192.168.1.255 % 2specifica para (ual endereo de roadcast a solicitao deve ser enviada
'maqIinux' % 7ome da ma(uina
-W domnio % 2specifica um dom*nio de grupo diferente do indicado em sm$conf
smbstatus % Comando usado para inspeo) lista a utilizao atual dos compartilhamentos
smbstatus -p % =ista os processo ativos do Sama
smbstatus -S % =ista os compartilhamentos sendo utilizados
smbstatus -u usurio % ?ostra apenas informa3es referentes ao usu!rio especificado
CIiente Samba
smbcIient % Comando usado para verificar os compartilhamentos dispon*veis
smbcIient -L \\maqIinux -U teste % @erifica compartilhamentos dispon*veis da ma(uina ma(linu" usando o
usu!rio teste para se autenticar
Montar compartiIhamento do samba no Linux
mount ,t smfs ,o usernameWteste)pass<ordWAHSTBM 00ma(linu"0teste 0mnt0sama
mount ,t smfs ,o usernameWteste)pass<ordWAHSTBM 00ALH$AMN$A$HO0teste 0mnt0sama
mount % Comando usado para montar$
,t smfs % Sistema de ar(uivos do tipo smfs$
,o usernameWteste)pass<ordWAHSTBM % 7ome do usu!rio e senha$
00ALH$AMN$A$AHO0teste % Computador e compartilhamento remoto
0mnt0sama % Ponto de montagem na ma(uina local$
Para montar no fsta use a opo credentiaIs=nome_do_arquivo com o seguinte Conte6do
username W teste
pass<ord W AHSTBM
Configurar um servidor NFS
NFS Network FiIe System % Sistema de ar(uivo de rede (ue permite montar compartilhamentos remotos
como se fossem dispositivos locais$
/etc/init.d/portmap % &aemon usado para montar dispositivos remotos$
Outros daemons necessrios para servir compartiIhamentos por meio de NFS
rpc.nfsd % &ispara os eventos controlados pelo modulo 7;S do +ernel$
rpc.mountd % Eesponde as solicita3es de montagem$
rpc.rquotad % Controla as (uotas do compartilhamento$
rpc.Iockd % Controle de trava para o 7;S$
rpc.statd % 7otificao de reinicio para o 7;S$
/etc/init.d/nfs ou /etc/init.d/nfs-kerneI-server % &aemon do nfs$ Use start) stop ou restart$
Definindo compartiIhamento
/etc/exports % Ar(uivo usado para definir os compartilhamento e lista de controle de acesso$
1
e"$- /mnt/Ivm 192.168.1.0/24(ro) 192.168.1.12(rw,no_root_squad)
/mnt/Ivm % &iret'rio a ser compartilhado
192.168.1.0/24(ro) % Clientes da rede ALH$AMN$A$O0HT permisso de leitura no compartilhamento
192.168.1.12(rw,no_root_squad) % O host ALH$AMN$A$AH permisso de escrita no compartilhamento
ro % Apenas leitura$
rw % =eitura e escrita$
no_root_squad % Permite (ue o usu!rio remoto root monte o compartilhamento$
exportfs -a % Ativa os compartilhamentos configurados em 0etc0e"ports
exportfs -ua % &esativa os compartilhamentos
Acesso ao compartiIhamento
mount ,t nfs ALH$AMN$A$H-0mnt0lvm 0mnt0remoto
mount % Comando usado para montar$
-t nfs % Tipo de sistema de ar(uivos /7;S1$
192.168.1.2:/mnt/Ivm % .P e compartilhamento do computador remoto$
/mnt/remoto % Ponto de montagem no computador local$
showmount % Usado para verificar (uais so os compartilhamentos disponiilizados no servidor
e"$- showmount -e 192.168.1.2
Opes-
showmount -e IP % 2"ie (uais compartilhamentos disponiilizados no servidor$
showmount -a IP % ?ostra o host e o diret'rio montado por ele$
showmount -a IP % ?ostra os diret'rios montados por clientes$
nfsstat % 7a ma(uina cliente mostra estat*sticas de uso dos compartilhamentos 7;S do servidor$
e"$- nfsstat -m
rpcinfo % 2"ie um relat'rio de informa3es EPC de um determinado host$
e"$- rpcinfo -p 192.168.1.1
TCPwrappers
Controle de acesso estaelecido atrav8s dos ar(uivos 0etc0hosts$allo< e 0etc0hosts0den#
/etc/hosts.aIIow % Cont8m as regras para os hosts (ue podero acessar a ma(uina local
e"$- ALL: 192.168.1.* EXCEPT 192.168.1.20
/etc/hosts.deny % Cont8m as regras para os hosts (ue no podero acessar a ma(uina local
e"$- ALL: ALL
Tpico 210 Administrao dos cIientes de redes
Oteno autom!tica de .P a partir do &HCP;
Autenticao por PA?;
Cliente =&AP$
Configurao DHCP
DHCP Dinamic Host Configuration ProtocoI % &istriui endereos .P para as esta3es mediantes a regras
1
pr8,estaelecidas
Configurao do Servidor
/etc/dhcp/dhcpd.conf % Principal ar(uivo de configurao do servidor &HCP
/etc/dhcp3/dhcpd.conf % Principal ar(uivo de configurao do servidor &HCP /&eian1
ExempIo de um arquivo dhcpd.conf
default,lease,time MOO;
ma",lease,time YHOO;
option domain,name >empresa$com$r>;
option domain,name,servers ALH$AMN$A$AO;
sunet ALH$AMN$A$O netmas+ HBB$HBB$HBB$O [
range ALH$AMN$A$BO ALH$AMN$A$AOO;
option routers ALH$AMN$A$AO;
\
host fulano [
hard<are ethernet ON-OO-HY-CY-AT-B;;
fi"ed,address ALH$AMN$A$MS;
\
host teste [
hard<are ethernet ON-OO-HY-AA-CT-2C;
fi"ed,address ALH$AMN$A$MY;
\
Descrio:
defauIt-Iease-time 600 % &etermina em segundos o intervalo de checagem de .P$
max-Iease-time 7200 % Per*odo m!"imo em segundos de alocao de .P$
option domain-name % ]ual dom*nio transmitido para os clientes$
option domain-name-servers % ]ual servidor de nomes o cliente poder! utilizar em resolv$conf$
subnet 192.168.1.0 netmask 255.255.255.0 % &efine a rede e mascara$
range 192.168.1.50 192.168.1.100 % .ntervalo de .P dispon*veis para a rede$
option routers 192.168.1.10 % &efine a rota padro para os clientes$
Outras opes:
host fuIano % 7ome do hos/ma(uina1
hardware ethernet 08:00:27:C7:14:5F % ?ac address do host$
Fixed-address 192.168.1.63 % .P fi"o para o host$
Boot via rede
CompatibiIidade com estaes DiskIess.
