Escolar Documentos
Profissional Documentos
Cultura Documentos
452 Linux Network Servers PDF
452 Linux Network Servers PDF
452
Ver-11-2009
www.4linux.com.br
-2
Sumrio
Captulo 1
Ajustes Iniciais........................................................................................................................... 8
1.1. Objetivos......................................................................................................................... 8
1.2. Introduo terica .........................................................................................................8
1.3. Confgurando a rede ..................................................................................................... 9
1.4. Confgurando a resoluo de nomes............................................................................... 9
1.5. Confgurao do hostname............................................................................................10
1.6. Confgurando o repositrio de rede.............................................................................. 10
1.7. Remover servios desnecessrios ................................................................................ 11
1.8. Defnindo variveis e alias de sistemas.........................................................................12
1.9. Funcionamento do Sistema........................................................................................... 13
1.10. Exerccios Tericos..................................................................................................... 15
1.11. Laboratrio..................................................................................................................15
Captulo 2
PAM.......................................................................................................................................... 16
2.1. Objetivos....................................................................................................................... 16
2.2. Introduo terica.........................................................................................................16
2.3. Mdulos.........................................................................................................................17
2.4. Controles....................................................................................................................... 17
2.5. Prtica dirigida............................................................................................................. 18
2.6. Exerccios Tericos....................................................................................................... 21
2.7. Laboratrio....................................................................................................................21
Captulo 3
RAID......................................................................................................................................... 22
3.1. Objetivos....................................................................................................................... 22
3.2. Introduo terica.........................................................................................................22
3.2.1. Nveis de RAID.................................................................................................................... 23
3.3. Prtica dirigida............................................................................................................. 26
3.4. Criando o RAID............................................................................................................. 26
3.5. Verifcando o funcionamento do RAID:......................................................................... 27
3.6. Administrando o RAID...................................................................................................28
3.7. Exerccios Tericos....................................................................................................... 29
3.8. Laboratrio ..................................................................................................................30
Captulo 4
-3
LVM.......................................................................................................................................... 31
4.1. Objetivos....................................................................................................................... 31
4.2. Introduo terica.........................................................................................................31
4.3. Como funciona o LVM................................................................................................... 32
4.4. Defnindo as Parties ..................................................................................................33
4.5. Prtica Dirigida............................................................................................................. 34
4.6. Usando o LVM............................................................................................................... 36
4.7. Administrando o LVM.................................................................................................... 37
4.8. Troubleshooting............................................................................................................ 38
4.9. Exerccios Tericos....................................................................................................... 40
4.10. Laboratrio..................................................................................................................41
Captulo 5
DHCP........................................................................................................................................42
5.1. Objetivos....................................................................................................................... 42
5.2. Introduo terica.........................................................................................................42
5.3. Prtica dirigida............................................................................................................. 44
5.3.1. Confgurando um servidor DHCP........................................................................................ 44
5.3.2. Principais diretrizes do arquivo de confgurao................................................................ 45
5.4. Confgurando os clientes DHCP.................................................................................... 45
5.5. Fixar IP via DHCP......................................................................................................... 46
5.6. Exerccios tericos........................................................................................................ 48
5.7. Laboratrio ...................................................................................................................48
Captulo 6
FTP........................................................................................................................................... 49
6.1. Objetivos....................................................................................................................... 49
6.2. Introduo terica.........................................................................................................49
6.3. Prtica dirigida............................................................................................................. 50
6.3.1. Servidor FTP........................................................................................................................50
6.4. Conectando-se a um servidor FTP como cliente........................................................... 52
6.5. Comandos FTP.............................................................................................................. 54
6.6. Exerccios tericos........................................................................................................ 56
6.7. Laboratrio....................................................................................................................56
Captulo 7
NFS.......................................................................................................................................... 57
7.1. Objetivos....................................................................................................................... 57
7.2. Introduo terica.........................................................................................................57
7.3. Prtica Dirigida............................................................................................................. 58
-4
Captulo 8
Servidor SAMBA...................................................................................................................... 63
8.1. Objetivos....................................................................................................................... 63
8.2. Introduo terica.........................................................................................................63
8.3. Prtica Dirigida............................................................................................................. 64
8.4. Samba como controlador de Domnio Primrio............................................................ 67
8.5. Cadastrando usurios no PDC...................................................................................... 70
8.6. Exerccios Tericos....................................................................................................... 71
8.7. Laboratrio....................................................................................................................71
Captulo 9
Domain Name System.............................................................................................................. 72
9.1. Objetivos....................................................................................................................... 72
9.2. Introduo terica.........................................................................................................72
9.2.1. Caractersticas.....................................................................................................................73
9.3. Resoluo...................................................................................................................... 74
9.3.1. Resoluo Recursiva............................................................................................................75
9.3.2. Resoluo Iterativa.............................................................................................................. 77
9.4. Arquivo /etc/hosts......................................................................................................... 77
9.5. Ferramentas de consulta...............................................................................................78
9.6. Prtica dirigida............................................................................................................. 79
9.7. BIND9........................................................................................................................... 81
9.8. Servidor cache.............................................................................................................. 82
9.9. Restringindo consultas..................................................................................................84
9.10. Servidor de zonas........................................................................................................85
9.10.1. Tipos de zonas e Registros................................................................................................ 86
9.11. Confgurao do Servidor Bind9................................................................................. 88
