Linux Network

Sobre o Professor

• Formação Acadêmica
Mestrando em Administração;
Pós-Graduado em Segurança em Redes de Dados;
Graduação em Negócios em Telecomunicações e redes de dados;
Curso técnico em manutenção de computadores.
• Experiência profissional
Administração de Redes, Servidores e Serviços, Infraestrutura, física e
lógica de redes – mais de 30 anos;
Professor – mais de 15 anos;
Leciono matérias Relacionadas a Banco de dados, Sistemas operacionais
e Infraestrutura de redes.
Linux Network
 Ementa
 Ajustes iniciais no servidor
 Pam
 Raid
 Lvm
 Dhcp
 FTP
 NFS
 Samba
 DNS
 Apache
 Postfix
 Squid
 Firewall
 OpenVPN
 LDAP
Linux Network

 Objetivos
 Configurar a rede;
 Configurar “resolução de nomes” e “hostname” da máquina;
 Entendimento sobre “Hardening”;
 Desativar Serviços desnecessários;
 Configurar repositório de rede.
Vamos nos certificar que o arquivo “/etc/network/interfaces” está corretamente configurado. Este arquivo é muito importante para o funcionamento do nosso servidor, neste arquivo podemos config

Linux Network

 Configurar a rede e o repositório;

# vim /etc/network/interfaces
# Interface Loopback
auto lo
iface lo inet loopback
# Interface de rede primária
auto eth0
iface eth0 inet static
address 192.168.1.X
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
Linux Network

 Edite o arquivo “/etc/resolv.conf”, para colocarmos o endereço do nosso servidor DNS:

# vim /etc/resolv.conf
 Adicione o endereço IP do servidor DNS da Embratel:
nameserver 4.2.2.2

 Configuração do hostname
Em um servidor, a configuração correta do “hostname” e do arquivo “hosts” é
essencial para eliminar problemas em serviços de rede. Abra o arquivo “/etc/hostname”,
adicione o nome, onde “x” é o nome de sua máquina:
# vim /etc/hostname
X
Linux Network

 Edite o arquivo de /etc/hosts:

# vim /etc/hosts

127.0.0.1 localhost.localdomain localhost

192.168.1.X X.com.br X
Linux Network

 Configurando o repositório de rede

Para instalar programas no “Debian GNU/Linux”, é necessário que o
repositório de rede esteja corretamente configurado.
# aptitude update;aptitude upgrade –y; aptitude install –y
 Agora, vamos instalar e configurar o nosso editor de textos habilitando o
destaque de sintaxe e linhas numeradas:
# aptitude install vim
# echo "syntax on" >> /etc/vim/vimrc
# echo "set number" >> /etc/vim/vimrc
 Linux Network

“Hardening” é um processo de mapeamento das ameaças, avaliação dos riscos e execução de

atividades corretivas, com foco na infra-estrutura e o objetivo principal é torná-la preparada para
enfrentar tentativas de ataque.
Normalmente, o processo inclui remover e/ou desabilitar nomes ou logins de usuários que não estejam
mais em uso, além de serviços desnecessários.
Outras providências que um processo de “hardening” pode incluir: limitar o software instalado àquele
que se destina à função desejada do sistema; aplicar e manter os “patches” atualizados, tanto de
sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos,
em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma
política de senhas fortes.
Temos que fechar nosso sistema o máximo possível, dificultando a ação de um “cracker”. Segurança
nunca é demais.
O primeiro passo para proteger nosso servidor após uma instalação, é cuidar o máximo possível o
sistema de arquivos.
Linux Network

 O que podemos fazer para melhorar a segurança?

* exec, noexec - Permite ou não a execução de binários no sistema de arquivos.
* rw - Monta o sistema de arquivos com a opção “Read-Write”, ou seja, leitura e escrita.
* ro - Monta o sistema de arquivos com a opção “Read-Only”, ou seja, somente leitura.
* suid, nosuid - Habilita/desabilita o bit de “set-user-identifier” ou “set-group-identifier”.
* dev, nodev - Serve para desabilitar a interpretação de dispositivos de blocos especiais em
um sistema de arquivos
Exemplo:
/dev/sda3 /home ext3 defaults,noexec,nodev 0 0
/dev/sda7 /tmp ext3 defaults,noexec,nodev 0 0
 Linux Network

 Dica de segurança:
Porque no /tmp? Muitos “rootkits” procuram este tipo de acesso através do “/tmp”, por isso é recomendado se ter
o “/tmp” em uma partiçõesão separada, já que seu permissionamento padrão é de gravação universal.
Montando o “/tmp” com “noexec” você impede que um CRACKER jogue programas dentro do “/tmp” e os
execute. Isso ajuda a evitar muitos ataques de “escalação” de privilégios.
E a senha do root, como deve ser?
Deve ser uma senha bem forte, com números, caracteres especiais, letras maiúsculas e minúsculas misturadas. Por
exemplo:
Efae:Z7P Hoo(f4Gu Ud-ah8Io $LinuX@%2010
Use o comando “pwgen” para gerar suas senhas, ex: “pwgen -y”. Para isso, instale-o:
# aptitude install pwgen
 Linux Network