Bootp (Bootstrap) % Carregamento remoto do sistema operacional
ExempIo:
host fulano [
hard<are ethernet ON-OO-HY-CY-AT-B;;
fi"ed,address ALH$AMN$A$MS;
filename Dvmlinuz$fulanoF;
server,name Dempresa$com$rF;
ne"t,server servername;
\
1
Outra forma de iniciar o servidor DHCP
dhcpd -If /etc/dhcpd.Ieases eth0
dhcpd3 -If /var/Iib/dhcp3/dhcpd.Ieases eth0 (Debian)
dhcpd.Ieases % Ar(uivo (ue armazena o anco de dados de aluguel do cliente &HCP) contendo datas do
aluguel e os endereos ?AC da placa de interface de rede$
Servidor DHCP centraIizado fora da rede do cIiente
dhcreIay (Agente DHCP ReIay) % Permite o revezamento de pedidos &HCP e COOTP de uma su,rede sem
um servidor &HCP$
e"$- dhcreIay -i eth0 empresa.com.br
Descrio:
dhcreIay % Comando$
-i eth0 % .nterface (ue o dhcrela# aguardar! por re(uisi3es de .P$
empresa.com.br % &om*nio
Logs
taiIf -f /var/Iog/daemon.Iog % Comando para verificar em tempo real) distriui3es de .P aos clientes
Autenticao por PAM
PAM (PIuggabIe Authentication ModuIes) % ?ecanismo (ue oferece uma camada de astrao para
autenticao de usu!rios$
Programas ou servios que utiIiza autenticao possui uma configurao no PAM
/etc/pam.conf % Ar(uivo (ue centraliza todas as configura3es de cada programa ou servio$
/etc/pam.d % &iret'rio com ar(uivos individuais contendo as configura3es de cada programa ou servio$
Sinta"e interna dos ar(uivos individuais contendo as configura3es-
Tipo ControIe MduIo Argumentos
e"emplo do ar(uivo 0etc0pam$d0gdm
session optionaI pam_gnome_keyring.so auto_start
session % /Tipo1 &efine o tipo de autenticao usado para o m'dulo$
optionaI % /Controle1 2specifica o (ue fazer dependendo da resposta do m'dulo$
pam_gnome_keyring.so % /?'dulo1 ]ual m'dulo utilizar$
auto_start % /Argumentos1 Eepresenta os argumentos passados para o m'dulo$
Tipos de autenticao PAM
account % @erifica se o usu!rio pode acessar o servio) se a senha no espirou etc$
auth % &etermina a autenticidade do usu!rio via senha)pode utilizar outros meios) como iometria$
password % ?ecanismo da alterao da autenticao /provavelmente a senha1$
session % Procedimentos antes e depois (ue o usu!rio for autenticado$ 2"$- restrio de servio
ControIes do PAM
requisite % Autenticao 8 imediatamente negada) no caso de negativa do m'dulo$
required % Autenticao recusa no caso de negativa do m'dulo) mas consultara outros m'dulos para o servio
1
antes de negar completamente a autenticao$
sufficient % Se a autenticao para este m'dulo for em sucedida) a autenticao ser! confirmada mesmo (ue
os m'dulos anteriores tenham negado$
optionaI % A aprovao ou negao far! diferena se for o 6nico do tipo para o servio$
/usr/Iib/security ou /Iib/security % &iret'rio de locao dos m'dulos$
Diferenas entre as configuraes:
7o ar(uivo /etc/pam.d/Iogin
auth requisite pam_securetty.so
7o ar(uivo /etc/pam.conf
Iogin auth requisite pam_securetty.so
ExempIos de mduIos e arquivos de configuraes:
pam_motd.so (mduIo) % &etermina a e"iio do ar(uivo /etc/motd ap's um login em sucedido
pam_Iimits.so (mduIo) % &etermina os limites de utilizao de recursos para usu!rios definidos em
/etc/security/Iimits.conf
PAM e LDAP
pam_Idap.so % ?'dulo usado na configurao do PA? para utilizar autenticao) uscando as informa3es
num diret'rio =&AP
ExempIo do arquivo /etc/pam.d/Iogin para que o Iogin faa autenticao via LDAP
auth sufficient pamRldap$so
auth re(uired pamRuni"$so tr#RfirstRpass
accountsufficient pamRldap$so
accountre(uired pamRuni"$so
Uso de cIiente LDAP
LDAP (Lightweight Directory Access ProtocoI) % Protocolo utilizado para pes(uisar e modificar servios de
diret'rios numa rede TCP0.P$
Diretrio % Con4unto de informa3es /classes de o4etos1 com atriutos e propriedades organizadas de forma
hier!r(uica e l'gica$
sIapd % &aemon servidor do Open=&AP$
/etc/Idap/sIapd.conf % Principal ar(uivo de configurao dividido em trUs se3es- gloal) funcionamento interno
/ac+end1 e configurao de anco de dados$
Configuraes bsicas
include 0etc0ldap0schema0core$schema
include 0etc0ldap0schema0cosine$schema
include 0etc0ldap0schema0nis$schema
include 0etc0ldap0schema0inetorgperson$schema
Incorpora os padres de esquemas e definies de cIasses de objetos
pidfile 0var0run0slapd0slapd$pid
Arquivo com o PID do processo servidor (sIapd)
1
argsfile 0var0run0slapd0slapd$args
Arquivo contendo argumentos passados ao daemon
ac+end d
Define quaI ser o sistema de armazenamento de dados.
dataase d
Inicio da seo do banco de dados
suffi" >dcWempresa)dcWcom)dcWr>
O sufixo base para o diretrio no banco de dados
rootdn >cnWadmin)dcWempresa)dcWcom)dcWr>
Define o super-usurio (admin) para o banco de dados definido
rootp< [SSHA\MlVPMVigS@;z^4Ta&2g^_gh7COcd=]r
Senha do super-usurio (comando sIappasswd)
director# >0var0li0ldap>
Diretrio onde sero armazenados os arquivos do banco de dados
inde" o4ectClass e(
Definio da indexao. Configuraes bsicas para um diretrio LDAP.