9.12. Exerccios tericos...................................................................................................... 93
9.13. Laboratrio..................................................................................................................94
Captulo 10
Apache......................................................................................................................................95
10.1. Objetivos..................................................................................................................... 95
10.2. Introduo terica.......................................................................................................95
10.3. MPM Worker e MPM PreFork .................................................................................... 96
10.3.1. MPM Pre Fork ................................................................................................................. 96
-5
Captulo 11
Postfx..................................................................................................................................... 108
11.1. Objetivos................................................................................................................... 108
11.2. Introduo terica.....................................................................................................108
11.3. Caractersticas do Postfx..........................................................................................109
11.4. Prtica dirigida......................................................................................................... 110
11.5. SMTP......................................................................................................................... 112
11.6. Courier POP3 e Courier IMAP.................................................................................. 113
11.6.1. Criando caixas postais:.................................................................................................... 114
11.7. Criando alias no Postfx.............................................................................................116
11.8. Exerccios tericos................................................................................................... 117
11.9. Laboratrio................................................................................................................117
Captulo 12
Web Proxy com Squid.............................................................................................................118
12.1. Objetivos................................................................................................................... 118
12.2. Introduo Terica.................................................................................................... 118
12.3. Funcionamento de um Web Proxy ............................................................................119
12.4. Proxy Manualmente Confgurado..............................................................................119
12.5. Proxy Transparente................................................................................................... 120
12.6. Access Control Lists.................................................................................................. 121
12.7. Tipos comuns de ACL's............................................................................................. 121
12.7.1. Sintaxe das ACLS............................................................................................................ 122
12.8. ACL's de origem........................................................................................................ 122
12.9. ACL's de destino........................................................................................................122
12.10. ACL's de horrio .....................................................................................................123
12.11. Filtros...................................................................................................................... 123
12.12. Prtica Dirigida....................................................................................................... 124
12.13. Confguraes Iniciais............................................................................................. 125
-6
Captulo 13
OpenLDAP.............................................................................................................................. 132
13.1. Objetivos................................................................................................................... 132
13.2. Introduo terica.....................................................................................................132
13.3. Prtica dirigida......................................................................................................... 133
13.4. Confgurando um cliente LDAP ................................................................................ 141
13.5. Acessando o OpenLDAP via Browser com PhpLdapAdmin....................................... 144
13.6. Autenticando o Squid na base de usurios LDAP.....................................................145
13.7. Exerccio terico....................................................................................................... 145
13.8. Laboratrio................................................................................................................146
Captulo 14
Firewall.................................................................................................................................. 147
14.1. Objetivos................................................................................................................... 147
14.2. Introduo terica.....................................................................................................147
14.3. Compreendendo as polticas BSICAS e o conceito das EXCEES.......................148
14.4. Prtica dirigida......................................................................................................... 149
14.5. Firewall como gateway de rede................................................................................ 153
14.6. Script de frewall.......................................................................................................155
14.7. Exerccios tericos.................................................................................................... 157
14.8. Laboratrio................................................................................................................158
Captulo 15
OpenVPN................................................................................................................................ 159
15.1. Objetivos................................................................................................................... 159
15.2. Introduo Terica.................................................................................................... 159
15.3. Prtica Dirigida......................................................................................................... 160
15.3.1. Confgurando o servidor.................................................................................................. 160
15.4. Confgurando o cliente.............................................................................................. 161
REFERNCIAS
BIBLIOGRFICAS.................................................................................................................. 163
ANEXOS................................................................................................................................. 164
Captulo 1 Ajustes Iniciais - 7
ndice de tabelas
ndice de Figuras
Captulo 1 Ajustes Iniciais - 8
Captulo 1
Ajustes Iniciais
1.1. Objetivos
Confgurar a rede;
Confgurar hostname;
# si_cliente
Baixar uma imagem padro com Debian Lenny e Gnome instalado direto do
servidor, por favor no troque a senha padro 123456 que utilizamos, para que o
pessoal do suporte possa sempre ajudar em caso de problemas.
http://wiki.systemimager.org
Captulo 1 Ajustes Iniciais - 9
# vim /etc/network/interfaces
1 # Interface Loopback
2 auto lo
Red Hat:
# vim /etc/sysconfg/network/ifcfg-eth0
# vim
nameserver 200.176.2.10
Captulo 1 Ajustes Iniciais - 10
# vim /etc/hostname
microX
# vim /etc/hosts
# vim /etc/apt/sources.list
# aptitude update
Para que isso seja feito, precisamos antes verifcar quais servios de rede
esto habilitados e aceitando conexes.
# netstat -nltup
Red Hat:
# chkconfg --list
# chkconfg --level 2345 portmap stop
# vim /etc/profile
Captulo 1 Ajustes Iniciais - 13
# source /etc/profile
# uname -r
# cat /pro/version
# cd /boot
# file vmlinuz-2.6.26-2-686
# du -sh vmlinuz-2.6.26-2-686
# cd /proc
# ls
# ps aux
# cat cpuinfo
Captulo 1 Ajustes Iniciais - 14
# cat /etc/fstab
# cat /etc/mtab
# cat /proc/mounts
# cat /proc/partitions
# df -h
# ls -l /dev
# ls -l /lib/modules
# lsmod
# modprobe -l
# cat /proc/modules
# ldconfig -p
# ls /lib
# cat /etc/ld.so.conf
Fique atento, porque tudo que estudamos no primeiro captulo, iro cair no
exame da LPI, estude as apostilas da formao. Para informaes acesse:
http://www.lpibrasil.com.br/
Captulo 1 Ajustes Iniciais - 15
1.11. Laboratrio
Captulo 2
PAM
2.1. Objetivos
http://www.kernel.org/pub/linux/libs/pam
2.3. Mdulos
O PAM trabalha com mdulos e controles, e cada tipo de mdulo provem uma
funcionalidade diferente dentro do sistema. Vamos comentar primeiro os mdulos:
2.4. Controles
# ls /lib/security/
# ls /etc/pam.d
# vim /etc/pam.d/login
# touch /etc/nologin
Uma maneira prtica de usar o PAM fazermos com que o usurio root no
tenha acesso direto ao login, forando a logar com usurio comum e depois fazer um
su para virar root.
# vim /etc/pam.d/login
# vim /etc/security/time.conf
login;*;root;!Al0000-2359
* - Terminal
root - Usurio
Efetue login com o usurio root em outro terminal e veja que no ser possvel
efetuar o login.
Captulo 2 PAM - 20
Com o PAM, podemos limitar quais usurios podero ter acesso a utilizar o
comando su. Para isso, crie um grupo chamado admins para os usurios que podero
ter acesso a fazer o su.
# groupadd admins
# vim /etc/pam.d/su
Para fazer o teste, logue-se como o usurio que pertence ao grupo admins e
tente virar root usando o su.
$ su -
# vim /etc/pam.d/ssh
account required pam_time.so
Captulo 2 PAM - 21
# vim /etc/security/time.conf
sshd;*;*;Al0730-1900
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
2.7. Laboratrio
2. Crie o usurio "manutencao" faa com ele efetua login ssh apenas de segunda a
sexta feira, das 8:00 as 18:00.
Captulo 3 RAID - 22
Captulo 3
RAID
3.1. Objetivos
Confgurar RAID-1;
Via Hardware: Feito por uma placa controladora que conecta um disco ao
outro. A principal vantagem o desempenho, j que um RAID via hardware
mais rpido e independe do sistema operacional. A principal desvantagem,
que a placa controladora se torna um SPOF (Single Point of Failure), ou seja,
necessrio ter uma controladora de discos igual ou compatvel com a que voc
possui para o caso de falhas neste hardware.
A1 B1 P1
A2 P2 C2
P3 B3 C3
Qualquer um dos discos que falhar pode ser rapidamente reconstrudo atravs
de novas operaes XOR entre os dados restantes. Tomemos por exemplo A1 =
01001100 e B1 = 10100101.
01001100 XOR
10100101
--------
11101001
Agora suponha que o bloco B1 foi perdido. Para recuper-lo basta aplicar um
Captulo 3 RAID - 25
01001100 XOR
00010110
--------
01011010
A operao XOR signifca que se so iguais "0 e 0" ou "1 e 1", ento o
resultado verdadeiro (0). Se houver mais de dois blocos para serem comparados,
calcule a paridade dos dois primeiros, e com resultado, compare com o terceiro, e
assim sucessivamente. A principal desvantagem do RAID 5 o custo de
processamento da paridade. Portanto, RAID 5 menos efciente na gravao que
seus antecessores.