Se eu tenho uma senha de root forte e eu tenho acesso físico ao servidor, estou seguro? Não, pois
ter acesso físico ao servidor nos permite fazer praticamente qualquer coisa com ele.
Por padrão alguns serviços vem ativados, devemos mantê-los caso não precisemos deles? Nunca
deve-se manter serviços e pacotes instalados nos servidor que não sejam os estritamente
necessários.
Precisamos manter nosso servidor sempre atualizado? Sim. Por que? Todo software tem “bugs” de
segurança e é fundamental corrigi-los o quanto antes. Também é sumamente importante que
você esteja inscrito em listas de discussão que enviam notificações de segurança para a sua
distribuição. A ideia é manter-se informado das atualizações. Veja:
http://lists.debian.org/debian-security-announce/
https://rhn.redhat.com/errata/rhel-server-errata.html
 Linux Network

 1.8. Remover serviços desnecessários

Todo Administrador de Sistemas tem, ou deveria ter, ciência de que um servidor deve executar
somente os softwares necessários, eliminando assim riscos de segurança e ajudando a melhorar a
performance.
O primeiro passo é verificar quais serviços de rede estão habilitados e aceitando conexões.
Além das “Configurações Iniciais” que estamos executando iremos continuar estudando o “PAM”.
 Linux Network

 Verificando serviços de rede com “netstat”:

# netstat -nltup
 Encerrando os serviços encontrados:
# invoke-rc.d exim4 stop # invoke-rc.d nfs-common stop # invoke-rc.d portmap stop # invoke-rc.d openbsd-inetd stop
 Removendo serviços da inicialização:
# update-rc.d -f exim4 remove # update-rc.d -f nfs-common remove # update-rc.d -f portmap remove # update-rc.d -f openbsd-inetd remove RedHat:
# chkconfig --list
# chkconfig --level 2345 portmap stop

 O comando “runlevel”, mostra qual é o nível de inicialização no qual nos encontramos. O arquivo que armazena nosso “runlevel”
padrão é “/etc/inittab”. A linha que define nosso “runlevel” é “id:2:initdefault”. Neste caso o “runlevel” é “2”.
 Você também pode habilitar os serviços, com o programa “sysv-rc-conf” e/ou com o “rcconf”:
# aptitude install rcconf sysv-rc-conf
# rcconf
# sysv-rc-conf
 Linux Network

 1.9. Definindo variáveis e alias de sistemas

O Sistema Operacional vem habilitado por padrão sem alias e somente as variáveis essenciais ao seu funcionamento.
Então iremos configurar nosso GNU/Linux.
 Agora vamos colocar as variáveis e “aliases”, para isso, edite o arquivo abaixo:
# vim /etc/profile

 Vamos inserir estas opções no final do arquivo:

alias ls='ls --color' alias lsl='ls -l' TMOUT=1200 HISTSIZE=1000
 Para validar as mudanças no disco, execute:
# source /etc/profile O comando source apenas executa o conteúdo do arquivo, neste caso, para atualizar os alias e
variáveis.
Os comandos “set” e “env” vão ser cobrados na prova do LPI, eles são uteis para listar as variáveis globais e locais. Assim
como os “alias”.
Linux Network

Funcionamento do Sistema
Todos os itens que veremos agora já são bem conhecidos, mas são cobrados na LPI.
Para identificar a versão do kernel instalado e distribuição:
# uname -r ; uname -a # cat /proc/version
O kernel fica carregado na memória RAM, este é seu arquivo:
# cd /boot # file vmlinuz-2.6.26-2-686 # du -sh vmlinuz-2.6.26-2-686
Quando o kernel é carregado em memória, logo iniciam-se os processos:
# cd /proc # ls # ps aux # cat cpuinfo
 Linux Network

Dos arquivos do diretório “/etc”, são lidos, onde devem ser montados os dispositivos e a inicialização dos serviços:
# cat /etc/fstab # cat /etc/mtab
Para saber quais dispositivos estão montados no sistema:
# cat /proc/mounts # cat /proc/partitions # df -h
Os dispositivos ficam em “/dev”, e seu sistema de arquivos é o “udev”:
# ls -l /dev
Para listar os módulos carregados no sistema:
# ls -l /lib/modules # lsmod # modprobe -l # cat /proc/modules
Para exibir todas bibliotecas do sistema:
# ldconfig -p
# ls /lib
# cat /etc/ld.so.cache
Obrigado a todos