Conectando ao diretrio
sIaptest % Comando usado para testar as configura3es em 0etc0ldap0slapd$conf
/etc/init.d/sIapd start % .nicia o daemon do =&AP
Idapsearch % Eealiza pes(uisa simples na ase de dados do =&AP
e"$- Idapsearch -x -b '' -s base '(objectcIass=*)' namingContexts
Arquivos LDIF
LDIF (LDAP Dta Interchange Format) % Tipo de ar(uivo usado para .nsero de dados em um diret'rio =&AP$
ExempIo de um arquivo LDIF (exempIo.Idif)
dn- dcWempresa) dcWcom) dcWr
o4ectClass- domain
dc- empresa
SigIas utiIizadas em arquivos Idif
dn: distinguished7ame
o: organization7ame
c: countr#
cn: common7ame
sn: surname
Para incluir os dados do ar(uivo e"emplo$ldif no diret'rio =&AP
Idapadd -f exempIo.Idif -x -W -D 'cn=admin,dc=empresa,dc=com,dc=br'
Para pes(uisar os dados do ar(uivo no diret'rio =&AP
Idapsearch -x -b 'dc=empresa,dc=com,dc=br' '(objectcIass=*)'
1
LDAP Comandos de grupos e usurios
Idapaddgroup % Adiciona um grupo$ 2"$- ldapaddgroup 9nomeRdoRgrupo: `gida
Idapadduser % Adiciona um usu!rio$ 2"$- ldapadduser 9nomeRdoRusu!rio: 9nomeRdoRgrupoJgid: ùida
Idapaddusertogroup % .nclui um usu!rio num grupo$ 2"$- ldapaddusertogroup 9nomeRdoRusu!rioJuid:
9nomeRdoRgrupoJgid:
Idapaddmachine % Cria uma conta de ma(uina$ 2"$- ldapaddmachine 9nomeZ: 9nomeRdoRgrupoJgid: ùida
IdapdeIetegroup % Eemove um grupo
IdapdeIeteuser % Eemove um usu!rio
IdapdeIeteuserfromgroup % 2"clui um usu!rio de um grupo$ 2"$- ldapdeleteuserfromgroup 9usu!rio:
9nomeRdoRgrupoJgid:
Idappasswd % Altera a senha de um item no diret'rio =&AP
Tpico 211 Servios de e-maiI
Configurao !sica de servidor de email;
;iltros do Procmail;
Servios POP e .?AP$
SMTP (SimpIe MaiI Transfer ProtocoI) % Protocolo utilizado para envio de mensagem de email$
MTA (MaiI Transfer Agent) % Agente de transporte de email /servidor de email1 respons!vel em enviar as
mensagens /S?TP1$
MDA (MaiI DeIivery Agent) % Agente entregador de email respons!vel em entregar as mensagens nas cai"as
postais dos usu!rios$
MTA % Postfi") Sendmail) (mail e 2"im$
MDA % Courier) &ovecot /Pop ou .?AP1
SendmaiI
/etc/maiI % &iret'rio (ue contem os ar(uivos de configurao do Sendmail$
Arquivos de configurao:
/etc/maiI/access % Ar(uivo utilizado para verificar e lierar /ou no1 emails cu4o destino 8 a ma(uina local$
Usado tam8m para (ue o servidor local possa ser utilizado como servidor de email por outras ma(uinas
/rela#1$
reIay % 2ncaminhamento a partir de origem e"terna$
Aes do arquivo access:
OK- Aceita o email para a entrega local;
RELAY- Aceita o email para encaminhamento por meio deste servidor;
REJECT- Ee4eita o envio do email;
DISCARD- &escarta e email sem gerar mensagem de erro$ Ao v!lida apenas para nomes de dom*nio ou
endereos de email$
Ap's configurar o /etc/maiI/access gere o ar(uivo de mapa in!rio-
makemap hash /etc/maiI/access.db < /etc/maiI/access
makemap % =U as configura3es a partir de entrada padro e gera o ar(uivo utilizado pelo Sendmail$
/etc/maiI/IocaI-host-names % &efine (uais nomes sero aceitos para a m!(uina local$
/etc/maiI/virtusertabIe % ?apeia mensagens receidas por outras contas ou dom*nios$
Ap's configurar o /etc/maiI/virtusertabIe gere o ar(uivo de mapa in!rio-
makemap hash /etc/maiI/virtusertabIe.db > /etc/maiI/virtusertabIe
/etc/maiI/genericstabIe % Eeescreve o endereo para emails enviados$
1
Ap's configurar o /etc/maiI/genericstabIe gere o ar(uivo de mapa in!rio-
makemap hash /etc/maiI/genericstabIe .db > /etc/maiI/genericstabIe
/etc/maiI/genericsdomain % .nforma ao Sendmail (uais endereos so considerados locais$
/etc/maiI/maiIertabIe % Eedireciona email vindo de fora) uma alternativa ao virtusertale$
/etc/maiI/domaintabIe % ?apeamento entre dom*nios$
Ap's configurar o /etc/maiI/domaintabIe gere o ar(uivo in!rio-
makemap hash /etc/maiI/domaintabIe .db > /etc/maiI/domaintabIe
/etc/maiI/aIiases % Eedireciona emails enviando para as contas locais especificadas$
Ap's configurar o /etc/maiI/aIiases gere o ar(uivo in!rio-
makemap hash /etc/maiI/aIiases .db > /etc/maiI/ aIiases
/etc/maiI/sendmaiI.cf % Principal ar(uivo de configurao do Sendmail$
/usr/share/sendmaiI/cf/cf/ % &iret'rio (ue contem ar(uivos e"emplos de configurao /$mc1 do Sendmail$
Usando um ar(uivo $mc /e"$- config.mc1 poder! ser gerado o ar(uivo de configurao do Sendmail atrav8s do
comando mT$
e"$- m4 config.mc > /etc/maiI/sendmaiI.cf
Para reiniciar o Sendmail para utilizar as novas configura3es use o comando kiIIaII -HUP sendmaiI
Postfix
/etc/postfix % &iret'rio (ue contem os ar(uivos de configurao do Postfi"$
/etc/postfix/main.cf % Principal ar(uivo de configurao do Postfi"$
Principais op3es do main.cf-
myorigin % &etermina o dom*nio (ue aparecera nos email enviado deste servidor
e"$- myorigin = $myhostname
mydestination , 2specifica para (uais dom*nios as mensagens receidas devem ser entregues localmente e
no enviadas para outro servidor$
e"$- mydestination = $myhostname, IocaIhost.$mydomain, IocaIhost
mynetworks % 2specifica em (ual surede o servidor aceitara emails enviados de clientes
e"$- mynetworks = 192.168.100.0/24 127.0.0.0/8
mynetworks_styIe % Usado no lugar de m#net<or+s) define o padro para aceitar email
e"$- mynetworks_styIe = subnet % Todas as ma(uinas da su,rede local$
mynetworks_styIe = host % Apenas da ma(uina local$
mynetworks_styIe = cIass % Clientes dentro da classe .P do servidor$
reIay_domains % &efine para (uais dom*nios ser! feito rela# de emails receidos$
e"$- reIay_domains = $mydestination
reIayhost % &efine (ual servidor se encarregara de entregar o email da internet$
1
e"$- reIayhost = [smtp.gmaiI.com]:587
/etc/postfix/master.cf % Ar(uivo de configurao (ue determina (uais comandos e como devem ser
e"ecutados
/etc/postfix/virtuaI % &efine dom*nios virtuais como os (uais o Postfi" deve atuar como servidor$
Exim
/etc/exim % &iret'rio (ue contem os ar(uivos de configurao do 2"im$
/etc/exim/exim.conf % Principal ar(uivo de configurao do 2"im$
QmaiI
/var/qmaiI/controI % &iret'rio (ue contem os ar(uivos de configurao do (mail$
/etc/qmaiI % =in+ sim'lico pra o diret'rio 0var0(mail0control
Aspectos comuns
/etc/aIiases % Ar(uivo usado parar criar alias /apelidos1 de contas de email para contas de usu!rios
e"$- postmaster: root
Ao chegar um email para postmasterQempresa$com$r ser! redirecionado para o usu!rio root
/var/spooI/maiI ou /var/maiI % &iret'rios para armazenar mensagens locais
/var/Iog/maiI/* % &iret'rios para armazenar logs
Administrao da entrega IocaI de e-maiI
procmaiI % ?&A /?ail &eliver# Agent1 tradicional do =inu"$ Um ?&A 8 respons!vel por classificar e distriuir os
emails entre os usu!rios do sistema$
Principais componentes do ProcmaiI
/etc/procmaiIrc % Ar(uivo de configurao do procmail$
~/.procmaiIrc % Ar(uivo (ue pode conter filtros espec*ficos de cada usu!rio$
/usr/bin/procmaiI % Programa (ue processa as mensagens$
Criando FiItros.