# cfdisk /dev/sda
# dpkg -l mdadm
# aptitude install mdadm
# vim /etc/mdadm/mdadm.conf
Captulo 3 RAID - 27
# mkfs.ext3 /dev/md0
# mkdir /mnt/raid
6) Montando o RAID:
7) Confgure o /etc/fstab:
/dev/md0 /mnt/raidext3defaults0
# mdadm -E /dev/sda11
# mdadm -E /dev/sda12
# mdadm -E /dev/sda13
Captulo 3 RAID - 28
vim /root/TestaRaid.sh
#!/bin/bash
while true ; do
date >> /mnt/raid/dados.txt
sleep 3
done
chmod +x TestaRaid.sh
/root/TestaRaid.sh
# mdadm -S /dev/md0
6) Reiniciando o RAID:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Captulo 3 RAID - 30
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
3.8. Laboratrio
2. Refazer todas as parties necessrias com o cfdisk, para que possamos testar
o LVM no prximo captulo;
Captulo 4
LVM
4.1. Objetivos
O LVM usado para agrupar vrios discos de forma que o gerenciamento dos
mesmos seja vivel em um servidor de produo que no pode fcar desligado.
Para no ter que se preocupar com o tamanho das parties logo de imediato,
iremos usar o LVM para que possamos gernciar os tamanhos das parties sem
precisar fazer as famosas ``gambiarras''.
Para trabalhar com LVM as parties precisam estar formatadas com o tipo
LVM. O LVM trabalha com Grupos de Volumes para alocar todas as parties que
esto defnidas como Volume Fsicos do LVM. Esses volumes fsicos sero divididos
em vrios Volumes lgicos como se fossem uma diviso de um disco (partio) para
alocar o determinado ponto de montagem, e isso vai trazer a fexibilidade para
redimensionar a determinada partio. Com mais detalhes vejamos as seguintes
camadas que o LVM trabalha:
Antes de criarmos as parties LVM, temos que ter em mente nossa tabela de
particionamento:
# cat /etc/fstab
# cat /proc/partitions
Por causa do captulo de RAID iremos ter que recriar as parties novamente,
e deixar estas Parties Livres:
Nas parties para realizao deste trabalho, defna o tipo das parties como
8E, e utilize o cfdisk para realizao desta tarefa. No esquea de reiniciar o
computador.
# cfdisk /dev/hda
# dpkg -l lvm2
Caso no tenha:
3) Caso no tenha:
# vgscan
# pvcreate /dev/sda11
# pvcreate /dev/sda12
# pvscan
# vgdisplay
# vgdisplay -v vg01
# lvdisplay -v /dev/vg01/lv01
# vgdisplay -v vg01
# ls -l /dev/vg01/lv01
# lvs
# mkdir /lvm
# df -h
# mount
Caso esteja utilizando RedHat (ou uma distribuio que siga o mesmo
padro),verifque a necessidade de criao de um label para o device. Se for
necessrio, faa-o. Red Hat: Com Label:
1) Desmonte o LVM:
# umount /lvm
3) Verifque o volume:
# e2fsck -f /dev/vg01/lv01
# resize2fs /dev/vg01/lv01
5) Montando o LV:
# df -h
# cp -r /etc /lvm
# cp -r /sbin /lvm
# ls -lh /lvm
Captulo 4 LVM - 38
# df -h
# umount /lvm
4.8. Troubleshooting
# e2fsck -f /dev/vg01/lv01
# df -h
# lvs
Captulo 4 LVM - 39
6) Montando o LV:
# cp -r /bin /lvm
# ls -lh /lvm
# umount /lvm
9) Removendo o LV:
# lvremove /dev/vg01/lv01
# lvs
# vgremove vg01
# vgdisplay
Captulo 4 LVM - 40
# lvs
# pvscan
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Captulo 4 LVM - 41
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
4.10. Laboratrio
Captulo 5
DHCP
5.1. Objetivos
# vim /etc/dhcp3/dhcpd.conf
1 ddns-update-style none;
2 subnet 192.168.X.0 netmask 255.255.255.0 {
1 range 192.168.X.10 192.168.X.200;
2 option subnet-mask 255.255.255.0;
3 option domain-name "microx.com.br";
4 option domain-name-servers 200.176.2.10,4.2.2.2;
5 option routers 192.168.X.254;
6 default-lease-time 600;
7 max-lease-time 7200;
8 }
# dhclient
# vim /etc/network/interfaces
auto eth0
iface eth0 inet dhcp
# more /var/lib/dhcp3/dhcpd.leases
1) Considere que:
3 host micro1 {
1 hardware ethernet 00:80:C7:D2:F8:D5;
2 fixed-address 192.168.200.210;
3 }
4
5 host micro2 {
6 hardware ethernet 88:3D:BE:00:C7:00;
7 fixed-address 192.168.200.214;
8 }
4 ddns-update-style none;
5
4 option routers192.168.X.254;
5 option subnet-mask 255.255.255.0;
6 option domain-name microx.com.br;
7 option domain-name-servers200.204.0.10, 200.204.0.138;
8 default-lease-time 21600;
9 max-lease-time 43200;
10
11 host micro1 {
12 hardware ethernet 00:80:C7:D2:F8:D5;
13 fixed-address 192.168.X.210;
14 }
15
16 host micro2 {
17 hardware ethernet 88:3D:BE:00:C7:00;
18 fixed-address 192.168.X.214;
19 }
20 }
Captulo 5 DHCP - 48
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
5.7. Laboratrio
Captulo 6
FTP
6.1. Objetivos
No modo ativo, os comandos so enviados por uma porta alta pelo cliente, e so
recebidas pela porta 21 no servidor, enquanto que os dados so transmitidos pelo
servidor ao cliente atravs da porta 20. O problema desta implementao que os
dados podem ser barrados por um Firewall de acordo com as regras estabelecidas
pelo Administrador de Sistemas.
Captulo 6 FTP - 50
# dpkg -l proftpd
Red Hat:
A plataforma Red Hat utiliza o vsftpd por padro.
Captulo 6 FTP - 51
# vim /etc/proftpd/proftpd.conf
ServerType standalone
MaxInstances 20
MaxClients 5
Cada usurio do FTP pode ter uma mensagem de login diferente. Crie o arquivo
welcome.msg na home do usurio.
# cp /home/ftp/welcome.msg /home/aluno
# vim /home/aluno/welcome.msg
# netstat -nltup
# ftp 192.168.200.X
ftp> quit
# ftp 192.168.200.x
Connected to localhost.