Um filtro pode ser criado diretamente no ar(uivo ~/.procmaiIrc ou criado no diret'rio b0$procmail$
Estrutura de um fiItro:
Inicio- ?arcador determinando comeo de regra indicado por -O
Condio- Uma ou mais e"press3es regulares (ue funcionaro como crit8rios
Ao- O destino dado a mensagem
ExempIo:
-O
K c;rom$KfulanoQ$K
estagi!rio
Pegar! todas as mensagens (ue se en(uadrem na e"presso regular /remetentes1 contendo o termo fulanoQ
e as colocar! no diret'rio estagi!rio dentro da pasta de emails do usu!rio /b0?ail1
ExempIo indicando o arquivo de trava Iock-fiIe no inicio do fiItro:
-O-
1
K c;rom$KfulanoQ$K
estagi!rio
/-O-1 2vita (ue o ar(uivo onde as mensagens sero gravadas se4a aerto para gravao ao mesmo tempo
ExempIo redirecionando mensagem fiItrada para outro endereo de emaiI
-O
K cSu4ect$Klinu"$K
d admQempresa$com$r
ExempIo definindo mais de uma ao no fiItro utiIizando chaves:
-O
K cSu4ect$Klinu"$K
[
-O c
d admQempresa$com$r
-O
e gzip :: linu"$gz
\
Descrio:
:0 % ?arcador determinando comeo de regra
* ^Subject.*Iinux.* % 2"presso linu" no campo assunto
{ % .nicia a definio de mais de uma ao
:0 c % Caractere c indica (ue a mensagem deve ser copiada para a pr'"ima ao
! adm@empresa.com.br % Eedireciona as mensagens para o email$
:0 % ?arcador determinando comeo de regra
| gzip >> Iinux.gz % Adiciona a mensagem no ar(uivo linu"$gz por meio de um Pipe
} % ;echa definio de mais de uma ao
Administrar entrega de e-maiI remoto
IMAP (Internet Message Access ProtocoI) % Protocolo para receimento de mensagens (ue utiliza tam8m
cone"o segura /SS=1$
POP (Post Office ProtocoI) % Semelhante ao .?AP) mas com uma implementao mais simples$
Servidor Courier
Servidor SMTP % Postfi"
Servidor IMAP/POP % Courier
/etc/courier % &iret'rio (ue contem os ar(uivos de configurao do Courier$
/etc/courier/imapd % Ar(uivo de defini3es para o daemon imapd$ &efinio de .P e porta de cone"o so
especificadas logo no inicio do ar(uivo$
e"$- ADDRESS=192.168.1.100 % Se no for definido um 6nico .P o servidor .?AP aceitar! cone"3es de todas
as interfaces de redes ativas$
e"$- IMAP_CHECK_ALL_FOLDERS=(0 ou 1 ) , Se ativado checas novas mensagens de email para pastas fora
da pasta .7COf
e"$- IMAP_ENHANCEDIDLE=(0 ou 1) % Se ativado altera3es aparecem no cliente no momento (ue ocorrem
no servidor$
1
/etc/courier/pop3d % Ar(uivo de defini3es para o daemon popSd$
e"$- POP3DSTART=YES % &etermina a e"ecuo do servidor POP na inicializao do Courier
Servidor Dovecot
Uma alternativa para servidor IMAP/POP) seu funcionamento 8 asicamente o mesmo do Courier
/etc/dovecot % &iret'rio (ue contem os ar(uivos de configurao do &ovecot$
/etc/dovecot/dovecot.conf % Principal ar(uivo de configurao do &ovecot$
Mtodo de autenticao usando PAM
/etc/pam.d/dovecot
auth re(uired pamRuni"$so
accountre(uired pamRuni"$so
Opes do arquivo de configurao /etc/dovecot/dovecot.conf
maiI_Iocation % &efine o local de armazenamento das mensagens
e"$- maiI_Iocation = maiIdir:~/MaiIdir
mbox_read_Iocks e mbox_write_Iocks % &efini3es (ue evita falhas de leitura e escrita nas cai"as de
mensagens
e"$- mbox_read_Iocks = fcntI
mbox_write_Iocks = dotIock fcntI
fcntI- Use esta opo se poss*vel$ Traalha com o 7;S tam8m se loc+d 8 usado$
fIock- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$
Iockf- no pode e"istir em todos os sistemas$ 7o funciona com o 7;S$
maiI_priviIeged_group % 2m caso de utilizao do diret'rio 0var0mail para as cai"as de entrada
e"$- maiI_priviIeged_group = maiI
mbox_dirty_syncs % Para oter melhor performance
e"$- mbox_dirty_syncs = yes
Tpico 212 Segurana do Sistema
Eoteadores) ;ire<alls e 7AT;
Proteo de Servidores ;TP;
Utilizao do OpenSSH;
tcpR<rappers e outras ferramentas de segurana$
CIasses de endereos
Categoria 1 % 2ndereos (ue no precisam ter acesso a outros endereos em redes e"ternas ou na internet$
Categoria 2 , 2ndereos (ue precisam ter acesso a alguns servios e"ternos /email) ftp) <<<1 u(e podem ser
mediados via gate<a#$
Categoria 3 % 2ndereos (ue necessitam de conectividade direta com a internet$
2ndereos das categorias A e H so chamados de privados$
2ndereos da categoria S so chamados de p6licos$
CIasse privada de endereamento IP
2
;ai"a ?ascara de rede 7otao areviada
AO$O$O$O at8 AO$HBB$HBB$HBB HBB$O$O$O AO$O$O$O0N
AYH$AM$O$O at8 AYH$SA$HBB$HBB HBB$HTO$O$O AYH$AM$O$O0AH
ALH$AMN$O$O at8 ALH$AMN$HBB$HBB HBB$HBB$HBB$O ALH$AMN$O$O0AM
Rotas
route % Comando para mane4o de rotas
route -n % 2"ie a taela de rotas no roteador
Adicionar uma rota manualmente por meio da interface ethA
e"$- route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1
Adicionar uma rota padro
e"$- route add defauIt gw 192.168.1.1
Adicionar uma rota padro usando forma e"tensa
e"$- route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1
NAT Network Address TransIation
O 7AT permite (ue um host da rede privada comuni(ue,se com hosts da rede pulica /.nternet1$ Para ativa o
7at no sistema 8 usado o comando iptales$
IptabIes % Eespons!vel por definir regras para o transito de pacotes .P controlado pelo +ernel$
tabeIas , Transito de pacotes .P divido em categorias
chains % linhas da taela (ue podem receer diversas regras
TabeIas do iptabIes
fiIter % Taela padro (ue cont8m as chains emutidas .7PUT) ;OEVAE& e OUTPUT$
INPUT % Para pacotes (ue chegam ao host local$
FORWARD % Para pacotes sendo roteados pelo host local$
OUTPUT % Para pacotes gerados no host local e destino e"terno$
nat % Para pacotes (ue criam novas cone"3es /tradu3es e redirecionamento1) cont8m as chains emutidas
PE2EOUT.75) OUTPUT e POSTEOUT.75
PREROUTING % Para alterar pacotes receidos antes do roteamento$
POSTROUTING % Para alterar pacotes (uando eles esto prestes a sair$
mangIe % Para altera3es espec*ficas de pacotes) cont8m as chains emutidas .7PUT) OUTPUT)
PE2EOUT.75) ;OEVAE& e POSTEOUT.75$
Argumentos-comandos dentro de uma chain:
-A- Adiciona uma regra na chain$
-I- .nserir regra numa posio dentro da chain$
-R- Sustituir regra na chain$
-D- Apagar chain$
-N- Criar chain personalizada$
-X- Apagar chain vazia$
-P- &efinir pol*tica para uma chain emutida$
-L- =istar as regras em uma chain$
-F- Apagar todas as regras em uma chain$
2
-Z- êrar os contadores de pacotes em todas as regras de uma chain$
Regras de fiItragem padro e destinos para a maioria das chains:
-s endereo Ou --source endereo % 2ndereo de origem do pacote$ Pode ser nome de rede) host) .P de
rede0mascara ou um endereo .P$
e"$- -s 192.168.2.0/24
-d endereo Ou --destination endereo % 2ndereo de destino do pacote$ Pode ser nome de rede) host) .P de
rede0mascara ou um endereo .P$
e"$- -d 192.168.2.0/24
-p protocoIo Ou --protocoI protocoIo % &efine o protocolo$ Pode ser tcp) udp) icmp ou all$
e"$- -p tcp
-i interface Ou --in-interface interface % .nterface atrav8s da (ual o pacote chegou$
e"$- -i eth0
-o interface Ou --out-interface interface % .nterface atrav8s da (ual o pacote ser! enviado$
e"$- -o eth0
-j ao Ou --jump ao % Targets /a3es1 para os pacotes interceptados$ Targets comuns para o fire<all so
ACC2PT /Permite a passagem normal do pacote1 e &EOP /&escarta o pacote1$
e"$- -j ACCEPT
-m mduIo Ou --match mduIo % Usa m'dulo estendido Dm'duloF$ Um muito usado para o fire<all 8 o m'dulo
state$
--state estado % Permite determinar (ual a relao de um pacote com as cone"3es e"istentes$
estados-

INVALID % O estado no pode ser determinado$
ESTABLISHED % O pacote pertence a uma cone"o ativa$
NEW % .ndica (ue o pacote inicia uma nova cone"o$
RELATED % O pacote inicia outra cone"o porem relacionadas a uma cone"o e"istente$
Para criar uma regra de NAT:
iptales ,t nat ,A POSTEOUT.75 ,s ALH$AMN$H$O0HT ,o ethO ,4 S7AT %to,source HOA$BH$BO$AA
&escrio-
-t nat % &etermina (ue a taela 7AT se4a utilizada$
-A POSTROUTING % .ncluir a regra na corrente POSTEOUT.75
-s 192.168.2.0/24 % &etermina (ue a regra aplica,se a pacotes originados na rede privada$
-o eth0 % &etermina (ue a regra aplica,se a pacotes cu4o destino se4a a interface ethO$
-j SNAT % &etermina a ao /,41 a ser e"ecutada para o pacote (ue se en(uadrar na regras estaelecidas$
S7AT /source 7AT1 &etermina (ue o .P de origem do pacote enviado se4a informado com a opo ,,to,source
HOA$BH$BO$AA /.P do roteador1$
Configurando roteamento com o IPTabIes (Masquerading)

iptales ,t nat ,A POSTEOUT.75 ,o ethO ,4 ?AS]U2EA&2
Para permitir 7AT) al8m de definir a regra na taela de tr!fego 8 necess!rio alterar o Conte6do do ar(uivo
/proc/sys/net/ipv4/ip_forward para A /true1
2
e"$- echo "1" > /proc/sys/net/ipv4/ip_forward
Redirecionamentos
2"emplo- Todas as cone"3es destinadas a porta NO /http1 se4am redirecionadas pra um host da rede privada$
.ptales ,t nat ,A PE2EOUT.75 ,p tcp ,,dport NO ,4 &7AT ,,to,destination ALH$AMN$H$H-NO
&escrio-
-t nat % &etermina (ue a taela 7AT se4a utilizada$
-A PREROUTING % ?anipula os pacotes na medida em (ue entram na taela$
-p tcp % 2specifica o protocolo para a pr'"ima opo$
--dport 80 % &etermina a porta (ue ser redirecionada$
-j DNAT % .ndica (ue se trata de uma traduo para outro .P de destino$
--to-destination 192.168.2.2:80 % .P de destino
2"emplo para redirecionar pedidos de cone"o na porta HHOOO do roteador para o login via OpenSSH em uma
interface da rede interna$
IptabIes -t nat -A PREROUTING -p tcp --dport 22000 -j DNAT --to-destination 192.168.2.2:22
2"emplo para apenas redirecionar uma porta do roteador para outra porta no pr'prio roteador$ Todas as
suscita3es para a porta NO sero redirecionadas para a porta NONO$
IptabIes -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
BIoqueando ataques
Apagar todas as regras da taela filter
e"$- iptabIes -t fiIter -F
=ierar todos os pacotes gerados localmente
e"$- iptabIes -t fiIter -A INPUT -i Io -j ACCEPT
=ierar para entrar pela interface ethO somente os pacotes pertencentes /2STAC=.SH2&1 ou relacionados
/E2=AT2&1 a uma cone"o e"istente$
e"$- iptabIes -t fiIter -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT
2staelecer pol*tica de descartar todos os pacotes na chain .7PUT da taela filters
e"$- iptabIes -t fiIter -P INPUT DROP
@erificar novas regras
e"$- iptabIes -L
=ierar o acesso e"terno a porta NO
e"$- iptabIes -A INPUT -p tcp --dport 80 -j ACCEPT
=ierar o acesso e"terno a porta HH para acesso administrativo
e"$- iptabIes -A INPUT -p tcp --dport 22 -j ACCEPT
Segurana
DoS (DeniaI of Service) % Ata(ue (ue consiste em fazer um numero alt*ssimo de solicita3es a um servidor) de
forma (ue este no se4a capaz de responder a todos e torne,se inacess*vel$
2
Para evitar esse tipo de ata(ue 8 necess!rio ativar os recursos de verificao de endereo de origem (IP
spoofing Ips forjados) e proteo TCP SYN Cookie$
s#sctl ,< net$ipvT$conf$all$rpRfilterWA
s#sctl ,< net$ipvT$tcpRs#ncoo+iesWA

SaIvamento de regras
iptabIes-save % =ista as configura3es ativas do iptales$ 2"ie as configura3es atuais na sa*da padro /tela
do terminal1
iptabIes-save > /etc/iptabIes.conf % Salva as regras redirecionando a sa*da para um ar(uivo$
ptabIes-restore % Eestaura as configura3es gravadas no ar(uivo
iptabIes-restore < /etc/iptabIes.conf % Eestaura as configura3es gravadas para a entrada padro do
comando $
.ncluir o comando em um script de inicializao como 0etc0rc$local ou 0etc0rc$d0rc$local$
Segurana de servidores FTP
vsftpd (Very Secure FTP daemon) % Servidor ;TP desenvolvido com enfo(ue na segurana$
/etc/vsftpd.conf % Principal ar(uivo de configurao do servidor ;TP$
/etc/init.d/vsftpd % &aemon do servidor ;TP$
/home/ftp ou /var/ftp % &iret'rio ase para o ;TP$
Op3es do ar(uivo /etc/vsftpd.conf
Iisten=YES % Caso o vsftpd no for utilizado atrav8s do inetd ou "inetd$
Opes para conexes annimas
anonymous_enabIe=YES % Permitir ;TP angnimo$
write_enabIe=YES % Permitir escrita com comando ;TP$
anon_upIoad_enabIe=YES % Para permitir (ue o usu!rio angnimo possa carregar ar(uivos$
chroot_IocaI_user=YES % Permite restringir os usu!rios locais para seus diret'rios$
chroot_IocaI_user=YES % ?ostra ao usu!rio com login e senha o pr'prio diret'rio e 0home0ftp para usu!rio
angnimos$
Crie o diret'rio /home/ftp/incoming para usu!rios angnimos possam copiar ar(uivos para o servidor$ Configure
o diret'rio para usu!rio ftp e grupo ftp$