220 ProFTPD 1.3.0 Server (Debian) [::ffff:127.0.0.1]Name
(localhost:aluno): anonymous
331 Password required for anonymous.
Password:
Captulo 6 FTP - 53
# vim /etc/proftpd.conf
# <Anonymous ~ftp>
136 #User ftp
137 #Group nogroup
138 ## We want clients to be able to login with "anonymous" as well as
"ftp"
139 #UserAlias anonymous ftp
140 ## Cosmetic changes, all files belongs to ftp user
141 #DirFakeUser on ftp
142 #DirFakeGroup on ftp
143 #
144 #RequireValidShell off
145 #
146 ## Limit the maximum number of anonymous logins
147 #MaxClients10
...
At o final do arquivo retirar um # comentrio por linha.
# ftp 192.168.200.X
Continue logado como usurio annimo. Iremos fazer alguns testes a seguir.
Captulo 6 FTP - 54
ftp> ls
ftp> !ls
ftp> !ls
Por padro, usurios annimos no devem ter permisso para fazer upload de
arquivos.
ftp> quit
221 Goodbye.
# ftp 192.168.200.X
ftp> mget *
Note que exigida a confrmao para cada arquivo copiado, o que pode ser
incmodo.
Captulo 6 FTP - 56
ftp> prompt
Interactive mode off.
ftp> mget *
ftp> mput *
# less /var/log/proftpd/xferlog
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
6.7. Laboratrio
Captulo 7
NFS
7.1. Objetivos
portmap - Servio que permite que clientes NFS descubram qual porta o
servidor NFS est utilizando.
SERVIDOR:
# vim /etc/exports
3) Sintaxe do arquivo:
/diretrio_compartilhado
192.168.200.0/24(rw,no_root_squash,subtree_check)
/outro_diretrio 192.168.100.1(ro,root_squash)
# mkdir -p /srv/nfs
# cp /etc/apt/* /srv/nfs
/srv/nfs 192.168.200.0/24(rw,root_squash)
# rpcinfo -p localhost
programa verso protocoloporta
100000 2tcp 111 portmapper
100024 1udp 722 status
100003 2udp2049 nfs
Captulo 7 NFS - 60
CLIENTE:
# showmount -e 192.168.200.X
# mkdir /mnt/nfs
# showmount -a 192.168.200.X
# mount
# ls /mnt/nfs
Captulo 7 NFS - 61
# cd /mnt/nfs
# rm ARQUIVO
SERVIDOR:
/srv/nfs 192.168.200.0/24(rw,no_root_squash)
# exportfs -r
CLIENTE:
# cd /mnt/nfs
# rm ARQUIVO
7.5. Laboratrio
Captulo 8
Servidor SAMBA
8.1. Objetivos
# vim /etc/samba/smb.conf
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Red Hat:
Na plataforma Red Hat, o arquivo de confgurao do samba fca em
/etc/smb.conf
Captulo 8 Servidor SAMBA - 65
[global]
workgroup = microx
server string = Servidor de Arquivos
security = SHARE
wins support = Yes
[Publico]
comment = Diretorio Publico
path = /srv/samba/publico
force user = smbuser
force group = users
read only = No
guest ok = Yes
Correspondem:
[global]
workgroup = Grupo de Trabalho;
server string = Comentrio para o servidor;
security = Compartilhamento sem a necessidade de controle de
usurios e senhas;
wins support = O samba se torna um Servidor Wins, resolve nome
para mquinas Windows.
[Publico]
comment = Adicionar comentrio ao compartilhamento;
path = Diretrio que ser utilizado para compartilhamento;
force user = Define um usurio padro que ser usado por todos que
acessarem este compartilhamento;
force group = Define um grupo padro que ser usado por todos que
acessarem este compartilhamento;
read only = Permisses de leitura e gravao;
guest ok = Define que usurios convidados tero acesso ao
compartilhamento.
Captulo 8 Servidor SAMBA - 66
# testparm
# mkdir -p /srv/samba/publico
# chown smbuser:users /srv/samba/publico
# netstat -putan
8) Verifque o compartilhamento:
# smbclient -L localhost
# smbclient -L 192.168.200.X
Captulo 8 Servidor SAMBA - 67
# mount
# touch /mnt/$HOSTNAME.txt
# ls -la /srv/samba/publico
1 [Global]
2 netbios name = SERVER
3 workgroup = EMPRESA
4 server string = Primary Domain Controller
5 log file = /var/log/samba/%m.log
6 max log size = 100
7 security = user
8 unix password sync = Yes
9 passwd program = /usr/bin/passwd %u
10 smb passwd file = /etc/samba/smbpasswd
11 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
12 domain logons = Yes
13 os level = 100
14 preferred master = Yes
15 domain master = Yes
16 local master = yes
17 logon drive = H:
18 logon home = \\%L\homes\%U
19 logon path = \\%L\Profiles\%U
1 [homes]
2 comment = Diretorio Pessoal
3 path = /srv/samba/homes/%U
4 valid users = %U
5 read only = No
6 browseable = No
1. Compartilhamento homes;
2. Comentrio;
7 [Profiles]
8 comment = Perfis Moveis
9 path = /srv/samba/profiles
10 read only = No
11 guest ok = Yes
12 browseable = No
1. Compartilhamento Profles;
2. Comentrio;
[Publico]
path = /srv/samba/publico
browseable = yes
writeable = yes
public = yes
Captulo 8 Servidor SAMBA - 70
Para que nossos usurios possam Windows possam efetuar login no domnio,
necessrio que tanto o host quanto o usurio estejam cadastrados na conta normal
do computador e tambm na conta SAMBA. Vamos confgurar isto.
# smbpasswd -a root
# mkdir /srv/samba/profiles
# mkdir /srv/samba/homes
# smbpasswd -a microx
Captulo 8 Servidor SAMBA - 71
Fique atento com a LPI, ele pode cobrar os nomes dos modulo de
autenticao do samba:
/etc/pam.d/common-auth
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
8.7. Laboratrio
Captulo 9
9.1. Objetivos
Em 1984 foi liberado o Domain Name System, descritos nas RFC's 882 e 883.
Atualmente estas RFC's foram suplantadas pelas de nmeros 1034 e 1035, alm de
RFC's suplementares de segurana, administrao, atualizao dinmica de
servidores de nome, e muitas outras.
9.2.1. Caractersticas
Namespace de at 63 caracteres;
Arquitetura cliente/servidor;
A raiz da rvore tem nome nulo ou "", por isso a representamos simplesmente
como ponto (.);
Uma vez delegado um domnio, sua nova autoridade pode delegar subdomnios
sem necessitar notifcar a entidade responsvel pelo domnio pai;
Finalmente, vale a pena mencionar que o arquivo HOSTS.TXT foi portado para
ambiente Unix (e posteriormente Linux) como /etc/hosts. Este arquivo normalmente
o primeiro a ser consultado pelo resolvedor, que ir buscar por um servidor de nomes
apenas em caso de o host no ser encontrado no arquivo /etc/hosts.