2"$- mkdir /home/ftp/incoming
chown ftp:ftp /home/ftp/incoming
IocaI_enabIe=YES , Permiti login de usu!rios cadastrados no sistema$
chroot_Iist_enabIe=YES % Ativa a lista de usu!rios locais sem chroot$
chroot_Iist_fiIe=/etc/vsftpd.chroot_Iist , 2specifica uma lista de usu!rios locais (ue no tero chroot para
seus diret'rios pessoais$
SheII seguro (SSH)
OpenSSH % ;erramenta padro para acesso remoto
/etc/ssh/sshd_config , Principal ar(uivo de configurao do servidor SSH$
Ajustes do Servidor OpenSSH
Op3es do ar(uivo /etc/ssh/sshd_config
2
PermitRootLogin yes % Clo(ueia o acesso direto ao usu!rio root) criando uma segunda camada de segurana$
ProtocoI 2 % Protocolo do tipo H mais seguro$
IgnoreRhosts yes % .gnora uma modalidade de lierao de acesso) onde os endereos presentes nos
ar(uivos b0$rhosts e b0$shosts podem entrar sem fornecer senha$
X11Forwarding yes % Permite (ue as 4anelas de programas se4am aertas atrav8s de cone"o SSH
CIiente OpenSSH
ssh % Comando usado para cliente ssh se conectar em um servidor$
/etc/ssh/ssh_config , Ar(uivo de configurao do cliente SSH$
e"$- ssh usurio@192.168.1.1
ssh % Comando usado pelo cliente
fuIano % 7ome do usu!rio presente no servidor
192.168.1.1 % .P do servidor
Chaves criptogrficas
&etermina a confiailidade e o m8todo de criptografia usada numa cone"o segura$
Chaves do computador
Formato Chave Privada Chave PbIica
ESA 0etc0ssh0sshRhostRrsaR+e# 0etc0ssh0sshRhostRrsaR+e#$pu
&SA 0etc0ssh0sshRhostRdsaR+e# 0etc0ssh0sshRhostRdsaR+e#$pu
~/.ssh/known_hosts , Armazena a chave p6lica de cone"o do computador remoto) (ue garante a
confiailidade entre o dois$
Para (ue a chave passe a valer para todos os usu!rios) o conte6do do ar(uivo b0$ssh0+no<nRhosts deve ser
inclu*do no ar(uivo /etc/ssh_known_hosts
Autenticao por chave
ssh-keygen % Comando usado para criar as chaves /pulica e privada1$
/root/.ssh/authorized_keys % Ar(uivo na ma(uina de destino (ue guarda o Conte6do da chave pulica
Tipos de formatos
&SA /Digital Signature Algorithm1 % Criptografia de AOHT its$
ESA /Rivest) Shamir and Adleman1 % Criptografia de TOLM its$
e"$- ssh-keygen -t das -b 1024
ssh-keygen -t rsa -b 4096
Um tamanho maior em bits torna ainda mais difciI a quebra da criptografia.
Chaves do usurio
Formato Chave Privada Chave PbIica
2
ESA b0$ssh0idRrsa b0$ssh0idRrsa$pu
&SA b0$ssh0idRdsa b0$ssh0idRdsa$pu
2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$
cat ~/.ssh/id_dsa.pub | ssh usurio@192.168.1.1 "cat >> ~/.ssh/authorized_keys"
Outro 2"emplo- 2nviar o conte6do da chave p6lica para o computador de destino$
ssh-copy-id usurio@192.168.1.1 % Copia o ar(uivo idRrsa$pu para a ma(uina remota$
ssh-copy-id % Comando usado para copiar chave pulica para um computador remoto
ssh-copy-id -i outro_arquivo.pub usurio@192.168.1.1 % Copia outro ar(uivo de chave pulica para a
ma(uina remota$
ssh-agent % Agente de autenticao) sua funo 8 armazenar a chave privada para autenticao via chave
p6lica /&SA ou ESA1$
ssh-add , Adiciona chaves de autenticao &SA ou ESA ao programa de autenticao$
Tneis criptografados
Criar um t6nel SSH entre a porta BLOO /@7C1 do computador local at8 a porta BLOO /@7C1 do computador
remoto
ssh -fNL 5900:IocaIhost:5900 usurio@192.168.1.1
f % .ndica (ue o comando deve ser e"ecutado em segundo plano
N % &etermina (ue no deva ser aerta uma sesso do shell na ma(uina remota
L % .ndica (ual porta ser usada
No cIiente
vncviewer IocaIhost:0
f remoto via Ssh
2"ecutar um programa na ma(uina remota via SSH
e"$- ssh -X usurio@192.168.1.1 "VirtuaIBox"
TCP Wrappers
Controla o acesso por hosts na rede
/etc/hosts.aIIow , Cont8m regras descrevendo (ue hosts tem permisso de acessar um servio em sua
m!(uina$
e"$- A==- ALH$AMN$A$K 2fC2PT ALH$AMN$A$HO
/etc/hosts.deny , Cont8m regras descrevendo (ue hosts no tem permisso de acessar um servio em sua
m!(uina$
e"$- A==- A==
Para servidores disparados por meio do daemon inetd 8 necess!rio forar a utilizao de TCPR<rappers$
Op3es do ar(uivo 0etc/inetd.conf
service name % 7ome do servio valido em 0etc0services
e"$- teInet
socket type % stream se TCP e dgram se U&P$
e"$- stream
protocoI % Protocolo v!lido em 0etc0protocols) como tcp e udp
2
e"$- tcp
wait/nowait % Se o inetd deve ou no esperar o programa servidor retornar para aceitar cone"3es para o
mesmo$
e"$- nowait
user.group % Eoda o program servidor com o usu!rio e grupo especificado
e"$- teInetd
server program % Caminho do programa para e"ecutar (uando um pedido e"istir no respectivo soc+et$
e"$- /usr/sbin/tcpd
server program arguments % ]uando o tcpd 8 usado para controlar os pedidos) neste campo devera constar o
caminho para o programa (ue 8 de fato o servidor do servio$
e"$- /usr/sbin/in.teInetd
2"emplo do servidor telnet no ar(uivo 0etc0inetd$conf
teInet stream tcp nowait teInetd /usr/sbin/tcpd /usr/sbin/in.teInetd
/var/run/inetd.pid % P.& do daemon inetd
Super,servidor finetd
/etc/xinetd.conf % Ar(uivo de configurao do finetd
/etc/xinetd.d % &iret'rio (ue guarda ar(uivos para cada servio$
2"emplo de um servio
nome do servio
[
disale W #es0no
soc+etRt#pe W stream)dgram)ra<)rdm ou se(pac+et
protocol W Protocolo v!lido em 0etc0protocols
<ait W #es0no
user W Usu!rio de inicio do servidor
group W 5rupo de inicio do servidor
server W Caminho para o programa servidor do servio solicitado
noRaccess W ALH$AMN$A$O
onl#Rfrom W O$O$O$O

\
Tarefas de segurana
A lista internacional Cugtra( da Securit# ;ocus) C2ET e C.AC 8 uma ferramenta de vital importGncia
(ue emite oletins de segurana$
Bugtraq- <<<$securit#focus$com0archive0A
CERT- <<<$cert$org
CIAC- <<<$ciac$org
Deteco de Intrusos
Iastb % 2"ies tentativas de logins (ue no lotaram com U"ito$
IDS (Intrusion Detection System) % ;erramentas espec*ficas (ue pode lo(uear cone"3es (ue apresentam
algum comportamento suspeito
2
Programas
FaiI2ban % Analisa ar(uivos de logs e lo(ueia endereos .P com muitas tentativas de acesso mal,sucedidas$
Snort % Analisa protocolos e uscas por padr3es espec*ficos) deteco (ue v!rios ata(ues e varreduras como
estouros de pilhas) ata(ues por C5.) analise por S?C) entre outros$
OpenVAS % Possui uma estrutura aseada em cliente0servidor$ O componente principal 8 um servidor com um
con4unto de testes de vulnerailidade conhecido com 7@Ts derivado do 7essus$
NVTs (Network VuInerabiIity Test) .dentificar prolemas nos sistemas remotos e em aplicativos$
Tpico 213 SoIuo de probIemas
Eeviso do t'picos anteriores;
.dentificao de falhas do sistema;
.dentificao de falhas de programas$
Identificar estgios de boot e consertar carregadores de boot
Etapas da iniciaIizao:
A % Carregamento do +ernel pelo =ilo ou 5ru
H % .nicializao do +ernel
S % .dentificao de configurao do hard<are
T % &isparo de daemons
ProbIemas no carregador de boot
Eemoo do +ernel) defeito no sistema de ar(uivos) entre outros$ O processo de oot do =ilo acontece
em dois est!gios) o primeiro estagio consiste num 6nico setor carregado pelo Cios$ O segundo estagio carrega
o =ilo multi,setor$
Interpretao de erros (cdigo hexadecimaI) no segundo estagio:
00- 7enhum erro identificado
01- Comando de disco invalido
02- .ndicador de endereo no encontrado
03- &isco protegido contra gravao
04- Setor no encontrado
06- &is(uete removido
08- &?A overrun
0A- Setor defeituoso
0B- Trilha defeituosa
20- ;alha no controlador
40- ;alha no rastreio /C.OS1 ou Cilindro : AOHAS /=.=O1
99- hndice de setor invalido para o segundo estagio /=.=O1
9A- AusUncia de assinatura para o carregador de segundo estagio
AA- &river no pronto
FF- ;alha geral
Outros erros
LIL?- O carregador de segundo estagio foi carregado num endereo incorreto
LIL-- A taela de +ernels est! corrompida
2
SoIuo geraI de probIemas
FaIhas de KerneI
Checar logs em /var/Iog e usar o comando dmesg para diagnostico de prolemas de hard<are
FaIhas de hardware
Ispci , lista componentes conectados no arramento pci
Ispci -s endereo do dispositivo -v , =ista com detalhes o dispositivo pci
e"$- lspci ,s OO-AA$O ,v
Isusb , lista componentes conectados no arramento us
Isusb -v -d ID do dispositivo -v , =ista com detalhes o dispositivo us
e"$- lsus ,v ,d AdM-OOOA
MduIos
.ncluir m'dulo com o comando modprobe nome_do_moduIo e checar a documentao do +ernel em
0usr/src/Iinux/Documentation) para verificar o nome do modulo para o dispositivo em (uesto$
FaIhas em programas
strace % Comando capaz de rastrear todas as chamadas de sistema feitas por um programa$
strace pwd % O strace e"ecuta o comando especificado e faz o rastreamento de suas chamadas de sistema$
strace pwd -o arquivo % O strace e"ecuta o comando especificado e as informa3es de rastreamento sero
enviadas para o ar(uivo especificado) ao inv8s do terminal ou console$
strace -p PID % ;az o rastreamento de um processo em e"ecuo com o P.& informado
Itrace % Comando (ue intercepta e mostra todas as chamadas (ue um programa faz para iliotecas
dinGmicas$
Itrace pwd % O ltrace e"ecuta o comando especificado e faz o rastreamento de suas chamadas para iliotecas
dinGmicas$$
Uma chamada de sistema 8 um m8todo usado pelo processo para re(uisitar um servio do sistema
operacional) ou mais especificamente do +ernel$
Isof % Usado para investigar (uem ou (uais processos esto utilizando um determinado ar(uivo
Isof -p PID % =istar todos os ar(uivos aertos por um determinado processo$
Isof -u usurio % =istar todos os ar(uivos aertos por um determinado processo disparado por um usu!rio$
Isof /dev/sda2 % =istar todos os ar(uivos aertos por processos (ue esto utilizando um determinado ar(uivo$
ProbIemas em recursos do sistema
Variveis de ambiente
/etc/profiIe % &efine as vari!veis gloais para o sistema
~/.bashrc % &efine as vari!veis para um usu!rio especifico
PATH &efine a lista de diret'rios nos (uais programas re(uisitados sero procurados$
e"$- echo $PATH
/usr/IocaI/sbin:/usr/IocaI/bin:/usr/sbin:/usr/bin:/sbin:/bin
LANG % .dioma padro do sistema) usado pelo amiente gr!fico$
e"$- echo $LANG
pt_BR.UTF-8
2
EDITOR % ]ual editor de te"to padro usado no console
e"$- echo $EDITOR
nano
PAGER % O paginador usado no console) como less ou more
e"$- echo $PAGER
Iess
env 2"ie as vari!veis de amiente e seus conte6dos
LD_LIBRARY_PATH % @ari!vel de amiente usada por e"portar iliotecas para uso do ld$so
e"$ export LD_LIBRARY_PATH=caminho_da_bibIioteca
/etc/Id.so.conf , Ar(uivo com localizao para as iliotecas de sistema
Idconfig , Comando usado para (ue as altera3es no ar(uivo 0etc0ld$so$conf atualizem /etc/Id.so.cache
Opes do KerneI
sysctI % Comando usado para editar op3es do +ernel sem precisar reiniciar o sistema$ Outra forma 8 modificar
diretamente os ar(uivos so o diret'rio 0proc0s#s$
sysctI - a % ?ostra todas as op3es do comando s#sctl$
sysctI -w net.ipv4.ip_forward=1 % &etermina se o sistema deve agir como um roteador de pacotes .P$
A opo -w deve se usada para fazer a alterao) caso contrario ser! mantido o valor atual$
/etc/sysctI.conf % Ar(uivo de configurao do s#sctl para incluir altera3es para ser carregadas no oot$
e"$- P Uncomment the ne"t line to enale pac+et for<arding for .PvT
net.ipv4.ip_forward=1
ProbIemas em configuraes de ambiente
vipw , 2dita diretamente o ar(uivo 0 etc0pass<d) e evita (ue o ar(uivo se4a alterado por outro comando ou outro
usu!rio durante a edio$
vipw -s , 2dita diretamente o ar(uivo 0 etc0shado<$
vigr , 2dita diretamente o ar(uivo 0 etc0group) e evita (ue o ar(uivo se4a alterado por outro comando ou outro
usu!rio durante a edio$
vigr -s , 2dita diretamente o ar(uivo 0 etc0gshado<
Usurio com contas bIoqueadas
! no inicio da linha do ar(uivo 0etc0pass<d
e"$- !teste-ZAZ?&7TgfCvZP0t;HgA]fU#$HCTtro=]O-AOOA-AOOA-Teste)))-0home0teste-0in0ash
Ou
shell padro apontar para /bin/faIse
e"$- teste-ZAZ?&7TgfCvZP0t;HgA]fU#$HCTtro=]O-AOOA-AOOA-Teste)))-0home0teste-/bin/faIse
Outras configuraes de Iogin
/etc/Iogin.defs % Ar(uivo de configurao para valores padro para validade de contas e numero m!"imo de
tentativas de login$
e"$- P ?a" time in seconds for login % Tempo m!"imo de espera para o usu!rio digitar a senha
LOGIN_TIMEOUT 10
Apndice no PDF em anexo com todos os pesos e objetivos das provas 201 e 202
3
Tpico 207 Domain Name Server