9.3. Resoluo
recursiva
iterativa
Captulo 9 Domain Name System - 75
11. .br retorna o mesmo tipo de resposta, porm como uma dica mais
prxima: "No sei quem , mas sei quem pode responder melhor: com.br.";
12. Passo 10 e 11 so efetuados mais uma vez, e agora a resposta "No sei
quem , mas sei quem pode responder melhor: exemplo.com.br.";
13. Aps repetir o passo 10, fnalmente a resposta ser da autoridade sobre o
domnio exemplo.com.br. Vai ser respondido o IP, juntamente ao TTL do
registro, ou ser respondido "inexistente";
Por essa razo, um FQDN deve terminar com um ".", que representa a raiz da
rvore. O aliases podem ser outros hostnames cannicos, ou simples sufxos, para
simplifcar a escrita de determinados endereos. Aps a instalao do sistema, o
arquivo hosts costuma conter uma entrada referente ao IP da interface loopback, e
uma entrada para cada outra interface presente na mquina para qual um endereo
foi atribudo. Por exemplo:
Captulo 9 Domain Name System - 78
127.0.0.1 localhost
192.168.1.23 micro23.microx.com.br. micro23
nslookup
host
dig
# nslookup
> server
> set all
> www.uol.com.br.
> set type=MX
> gmail.com.
Captulo 9 Domain Name System - 80
# host www
# host -v www.4linux.com.br.
# host -v -t mx 4linux.com.br
# host -v -t soa 4linux.com.br
# dig www
# dig www.4linux.com.br.
# dig -t mx 4linux.com.br.
# dig -x 200.212.122.137
9.7. BIND9
# ls -lh /etc/bind
O BIND vai utilizar a porta 53/UDP para receber consultas, a porta 53/TCP
para transferir zonas para servidores escravos, a porta 953/TCP para
receber comandos via rndc (que dependem de chaves criptografadas), e
portas udp altas podem ser dinamicamente atribudas para efetuar
consultas em outros servidores.
# netstat -nltup
Captulo 9 Domain Name System - 82
3) Em um segundo terminal:
5) No terminal anterior:
# tail /var/log/daemon.log
Quanto maior a rede, pior o impacto. A alternativa para evitar estes problemas
manter um servidor DNS caching only. Servidores cache reservam o resultado de
suas buscas na memria pelo tempo limite estabelecido pela autoridade sobre o
domnio consultado. Dessa forma, independente da quantidade de mquinas da rede,
as consultas sero feitas na Internet apenas uma vez a cada intervalo de atualizao.
# vi /etc/resolv.conf
nameserver 127.0.0.1
Captulo 9 Domain Name System - 84
# vi /etc/bind/named.conf.options
# /etc/init.d/bind9 reload
# vi /etc/bind/named.conf.options
forwarders {200.176.2.10; };
Cada domnio na Internet tem sua autoridade, que nada mais do que um
servidor onde as informaes daquele domnio so criadas, mantidas ou alteradas.
Mas como um domnio pode se sub-dividir em inmeros outros domnios, surge um
outro conceito: Zonas.
slave - O BIND tambm vai responder por esse domnio, mas nenhuma criao
ou alterao respectiva a essa zona ser feita localmente neste servidor. Os
dados sero sempre transferidos de um servidor master.
hint - Especfca para o BIND onde ele deve comear uma busca recursiva
quando estiver operando como cache. Por padro, h uma zona hint criada com
os endereos dos root servers.
Vamos confgurar nossa prpria zona DNS que vai se chamar microx.com.br.
Pode ser que na Internet j exista um domnio com este nome, mas isso no importa
porque nossas consultas fcaro limitadas ao laboratrio.
$TTL;
$ORIGIN;
$INCLUDE.
classe - Podem ser CH, HS ou IN. O padro IN, de Internet, e no precisa ser
declarada.
O SPF diz quais servidores podem ENVIAR e-mails em nome do seu domnio.
O objetivo evitar que seu domnio seja usado para forjar remetentes falsos. Grandes
provedores j adotaram o SPF, e cada vez mais outros domnios vem seguindo a
mesma prtica. Tende a tornar-se uma imposio. Muito mais antigo que o SPF, e por
consequncia, uma imposio natural do ecossistema de e-mails, garantir que o IP
do registro MX tenha endereo reverso. Esta uma forma de checar se o e-mail
partiu de um usurio domstico cujo computador est sendo usado como zumbi, por
exemplo.
# vi /etc/bind/named.conf.local
zone "microx.com.br" {
type master;
file "db.microx";
};
zone "200.168.192.in-addr.arpa" {
type master;
file "rev.microx";
Captulo 9 Domain Name System - 89
};
Agora que j declaramos as duas zonas pelas quais nos tornaremos autoridade.
Vamos preencher o banco de dados de registros.
# vi /var/cache/bind/db.microx
9 ;
10 @ IN NS ns1.microx.com.br.
11 @ IN MX 10 mail.microx.com.br.
12 ns1 IN A 192.168.200.X
13 mail IN A 192.168.200.X
14 pop IN CNAME mail
15 smtp IN CNAME mail
16 www IN A 192.168.200.X
17 ftp IN CNAME www
18 @ IN A 192.168.200.X
19 @ IN TXT "v=spf1 a mx ip4:192.168.200.0/24 -all"
negative caching TTL - Se a zona expirar, esse ser o tempo pelo qual um
servidor cache armazenar a informao NXDOMAIN antes de iniciar uma
nova busca recursiva. O mximo so 3 horas.
mx - O servidor de e-mail;
# vi /var/cache/bind/rev.microx
9 ;
10 @ IN NS ns1.microx.com.br.
11 X IN PTR mail.microx.com.br.
Captulo 9 Domain Name System - 91
# tail -f /var/log/daemon.log
# /etc/init.d/bind9 restart
# ping www.microx.com.br
# dig -t mx microx.com.br
# dig -x 192.168.200.x
# dig @localhost www.kernel.org
# vi /etc/bind/named.conf.local
1 zone "nomedocolega.com.br" {
2 type slave;
3 masters { 192.168.200.x; };
4 file "sec.nomedocolega";
5 };
7) Ative a confgurao:
# /etc/init.d/bind9 reload
# cat /var/cache/bind/sec.nomedocolega
Agora responda: Se voc conseguiu baixar a zona do seu colega, quem mais
conseguiria?