Configurao do Servidor C.7&;
Criao e manuteno d ar(uivos de zonas;
Segurana de &7S$
Configurao bsica de um servidor DNS
DNS Domain Name System % Traduz os nomes de ma(uinas /dom*nio1 para .P e vice,versa$
2"$- <i+i$tldp$org
org % top,level domain
tIdp % second,level domain
wiki % third,level domain
e"emplos de top,level domain- $com.br) .com) .org) .net) entre outros$
Bind % Servidor de resoluo de nomes$
named % Programa respons!vel por responder solicita3es de traduo de nomes
/etc/bind/named.conf % Principal ar(uivo de configurao do ind$
Servidor caching-onIy
O servidor apenas re(uisita a resoluo do nome 4unto a um servidor e"terno e armazena a resposta para
agilizar futuras re(uisi3es$
DNS reverso % Eespons!vel por converter n6meros .P para seus nomes$
/var/named/root.hints % Ar(uivo (ue guarda uma lista com os servidores de nomes principais da internet$
/etc/bind/db.root no &eian$
KiII -HUP $(pidof named) % ;ora a leitura do ar(uivo de configurao do ind$
ou
rndc reIoad
rndc % 2"ie (uais instru3es podem ser utilizadas
Criao e manuteno de zonas de DNS
named.conf
zone Dempresa$com$rF .7 [
t#pe master;
file Dempresa$zoneF;
\;
zone % 7ome da zona
type % &etermina a prioridade da zone /master ou slave1
fiIe % Ar(uivo de definio de registro ds zona
Registro da zona
ZTT=
3
Q .7 SOA empresa$com$r$ hostmaster$empresa$com$r$ /
$TTL % @alidade padro dos dados;
@ % Corresponde ao dom*nio da zona
IN % .nternet e determina classe do registro
SOA /Start of Authorit#1 % Eegistro da autoridade para o dom*nio) seguido do nome do servidor &7S e email do
administrador

AAAOHOOLOO ; Serial
MOTNOO ; Eefresh
NMTOO ; Eetr#
HTALHOO ; 2"pire
MOTNOO 1 ; 7egative Cache TT=
1110200900 % 7umero serial de identificao par a zona$
604800 % .ntervalo de atualizao$
86400 % .ntervalo para novas tentativas$
2419200 % Prazo de validade das informa3es$
604800 % .ntervalo m*nimo de permanUncia no cache$
Tipos de registros comuns:
NS % 2specifica (ual dos registros 8 o servidor de nomes do dom*nio$
MX % Servidor de email para o dom*nio$
A % ?apeia o nome especificado a es(uerda para o .P especificado a direita$
CNAME % Cria um alias especificado a es(uerda para um nome 4! definido em outro registro$
PTR % ?apeia um numero .P para um nome$
DNS reverso (Traduz numero .P para nomes1
zone >A$AMN$ALH$in,addr$arpa> [
t#pe master;
file >0etc0ind0d$AO>;
\;
zone % 7ome da zona
type % &etermina a prioridade da zone /master ou slave1
fiIe % Ar(uivo de definio de registro da zona
Servidores escravos
zone >empresa$com$r> [
t#pe slave;
file >0etc0ind0d$AO>;
masters [ ALH$AMN$A$A; \;
\;
zone % 7ome da zona$
type % &etermina a prioridade da zone /master ou slave1$
fiIe % Ar(uivo de definio de registro da zona$
masters % .P do servidor master$
Redirecionamento de servidor
options [
director# D0var0named0F;
for<arders [
HOO$ALH$ATO$HA;
3
HOO$ALH$ATS$B;
\
\;
0etc0ind0named$conf
zone Dempresa$com$rF .7 [
t#pe fo<ard;
for<arders [
HOO$ALH$ATO$HA;
HOO$ALH$ATS$B;
\
\;
Diagnostico do servidor
host % verifica o nome0ip correspondente de determinado host$
host empresa.com.br
host 192.168.1.1
host www empresa.com.br % informa3es mais detalhadas
dig (Domain Information Groper) % ;erramenta para diagnostico de servidor &7S
e"$- dig @empresa.com.br ANY
nsIookup , solicita informa3es para servidores de dom*nios da .nternet$
nsIookup modo interativo /consulta o servidor em 0etc0resolv$conf1
e"$- nsIookup
> empresa.com.br
pes(uisar um nome com nsloo+up em modo no interativo
nsIookup empresa.com.br
Segurana de DNS
&7S poisoning /envenenamento de &7S1 % Permite clonar um site e conseguir informa3es pessoais$
EnjauIar o servidor
4aula chroot % Amiente isolado onde so e"istam componentes necess!rios a e"ecuo do servidor &7S $
2"emplo de como o daemon named pode ser iniciado como processo do usu!rio no privilegiado
named -u bind -t /var/named
dnssec , Permite (ue as transferUncias entre servidores &7S possam ser autenticadas por meio de uma chave
criptogr!fica
dnssec-keygen % Permite gerar a chave criptogr!fica$
cd 0etc0ind
dnssec,+e#gen ,a &SA , YMN ,r 0dev0uramdom ,n Ô72 empresa$com$r
Descrio:
dnssec-keygen % Comando (ue gera a chave
-a das % 2specifica a criptografia usada
-b 768 % Tamanho da chave
-r /dev/uramdom % ;onte de dados aleat'rios
-n ZONE % ]ual o tipo de dono da chave
empresa.com.br % 2specifica o nome da chave
Arquivos gerados:
3
_empresa$com$r$XOOSXHHHSS$+e#
_empresa$com$r$XOOSXHHHSS$private
O ar(uivo $+e# deve menciona ao final do ar(uivo da zona por meio da instruo Zinclude
e"$-
$incIude Kempresa.com.br.XOOSXHHHSS$+e#
A zona deve ser assinada
dnssec-signzone % Comando usado para assinar a zona
dnssec,signzone ,r 0dev0urandom ,o empresa$com$r empresa$d _empresa$com$r$XOOSXHHHSS
Descrio-
dnssec-signzone % Comando usado para assinar a zona
-r /dev/uramdom % ;onte de dados aleat'rios
-o empresa.com.br empresa.db % &efine a origem do ar(uivo da zona
Kempresa.com.br.+003+22233 % Ar(uivo de chave gerado pelo comando dnssec,+e#gen
Arquivo gerado:
empresa$d$signed
O ar(uivo gerado deve ser especificado no registro da zona em named$conf
zone >empresa$com$r> [
t#pe master;
file >0etc0ind0empresa.db.signed>;
allo<,update [ none; \;
\;
Tam8m sero criado os ar(uivos dsset e +e#set utilizados para o administrador da zona superior saer (uais
chaves so o ponto d entrada seguro para a zona$
dsset,empresa$com$r$
+e#set,empresa$com$r$
Kempresa.com.br.+003+22233.key % 2sta chave deve estar presente na entrada trusted,+e#s do ar(uivo
named$conf
trusted,+e#s [
string numer numer numer string ;
string numer numer numer string ;
$$$
\;
Restringir Acesso
Eestringir totalmente o acesso ao servidor de nomes a uma rede ao a um host$
Allo<,(uer# [
ALH$AMN$A$O0HT;
\;
3
Para restringir transferUncia de zonas entre servidores$
Allo<,transfer [
ALH$AMN$A$H;
\;
3

Guia de Estudo LPI 202

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia de Estudo LPI 202

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Estudo LPI 201-202

Tpico 208 Web Services (Questes da Prova 202)

Você também pode gostar