# vim /etc/bind/named.conf.options
allow-transfer { none; };
Captulo 9 Domain Name System - 93
# vim /etc/bind/named.conf.options
also-notify { 192.168.200.x; };
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Captulo 9 Domain Name System - 94
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
9.13. Laboratrio
1. Criar cria uma view exclusiva da zona microx.com.br para consultas da rede
10.0.0.0/24;
Captulo 10 Apache - 95
Captulo 10
Apache
10.1. Objetivos
Segundo uma pesquisa feita pelo site NetCraft, o Apache est servindo em
mdia, 50% dos sites pesquisados. Isso s foi possvel graas a uma srie de
qualidades, das quais algumas sero listadas na lista abaixo:
Suporta vrias linguagens, como PHP, Python, Ruby, Perl, inclusive ASP .NET;
Multi plataforma;
Captulo 10 Apache - 96
Neste modo, o apache mantm uma srie de threads ociosas, fazendo com que
Captulo 10 Apache - 97
#vim /etc/apache2/apache2.conf
A varivel ServerRoot defne aonde o Apache deve procurar por seus arquivos
de confgurao. No exemplo abaixo, os arquivos de confgurao sero procurados
em /etc/apache2:
ServerRoot /etc/apache2
DocumentRoot /var/www
User $APACHE_RUN_USERS
Group $APACHE_RUN_GROUP
ErrorLog /var/log/apache2/error.log
%l - Hfen;
%t - Horrio de acesso;
%r - Requisio solicitada;
1 StartServers 2
2 MaxClients 150
3 MinSpareThreads25
4 MaxSpareThreads75
5 ThreadsPerChild25
6 MaxRequestsPerChild0
1 StartServers 5
2 MinSpareServers 5
3 MaxSpareServers10
4 MaxClients 150
5 MaxRequestsPerChild0
10.6. Segurana
# cd /etc/apache2
# vim conf.d/security
ServerSignature Off
ServerTokens Prod
TraceEnable Off
Captulo 10 Apache - 101
# ls -l /etc/apache2/mods-enabled
# apache2ctl -M
#a2enmod php5
4) Reinicie o Apache:
# /etc/init.d/apache2 restart
# vim /var/www/index.php
<?
phpinfo()
?>
# vim /etc/apache2/sites-available/www.microx.com.br
1 # Host Virtual
2
3 NameVirtualHostwww.microx.com.br
4
5 <VirtualHost www.microx.com.br>
6 DocumentRoot /var/www/microx.com.br
7 ServerName microx.com.br
8 ServerAdmin webmaster@microx.com.br
9 ErrorLog /var/log/apache2/microx.com.br-error.log
10 CustomLog /var/log/apache2/microx.com.br-access.log common
11 </VirtualHost>
# mkdir /var/www/microx.com.br
#vim /var/www/microx.com.br/index.html
1 <html>
Captulo 10 Apache - 104
# apache2ctl -S
# a2ensite
# a2enmod www.microx.com.br
O SSL, ou Secure Sockets Layer, um padro Web que permite trafegar dados
senveis e confdenciais, com segurana atravs da internet, utilizando o protocolo
HTTPS. Sendo assim, extremamente importante que o administrador de redes
confgure o acesso SSL para sites que necessitam deste tipo de proteo.
Captulo 10 Apache - 105
# a2enmod ssl
# cd /etc/ssl
# openssl x509 -req -days 365 -in microX.csr -signkey microX.key -out
microX.crt
Captulo 10 Apache - 106
1 NameVirtualHost *:443
2 <VirtualHost *:443>
3 DocumentRoot /var/www/microx.com.br
4 ServerName *:443
5 ServerAdmin webmaster@microx.com.br
6 ErrorLog /var/log/apache2/microx.com.br-error.log
7 CustomLog /var/log/apache2/microx.com.br-access.log common
8 SSLEngine on
9 SSLCertificateFile /etc/ssl/microX.crt
10 SSLCertificateKeyFile /etc/ssl/microX.key
11 </VirtualHost>
12
13 NameVirtualHost www.microx.com.br:80
14 <VirtualHost www.microx.com.br:80>
15 RewriteEngine On
16 Options +FollowSymlinks
17 rewriteCond %SERVER_PORT 80
18 rewriteRule ^(.*)$ https://www.microx.com.br/$1 [R,L]
19 </VirtualHost>
7) Ative o mod_rewrite para que, toda vez que algum acessar seu
site, seja automticamente redirecionado para o site com HTTPS
ativado:
#a2enmod rewrite
8) Reinicie o apache:
http://www.microx.com.br
Captulo 10 Apache - 107
1) Voc precisa alterar a porta de trabalho do seu Apache para a porta 8000.
Qual seria o procedimento?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
3) Seu supervisor pediu que voc mudasse o diretrio padro do Apache para
o diretrio /sites. Quais procedimentos devem ser tomados?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
10.11. Laboratrio
1. Mude a pgina de erro padro 404 para uma mensagem personalizada. DICA:
Use os exemplos no prprio arquivo;
Captulo 11
Postfx
11.1. Objetivos
# vi /etc/postfix/main.cf
3 biff = no
deixamos ativado,
5 ## pois isso trabalho do prprio MUA.
7 append_dot_mydomain = no
11 #delay_warning_time = 4h
12
13 ## Parmetros de criptografia.
14 # TLS parameters
15 smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
16 smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
17 smtpd_use_tls=yes
18 smtpd_tls_session_cache_database = btree:$
{queue_directory}/smtpd_scache
19 smtp_tls_session_cache_database = btree:$
{queue_directory}/smtp_scache
Captulo 11 Postfix - 111
20
23
26 myhostname = mail.4linux.com.br
27
30 alias_database = hash:/etc/aliases
31
32 ## Define a origem local, que por padro o mesmo FQDN que est
em /etc/mailname.
33 myorigin = /etc/mailname
34
localhost
37
40 relayhost =
41
virar alvo
45 ## de spammers.
47
50
53
endereo de e-mail
55 ## para direcionar mensagens a uma determinada pasta, por exemplo.
56 recipient_delimiter = +
57
60 inet_interfaces = all
61 </comandoNumerado>
# /etc/init.d/postfix restart
# netstat -nltup
11.5. SMTP
1 # telnet localhost 25
2 helo gmail.com
3 mail from:seuemaildogmail@gmail.com
4 rcpt to:aluno@microx.com.br
5 data
6 subject: Teste
8 .
9 quit
Captulo 11 Postfix - 113
# telnet localhost 25
1 mail from:root@microx.com.br
2 rcpt to:aluno@microx.com.br
3 data
4 subject: Teste
6 .
7 quit
# tail /var/log/mail.log
# cd /var/mail
# ls -la
# cat aluno
# mailq
# vim /etc/postfix/main.cf
home_mailbox = Maildir/
DEFAULT=$HOME/Maildir/
MAILDIR=$HOME/Maildir/
# cat /etc/pam.d/pop3
# cat /etc/pam.d/imap
# vim /etc/pam.d/smtp
@include common-auth
@include common-accont
@include common-password
@include common-session
# maildirmake /home/aluno/Maildir
# maildirmake /home/aluno/Maildir/.Enviadas
# maildirmake /home/aluno/Maildir/.Rascunhos
Captulo 11 Postfix - 115
# maildirmake /home/aluno/Maildir/.lixeira
# maildirmake /home/aluno/Maildir/.Spam
2) Ajuste as permisses:
user aluno
pass 123456
quit
Se voc conseguir ler as mensagens, signifca que o seu servidor est pronto
para receber e transmitir mensagens.
Podemos criar alias para que um usurio possa receber vrios e-mail's
diferentes na mesma conta.
# vi /etc/aliases
usuario_de_alias: usuario_existente
# postalias /etc/aliases
# stat /etc/aliases.db
# telnet localhost 25
# cd /var/mail
# cat usuario
Captulo 11 Postfix - 117
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
11.9. Laboratrio
1. Faa um teste via telnet no seu servidor e veja se ele responde ao comando
vrfy. Use o comando vrfy aps o comando helo. Exemplo: vrfy usuario. Use esse
comando em usurio vlido e em um usurio invlido.
2. Agora que j viu como o comando vrfy pode ser prejudicial, tente desativ-lo.
Dica: man 5 postconf
3. Crie uma lista chamada todos, que quando algum enviar um e-mail para ela,
todos os usurio vlidos do sistema recebam a mensagem.
Captulo 12 Web Proxy com Squid - 118
Captulo 12
12.1. Objetivos
ACL, ou Access Control List, como o prprio nome diz uma maneira de criar
listas de acesso no Squid. Com elas podemos criar uma regra dizendo que a ACL de
nome "MyNetork" engloba todos os endereos originados em 192.168.200.0/24, ou
seja, uma ACL que "casa" com a rede inteira. Tambm podemos defnir uma ACL
chamada "Site4linux" que "casaria" com qualquer domnio destino no qual
constasse .4linux.com.br.
ACL'S de origem e destino podem ser cobrados na LPI-II, bem como sua
forma de utilizao.
ACL's de origem
ACL's de destino
ACL's de horrio
12.11. Filtros
# ls /var/spool/squid
# ls /var/log/squid
# ls /etc/squid
Captulo 12 Web Proxy com Squid - 125
# vim /etc/squid/squid.conf
http_port 192.168.200.X:3128
# visible_hostname proxy.microx.com.br
cache_mem 16 MB
6) Toda vez que voc mudar as ACL's voc deve executar os comandos:
#squid -k parse
#squid -k reconfigure
Depois destes ajustes iniciais, estamos prontos para criar nossas ACL's e
verifcar o funcionamento do squid como fltro de contedo.
1) Agora, depois desta linha, crie uma acl com a rede de origem, uma
acl para domnios .com e uma acl para o domnio amazon.com:
www.google.com
www.amazon.com
www.google.com.br
Lembre-se que a ordem das ACL's no importa, porm, o squid far o fltro
de acordo com a ordem das regras de acesso confguradas por http_access.
Lembre-se disso quando fzer troubleshooting ou criar novas regras. ;)
Captulo 12 Web Proxy com Squid - 128
Whitelist - Uma lista de domnios que eu quero liberar, mas que casam com a
blacklist.
www.4linux.com.br
www.vivaolinux.com.br
www.linux.com
www.br-linux.org
# vim /etc/squid/sarg.conf
# sarg
http://localhost/squid-reports
Captulo 12 Web Proxy com Squid - 131
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
12.19. Laboratrio
2. Crie as regra de acesso necessrias para que qualquer pessoa possa navegar a
vontade, porm, na hora de navegar em sites de contedo indesejado.
Captulo 13 OpenLDAP - 132
Captulo 13
OpenLDAP
13.1. Objetivos
A cada dia que surgem novos sistemas nas empresas afm de resolver diversos
tipos de problemas, cresce a necessidade de ter um maior controle e melhores
mecanismos de busca de informao. Segurana e controle de dados imprescindvel
em qualquer empresa, umas das vantagens do OpenLDAP a possibilidade de que
vrios sistemas possam compartilhar de base de dados de usurios e senhas de forma
centralizada e integrada.
# dpkg -l slapd
# dpkg-reconfigure slapd
# /etc/init.d/slapd start
# netstat -nltup
# ls /var/lib/ldap/
Captulo 13 OpenLDAP - 135
# vi /etc/ldap/slapd.conf
4#####################################################################
##
5
6 # Configuraes Globais
7
10
13 include/etc/ldap/schema/cosine.schema
14 include/etc/ldap/schema/nis.schema
15 include/etc/ldap/schema/inetorgperson.schema
16
19 pidfile/var/run/slapd/slapd.pid
20
23
26 loglevel 0
27
32 #Verificao de schema
Captulo 13 OpenLDAP - 136
33 schemacheck on
34
37
40
41 #####################################################################
##
42 # Especificao de Diretivas para o bdb
44 backend bdb
45 checkpoint 512 30
46
47 #####################################################################
##
48 # Especificao de Diretivas para outro:
50 #backend <other>
51
52 #####################################################################
##
53 # Especificao de diretivas para banco de dados #1, tipo bdb:
55 database bdb
56
59
62 # for syncrepl.
63 # rootdn "cn=admin,dc=teste,dc=seu-nome,dc=br"
64
67
68 # Para pacote Debian, no usamos 2MB como default mas tenha certeza
Captulo 13 OpenLDAP - 137
de atualizar
69 # este valor
71
74
79 #Nmeros de lockers
81
82 # Opes de indexao #1
83 index objectClass eq
84
87
90
93 by dn="cn=admin,dc=teste,dc=seu-nome,dc=br" write
94 by anonymous auth
95 by self write
96 by * none
97 access to dn.base="" by * read
98
99 by dn="cn=admin,dc=teste,dc=seu-nome,dc=br" write
100 by * read
101 #access to dn=".*,ou=Roaming,o=morsnet"
pode
105 ser bdb:
111 ####################################################################
###
112 </comandoNumerado>
# slaptest
# cd /usr/share/migrationtools
# cp -av migrate_common.ph migrate_common.ph.original
Captulo 13 OpenLDAP - 139
$DEFAULT_MAIL_DOMAIN="microx.com.br";
$DEFAULT_BASE=dc="microx,dc=com,dc=br";
# cd /usr/share/migrationtools
# ./migrate_passwd.pl /etc/passwd /etc/ldap/users.ldif
# less /etc/ldap/users.ldif
1 gidNumber: 106
2 homeDirectory: /var/lib/gdm
5 dn: uid=root,ou=People,dc=seu-nome,dc=com,dc=br
6 uid: root
7 cn:: cm9vdA==
8 objectClass: account
9 objectClass: posixAccount
10 objectClass: top
11 objectClass: shadowAccount
12 userPassword: {crypt}$1$dL7nEggA$P6Ib/H9QBkdd/sTcUBW1z1
13 shadowLastChange: 12495
14 shadowMax: 99999
15 shadowWarning: 7
16 loginShell: /bin/bash
17 uidNumber: 0
18 gidNumber: 0
19 homeDirectory: /root
20 gecos: root
Captulo 13 OpenLDAP - 140
# cat /etc/ldap/groups.ldif
# vim /etc/ldap/base.ldif
ldapsearch -x | more
# ldapadd -x -D cn=admin,dc=seu-nome,dc=com,dc=br -f
/etc/ldap/groups.ldif -W
Captulo 13 OpenLDAP - 141
# ldapadd -x -D cn=admin,dc=seu-nome,dc=com,dc=br -f
/etc/ldap/users.ldif -W
# /etc/init.d/slapd stop
# slapadd -l meuarquivo.ldif -f slapd.conf
# slapcat | more
# vim /etc/nsswitch.conf
passwd:compat ldap
group: compat ldap
Captulo 13 OpenLDAP - 142
shadow:compat ldap
# vim /etc/libnss-ldap.conf
nss_base_passwd ou=People,dc=microx,dc=com,dc=br
nss_base_shadow ou=People,dc=microx,dc=com,dc=br
nss_base_passwd ou=People,dc=microx,dc=com,dc=br
nss_base_shadow ou=People,dc=microx,dc=com,dc=br
Por ultimo, iremos confgurar o PAM para que ele busque os usurios na base
LDAP.
1 #
2 # /etc/pam.d/common-auth - authentication settings common to all
services
3 #
the
8 # traditional Unix authentication mechanisms.
9 #
1 #
2 # /etc/pam.d/common-account - authorization settings common to all
services
3 #
6 # the central access policy for use on the system. The default is to
/etc/shadow.
8 #
1 #
2 # /etc/pam.d/common-password - password-related modules common to all
services
3 #
10 #
12 #
in
14 # login.defs. Also the "min" and "max" options enforce the length of
the
15 # new password.
16
19
1 #
2 # /etc/pam.d/common-session - session-related modules common to all
services
3 #
performed
6 # at the start and end of sessions of *any* kind (both interactive
and
7 # non-interactive). The default is pam_unix.
8 #
Vamos acessar a base do OpenLDAP via Browser, para tal ser necessrio
instalar php e dar suporte ao Apache.
# ls -l /etc/apache2/mods-enable
127.0.0.1/phpldapadmin/index.php
# vim /etc/squid/squid.conf
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
2) O que um schema?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
13.8. Laboratrio
1. Instale o LDAP tendo o seu nome como cn, como no exemplo da apostila;
Captulo 14
Firewall
14.1. Objetivos
Os sistema GNU/Linux com Kernel srie 2.4 e 2.6 trabalham com o Iptables
para fazer o gerencialmento de regras de Firewall. Lembrando que o Iptables
apenas um Front-End que gerencia o suporte Netflter no Kernel. O Iptables possu 4
tabelas, sendo elas:
flter
nat
mangle
raw
Captulo 14 Firewall - 148
Nesse captulo vamos tratar mais das CHAINS da tabela flter e algumas
coisas sobre as CHAINS da tabela nat.
Tabela Filter
Tabela Nat
# iptables -n -L
# iptables -n -L
Agora que percebemos que temos um frewall ativo, devemos pensar nas
demais polticas, uma vez que, por mais seguro que seja um frewall, cuja poltica
base seja negar tudo, no um frewall prtico, pois precisamos realizar
comunicaes. Dessa forma, precisamos defnir polticas de excees para o Firewall.
# ping 127.0.0.1
# iptables -n -L
# ping 127.0.0.1
# ping 192.168.200.254
Captulo 14 Firewall - 151
# iptables -n -L
# ping 192.168.200.254
# ping www.uol.com.br
# iptables -n -L
# ping www.uol.com.br
# mtr 200.176.2.11
Captulo 14 Firewall - 153
18) O mtr utiliza respostas icmp do tipo 11, ento precisamos criar
uma regra liberando a entrada desse tipo de pacote:
# iptables -n -L
# mtr 200.17.2.11
Para deixar esse valor fxo, devemos deixar esse parmetro dentro de
/etc/sysctl.conf
# vim /etc/sysctl.conf
net.ipv4.ip_forward=1
Captulo 14 Firewall - 154
# iptables -n -L
# iptables -n -L -t nat
# iptables -F
# iptables -F -t nat
Captulo 14 Firewall - 155
# iptables -n -L
# iptables -n -L -t nat
Todas as regras que foram feitas, fcam na memria do computador, se ele for
reiniciado, perderemos todas elas. Podemos utilizar o iptables-save, mas ele no fca
um script profssional.
Segue aqui um script com todas as regras que foram feitas, em seguida esse
script pode ser adicionado aos nveis de execuo do sistema, para ser carregado
sempre a mquina for ligada.
# cd /etc/init.d
# vim firewall.sh
Captulo 14 Firewall - 156
1 #!/bin/bash
2 # Firewall personalizado - Curso 452 - 4Linux
4 ## Definio de variveis
5
6 IPT=$(which iptables)
7 ET0="192.168.200.X"
8 NET="0/0"
9 PA=1024:65535
10 REDE="192.168.200.0/24"
11
12 ## Fechando as Polticas
13 $IPT -P INPUT DROP
14
19 ## Liberando LoopBack
20
ACCEPT
Captulo 14 Firewall - 157
41
ACCEPT
44
51 net.ipv4.ip_forward=1
52
Para que ele seja iniciado junto com sistema quando a mquina for ligada,
podemos colocar o script nos nveis de execuo:
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
3) Qual seriam as regras para liberar que outras mquinas consigam conectar
na porta 22 do seu servidor?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
14.8. Laboratrio
1. Imaginem que o seu servidor tem 2 IP's, um vlido e outro invlido. Crie uma
regra que redirecione todos os pacotes que chegarem na porta 25 do IP vlido
para uma mquina da rede que tenha IP invlido na porta 25. Dica: man
iptables.
Captulo 15 OpenVPN - 159
Captulo 15
OpenVPN
15.1. Objetivos
# cd /etc/openvpn
# openvpn --genkey --secret /etc/openvpn/chave
Captulo 15 OpenVPN - 161
# vim /etc/openvpn/server.conf
7 #Definido a chave
8 secret /etc/openvpn/chave
9 # Definindo a porta
10 port 5000
11 comp-lzo
12 verb 4
# cd /etc/openvpn
# scp 192.168.200.X /etc/openvpn/chave .
# vim /etc/openvpn/client.conf
Captulo 15 OpenVPN - 162
8 remote 192.168.200.X
9 #Definido a chave
10 secret /etc/openvpn/chave
11 # Definindo a porta
12 port 5000
13 comp-lzo
14 verb 4
# ifconfg -a
# ping 172.16.0.X
# ping 172.16.0.X
REFERNCIAS
BIBLIOGRFICAS
ANEXOS
O que
Instalando o programa.
# cd /sbin
# wget 192.168.1.1/si/si_cliente
# chmod u+x /sbin/si_cliente
Captulo 15 OpenVPN - 165
# si_cliente
# si_cliente
Aparecer uma listagem das imagens disponveis. Voc dever escolher aquela
que corresponder a sua mquina.
451-Instrutor-31-Noturno-10
(Cod. do curso)-(Nome do Instrutor)-(Dia de Incio)-(Perodo)-(Fim do
IP do Micro)